IEC 62443 certificering: Cybersecurity voor Industrial Automation & Control Systems (IACS)

Digitalisering en technologische ontwikkelingen bieden grote kansen voor de maakindustrie. Maar als ze niet goed worden beveiligd, kunnen ze leiden tot bedreigingen en risico's die cyberaanvallen of verstoring van processen kunnen veroorzaken. Dit kan zorgen voor verstoring van de dagelijkse activiteiten en bedrijfscontinuïteit, met alle gevolgen van dien. Door uw Industrial Automation & Control Systems (IACS) te laten certificeren tegen de standaard IEC 62443 pakt u de belangrijke cyberbeveiligingsaspecten van industriële systemen op substantiële wijze aan.

Ontvang een offerte op maat

+31 (0)88 998 33 70 Neem contact met ons op Offerte aanvragen

De experts van Kiwa combineren IEC 62443-kennis met uitgebreide cyberbeveiligingservaring om de digitale beveiliging en veiligheid van uw IACS-omgeving te verbeteren, zodat u nu en in de toekomst kunt blijven werken. Het implementeren van de standaard verbetert het cyberbeveiligingsniveau van de OT/ICS/SCADA-omgeving van uw organisatie.

Wat is de IEC 62443-norm?

De IEC 62443-standaard is bedoeld om Industrial Automation & Control Systems (IACS) te beveiligen. Het biedt een systematische en praktische aanpak die elk aspect van cyberbeveiliging voor industriële systemen omvat. De standaardenreeks valt uiteen in vier delen, gericht op vier verschillende IACS-delen: General, Policies & Procedures, System en Components. Welke normen voor elk niveau gelden, wordt duidelijk in onderstaande afbeelding.

Op algemeen niveau behandelt de IEC 62443 drie hoofdonderwerpen voor het regelen van cyberbeveiliging in het domein van Operationele Technologie (OT): menselijke interacties, technologieën en beleid en procedures rondom de werking van het industriële proces die de veiligheid ervan kunnen beïnvloeden of beïnvloeden. Ook de CIA-driehoek (Confidentiality, Integrity & Availibility) van cybersecurity is over de verschillende onderdelen van deze standaard te herleiden.

De IEC 62443 richt zich op Operationele Technologie (OT) en is qua insteek vergelijkbaar met de ISO 27001 voor Informatie Technologie (IT). Er zijn echter ook belangrijke verschillen. Binnen de IT is vertrouwelijkheid van gegevens essentieel, terwijl binnen OT aspecten als integriteit en beschikbaarheid voorop staan omdat deze een grote rol spelen bij onder meer gezondheid, veiligheid en milieu. Dit maakt het noodzakelijk om integrale cybersecurity vanuit beide domeinen te bekijken.

IEC 62443 certificering door Kiwa

Een IACS omvat meer dan de technologie van het besturingssysteem. Het omvat ook de mensen en werkprocessen die nodig zijn om de output, veiligheid, integriteit, betrouwbaarheid en beveiliging van het systeem te waarborgen. Zonder voldoende opgeleide mensen, passende beveiligingstechnologieën en tegenmaatregelen en werkprocessen gedurende de gehele beveiligingslevenscyclus, kan een OT-omgeving kwetsbaar zijn voor verschillende soorten cyberaanvallen. Daarom wordt het voor organisaties steeds belangrijker om de cybersecurity van hun OT-omgeving te regelen. Hoewel er verschillende maatregelen kunnen worden genomen, biedt het behalen van certificering tegen de kwaliteitsnormenreeks IEC 62443 een goede basis voor cybersecurity in OT-omgevingen. Kiwa helpt door uw component, systeem of organisatie te certificeren afhankelijk van uw rol binnen een OT-omgeving.

