IEC 62443: der OT-Cybersecurity-Standard für NIS2
IEC 62443 ist die internationale Norm für die Sicherung industrieller Automatisierungs- und Steuerungssysteme (IACS). Die Norm definiert vier Security Levels und deckt die NIS2-Artikel-21-Anforderungen direkt ab.
Was ist IEC 62443?
IEC 62443 ist eine von IEC TC 65 entwickelte Normenreihe speziell für Industrial Automation and Control Systems (IACS). Sie umfasst organisatorisches Sicherheitsmanagement, Systementwurf und Komponentenanforderungen.
Im Gegensatz zu allgemeinen IT-Sicherheitsnormen (ISO 27001) adressiert IEC 62443 explizit die Besonderheiten von OT-Umgebungen: lange Lebensdauer, Echtzeit-Anforderungen, Legacy-Protokolle und Sicherheitsanforderungen.
Die Norm definiert Security Levels (SL 1–4) und eine Target-Security-Level-Methodik (SL-T), mit der Organisationen Sicherheitsinvestitionen risikobasiert priorisieren können, keine Einheitslösung für alle.
Die vier Security Levels erklärt
Security Levels beschreiben die Widerstandsfähigkeit gegenüber Angriffen spezifischer Bedrohungsakteure. Für die meisten NIS2-pflichtigen OT-Umgebungen ist SL 2 der Ausgangspunkt.
Schutz vor unbeabsichtigten Fehlern
Grundlegende Sicherheitsmaßnahmen gegen Unaufmerksamkeitsfehler. Geht von einem Angreifer ohne Motivation oder spezifische Fähigkeiten aus. Anwendbar, wenn die Konsequenzen begrenzt sind.
- •Authentifizierung an HMI-Workstations
- •Netzwerksegmentierung zwischen IT und OT
- •Grundlegendes Protokollieren von Anmeldeereignissen
Schutz vor gezielten Angriffen mit mittleren Fähigkeiten
Maßnahmen gegen einen Angreifer mit Kenntnissen industrieller Systeme und gezielter Motivation. Erforderlich für die meisten NIS2-pflichtigen OT-Umgebungen.
- •Rollenbasierte Zugriffskontrolle (RBAC)
- •Verschlüsselte Kommunikation wo technisch machbar
- •Patch-Management gemäß Hersteller-Advisories
- •Fernzugriff über Jump-Server mit MFA
- •Änderungsmanagement-Verfahren für OT-Systeme
Schutz vor ausgefeilten Angriffen mit OT-Expertise
Angreifer hat spezifische Kenntnisse des Zielsystems und ausreichende Ressourcen für gezielte Angriffe. Relevant für kritische Infrastruktur (Energie, Wasser, Verkehr) und SEVESO-Anlagen.
- •Zwei-Faktor-Authentifizierung auf allen OT-Zugängen
- •Zonensegmentierung mit strikterem Conduit-Regelwerk
- •Passive OT-Überwachung (Netzwerkverkehrsanalyse)
- •Supply-Chain-Sicherheitsbewertung für OEM-Lieferanten
- •Jährlicher Penetrationstest auf OT-Perimeter
Schutz vor staatlich gesponserten oder organisierten Angriffen
Angreifer verfügt über umfangreiche Ressourcen, fortschrittliches Werkzeug und Langzeitmotivation. Für die große Mehrheit der Industrieunternehmen nicht erforderlich, aber relevant für national kritische Infrastruktur.
- •Physische Trennung sicherheitskritischer Systeme (Air-Gap wo zutreffend)
- •Kryptografische Integritätsprüfung von Softwarekomponenten
- •Spezialisierte OT-SOC-Überwachung
- •Formale IACS-Risikobeurteilung nach IEC 62443-3-2
NIS2 Artikel 21: IEC 62443 Querverweis
Jede NIS2-Artikel-21-Anforderung entspricht einem oder mehreren Teilen von IEC 62443. Diese Tabelle zeigt, wo IEC 62443 die technischen Umsetzungshinweise gibt.
| Artikel | Anforderung | IEC 62443 | Umsetzung |
|---|---|---|---|
| Art. 21(2)(a) | Risikoanalyse und Informationssicherheitsrichtlinien | IEC 62443-2-1 / 3-2 | Sicherheitsmanagementrichtlinie (CSMS) und IACS-Risikobeurteilungsmethodik |
| Art. 21(2)(b) | Vorfallbehandlung | IEC 62443-2-1 | Incident-Response-Plan, Kommunikationsverfahren und Wiederherstellungspläne für OT |
| Art. 21(2)(c) | Geschäftskontinuität und Krisenmanagement | IEC 62443-2-1 | Backup- und Wiederherstellungsrichtlinie für OT-Konfigurationen und SPS-Programme |
| Art. 21(2)(d) | Sicherheit der Lieferkette | IEC 62443-2-4 | Sicherheitsanforderungen für IACS-Dienstleister (OEM-Lieferanten, Systemintegratoren) |
| Art. 21(2)(e) | Sicherheit bei Beschaffung und Entwicklung | IEC 62443-3-3 / 4-2 | Produktanforderungen für OT-Komponenten: Authentifizierung, Patch-Fähigkeit, Protokollierung |
| Art. 21(2)(f) | Schwachstellenmanagement und -offenlegung | IEC 62443-2-3 | Patch-Management für IACS-Systeme und Meldeverfahren für Schwachstellen |
| Art. 21(2)(g) | Grundlegende Sicherheitspraktiken für Netzwerke und Systeme | IEC 62443-3-3 | Systemsicherheitsanforderungen (SRs): Authentifizierung, Zugriffskontrolle, Netzwerksegmentierung |
| Art. 21(2)(h) | Kryptografie und Verschlüsselung | IEC 62443-3-3 SR 4.3 | Verschlüsselung von Kommunikation und Speicherung wo technisch im OT-Kontext machbar |
Wie GCG IEC 62443 anwendet
IACS-Risikoanalyse (62443-3-2)
Inventarisierung von Zonen und Conduits, Bestimmung des Target Security Level (SL-T) je Zone auf Basis von Auswirkung × Wahrscheinlichkeit.
Gap-Analyse (62443-3-3)
Prüfung Ihrer aktuellen OT-Umgebung gegen die Systemsicherheitsanforderungen (SRs) von IEC 62443-3-3 für Ihr Ziel-SL.
Segmentierung und Härtung
Implementierung von Zonen, Conduits und kompensierenden Maßnahmen basierend auf den Gap-Analyse-Ergebnissen.
Lieferantenbewertung (62443-2-4)
Bewertung von Sicherheitsanforderungen für OEM-Lieferanten und Systemintegratoren gemäß NIS2 Artikel 21 Abs. 2 lit. d.
Berichterstattung und Nachweispaket
Schriftlicher Gap-Bericht, Risikoregister, Netzwerkdiagramme und Sicherheitsrichtlinie: das Nachweispaket, das eine Aufsichtsbehörde erwartet.
Periodische Überprüfung
NIS2 erfordert einen kontinuierlichen Ansatz. Jährliche oder zweijährliche Neubewertungen halten Ihre IEC 62443-Position aktuell.
Häufig gestellte Fragen zu IEC 62443
Fordern Sie Ihre IEC 62443-Gap-Analyse an
Wir ermitteln Ihr Target Security Level, erfassen die Gaps und liefern einen priorisierten Sanierungsplan.