IEC 62443: norm voor industriële OT-cyberbeveiliging

IEC 62443 is de internationale norm voor het beveiligen van industriële automatiserings- en besturingssystemen. De norm definieert vier Security Levels en sluit direct aan op NIS2-artikel-21-vereisten.

De norm

Wat is IEC 62443?

IEC 62443 is een normreeks ontwikkeld door IEC TC 65 specifiek voor Industrial Automation and Control Systems (IACS). De reeks omvat organisatorisch beveiligingsbeheer, systeemontwerp en componenteisen.

Anders dan generieke IT-beveiligingsnormen (ISO 27001) adresseert IEC 62443 expliciet de kenmerken van OT-omgevingen: lange levensduur, real-time beperkingen, legacy-protocollen en veiligheidseisen.

De norm definieert Security Levels (SL 1–4) en een Target Security Level (SL-T)-methodologie waarmee organisaties beveiligingsinvesteringen kunnen prioriteren op basis van risico, geen one-size-fits-all checklist.

Onderdelen
IEC 62443-2-1
Beveiligingsbeheersysteem (CSMS)
IEC 62443-2-3
Patchbeheer voor IACS
IEC 62443-2-4
Beveiliging voor IACS-dienstverleners
IEC 62443-3-2
Risicoanalyse voor IACS
IEC 62443-3-3
Systeem-security-eisen (SRs)
IEC 62443-4-2
Technische beveiligingseisen voor componenten
Security Levels

De vier Security Levels uitgelegd

Security Levels beschrijven de weerstandscapaciteit tegen aanvallen van specifieke bedreigingsactoren. Voor de meeste NIS2-gedekte OT-omgevingen is SL 2 het uitgangspunt.

SL 1

Bescherming tegen onopzettelijke fouten

Basisbeveiligingsmaatregelen die fouten door onoplettendheid tegengaan. Gaat uit van een aanvaller zonder motivatie of specifieke vaardigheden. Toepasselijk als de consequenties beperkt zijn.

  • Authenticatie op HMI-werkstations
  • Netwerksegmentatie tussen IT en OT
  • Basislogging van inlogevenementen
SL 2

Bescherming tegen opzettelijke aanvallen met gemiddelde vaardigheden

Maatregelen gericht op een aanvaller met kennis van industriële systemen en doelgerichte motivatie. Vereist voor de meeste NIS2-gedekte OT-omgevingen.

  • Rolgebaseerde toegangscontrole (RBAC)
  • Versleutelde communicatie waar technisch haalbaar
  • Patchbeheer conform leveranciersadvisories
  • Remote-access via jump-server met MFA
  • Wijzigingsbeheerprocedure voor OT-systemen
SL 3

Bescherming tegen geavanceerde aanvallen met OT-expertise

Aanvaller heeft specifieke kennis van het doelsysteem en voldoende middelen voor gerichte aanvallen. Relevant voor kritieke infrastructuur (energie, water, transport) en SEVESO-installaties.

  • Twee-factor authenticatie op alle OT-toegang
  • Zonesegmentatie met strikter conduit-beleid
  • Passieve OT-monitoring (network traffic analysis)
  • Supply chain security-beoordeling voor OEM-leveranciers
  • Jaarlijkse penetratietest op OT-perimeter
SL 4

Bescherming tegen staatsgesponsorde of georganiseerde aanvallen

Aanvaller beschikt over omvangrijke middelen, geavanceerde tooling en langetermijnmotivatie. Voor de overgrote meerderheid van industriële bedrijven niet vereist, maar relevant voor nationale vitale infrastructuur.

  • Fysieke scheiding van veiligheidskritische systemen (air-gap waar van toepassing)
  • Cryptografische integriteitscontrole van softwarecomponenten
  • Gespecialiseerde OT-SOC-bewaking
  • Formele IACS-risicobeoordeling per IEC 62443-3-2
NIS2-mapping

NIS2 artikel 21: IEC 62443 kruis-referentie

Elk NIS2-artikel-21-vereiste sluit aan op een of meer onderdelen van IEC 62443. Deze tabel toont waar IEC 62443 de technische uitvoeringsrichtlijnen geeft.

ArtikelVereisteIEC 62443Uitvoering
Art. 21(2)(a)Risicoanalyse en beleid voor informatiebeveiligingIEC 62443-2-1 / 3-2Securitybeheerbeleid (CSMS) en IACS-risicobeoordelingsmethodologie
Art. 21(2)(b)IncidentafhandelingIEC 62443-2-1Incidentresponsplan, communicatieprocedures en herstelplannen voor OT
Art. 21(2)(c)Bedrijfscontinuïteit en crisisbeheersingIEC 62443-2-1Back-up- en herstelbeleid specifiek voor OT-configuraties en PLC-programmas
Art. 21(2)(d)Beveiliging van de toeleveringsketenIEC 62443-2-4Beveiligingseisen voor IACS-dienstverleners (OEM-leveranciers, systeemintegratoren)
Art. 21(2)(e)Beveiliging bij acquisitie en ontwikkelingIEC 62443-3-3 / 4-2Producteisen voor OT-componenten: authenticatie, patchbaarheid, logging
Art. 21(2)(f)Kwetsbaarheidsbeheer en bekendmakingIEC 62443-2-3Patchbeheer voor IACS-systemen en procedure voor kwetsbaarheidsmelding
Art. 21(2)(g)Basisbeveiliging van netwerken en systemenIEC 62443-3-3Systeem-security-eisen (SRs): authenticatie, toegangscontrole, netwerksegmentatie
Art. 21(2)(h)Cryptografie en encryptieIEC 62443-3-3 SR 4.3Versleuteling van communicatie en opslag waar technisch haalbaar in OT-context
Wat wij doen

Hoe GCG IEC 62443 toepast

01

IACS-risicoanalyse (62443-3-2)

Inventarisatie van zones en conduits, bepaling van Target Security Level (SL-T) per zone op basis van impact × kans.

02

Gap-analyse (62443-3-3)

Toetsing van uw huidige OT-omgeving aan de systeem-security-eisen (SRs) van IEC 62443-3-3 voor uw doelSL.

03

Segmentatie en hardening

Implementatie van zones, conduits en compenserende maatregelen conform de bevindingen van de gap-analyse.

04

Leveranciersbeoordeling (62443-2-4)

Beoordeling van beveiligingseisen voor OEM-leveranciers en systeemintegratoren conform NIS2 artikel 21 lid 2 sub d.

05

Rapportage en bewijspakket

Schriftelijke gap-rapportage, risicoregister, netwerkdiagrammen en beveiligingsbeleid: het bewijspakket dat een toezichthouder verwacht.

06

Periodieke herijking

NIS2 vereist een continue aanpak. Jaarlijkse of tweejaarlijkse herbeoordelingen houden uw IEC 62443-positie actueel.

Veelgestelde vragen over IEC 62443

Vraag uw IEC 62443 gap-analyse aan

Wij bepalen uw Target Security Level, brengen de gaps in kaart en leveren een geprioriteerd remediatieplan.