IEC 62443

Von der Norm zur nachweisbaren Anlagesicherheit

Jetzt IEC 62443 umsetzen
Zertifiziert nach ISO 27001, ISO 9001 und ISO 14001
Dezidierte IEC-Experts
Alles aus einer Hand

OT-Sicherheit – die hält, was sie verspricht.

Industrielle Umgebungen sind heutzutage im Regelfall vollständig digitalisiert und werden durch entsprechende Steuerungssysteme automatisiert betrieben. Sie sind stark vernetzt und besitzen Verbindungen in Unternehmensnetze, haben verschiedene Fernwartungszugänge und einen Leitstand zur Produktionssteuerung. Das schafft nicht nur Effizienz, sondern völlig neue Angriffsflächen auf Systeme, die für Cyber-Security-Strategien nicht konzipiert wurden.

OT-Security schützt genau dort, wo klassische IT-Security aufhört. Das oberste Schutzziel ist nicht Vertraulichkeit – sondern die Verfügbarkeit. Eine Anlage die steht, ist für ein Unternehmen das größte Risiko. Ein Ausfall des grundlegenden Bestandteils der Wertschöpfungskette von Unternehmen zieht empfindliche Einbußen nach sich. Das betrifft nicht nur monetäre Belastungen, sondern auch die Reputation und das Vertrauen in die Produkte bei Kunden und Partnern, als auch die Wahrnehmung der Öffentlichkeit bei einem Sicherheitsvorfall.
 

Die Normenreihe IEC 62443 ist international anerkannt, um Cyber Security in der Produktion zu etablieren.
Jetzt Ihre OT zukunftssicher gestalten

Vom industriellen Standard zum echten Schutz
vor Cyberangriffen in der Produktion.

Unternehmen, die die IEC 62443 grundlegend einsetzen und strukturiert anwenden, gewinnen somit massiv an operativer Sicherheit in der Produktion und schaffen die Grundlage für nachhaltige Resilienz.

Klarheit über die eigene OT-Landschaft.

Unter Anwendung der Normenreihe wissen Unternehmen welche Assets, Komponenten und Systeme in Ihrer Anlage existieren und welches Risiko jede Zone trägt. Diese Transparenz ist der Ausgangspunkt für jede fundierte OT-Security Strategie.

Nachweisbare Sicherheit.

Gemäß IEC62443 sind die Schutzmaßnahmen dokumentiert und entsprechend strukturiert auditfähig. Das gilt sowohl für interne Prüfungen, als auch für behördliche Anforderungen, die sich aus NIS2 oder KRITIS durch das BSI ergeben.

Regulatorische Sicherheit.

Die Anforderungen aus NIS2, Kritis-Verordnung, dem kommenden Cyber Resilience Act, sowie sektorspezifischen Normen (Bsp.: Maschinenverordnung) sind komplex. 

Wir übersetzen sie für ihr Unternehmen in einen konkreten Maßnahmenplan, ohne dass Ihr IT/OT-Team zu Normenexperten werden müssen.

Ein Sicherheitskonzept, das zu Ihrer Anlage passt.

Defense in Depth klingt zunächst einmal abstrakt. In der Praxis bedeutet es: Zonen, Conduits und Security Level, die zu Ihrer Infrastruktur passen. Praxiserprobt und realistisch anwendbar. Keine reine 1:1-Umsetzung einer Norm, sondern gelebte Realität.

Dauerhafter Schutz statt Einmalprojekt.

Die IEC 62443 fordert kontinuierliche Verbesserung. Wir bleiben auch zukünftig an Ihrer Seite, mit geplanten Audits durch unsere Experten, aktualisierten Risikoanalysen und technischer Validierung, zum Beispiel durch OT-Penetrationstests unseres OT-Security Teams.

Axians Industrial Guardians

Vereinte Expertise für IEC 62443 & OT-Security

IEC 62443 mit Axians

Von der Norm zur sicheren Anlage

Praxisnahe OT-Security nach IEC 62443

Viele Dienstleister kennen die Norm. Im Unterschied dazu kennen wir die Anlagen und die dazugehörige Norm und können sie in gelebte, echte OT-Security umsetzen.

