Lær alt om IEC 62443-certificeringer: fordele, argumenter for certificering, omkostninger, procedurer, krav og ordninger. Denne artikel forklarer de tilgængelige programmer og den typiske certificeringsproces.
Grunde til en IEC 62443-certificering
En certificering uden et regulatorisk krav er primært et marketing- og salgsredskab, som virksomheder kan bruge til at differentiere sig fra konkurrenter og til salgsfremmende formål.
I visse industrier (f.eks. jernbaneindustrien) begynder mange operatører af automatiseringssystemer at kræve certificerede leverandører, komponenter og systemer. I disse tilfælde muliggør en certificering markedsadgang.
Desuden hjælper implementering af og overholdelse af kravene fra internationalt anerkendte standarder, og verifikation af denne overholdelse gennem certificering, med at minimere mange cybersikkerhedsrisici.
De individuelle grunde til certificering varierer bredt og afhænger ofte af en virksomheds specifikke omstændigheder. Det følgende er et udvalg af yderligere punkter til fordel for certificering.
Forbedre cybersikkerhed - Opfylde sikkerhedskrav: IEC 62443 definerer specifikke sikkerhedskrav til forskellige områder, fra organisatoriske processer til tekniske komponenter. Certificering bekræfter, at disse krav er opfyldt. - Minimere cybersikkerhedsrisici: Ved at implementere de sikkerhedsforanstaltninger, der er specificeret i standarden, kan virksomheder identificere og afhjælpe potentielle sårbarheder, før de kan udnyttes. - Kontinuerlig forbedring: Certificering fremmer en kultur af kontinuerlig forbedring i sikkerhedsprocesser og -teknologier.
Forbedre omdømme, tillid og troværdighed - Tiltrække og fastholde kunder: En IEC 62443-certificering signalerer til kunder, at en virksomhed overholder høje sikkerhedsstandarder, hvilket kan styrke kundefastholdelse og -akquisition. - Branddommæme: En IEC 62443-certificering forbedrer branddommæmet og demonstrerer, at virksomheden kan operere sikkert og pålideligt. - Global anerkendelse: Virksomheder certificeret til IEC 62443 nyder verdensomspændende anerkendelse for deres sikkerhedsstandarder, hvilket letter markedsadgang i forskellige regioner. - Markedsfordel: Certificerede virksomheder kan differentiere sig fra konkurrenter og styrke deres markedsposition.
Undgå juridiske og finansielle konsekvenser - Regulatorisk overholdelse: En IEC 62443-certificering hjælper virksomheder med at opfylde kravene i Cyber Resilience Act og andre regulatoriske rammer. Dette kan beskytte virksomheder mod juridiske konsekvenser og store bøder. - Juridisk beskyttelse: Ved at opfylde IEC 62443-krav implementeres mange aspekter af Cyber Resilience Act og andre regulatoriske krav, hvilket hjælper virksomheder med at undgå juridiske konsekvenser og potentielle bøder. - Finansiel beskyttelse: Undgå omkostninger som følge af sikkerhedshændelser, inklusive datatab, produktionsstop og omdømmeskade.
De forskellige IEC 62443-certificeringsprogrammer
Der er en række certificeringsprogrammer (certificeringsordninger) for IEC 62443. IEC 62443-serien selv definerer ikke specifikke certificeringsprogrammer, men giver en ramme, som testorganisationer kan bruge til at udvikle deres egne programmer. Disse programmer er tilpasset de forskellige dele af IEC 62443.
Proprietære certificeringsprogrammer fra certificeringsorganer
Forskelle testorganisationer såsom TÜV'erne i Tyskland har udviklet deres egne IEC 62443-certificeringsprogrammer og fået dem akkrediteret. Disse programmer tilbyder hver deres egne certificeringer for de individuelle dele af IEC 62443-standarderne og demonstrerer, at virksomheder og produkter opfylder standardkravene.
Nogle af de bedst kendte test- og certificeringsorganisationer omfatter følgende:
- TÜV Nord (https://www.tuev-nord.de/de/unternehmen/zertifizierung/produktzertifizierung/funktionale-sicherheit/sicherheit-fuer-die-industrie-40/zertifizierung-nach-iec-62443/)
- TÜV Rheinland (https://www.tuv.com/germany/de/iec-62443-zertifizierung.html)
- TÜV SÜD (https://www.tuvsud.com/de-de/dienstleistungen/produktpruefung-und-produktzertifizierung/zertifizierung-nach-iec62443)
- Bureau Veritas (https://www.bureauveritas.de/unsere-services/iec-62443-zertifizierung-bureau-veritas)
- UL (https://www.ul.com/services/isaiec-62443-services)
Disse organisationer er typisk akkrediterede og derfor underlagt strenge kvalitetskontroller, der sikrer integriteten og pålideligheden af certificeringerne.
