Skip to content

IEC 62443

Internationaal bewijs van cyber­security in industriële systemen

De IEC 62443-norm toont aan dat industriële automatiserings- en besturingssystemen (IACS) aantoonbaar veilig, betrouwbaar en weerbaar zijn ingericht tegen toenemende cyberdreigingen. Daarmee voldoe je aan internationale eisen en vergroot je vertrouwen bij klanten, partners en toezichthouders. TÜV NORD ondersteunt je met onafhankelijke IEC 62443-certificering.

Vraag offerte aan

Voor wie is IEC 62443 bedoeld?

De IEC 62443-certificering is ontwikkeld voor organisaties die werken met industriële automatiserings- en besturingssystemen (IACS) en hun digitale weerbaarheid willen aantonen, zoals:

  • Asset owners bedrijven die industriële installaties en productieomgevingen beheren.
  • System integrators en onderhoudspartijen organisaties die OT/SCADA-systemen ontwerpen, installeren of onderhouden.
  • Product- en componentleveranciers fabrikanten die industriële hardware, software of netwerkcomponenten ontwikkelen en leveren.
  • Kritieke infrastructuurbedrijven organisaties in o.a. energie, water, transport en productie waar cybersecurity essentieel is voor continuïteit.

Ook kleinere leveranciers in de keten kiezen steeds vaker voor IEC 62443-certificering om vertrouwen te winnen en hun positie te versterken.

Wat houdt IEC 62443 in?

IEC 62443 is een internationale norm voor cybersecurity in operationele technologie (OT) en industriële automatiserings- en besturingssystemen (IACS). De norm helpt organisaties om de beschikbaarheid, integriteit en vertrouwelijkheid van hun industriële processen te beschermen tegen toenemende cyberdreigingen.

Het raamwerk is modulair opgebouwd en bevat verschillende delen, gericht op onder andere asset owners, system integrators en productleveranciers. Daarmee biedt IEC 62443 een breed toepasbaar kader dat aansluit bij de rol van jouw organisatie in de keten.

Kort gezegd: IEC 62443 maakt aantoonbaar dat industriële systemen veilig en betrouwbaar zijn ingericht, zodat continuïteit en digitale weerbaarheid gewaarborgd blijven. Binnen de norm zijn er twee hoofdvormen van certificering: procescertificering en productcertificering.

Procescertificering:

Beveiliging van OT- en IACS-omgevingen
Procescertificering volgens IEC 62443 richt zich op organisaties die industriële processen ontwerpen, beheren of onderhouden. Denk aan asset owners, system integrators en onderhoudspartijen. De audit beoordeelt processen, organisatie en operationele maatregelen, met als doel de continuïteit en weerbaarheid van industriële automatisering te beschermen tegen cyberdreigingen.

Productcertificering:

Veilige industriële componenten
Productcertificering volgens IEC 62443 is bedoeld voor leveranciers en fabrikanten van industriële hardware, software en netwerkcomponenten. Hierbij wordt beoordeeld of producten intrinsiek veilig zijn ontworpen en ontwikkeld. Met de focus op deel 4-1 (ontwikkelproces) en deel 4-2 (technische eisen) toon je aan dat jouw producten voldoen aan internationale normen voor cybersecurity in kritieke OT-omgevingen.

IEC 62443-4-1 richt zich op het ontwikkelproces van industriële producten. Het doel is dat producten veilig worden ontworpen, gebouwd en onderhouden gedurende hun hele levenscyclus. De norm definieert een Secure Development Lifecycle (SDLC), waarin elke fase van productontwikkeling wordt getoetst op cybersecurity.

Onderwerpen die hierbij aan bod komen zijn onder andere:

  • Opstellen van beveiligingseisen bij de start van ontwikkeling.
  • Veilig ontwerp van hardware, software en netwerkcomponenten.
  • Implementatie volgens beveiligingsrichtlijnen, inclusief veilige coding practices.
  • Verificatie en validatie om te controleren of beveiligingsmaatregelen werken.
  • Patch- en updatebeheer tijdens de gebruiksfase van het product.
  • Beheer van het end-of-life-proces, zodat uitgefaseerde producten geen risico vormen.

De audit beoordeelt organisaties bovendien op maturity levels van “Initial” (ad hoc) tot “Improving” (onderdeel van continu verbeteren). Zo wordt duidelijk in hoeverre cybersecurity structureel geborgd is in de ontwikkelprocessen.

