English English
Nederlands Nederlands
Naar de homepage
18 april 2025

Cyberdreigingen richten zich steeds vaker op industriële omgevingen. Dit maakt de beveiliging van operationele technologie (OT) belangrijker dan ooit. Wanneer jouw organisatie actief is in een sector zoals productie, energie, waterbeheer of transport word je geconfronteerd met beveiligingsuitdagingen. Om deze uitdagingen aan te pakken is de IEC 62443 norm ontwikkeld.

De IEC 62443 is een wereldwijd erkende en ondersteunde cybersecurity norm ontwikkeld voor de operationele technologie (OT). In dit blog vertellen we wat de IEC 62443 certificering is en hoe jouw organisatie hier aan kan voldoen.

In dit blog:

De IEC 62443

De internationale norm IEC 62443 is ontwikkeld door de International Electrotechnical Commission (IEC) voor cybersecurity binnen de OT. De norm richt zich specifiek op de digitale weerbaarheid van de “Industrial Automation and Control Systems” (IACS) omgeving. Het biedt richtlijnen voor het identificeren, evalueren en beheren van beveiligingsrisico's in de industriële omgeving. Met als doel om de kans op cyberaanvallen te minimaliseren en de operationele veiligheid en betrouwbaarheid van kritieke infrastructuren te waarborgen. 

De IEC 62443 bestaat uit een reeks normdelen die verschillende onderdelen van de OT-keten adresseren, afhankelijk van de rol van een organisatie:

  • Asset owners: dit zijn bedrijven die industriële systemen bezitten en beheren.
  • System integrators: de partijen die systemen ontwerpen en impelementeren.
  • Productleveranciers: leveranciers van industriële hardware en software.
  • Systeemleveranciers: hieronder vallen de partijen die ondersteunende diensten leveren.

Door de brede aanpak kan de IEC 62443 een framework bieden voor het identificeren van risico’s, het implementeren van maatregelen en het continu verbeteren van de cybersecurity in industriële netwerken. Voor bedrijven in de OT is het behalen van het IEC 62443 certificaat een krachtig signaal dat de informatiebeveiliging van systemen goed in orde is.

Belangrijke normdelen van de IEC 62443

Sinds 2010 kunnen organisaties zich certificeren voor verschillende normdelen van de IEC 62443:

Normdelen van de IEC 62443Klik op de afbeelding om deze te vergroten.

Meer over de verschillende normdelen en de IEC 62443 als geheel lees je op de website van de NEN.

ISO 27001 en IEC 62443

Veel organisaties zullen bekend zijn met de ISO 27001 norm. Dit is immers de standaard voor informatiebeveiliging. De ISO 27001 richt zich voornamelijk op IT-systemen en data management. De IEC 62443 vult de ISO 27001 aan door de specifieke focus op OT.

Hoewel beide normen een overlap kennen in aanpak, zoals de risicobeoordeling, beleid en beveiligingsmaatregelen, biedt de IEC 62443 aanvullende technische richtlijnen voor industriële controlesystemen. Samen vormen de normen een fundament voor een geïntegreerd informatiebeveiligingsbeleid voor organisaties waar zowel IT als OT een belangrijke rol spelen.

Waarom IEC 62443?

Cyberaanvallen op operationele technologie komen steeds vaker voor en kunnen grote gevolgen hebben: van productiestilstand tot controle over stroomnetwerken en het misbruiken van remote access om drinkwater te manipuleren. Een voorbeeld is de Maersk hack waarbij hackers door middel van malware de computers vergrendeld hadden. Het gevolg? Het stilvallen van het vrachtverkeer bij APM Terminals waardoor vrachtschepen niet gelost konden worden, dagenlang stilstonden of moesten uitwijken naar andere havens.

De IEC 62443 norm helpt organisaties bij het beperken van deze risico’s door het bieden van een gestructureerde aanpak voor cybersecurity in een industriële omgeving. De norm helpt bij het inventariseren en beheersen van de risico’s in operationele systemen.

Hoewel het certificaat niet verplicht is, is het de investering meer dan waard. Het certificaat toont namelijk aan dat je als organisatie voldoet aan de wet- en regelgeving en dat je cybersecurity serieus neemt om weerbaar te zijn tegen digitale dreigingen. Daarnaast kan de IEC 62443 worden ingezet om te voldoen aan de eisen die voortvloeien uit de NIS2 en de Cyberbeveiligingswet. 