ISASecure-certificering
ISASecure (https://isasecure.org/) er et certificeringsprogram udviklet af ISA Security Compliance Institute (ISCI) og er baseret på IEC 62443. ISASecures hovedmål er at reducere sikkerhedsrisici og øge tilliden til industrielle automatiseringssystemer gennem strenge test- og certificeringsprocedurer.
ISASecure-certificeringer er anerkendt verdensomspændende og giver et ekstra niveau af sikkerhed og tillid for virksomheder og deres kunder. Certificeringerne er designet til at demonstrere overholdelse af de relevante dele af IEC 62443-standarderne:
- Component Security Assurance (CSA)
Denne certificering er baseret på IEC 62443-4-2 og vurderer sikkerheden af komponenter, der bruges i industrielle automatiserings- og kontrolsystemer. - System Security Assurance (SSA)
Denne certificering er baseret på IEC 62443-3-3 og fokuserer på sikkerheden af komplette automatiseringssystemer. Den sikrer, at hele systemet, inklusive alle komponenter og kommunikationsveje, opfylder IEC 62443-krav. - Security Development Lifecycle Assurance (SDLA)
Denne certificering er baseret på IEC 62443-4-1 og auditerer de sikkerhedsrelaterede processer og praksisser, som producenter anvender, når de udvikler automatiseringsprodukter. Målet er at sikre, at sikkerhedsovervejelser tages i betragtning gennem hele udviklingscyklusen.
Ved at teste IEC 62443-kravene sikrer ISASecure, at produkter og systemer er robuste mod cyberangreb, og at sikkerhedsrisici minimeres.
IECEE CB Scheme
IECEE CB Scheme (https://www.iecee.org/who-we-are/cb-scheme) er et internationalt system for gensidig anerkendelse af testrapporter og certifikater for elektriske enheder og komponenter. Dets formål er at lette international handel ved at forenkle national certificering og godkendelse.
Et Industrial Cyber Security Program er blevet udviklet for CB Scheme (https://www.iecee.org/dyn/www/f?p=107:558:::::P558_DOCUMENT_FILE_ID:3146912). Dette program giver en ramme til at blive vurderet mod IEC 62443 og opnå et IECEE-overensstemmelsescertifikat for industrielle cybersikkerhedskapaciteter.
IEC 62443 leverer kravene og processerne samt de tekniske kapaciteter. Baseret på Industrial Cyber Security Program vurderes ansøgerens kapaciteter derefter.
Inden for Industrial Cyber Security Program evalueres ansøgerens sikkerhedskapaciteter - kapaciteter de bruger til udvikling, integration og/eller vedligeholdelse af visse produkter eller løsninger.
Ved at integrere IEC 62443 i det etablerede CB Scheme muliggøres en globalt anerkendt vurdering og certificering af industrielle cybersikkerhedskapaciteter.
Sammenligning af IEC 62443-certificeringsprogrammer
| Certificeringsemne | IECEE CB-Scheme | ISASecure | TÜV SÜD Mark |
|---|---|---|---|
| Ledelsessystem til drift <br>(IEC 62443-2-1 / ISO 27001) | Nej | Nej 2) | Ja |
| Integrationsprocesser <br>(IEC 62443-2-4) | Ja | Nej 2) | Ja |
| Referencearkitekturer / blueprints <br>(IEC 62443-2-4 & -3-3) | Ja 1) | Nej 2) | Ja |
| Udviklingsprocesser <br>(IEC 62443-4-1) | Ja | Ja <br>(ISASecure SDLA) | Ja |
| (Kontrol)systemer <br>(IEC 62443-4-1 & -3-3) | Ja 1) | Ja <br>(ISASecure SSA) | Ja |
| Produkter / komponenter <br>(IEC 62443-4-1 & -4-2) | Ja | Ja <br>(ISASecure CSA) | Ja |
- Begge standarder kan certificeres individuelt, men kombinering med processer er ikke obligatorisk)
- ISASecure tilbyder i øjeblikket ikke certificeringer af drift eller af integrations- og vedligeholdelsesprocesser. Under navnet ISASecure IACSSA (https://isasecure.org/isasecure-isa/iec-62443-site-assessment-acssa-program-industry-perspectives-updates) designes i øjeblikket et certificeringsprogram for operatører og de automatiserings- og kontrolsystemer, der bruges der, som vil konsolidere krav fra forskellige IEC 62443-dele.
