IEC 62443 - Industrial Automation and Control Systems Security
Internationaler Standard für industrielle Cybersicherheit
Was bedeutet IEC 62443?
IEC 62443 ist die internationale Normenreihe für Cybersicherheit in industriellen Automatisierungs- und Steuerungssystemen.
IEC 62443 ist eine mehrteilige Normenreihe der International Electrotechnical Commission (IEC), die Anforderungen an die Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme (IACS) festlegt. Die Norm richtet sich an Hersteller von Komponenten (Teil 4-2), Systemintegratoren (Teil 3-3) und Betreiber von Anlagen (Teil 2-x). Kernkonzept sind die Security Levels (SL-1 bis SL-4), die den Schutz gegen zunehmend mächtigere Angreifer beschreiben. IEC 62443 ist der wichtigste Cybersicherheitsstandard für OT-Umgebungen, PLCs, HMIs und SCADA-Systeme.
Die vier Security Levels (SL-1 bis SL-4)
IEC 62443 definiert vier Security Levels: SL-1 schützt vor zufälligen oder unbeabsichtigten Fehlern. SL-2 schützt vor einfachen Angriffen durch motivierte Angreifer mit begrenzten Ressourcen. SL-3 schützt vor gezielten Angriffen mit Insiderwissen. SL-4 schützt vor staatlich geförderten Angreifern mit umfangreichen Ressourcen. Hersteller müssen bei jeder Komponente angeben, welches Security Level sie erfüllen.
Aufbau der Normenreihe
IEC 62443 gliedert sich in vier Teile: Teil 1 (Allgemeines) definiert Konzepte und Terminologie. Teil 2 beschreibt Anforderungen an Betreiber (Policies, Patch Management, Incident Response). Teil 3 legt Systemanforderungen fest (Zones, Conduits, Security Levels). Teil 4 definiert Anforderungen an Hersteller von Komponenten – insbesondere IEC 62443-4-1 (Secure Development Lifecycle) und 4-2 (technische Komponentenanforderungen). Für TARA-Prozesse ist vor allem Teil 4-1 relevant.
IEC 62443 und EU Cyber Resilience Act
Der EU Cyber Resilience Act (CRA) nennt IEC 62443 explizit als harmonisierten Standard für Produkte im industriellen Umfeld. Hersteller, die IEC 62443 nachweislich erfüllen, können eine Konformitätsvermutung gegenüber den entsprechenden CRA-Anforderungen geltend machen. Das macht die Norm zum direkten Weg zur CE-Kennzeichnung für OT-Komponenten.
Praxis-Tool
Modelliere deine OT-/ICS-Systemarchitektur visuell und mappe sie direkt auf IEC 62443
Zum CyberRisk Canvas ↗Auch bekannt als
IEC 62443-4-2 · IEC 62443-3-3 · ISA 62443 · ISA/IEC 62443
Teil des Themenbereichs: Compliance & Regulierung
Verwandte Begriffe
- TARA - Threat Analysis and Risk Assessment
- Annex A - Annex A (ISO/IEC 27001:2022)
- STRIDE - Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege
- CSAF - Common Security Advisory Framework
- SBOM - Software Bill of Materials
- CVE - Common Vulnerabilities and Exposures
Quellen
- IEC 62443 Normenübersicht
- ISA Global Cybersecurity Alliance: IEC 62443
- BSI: IEC 62443 im industriellen Umfeld
Zuletzt aktualisiert: 2026-06-19