Drie IEC 62443 rollen en verantwoordelijkheden

De IEC 62443 definieert drie verschillende verantwoordelijkheden die in aanmerking komen voor certificering. Uw bedrijf of organisatie kan in een van deze drie categorieën passen:

Eigenaren van bedrijfsmiddelen: Exploiteren en onderhouden locatiespecifieke OT-systemen. Voor de certificering van asset owners en installaties zijn van toepassing: IEC 62443-2-1, IEC 62443-3-2 en IEC 62443-3-3.
Systeemintegrators: Ontwerpen en integreren verschillende industriële oplossingen, onderdelen en componenten in site-specifieke systemen. De IEC 62443-2-4, 62443-3-2 en IEC 62443-3-3 zijn subonderdelen die van toepassing zijn voor de certificering van systeemintegrators en installaties.
Productleveranciers: Ontwerpen en produceren industriële componenten die worden geleverd aan Systeemintegrators of eigenaren van bedrijfsmiddelen. De subonderdelen die van toepassing zijn voor de certificering van leveranciers van automatisering zijn: IEC 62443-4-1 voor het ontwikkelproces en IEC 62443-4-2 voor de componenten.

Kiwa Cyber_IEC 62443 raamwerk_V1_Online.png

IEC 62443-certificeringstraject

Bij IEC 62443-certificering door Kiwa worden de volgende stappen in acht genomen:

Afhankelijk van het te certificeren onderwerp vraagt Kiwa de benodigde documentatie op basis van één van de drie eerder genoemde rollen.
Op basis van deze documenten start Kiwa de eerste beoordeling om te meten of uw organisatie voldoet aan (een) subonderdeel(en) van de IEC 62443.
Na de eerste assessments voert Kiwa samen met uw medewerkers die verantwoordelijk zijn voor de cybersecurityaspecten van uw organisatie een audit op locatie uit.
Indien er afwijkingen of twijfels zijn, wordt de klant verzocht deze toe te lichten of op te lossen.
Als er geen twijfels meer zijn en naleving kan worden aangetoond, gaat Kiwa over tot het afgeven van een conformiteitscertificaat voor subpart(s) die van toepassing zijn.

Neem de extra stap in het beschermen van uw bedrijf of organisatie

Met digitalisering, internettechnologie en alles eromheen is cybersecurity iets geworden waar organisaties niet licht over mogen denken. Voor het OT/industriële domein biedt de IEC 62443 handvatten om de cyberweerbaarheid van uw componenten en systemen te optimaliseren.

Uiteindelijk kan elke organisatie die betrokken is bij industriële automatisering, ongeacht de schaal, profiteren van de IEC 62443-audit. Met een IEC 62443-certificaat kunt u bewijzen dat uw industriële systeem of onderdeel veilig is tegen cyberdreigingen. IEC 62443-certificering door een vertrouwde onafhankelijke derde partij toont aan uw belanghebbenden aan dat de cyberbestendigheid van uw OT-systeem wordt aangepakt volgens een toonaangevende standaard. Zo zet u een extra stap in het beschermen van uw klanten, systemen, organisatie en bedrijf.

Waarom Kiwa?

Kiwa is al lange tijd op verschillende manieren betrokken bij industriële systemen en installaties. Bijvoorbeeld het testen en certificeren van HVAC-onderdelen en -systemen, het uitvoeren van FPC-audits in fabrieken en het beoordelen van betrokken personeel. Het adresseren van systemen volgens het IEC 62443-certificaat vereist diepgaande kennis en ervaring in zowel het digitale domein als industriële geautomatiseerde systemen. Bovendien is een aanpak die het volledige digitale landschap van IACS- of SCADA-systemen aanpakt essentieel om cyberbeveiliging te garanderen.

Door samen te werken met Kiwa bent u verzekerd van een derde partij die over de juiste vaardigheid beschikt om u te helpen bij uw IEC 62443-certificering. Onze experts zijn goed opgeleid en ervaren in industriële automatiseringssystemen en cyberbeveiliging. Wij zijn uw Partners for Progress!

Gerelateerde diensten

Europese NIS2 richtlijn cybersecurity

Cybersecurity blijft een hot topic. Niet alleen vanwege het toenemende aantal hacks en ransomwareaanvallen, maar ook vanuit het perspectief van toezichthouders én de evoluerende wet- en regelgeving op dit gebied. Met uitgebreide ervaring op het snijvlak van certificering en cybersecurity kan Kiwa uw organisatie helpen te voldoen aan de richtlijn NIS2.