Mulige IEC 62443-certificeringer
De almindeligt tilbudte certificeringer kan grupperes efter de underliggende dele af standarden. Afhængigt af certificeringsprogrammet er der indbyrdes afhængigheder (f.eks. kræver de fleste programmer overensstemmelse med IEC 62443-4-1 for en IEC 62443-4-2-certificering).
Hver certificering inden for IEC 62443-serien har specifikke krav og mål:
Ledelsessystemer til OT (IEC 62443-2-1) - Fokus på implementering af et omfattende informationssikkerhedsledelsessystem (ISMS) for industrielle automatiserings- og kontrolsystemer (IACS). - Vurdering af en organisations evne til at etablere og vedligeholde et effektivt ISMS. - Gennemgang af risikostyringsprocesser og sikkerhedspolitikker. - Denne certificering er særligt relevant for operatører af IACS og organisationer, der administrerer kritiske infrastrukturer.
Integrations- og vedligeholdelsesprocesser (IEC 62443-2-4) - Fokus på organisatoriske sikkerhedsprocesser. - Undersøgelse af implementering og vedligeholdelse af sikkerhedsledelsessystemer. - Denne certificering er rettet mod organisationer, der designer, udvikler, implementerer og vedligeholder industrielle automatiserings- og kontrolsystemer (IACS). - Den vurderer organisationens sikkerhedsprocesser og -praksisser, inklusive patch management, konfigurationsstyring og hændelsesrespons. - Særligt relevant for systemintegratorer og serviceudbydjere inden for industriel automatisering.
Systemer og referencearkitekturer (IEC 62443-3-3) - Vurdering af systemer mod sikkerhedskrav. - Betragtning af hele systemet, inklusive integration af sikkerhedsforanstaltninger. - Denne certificering retter sig mod komplette systemer og kontrollerer, om de opfylder sikkerhedskravene. - Den er særligt relevant for operatører, når de vælger sikre automatiseringsløsninger. - Betragtning af aspekter såsom zonering, konditionering og systemhærdning.
Udviklingsprocesser (IEC 62443-4-1) - Dækker udviklingsprocessen for sikkerhedsrelevante komponenter. - Evaluerer sikkerhedspraksisser gennem hele produktlivscyklusen, inklusive design, udvikling, test og vedligeholdelse. - Fokus på integration af sikkerhedsaspekter i softwareudviklingsprocessen (sikker udviklingslivscyklus). - Gennemgang af praksisser såsom trusselmodellering, sikkert design, sikker kodning og sårbarhedshåndtering. - Særligt relevant for producenter af IACS-komponenter og software.
Komponenter (IEC 62443-4-2) - Evaluerer sikkerhedsfunktionerne ved individuelle komponenter. - Denne certificering er rettet mod individuelle komponenter såsom controllere, netværksenheder og software. - Den vurderer, om komponenter opfylder specifikke sikkerhedskrav, inklusive funktioner som autentificering, kryptering og logging. - Differentiering mellem typer af komponenter: softwareapplikationer, embedded enheder, værtsenheder og netværksenheder. - Særligt relevant for producenter af IACS-komponenter og slutbrugere, der vælger sikre produkter.
Betydning af de individuelle IEC 62443-certificeringer
Der er ofte usikkerhed om, hvad hver certificering faktisk udtrykker. For bedre forståelse hjælper det at sammenligne de konkrete certificeringserklæringer for de individuelle certificeringer.
Certificeringserklæringer er deklarationer, der bekræfter overensstemmelse med de specifikke krav i IEC 62443-standarderne. Deres præcise betydninger kan typisk udledes af certificeringsprogrammerne, men de adskiller sig ofte i detaljer.
