Branchenübergreifende Anwendung von ISA/IEC 62443

Die Norm ISA/IEC 62443 ist in mehrere Teile gegliedert, die sich jeweils auf verschiedene Bereiche der Sicherheit industrieller Automatisierungs- und Steuerungssysteme (IACS) konzentrieren – von allgemeinen Anforderungen (ISA/IEC 62443-1) über Systemanforderungen (ISA/IEC 62443-3) bis hin zu Komponentenanforderungen (ISA/IEC 62443-4).

Die Zertifizierung nach ISA/IEC 62443-4-2 zeigt an, dass ein Produkt strengen Tests unterzogen wurde und nachweislich Cybersicherheitsbedrohungen effektiv bewältigen kann. Für Industriecomputer, die das Herzstück vieler kritischer Infrastruktursysteme bilden, ist diese Zertifizierung unerlässlich, um sicherzustellen, dass diese Geräte in der Lage sind, potenzielle Cybervorfälle zu erkennen, abzuwehren und darauf zu reagieren. Durch den Einsatz zertifizierter Komponenten können Unternehmen nicht nur die sicherheitsbezogenen Kosten senken, sondern auch die zeitaufwändige und teure Entwicklung komplexer Sicherheitslösungen vermeiden.

ISA/IEC 62443-4-2 wird in verschiedenen Sektoren des industriellen Ökosystems, darunter Energie, Medizin, intelligente Fertigung und mehr, häufig zitiert. Diese Norm ist ein wesentlicher Bestandteil eines umfassenderen Regelwerks, das auf spezifische Marktbedürfnisse zugeschnitten ist, wie z. B. IEC 62351 für den Energiesektor, IEC 80001 für medizinische IT-Netzwerke und TS 50701 für Eisenbahnsysteme. In ähnlicher Weise dient ISO 27001 als internationaler Standard für Informationssicherheits-Managementsysteme (ISMS), der weltweit in verschiedenen Arten von Organisationen anwendbar ist. In den Vereinigten Staaten bietet das NIST Cybersecurity Framework (NIST CSF) einen politischen Rahmen für die Computersicherheit, der Organisationen des Privatsektors dabei unterstützt, ihre Fähigkeit zur Verhinderung, Erkennung und Reaktion auf Cyberangriffe zu bewerten und zu verbessern. Insgesamt legen diese Standards den Schwerpunkt auf Risikomanagement und Sicherheitskontrollen, wobei jeder dieser Standards diese Anliegen aus leicht unterschiedlichen Blickwinkeln betrachtet, um den jeweiligen regionalen und branchenspezifischen Anwendungen gerecht zu werden.

Einhaltung von Vorschriften und die Rolle der IEC 62443-4-2

• Maschinenrichtlinie: Obwohl der Schwerpunkt in erster Linie auf den physischen Aspekten der Maschinensicherheit liegt, kann die Integration zertifizierter Industriecomputer zur allgemeinen Einhaltung der Maschinenrichtlinie beitragen, insbesondere in Systemen, in denen Software-Steuerungen von entscheidender Bedeutung sind.
• NIS-2-Richtlinie: Die zertifizierten Komponenten nach ISA/IEC 62443-4-2 erfüllen die NIS-2-Anforderungen und gewährleisten verbesserte Sicherheitsmaßnahmen, die für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste in der EU von entscheidender Bedeutung sind. Die Einhaltung dieser Standards stellt sicher, dass Industriecomputer gegen Störungen der von ihnen unterstützten wesentlichen Dienste abgesichert sind.
• Cyber Resilience Act (CRA): Diese EU-Verordnung betont die Widerstandsfähigkeit digitaler Produkte, einschließlich Industriecomputer. Durch die Zertifizierung nach ISA/IEC 62443-4-2 sind Produkte in einer günstigen Position, um diese neuen Anforderungen zu erfüllen.
• US IoT Cybersecurity Improvement Act: Für Hersteller, die an US-Bundesbehörden verkaufen, kann die Einhaltung strenger Cybersicherheitsstandards wie ISA/IEC 62443-4-2 die Einhaltung dieses Gesetzes erleichtern, das vorschreibt, dass von der Bundesregierung gekaufte IoT-Geräte bestimmte Sicherheitsstandards erfüllen müssen.

Verbesserung der Sicherheit der Lieferkette: Der erste Schritt

Eine umfassende Risikobewertung der Lieferkette ist der erste Schritt für Industrieunternehmen. Dazu gehört die sorgfältige Auswahl von Lieferanten, die nicht nur Produkte liefern, die den Sicherheitsvorschriften entsprechen, sondern auch den spezifischen Sicherheitsanforderungen der von ihnen belieferten Industriesysteme gerecht werden. Indem sie sich auf Lieferanten konzentrieren, die Komponenten mit eingebetteten Sicherheitsfunktionen anbieten, können Unternehmen die Sicherheitsarchitektur ihrer Automatisierungs- und Steuerungssysteme bereits auf der Geräteebene erheblich verbessern.