IEC 62443-3-3 Cybersecurity Operational Technology

De standaard IEC 62443 bevat inhoudelijke en technische eisen voor het cyberveilig maken van systemen voor Operational Technology (OT). De IEC 62443-3-3 bevat gedetailleerde control system requirements, onderverdeeld in zeven foundational requirements. Deze requirements kunnen worden gebruikt door verschillende stakeholders die actief zijn op het gebied van industriële automatiserings- en besturingssystemen (IACS).

IEC 62443-4-1 Cybersecurity Operational Technology

De standaard IEC 62443 bevat inhoudelijke en technische eisen voor het cyberveilig maken van systemen voor Operational Technology (OT). Het onderdeel IEC 62443-4-1 specificeert procesvereisten voor de veilige ontwikkeling van producten die worden gebruikt in besturingssystemen voor industriële automatisering.

IEC 62443-4-2 Technische Eisen Cybersecurity voor IACS

Dit deel van de IEC 62443 bevat gedetailleerde technische requirements voor het beveiligen van IACS-producten of -componenten. De requirements zijn onderverdeeld in zeven foundational requirements.

IEC 62443-2-4 Cybersecurity voor IACS

De IEC 62443-2-4 is het deel van de IEC 62443-normenserie dat beveiligingseisen bevat voor aanbieders van integratie- en onderhoudsdiensten voor industriële automatiserings- en controlesystemen (IACS). Het specificeert requirements voor security capabilities for IACS serviceproviders. Door te voldoen aan deze requirements kunnen serviceproviders aantonen dat zij hun diensten leveren volgens bepaalde maatstaven.

ETSI EN 303 645: beveiliging IoT consumentenelectronica

We leven in een wereld die steeds meer ‘connected’ is. We hebben ‘slimme’ koelkasten, verlichting, tv’s en rookmelders, onze kinderen hebben speelgoed dat verbonden is met internet en we peilen onze fitheid met online gezondheidstrackers. Al deze Internet of Things (IoT)-producten kunnen privacyrisico’s met zich meebrengen en aandacht voor goede beveiliging is dan ook een must.

Certificering Remote Access for Remote Services (RARS)

In onze steeds digitaler wordende wereld zijn meer en meer dagelijkse toepassingen, van deurbellen tot koelkasten, verbonden met internet. Hierdoor worden cyberveiligheid en cybersecurity steeds meer een issue. Hoe kunt u uw klanten ervan verzekeren dat uw producten beveiligd zijn tegen cybercrime? Door ze te certificeren volgens Kiwa’s certificatieschema Remote Access for Remote Services (RARS).

ISO 27001 certificering van managementsystemen voor informatiebeveiliging

ISO 27001-certificering via Kiwa: beveilig uw informatie en bouw vertrouwen op in uw merk.

Penetratietesten en Ethisch Hacken

Een penetratietest, ook wel pentest of ethisch hacken genoemd, is een geautoriseerde gesimuleerde cyberaanval op een IT/OT-systeem die wordt uitgevoerd om de cyberbeveiliging van een digitaal systeem te evalueren. Bij Kiwa voeren we pentesten op maat uit, waarvan de resultaten waardevolle beveiligingsinzichten opleveren. Zeker in deze tijden waarin cybersecurityincidenten regelmatig voorkomen, is het pentesten van systemen een absolute must.

Bug Bounty Security Testing

Wilt u inzicht krijgen in de cyberveiligheid van uw met internet verbonden assets en applicaties? Kiwa en bug bounty-beveiligingsplatform Intigriti presenteren hun gezamenlijke private bug bounty-testingsdienst. Deze service maakt het voor u mogelijk om (privé) bug-bounty-programma's in te richten volgens uw specifieke voorkeuren.

Web Application Cybersecurity Assessment

In een tijdperk waarin cyberdreigingen steeds geavanceerder worden, is het cruciaal om uw digitale assets te beschermen. Kiwa’s Web Application Cybersecurity Assessment is ontwikkeld om kwetsbaarheden te identificeren en uw webapplicaties te beschermen tegen mogelijke aanvallen.