Et forenklet overblik over, hvad hver certificering betyder, kan findes i følgende tabel:
| Certificeringsemne | Standarder | Forenklet betydning |
|---|---|---|
| Udviklingsproces | IEC 62443-4-1 med Maturity Level 2 | "vi kan udvikle sikkert" <br>Virksomheden er i stand til at udvikle sikre komponenter og systemer. |
| Udviklingsproces | IEC 62443-4-1 med Maturity Level 3 eller 4 | "vi udvikler sikkert" <br>Virksomheden udvikler komponenter / systemer sikkert. |
| Komponent / produkt | IEC 62443-4-2 <br>(kræver IEC 62443-4-1 på Maturity Level 3 eller 4) | "vores produkt er sikkert / blev udviklet sikkert" <br>Komponenten blev udviklet sikkert og giver visse sikkerhedsfunktioner. |
| System | IEC 62443-3-3 med IEC 62443-4-1 på Maturity Level 3 eller 4 | "vores system er sikkert / blev udviklet sikkert" <br>Systemet blev designet sikkert og giver visse sikkerhedsfunktioner. |
| System | IEC 62443-3-3 (uden proces) | "vores system har sikkerhedsfunktioner" <br>Systemet giver visse sikkerhedsfunktioner. |
| Integrationsprocesser | IEC 62443-2-4 med Maturity Level 2 | "vi kan integrere sikkert" <br>Virksomheden kan integrere / vedligeholde automatiseringsløsninger sikkert. |
| Integrationsprocesser | IEC 62443-2-4 med Maturity Level 3 eller 4 | "vi integrerede sikkert" <br>Virksomheden integrerer / vedligeholder automatiseringsløsninger sikkert. |
| Referencearkitekturer | IEC 62443-2-4 med IEC 62443-3-3 | "vores løsning er sikker, og vi kan integrere den sikkert" <br>Systemet giver visse sikkerhedsfunktioner, og virksomheden kan sikkert integrere / bygge det. |
| Ledelsessystem | IEC 62443-2-1 | "vi administrerer vores sikkerhedsrisici" <br>Organisationen har passende ansvarsområder og processer til at administrere sikkerhedsrisici i OT. |
For procescertificeringer bør der tages hensyn til, at alle afdelinger og lokationer involveret i servicelevering (f.eks. udvikling, integration) er inden for certificeringens omfang.
Særligt certificeringer af sikkerhedsfunktioner (dvs. IEC 62443-3-3 og IEC 62443-4-2) uden forbindelse til processer (f.eks. IEC 62443-4-1 eller IEC 62443-2-4) er begrænsede i deres betydning og meningsfuldhed. Uden verifikation af processerne bekræfter disse certifikater kun, at visse sikkerhedsfunktioner eksisterer - ikke, som ofte fejlagtigt antaget, at produktet er sikkert, eller at funktionerne er fornuftigt implementeret.
IEC 62443-certificeringsprocessen
Forløbet af en IEC 62443-certificering er en flertrinnet proces, der typisk begynder med en forespørgsel eller en ordre fra den interesserede virksomhed. Dette efterfølges af en omfattende forberedelsessfase, som normalt omfatter en forvurdering eller foraudit for at bestemme virksomhedens nuværende status og om den er klar til de forskellige certificeringsniveauer (ML 2, ML 3).
Baseret på resultaterne af denne analyse kan certificeringer ifølge IEC 62443-4-1 for ML 2 eller ML 3 forfølges. Hvis virksomheden endnu ikke opfylder kravene, defineres og implementeres nødvendige politikker og processer. Dette gøres enten internt eller med støtte fra passende konsulenter. En væsentlig komponent er også undersøgelsen af produktoverensstemmelse for at sikre, at produktet opfylder kravene. Om nødvendigt skal yderligere sikkerhedsfunktioner implementeres, før certificering kan finde sted.
Den faktiske certificeringsproces består typisk af en dokumentgennemgang efterfulgt af et audit på stedet. Baseret på disse vurderinger udarbejdes en detaljeret rapport og indsendes til det ansvarlige certificeringsorgan, som derefter beslutter, om certifikatet skal udstedes. Ved vellykket certificering udstedes et officielt certifikat og en omfattende rapport.
Følgende billede illustrerer vejen til produktcertificering ifølge IEC 62443-4-1 og IEC 62443-4-2.