Unser Team arbeitet täglich mit OT-Security Themen, zum Beispiel in kritischen Infrastrukturen, oder im Maschinenbau, aber auch in der Prozessindustrie sind wir zu Hause. Wir verstehen industrielle Automatisierungssysteme, deren Eigenheiten, Lebenszyklen und Schnittstellen, u.a. zur IT.

Dieses Know-how ist der Unterschied zwischen einer Norm, die in der Schublade verweilt, und einer Sicherheitsarchitektur, die im Betrieb funktioniert.

Jetzt mit IEC 62443 starten

Vorteile im Überblick

Was Sie konkret von IEC 62443 haben

Kein blinder Fleck zwischen IT und OT

Sie erhalten ein Sicherheitskonzept, das beide Welten berücksichtigt – und an ihrer Schnittstelle keine Lücken lässt.

Security Levels, die zu Ihrer Risikolage passen

Keine pauschalen Einstufungen. Jede Zone wird individuell bewertet, auf Basis einer echten Risiko- und Bedrohungsanalyse.

Gewissheit, dass Ihre Maßnahmen halten

OT-Penetrationstests zeigen unter realistischen Bedingungen, wo Schutz greift und wo nachgesteuert werden muss.

Sicherheit, die nicht veraltet

Ihre Security-Architektur wird kontinuierlich weiterentwickelt, auch wenn sich Ihre Anlage, Ihre Bedrohungslage oder regulatorische Anforderungen verändern.

Audit-Vorbereitung inklusive

Sie gehen in Prüfungen, Zertifizierungen und Behördengespräche mit einer Dokumentation, die standhält.

Step-by-Step

In fünf Schritten zur IEC 62443-Konformität

Kein Unternehmen startet bei null. Und kein Unternehmen hat dieselbe Ausgangslage. Deshalb beginnen wir immer mit einer strukturierten Bestandsaufnahme.

1. Schritt

1. Gap-Analyse & Asset-Inventar

Welche Komponenten und Systeme sind vorhanden? Wo liegen offene Security Anforderungen?

2. Schritt

2. Risiko- & Bedrohungsanalyse

Welches Security Level braucht welche Zone?

3. Schritt

3. Zonen- & Conduit-Modell

Defense in Depth strukturiert und normkonform umgesetzt

4. Schritt

4. Maßnahmenumsetzung

Technische Anforderungen priorisiert, dokumentiert, umsetzbar

5. Schritt

5. Validierung & kontinuierliche Verbesserung

Audits, OT-Penetrationstests, Aktualisierungen

FAQ

IEC 62443 & ISA IEC 62443

Was ist IEC 62443?

Die Normenreihe IEC 62443 definiert internationale Standards für die Cyber Security industrieller Automatisierungssysteme (IACS). Sie wurde von der International Society of Automation (ISA) entwickelt und gemeinsam mit der International Electrotechnical Commission (IEC) verabschiedet.

Seit 2021 gilt sie als horizontaler Standard – branchenübergreifend anwendbar und ist verpflichtende Grundlage für Industrial Security, wo sektorspezifische Normen OT-Security adressieren.

Wie ist die Normenreihe aufgebaut?

Die Normenreihe besteht aus vier zentralen Teilen:

  • 62443-1-x legt Begriffe, Konzepte und Defense in Depth-Prinzipien fest. 
  • 62443-2-x adressiert das Sicherheitsmanagement für Betreiber industrieller Anlagen. 
  • 62443-3-x definiert Systemanforderungen: Risikoanalyse, Security Levels sowie Zonen & Conduits. 
  • 62443-4-x beschreibt technische Anforderungen an Entwicklungsprozesse und Produkte. Welche Teile relevant sind, hängt von Ihrer Rolle ab. Nicht jedes Unternehmen muss die gesamte Normenreihe umsetzen.
Was ist der Unterschied zwischen ISA 62443 und IEC 62443?

Beide Bezeichnungen beschreiben im Kern dieselbe Normenreihe. ISA 62443 ist die US-amerikanische Ausgabe der International Society of Automation. IEC 62443 ist die internationale Ausgabe der IEC. Der technische Inhalt ist identisch.

Was ist der Unterschied zwischen ISA99 und IEC 62443?

ISA99 ist das Standardisierungskomitee, das die Normen ab 2002 entwickelte. Ab ca. 2010 wurden sie gemeinsam mit der IEC überarbeitet. Seither sind sie als ISA IEC 62443 Standards veröffentlicht.

Was sind Security Levels?

