IEC 62443 für KRITIS

Der Standard IEC 62443 Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme definiert als Normenreihe Anforderungen für die Sicherheit industrieller Steuerung und Automatisierung (Industrial Automation and Control Systems - IACS).

Mapping von Cyber Security Standards und KRITIS
Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙
OpenKRITIS-Analyse von KRITIS-Standards ∙ 2024
Standards für Industriesicherheit
IEC 62443 Industriesicherheit
IEC 62443 wird von KRITIS-Betreibern für die IT-Sicherheit von Industrieanlagen genutzt und ist in einigen Branchen dafür auch regulatorisch vorgeschrieben. Es gibt (noch) keine direkte Anwendung von IEC 62443 für KRITIS-Nachweise und -Maßnahmen.
Die IEC 62443 Normenreihe umfasst seit 2009 verschiedene Teilstandards, die teilweise noch in Arbeit sind:
Standard | Datum | Inhalt | Zielgruppe |
---|---|---|---|
62443-1-1 | 2009 | Grundlagen und Konzepte | generell |
62443-1-2 | i.A. | Terminologie | generell |
62443-1-3 | i.A. | Metriken | generell |
62443-1-4 | i.A. | Lebenszyklen | generell |
62443-1-5 | 9/2023 | Schema für Sicherheitsprofile | generell |
62443-2-1 | 2024 (V2) | Sicherheitsprogramm für Betreiber von Anlagen | Betreiber |
62443-2-2 | i.A. | Einstufung | generell |
62443-2-3 | 2015 | Patch-Management | Betreiber, Integratoren/Dienstleister |
62443-2-4 | 2023 (V2) | Anforderungen für Provider und Integratoren | Betreiber |
62443‑2‑5 | i.A. | Implementation guidance | Betreiber |
62443-3-1 | 2009 | Sicherheitstechnologien | generell |
62443-3-2 | 2020 | Risiko-Assessment und System-Design | Integratoren/Dienstleister |
62443-3-3 | 2013 | Technische Anforderungen an Systeme und Security-Level | Integratoren/Dienstleister, Produkthersteller |
62443-4-1 | 2018 | Sichere Entwicklung (Development Lifecycle) | Produkthersteller |
62443-4-2 | 2019 | Technische Anforderungen an Produkte und Komponenten | Produkthersteller |
62443-6-1 | 2024 | Evaluierungsmethodik für IEC 62443-2-4 (Provider) | |
62443-6-2 | 2025 | Evaluierungsmethodik für IEC 62443-4-2 (Produkte), Sicherheitsprogrammanforderungen IACS-Systemintegratoren |
Bei der Umsetzung der einzelnen IEC 62443-Standards gibt es verschiedene Stufen:
- Security Level: Geplante Schutzziele basierend auf Bedrohungen von 0 (keine besondere Anforderung) bis 4 (Angreifer mit Vorsatz, fortschrittliche Werkzeuge und Motivation).
- Maturity Level: Reifegrade für die Umsetzung von IT-Sicherheit von 1 (initial und ad-hoc) bis 4 (kontinuierliche Verbesserung).
Für IEC 62443 gibt es verschiedene Zertifizierungsschemata:
- Betreiber: Zertifizierung nach IEC 62443-2-1
- Integratoren und Dienstleister: Zertifizierung des allgemeinen Sicherheitsprogramms nach IEC 62443-2-4. Möglich ist eine Erweiterung um 62443-3-3 zur Zertifizierung einer spezifischen Service-Referenzarchitektur.
- Produkthersteller: Zertifizierung der Prozesse zur sicheren Produktentwicklung nach IEC 62443-4-1. Möglich ist eine Erweiterung um 62443-4-2 zur Zertifizierung von spezifischen Produkten und Komponenten oder eine Erweiterung um 62443-3-3 als Systemzertifizierung.
Weitere Informationen
Literatur
- ISO/IEC 27011:2024, Information security controls based on ISO/IEC 27002 for telecommunications organizations, ISO/IEC JTC 1/SC 27, 2024
- ISO/IEC 27017:2015, Code of practice for Information security controls based on ISO/IEC 27002 for cloud services, ISO/IEC JTC 1/SC 27, 2015
- ISO/IEC 27018:2019, Code of practice for Information security controls based on ISO/IEC 27002 for for protection of personally identifiable information (PII) in public clouds acting as PII processors, ISO/IEC JTC 1/SC 27, 2019
- ISO/IEC 27019:2017, Code of practice for Information security controls based on ISO/IEC 27002 for the energy utility inndustry, ISO/IEC JTC 1/SC 27, 2019
- Nutzung eines bestehenden ISO/IEC 27001-Zertifikats als Bestandteil eines Nachweises gemäß ยง 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- CIP Standards, North American Electric Reliability Corporation, 2022