Oversigt over vejen til produktcertificering ifølge IEC 62443
For at opretholde gyldigheden af certificeringen finder regelmæssige overvågningsaudits sted som en del af recertificeringscyklusen. Denne strukturerede proces sikrer kontinuerlig overholdelse af sikkerhedsstandarder og fremmer løbende forbedring af cybersikkerhed i industrielle automatiserings- og kontrolsystemer.
Overvågningens rolle i IEC 62443-certificeringer
Efter at en certificering er givet, er det afgørende, at den certificerede organisation eller det certificerede system fortsat opfylder kravene. Regelmæssige overvågninger udføres til dette formål.
Hyppigheden af disse kontroller varierer afhængigt af certificeringsprogrammet, men sker normalt årligt. Typisk finder årlige overvågninger sted i certifikatets gyldighedsperiode. Efter denne periode udløber, fornys eller forlænges certifikatet, hvilket kræver en fuld recertificering.
Som en del af disse regelmæssige kontroller sikrer certificereren, at de implementerede sikkerhedsforanstaltninger fortsat er på plads og effektive. Dette garanterer kontinuerlig overholdelse af IEC 62443-standarder og opretholdelse af et højt sikkerhedsniveau.
Omkostninger ved en IEC 62443-certificering
Omkostningerne ved en IEC 62443-certificering varierer betydeligt og afhænger af en række faktorer. De vigtigste påvirkningsfaktorer omfatter de specifikke standarder, der skal certificeres, det valgte certificeringsprogram (såsom TÜV, ISASecure eller CB-Scheme), det målrettede modningsniveau for processerne og størrelsen og kompleksiteten af virksomheden eller produktet, der skal certificeres. Virksomhedsstruktur, især antallet af steder og medarbejdere, spiller også en rolle, ligesom kompleksiteten af udviklingsprocesserne - for eksempel om de er globalt distribueret eller lokale på et sted. Typen af produkt eller system, der skal certificeres, påvirker også betydeligt omkostningerne: en simpel sensor kræver mindre indsats end et komplekst distribueret kontrolsystem (DCS) eller SCADA-system. Valgfrie certificeringstjenester såsom workshops eller forvurderinger kan yderligere øge de samlede omkostninger.
Baseret på erfaring kan der laves grove omkostningsestimater:
- For procescertificeringer (dvs. IEC 62443-4-1 eller IEC 62443-2-4) på Maturity Level 2 kan omkostningerne ligge mellem €15.000 og €35.000. For højere modningsniveauer (3 eller 4) stiger omkostningerne tilsvarende, selvom indsatsen er lavere, hvis en ML 2-certificering allerede eksisterer.
- Produktcertificeringer til IEC 62443-4-2, baseret på en allerede certificeret IEC 62443-4-1-proces, ligger typisk mellem €25.000 og €50.000.
- For certificering af et system eller blueprint til IEC 62443-2-4 eller -3-3, forvent omkostninger mellem €30.000 og €50.000.
Det er vigtigt at forstå, at disse tal kun er grove estimater og kan variere betydeligt i individuelle tilfælde.
Udover de indledende certificeringsomkostninger er der yderligere omkostninger til årlige overvågninger og recertificeringer i efterfølgende år, mens certifikatet forbliver gyldigt. Omkostningerne afhænger stærkt af det anvendte certificeringsprogram, certifikatets omfang (f.eks. steder), certifikatets gyldighedsperiode og certificereren. I praksis spænder disse omkostninger fra nogle få tusinde euro om året for simple overvågninger op til næsten det fulde beløb for den indledende certificering.
Hvis du forfølger en IEC 62443-certificering og er usikker på forventede omkostninger, nødvendige budgetter eller valg af en passende certificerer, hjælper vi gerne med vores erfaringer.
Certificerede virksomheder, produkter og systemer
Gennemsigtighed omkring udstedte certificeringer varierer betydeligt mellem forskellige certificeringsprogrammer og testorganisationer. Både testorganisationer og certifikatindehavere betragter ofte oplysninger om udstedte certificeringer som konkurrencefølsomme og offentliggør derfor ofte resultater (dvs. certifikater) kun i begrænset omfang.
Alligevel giver de fleste testvirksomheder en måde at verificere individuelle certifikater, typisk via en online interface eller database.
Følgende ressourcer er tilgængelige til certifikatverifikation:
- TÜV SÜD: https://www.tuvsud.com/de-de/dienstleistungen/produktpruefung-und-produktzertifizierung/zertifikatsdatenbank
- TÜV Rheinland: https://www.certipedia.com/?locale=de
Når du bruger disse databaser, er det nødvendigt at søge efter den specifikke standard (f.eks. IEC 62443-4-1).
