IEC 62443: norm voor industriële OT-cyberbeveiliging
IEC 62443 is de internationale norm voor het beveiligen van industriële automatiserings- en besturingssystemen. De norm definieert vier Security Levels en sluit direct aan op NIS2-artikel-21-vereisten.
Wat is IEC 62443?
IEC 62443 is een normreeks ontwikkeld door IEC TC 65 specifiek voor Industrial Automation and Control Systems (IACS). De reeks omvat organisatorisch beveiligingsbeheer, systeemontwerp en componenteisen.
Anders dan generieke IT-beveiligingsnormen (ISO 27001) adresseert IEC 62443 expliciet de kenmerken van OT-omgevingen: lange levensduur, real-time beperkingen, legacy-protocollen en veiligheidseisen.
De norm definieert Security Levels (SL 1–4) en een Target Security Level (SL-T)-methodologie waarmee organisaties beveiligingsinvesteringen kunnen prioriteren op basis van risico, geen one-size-fits-all checklist.
De vier Security Levels uitgelegd
Security Levels beschrijven de weerstandscapaciteit tegen aanvallen van specifieke bedreigingsactoren. Voor de meeste NIS2-gedekte OT-omgevingen is SL 2 het uitgangspunt.
Bescherming tegen onopzettelijke fouten
Basisbeveiligingsmaatregelen die fouten door onoplettendheid tegengaan. Gaat uit van een aanvaller zonder motivatie of specifieke vaardigheden. Toepasselijk als de consequenties beperkt zijn.
- •Authenticatie op HMI-werkstations
- •Netwerksegmentatie tussen IT en OT
- •Basislogging van inlogevenementen
Bescherming tegen opzettelijke aanvallen met gemiddelde vaardigheden
Maatregelen gericht op een aanvaller met kennis van industriële systemen en doelgerichte motivatie. Vereist voor de meeste NIS2-gedekte OT-omgevingen.
- •Rolgebaseerde toegangscontrole (RBAC)
- •Versleutelde communicatie waar technisch haalbaar
- •Patchbeheer conform leveranciersadvisories
- •Remote-access via jump-server met MFA
- •Wijzigingsbeheerprocedure voor OT-systemen
Bescherming tegen geavanceerde aanvallen met OT-expertise
Aanvaller heeft specifieke kennis van het doelsysteem en voldoende middelen voor gerichte aanvallen. Relevant voor kritieke infrastructuur (energie, water, transport) en SEVESO-installaties.
- •Twee-factor authenticatie op alle OT-toegang
- •Zonesegmentatie met strikter conduit-beleid
- •Passieve OT-monitoring (network traffic analysis)
- •Supply chain security-beoordeling voor OEM-leveranciers
- •Jaarlijkse penetratietest op OT-perimeter
Bescherming tegen staatsgesponsorde of georganiseerde aanvallen
Aanvaller beschikt over omvangrijke middelen, geavanceerde tooling en langetermijnmotivatie. Voor de overgrote meerderheid van industriële bedrijven niet vereist, maar relevant voor nationale vitale infrastructuur.
- •Fysieke scheiding van veiligheidskritische systemen (air-gap waar van toepassing)
- •Cryptografische integriteitscontrole van softwarecomponenten
- •Gespecialiseerde OT-SOC-bewaking
- •Formele IACS-risicobeoordeling per IEC 62443-3-2
NIS2 artikel 21: IEC 62443 kruis-referentie
Elk NIS2-artikel-21-vereiste sluit aan op een of meer onderdelen van IEC 62443. Deze tabel toont waar IEC 62443 de technische uitvoeringsrichtlijnen geeft.
| Artikel | Vereiste | IEC 62443 | Uitvoering |
|---|---|---|---|
| Art. 21(2)(a) | Risicoanalyse en beleid voor informatiebeveiliging | IEC 62443-2-1 / 3-2 | Securitybeheerbeleid (CSMS) en IACS-risicobeoordelingsmethodologie |
| Art. 21(2)(b) | Incidentafhandeling | IEC 62443-2-1 | Incidentresponsplan, communicatieprocedures en herstelplannen voor OT |
| Art. 21(2)(c) | Bedrijfscontinuïteit en crisisbeheersing | IEC 62443-2-1 | Back-up- en herstelbeleid specifiek voor OT-configuraties en PLC-programmas |
| Art. 21(2)(d) | Beveiliging van de toeleveringsketen | IEC 62443-2-4 | Beveiligingseisen voor IACS-dienstverleners (OEM-leveranciers, systeemintegratoren) |
| Art. 21(2)(e) | Beveiliging bij acquisitie en ontwikkeling | IEC 62443-3-3 / 4-2 | Producteisen voor OT-componenten: authenticatie, patchbaarheid, logging |
| Art. 21(2)(f) | Kwetsbaarheidsbeheer en bekendmaking | IEC 62443-2-3 | Patchbeheer voor IACS-systemen en procedure voor kwetsbaarheidsmelding |
| Art. 21(2)(g) | Basisbeveiliging van netwerken en systemen | IEC 62443-3-3 | Systeem-security-eisen (SRs): authenticatie, toegangscontrole, netwerksegmentatie |
| Art. 21(2)(h) | Cryptografie en encryptie | IEC 62443-3-3 SR 4.3 | Versleuteling van communicatie en opslag waar technisch haalbaar in OT-context |
Hoe GCG IEC 62443 toepast
IACS-risicoanalyse (62443-3-2)
Inventarisatie van zones en conduits, bepaling van Target Security Level (SL-T) per zone op basis van impact × kans.
Gap-analyse (62443-3-3)
Toetsing van uw huidige OT-omgeving aan de systeem-security-eisen (SRs) van IEC 62443-3-3 voor uw doelSL.
Segmentatie en hardening
Implementatie van zones, conduits en compenserende maatregelen conform de bevindingen van de gap-analyse.
Leveranciersbeoordeling (62443-2-4)
Beoordeling van beveiligingseisen voor OEM-leveranciers en systeemintegratoren conform NIS2 artikel 21 lid 2 sub d.
Rapportage en bewijspakket
Schriftelijke gap-rapportage, risicoregister, netwerkdiagrammen en beveiligingsbeleid: het bewijspakket dat een toezichthouder verwacht.
Periodieke herijking
NIS2 vereist een continue aanpak. Jaarlijkse of tweejaarlijkse herbeoordelingen houden uw IEC 62443-positie actueel.
Veelgestelde vragen over IEC 62443
Vraag uw IEC 62443 gap-analyse aan
Wij bepalen uw Target Security Level, brengen de gaps in kaart en leveren een geprioriteerd remediatieplan.