Security Levels (SL 1–4) beschreiben, gegen welche Angreiferklassen industrielle Anlagen geschützt sein müssen. SL 1 schützt gegen zufällige Fehler. SL 2 gegen Angriffe mit einfachen Mitteln. SL 4 gegen hochorganisierte, staatlich unterstützte Angriffe. Das erforderliche Level wird pro Zone per Risikoanalyse festgelegt.

Security Levels (SL) im Überblick:

  • SL 0 – Kein Schutz
    Keine Security-Anforderungen definiert – kein Schutzbedarf vorhanden
  • SL 1 – Basisschutz
    Schutz vor beiläufigen oder zufälligen Verstößen – etwa durch unbeabsichtigte Fehler
  • SL 2 – Schutz vor einfachen Angriffen
    Schutz vor absichtlichen Angriffen mit einfachen Mitteln, geringem Aufwand und geringer Motivation
  • SL 3 – Schutz vor gezielten Angriffen
    Schutz vor Angreifenden mit IACS-spezifischem Fachwissen, hochentwickelten Mitteln und mittlerer Motivation
  • SL 4 – Höchster Schutz
    Schutz vor hochmotivierten Angreifenden mit erheblichem Aufwand, spezifischem IACS-Wissen und hochentwickelten Mitteln
Welche grundlegenden Anforderungen stellt der Standard?

Sieben Foundational Requirements werden berücksichtigt:

  1. Identifikation & Authentifizierung
  2. Zugriffskontrolle
  3. Systemintegrität
  4. Datenvertraulichkeit
  5. Eingeschränkter Datenfluss
  6. Zeitnahe Reaktion auf Ereignisse
  7. Ressourcenverfügbarkeit
Ist der Standard für KMU umsetzbar?

Definitiv ja. Die Normenreihe ist flexibel anzuwenden und entsprechend skalierbar. Welche technischen Anforderungen relevant sind, hängt von der jeweiligen Rolle ab. Eine Gap-Analyse bestimmt den tatsächlichen Umsetzungsumfang.

IEC 62443 & NIS2: Was sind die Unterschiede?

IEC 62443 & NIS2: Was sind die Unterschiede?

Der Standard IEC 62443 ist kein Gesetz. Er ist die anerkannte Methodik, eine Norm, um gesetzliche Anforderungen zu erfüllen. Die NIS2-Richtlinie schreibt Betreibern wesentlicher Einrichtungen nachweisbare Maßnahmen zur Cyber Security vor. Die Normenreihe liefert den strukturellen Rahmen dafür und unterstützt bei der Umsetzung.

Wer den Standard konsequent umsetzt, schafft eine belastbare Dokumentationsbasis. Das zahlt sich bei Audits und Behördenprüfungen direkt aus.

Mehr dazu auf unserer Seite zur NIS2-Beratung.

Beratung zu IEC 62443 anfragen

Wie hängen IEC 62443 und NIS2 zusammen?

NIS2 verpflichtet Betreiber wesentlicher Einrichtungen zu nachweisbaren Maßnahmen zur Cyber Security. Die Normenreihe liefert den strukturellen Rahmen dafür. Sie ist die anerkannte Methodik für OT-Security und kritische Infrastrukturen.

Welche Rollen definiert der Standard?

Drei Hauptrollen: 

  1. Asset Owner (Anlagenbetreiber), 
  2. Product Supplier (Komponentenhersteller) und 
  3. Service Provider (Systemintegratoren & Wartungsdienstleister).

Jede Rolle trägt klar definierte Verantwortlichkeiten für die Industrial Security der Gesamtanlage.

Kontakt

Starten Sie mit Klarheit – nicht mit Aufwand

Der häufigste Grund, warum IEC 62443-Projekte nicht starten: Unternehmen wissen nicht, wo sie stehen. Genau dafür ist unsere Gap-Analyse der richtige erste Schritt.

Sie erhalten ein klares Bild Ihrer OT-Umgebung, eine Einschätzung Ihrer aktuellen Security Anforderungen und einen priorisierten Maßnahmenplan. Keine banale Umsetzung einer Norm. Kein pauschales Konzept. Sondern eine Grundlage, auf der Sie handeln können.

Unsere Spezialistinnen und Spezialisten für Industrial Security stehen für Sie parat.

axians-secure.de | Compliance & Regulations | IEC 62443