Certifikater under CB Scheme kan ses i IECEE-databasen: https://certificates.iecee.org/#/search
ISASecure giver et overblik over deres certifikater sorteret efter certifikattyper (SDLA, CSA og SSA): https://isasecure.org/end-users/iec-62443-4-1-certified-development-organizations
Disse ressourcer giver interesserede parter mulighed for at verificere gyldigheden og ægtheden af certificeringer og opnå oplysninger om certificerede virksomheder, produkter og systemer. Det anbefales for specifikke forespørgsler eller tvivl at kontakte certificeringsorganerne eller de certificerede virksomheder direkte for at opnå mere detaljerede oplysninger.
Ofte stillede spørgsmål (FAQ) om IEC 62443-certificeringer
Hvilken rolle spiller TÜV'erne i certificeringer?
De forskellige TÜV-organisationer (TÜV SÜD, TÜV Rheinland, TÜV Nord, SGS TÜV-Saar, TÜV Hessen, TÜV Thüringen, TÜV Austria) spiller en central rolle i certificeringsprocessen for IEC 62443. Selvom de konkurrerer med hinanden, deler de det anerkendte brand "TÜV" (Technischer Überwachungsverein). Som uafhængige test- og certificeringsorganisationer er de ansvarlige for at verificere og bekræfte overensstemmelsen af processen eller produktet, der skal certificeres, med IEC 62443-krav.
Hver TÜV-organisation udvikler sine egne certificeringsprogrammer, som er akkrediteret af akkrediteringsorganer såsom det tyske akkrediteringsorgan (DAkkS). Dette sikrer kompetence og uafhængighed hos testorganisationerne. Nogle TÜV'er har også opnået anerkendelser fra specialiserede organisationer såsom ISASecure eller IECEE. Disse anerkendelser sætter dem i stand til at udstede certifikater under specifikke programmer, hvilket øger international anerkendelse og sammenlignelighed af certificeringerne.
TÜV'erne giver ikke kun den faktiske certificering, men tilbyder ofte også ledsagende tjenester såsom træning, foraudits eller rådgivning til forberedelse af certificering. Deres rolle spænder således fra neutral vurdering til støttende vejledning af virksomheder gennem certificeringsprocessen, samtidig med at uafhængigheden og integriteten af auditten bevares.
Hvorfor har nogle certifikater sikkerhedsniveauer og andre ikke?
Spørgsmålet om sikkerhedsniveauer i IEC 62443-certifikater er komplekst og afspejler de forskellige anvendelsesområder og hensigter med de forskellige dele af standarden. Sikkerhedsniveauer indikerer modstandsdygtighed mod trusler og relaterer primært til systemer. Derfor specificerer certificeringer til IEC 62443-3-3, som vedrører systemniveauet, normalt et sikkerhedsniveau.
For produktcertificeringer under IEC 62443-4-2 er situationen mere nuanceret. Generelle sikkerhedsniveauer for individuelle komponenter kan forvrænge den faktiske hensigt med IEC 62443, fordi sikkerheden af et komplet system ikke udelukkende bestemmes af sikkerhedsegenskaberne ved individuelle komponenter. Standarden tillader, at manglende komponentniveau-sikkerhedskrav kompenseres af såkaldte kompenserende modforanstaltninger på systemniveau.
Alligevel ønsker produktledelse og marketing ofte let sammenlignelige niveauer for deres komponenter, svarende til Safety Integrity Levels (SIL) i funktionel sikkerhed. Selvom sådanne niveauer ikke direkte er forudset i IEC 62443-4-2, tilbyder mange testhuse muligheden for at angive et sikkerhedsniveau for en komponent, hvis alle anvendelige krav for et bestemt niveau er opfyldt.
Denne praksis er kontroversiel, fordi den kan overforenkle kompleksiteten af systemsikkerhed. Den kan dog tjene som et orienteringsmiddel for brugere til at vurdere en komponets potentielle egnethed til et system med visse sikkerhedskrav. Det er vigtigt at understrege, at ethvert sådant komponentsikkerhedsniveau altid skal betragtes i sammenhæng med hele systemet og ikke garanterer sikkerheden af slutproduktet.
Er certificering med modningsniveau 1 mulig?