De IEC 62443 norm bestaat onder andere uit:

  • Risicogebaseerde aanpak: Organisaties worden door de IEC 62443 aangespoord om een risicogebaseerde aanpak te volgen om cybersecurity risico's voor industriële controlesystemen te beheren en beoordelen.
  • Veiligheidsniveaus: De IEC 62443 norm bevat specifieke eisen en richtlijnen voor het vaststellen van veiligheidsniveaus en het implementeren van passende maatregelen per niveau.
  • Lifecyclebenadering: Er wordt aandacht besteed aan alle fasen van de lifecycle van industriële controlesystemen. Dit omvat de integratie van cybersecurity vereisten in elke fase van het proces van systeemontwikkeling en het regelmatig bijwerken en evalueren van de beveiligingsmaatregelen gedurende de gehele levensloop van een systeem.
  • Technische controles: De IEC 62443 biedt een reeks technische controles en beveiligingsmaatregelen om de cybersecurity te verbeteren. Denk hierbij aan patch management, netwerksegmentatie, toegangscontroles, encryptie, logging en monitoring, beveiliging van draadloze communicatie en authenticatie en autorisatie.

De IEC 62443 toepassen

Om de IEC 62443 certificering te behalen moeten organisaties voldoen aan de vereisten uit de normenreeks en daarnaast een audit ondergaan van een geaccrediteerde certificeringsinstantie. 

Het voldoen aan de vereisten klinkt makkelijker gezegd dan gedaan. Daarom hebben wij een stappenplan opgesteld om je hier wat handvatten voor te geven.

  1. Denk niet als een IT'er: Als eerste is het belangrijk om niet te denken als een IT'er. IT-logica werkt namelijk niet binnen OT. Binnen OT is namelijk een 'proces mindset' nodig en niet een 'firewall mindset'. 
  2. Het toepassingsgebied bepalen: Het is van belang om te bepalen welke IACS-systemen en netwerken binnen de scope van de implementatie vallen. Denk hierbij aan systemen zoals industriële controllers, SCADA-systemen en de netwerken die alle systemen met elkaar verbinden.
  3. Bepaal potentiële dreigingsscenario's: Bepaal de potentiële scenario's die via de systemen en netwerken lopen. Belangrijk is om ook de impact van deze risico's te identificeren.
  4. Analyseer de risico's: Vervolgens definieer je de zones en verbindingen en kun je een gedetailleerde risicoanalyse uitvoeren. Dit doe je door de eerder bepaalde scenario's te doorlopen. Vervolgens kun je het risico bepalen op basis van de huidige situatie en per zone het Security Level (SL) bepalen.
  5. Implementeer de IEC 62443 maatregelen: De volgende stap is het implementeren van de technische en organisatorische beveiligingsmaatregelen zoals beschreven in de verschillende delen van de IEC 62443. De maatregelen zijn, afhankelijk van het gekozen security level, in meerdere of mindere mate noodzakelijk.
  6. Bewustwording en training: Belangrijk is om medewerkers te trainen en bewust te maken van beveiligingsrisico's en hoe deze vermeden kunnen worden.
  7. Regelmatige audits: Door regelmatige audits uit te voeren kan gecontroleerd worden of de IEC 62443 maatregelen effectief zijn. Daarnaast zijn eventuele verbeterpunten te identificeren.
  8. Maak gebruik van een ISMS: Een ISMS is een Security Management System dat ondersteunt bij het identificeren, analyseren en beoordelen van beveiligingsrisico's en biedt overzichtelijk een manier om beveiligingsmaatregelen te plannen en implementeren.

Voldoen aan de IEC 62443 met Base27

Base27 is een ISMS die processen rondom informatiebeveiliging bewaakt en registreert en dat houvast geeft aan de vele complexe aspecten. Met behulp van Base27 ben je in staat om de informatiebeveiliging conform de laatste wet- en regelgeving op te zetten. Hierbij zijn de meest recente wijzigingen al in Base27 opgenomen. 

Benieuwd hoe Base27 jouw organisatie kan ondersteunen?

Bekijk de tool

Wij helpen bedrijven met hun digitale veiligheid