Certificering på Maturity Level 1 (ML 1) er ikke mulig inden for rammerne af IEC 62443 og heller ikke meningsfuld. ML 1 beskriver en tilstand, hvor produktudvikling er ad hoc og mangler tilstrækkelig dokumentation. På dette stadie er strukturerede, gentagelige processer - som er væsentlige for certificering - fraværende. Udviklingsarbejdsgange og beslutninger på ML 1 er ikke dokumenteret på en måde, som eksterne certificerere objektivt kan gennemgå og vurdere.
Certificeringer starter generelt på ML 2, hvor definerede og dokumenterede processer eksisterer, der muliggør konsekvent anvendelse af sikkerhedspraksisser. ML 2 sikrer, at grundlæggende ledelsespraksisser er etableret, og at processer udføres på en planlagt, sporbar og gentagelig måde. Dette danner minimumsforudsætningen for en troværdig og meningsfuld certificering i sammenhæng med IEC 62443.
Hvordan kan IEC 62443-certifikater sammenlignes?
Sammenligning af IEC 62443-certifikater fra forskellige certificerere og programmer er kompleks og kræver en omhyggelig analyse af de underliggende detaljer. Uden yderligere forklaringer og dokumentation er certifikater ofte ikke direkte sammenlignelige.
For at udføre en solid vurdering er det væsentligt at anmode om og gennemgå alle tilgængelige bilag, appendikser og, hvor det er relevant, de testrapporter, der ligger til grund for certificeringerne. Afgørende er, at det certificerede omfang (anvendelsesområde) er klart defineret og synligt.
Lige så vigtigt er et detaljeret overblik over, hvilke specifikke krav der er opfyldt på hvilket niveau. Kun når både omfanget og de opfyldte Foundational Requirements eller Component Requirements er kendt, kan en meningsfuld sammenligning mellem certifikater foretages.
Hvis disse væsentlige oplysninger mangler, bør alvoren af certifikatet eller certificereren sættes spørgsmålstegn ved. Gennemsigtig og detaljeret dokumentation af opfyldte krav er en indikator for kvaliteten og troværdigheden af certificeringsprocessen.
Hvilket certificeringsprogram (ISASecure, TÜV, CB-Scheme) har jeg brug for?
Valget af det passende certificeringsprogram afhænger af forskellige faktorer, især målmarkedet og den specifikke industri.
I Europa og store dele af Asien nyder de forskellige TÜV-certifikater den højeste accept og anerkendelse. De er bredt kendte og betragtet som en kvalitetsstandard i mange industrier.
CB Scheme har en vis accept og anerkendelse i Asien, men er mindre almindelig i Europa. Det kan være nyttigt, hvis et produkt er beregnet til flere asiatiske markeder, da det letter gensidig anerkendelse af testresultater mellem deltagende lande.
ISASecure har etableret sig primært i procesindustrien, drevet især af olie- og gasindustrien, som var medvirkende til ISASecures udvikling og implementering. Hvis din virksomhed hovedsageligt opererer i denne sektor eller betjener kunder i procesindustrien, kan ISASecure være det foretrukne valg.
I sidste ende bør beslutningen om et certificeringsprogram baseres på en omhyggelig analyse af målmarkedskrav, specifikke industriestandarder og langsigtede forretningsmål. I nogle tilfælde kan en kombination af forskellige programmer også give mening for at opnå bred markedsdækning og accept.
Støtte til IEC 62443-certificering
IEC 62443 giver ikke kun en ramme for cybersikkerhed i industriel automatisering - den er også grundlaget for formelle certificeringer af processer, komponenter og systemer. Forberedelse til en sådan certificering kræver teknisk forståelse, organisatorisk klarhed og en struktureret tilgang.
Secuvi støtter virksomheder i implementeringen af de relevante dele af standarden - især IEC 62443-4-1 for sikre udviklingsprocesser samt IEC 62443-4-2 eller 3-3 for produkter og systemer. Dette omfatter analyse af eksisterende strukturer, indførelse af passende sikkerhedsforanstaltninger og ledsagelse af hele certificeringsprocessen - inklusive dokumentation, kommunikation med testorganer og auditforberedelse.
Hvis du forfølger en IEC 62443-certificering eller forbereder dig på at gå den vej, kan vi støtte dig med erfaring og en praksisorienter tilgang.
Mere information: secuvi.com