IEC 62443-4-2 legt de nadruk op de technische eisen voor industriële componenten die worden toegepast in OT- en IACS-omgevingen. Denk aan controllers, netwerkapparatuur, softwaremodules of complete systemen.

De eisen zijn gebaseerd op zeven fundamentele requirements (FR’s):

  1. Identification & Authentication Control (IAC)
  2. Use Control (UC)
  3. System Integrity (SI)
  4. Data Confidentiality (DC)
  5. Restricted Data Flow (RDF)
  6. Timely Response to Events (TRE)
  7. Resource Availability (RA)

Voor elk component wordt vastgesteld op welk security level (SL0 t/m SL4) het functioneert. Deze niveaus lopen uiteen van:

  • SL0: geen specifieke bescherming.
  • SL1: bescherming tegen onbedoeld misbruik.
  • SL2: bescherming tegen eenvoudige aanvallers.
  • SL3: bescherming tegen georganiseerde cybercriminelen met geavanceerde middelen.
  • SL4: bescherming tegen hooggekwalificeerde aanvallers, zoals statelijke actoren.

Met IEC 62443-4-2 toon je dus niet alleen aan dát je componenten veilig zijn, maar ook op welk beveiligingsniveau ze bescherming bieden. Dit geeft klanten en toezichthouders helder inzicht in de toepasbaarheid van jouw producten binnen industriële omgevingen.

Waarom IEC 62443?

De digitalisering van industriële processen en de inzet van IoT zorgen voor enorme voordelen, maar maken organisaties ook kwetsbaarder voor cyberdreigingen. Aanvallen op OT- en IACS-omgevingen kunnen leiden tot productiestilstand, financiële schade en zelfs risico’s voor veiligheid en milieu.

Daarnaast scherpt de EU de eisen voor cybersecurity steeds verder aan. Wet- en regelgeving zoals de Cyber Resilience Act (CRA) en de Radio Equipment Directive (RED) verplichten organisaties en leveranciers om aan te tonen dat hun systemen en producten digitaal weerbaar zijn. IEC 62443 biedt hiervoor een internationaal erkend kader.

Hoe werkt certificering volgens IEC 62443?

Een certificeringstraject volgens IEC 62443 laat zien dat jouw organisatie of product voldoet aan internationale eisen voor cybersecurity in industriële omgevingen. Het proces verloopt in een aantal vaste stappen:

  1. Voorbereiding en self-assessment
    Na een kick-off verzamel je documentatie en vul je een self-assessment in. Daarmee wordt duidelijk hoe jouw organisatie of product nu voldoet aan de norm en welke documenten dit onderbouwen.
     
  2. Beoordeling van documentatie
    De auditor van TÜV NORD analyseert de aangeleverde stukken om te bepalen of je organisatie voldoet aan de relevante onderdelen van de IEC 62443-norm.
     
  3. Audit of producttesten
    - Bij procescertificering vindt de audit plaats op locatie, in samenwerking met jouw cybersecurityteam.
    - Bij productcertificering worden componenten getest in een gespecialiseerd laboratorium.
     
  4. Toelichting en verbeteringen
    Komen er afwijkingen aan het licht, dan krijg je de kans om deze toe te lichten of te corrigeren.
     
  5. Certificaat
    Wanneer naleving is aangetoond, ontvang je het IEC 62443-certificaat. Daarmee bewijs je dat jouw organisatie of product voldoet aan internationale cybersecurity-standaarden voor industriële systemen.

 

Wat zijn de voordelen van IEC 62443 certificering?

Met een IEC 62443-certificaat maak je cybersecurity tastbaar en aantoonbaar. 
Het levert je organisatie of product duidelijke voordelen op:

  • Meer vertrouwen in de keten 
    Klanten, partners en toezichthouders krijgen zekerheid dat jouw processen en producten veilig zijn.
     
  • Sterkere marktpositie 
    Onderscheidend vermogen in aanbestedingen en nieuwe samenwerkingen.
     
  • Toegang tot internationale markten 
    Steeds meer organisaties eisen IEC 62443-gecertificeerde leveranciers.
     
  • Voorbereid op regelgeving 
    Je voldoet aantoonbaar aan actuele én toekomstige EU-eisen.
     
  • Professionalisering en risicobeheersing 
    Inzicht in kwetsbaarheden en structurele verbetering van processen.

Waarom kiezen voor TÜV NORD?

  • Onafhankelijk en erkend: Audits en certificeringen uitgevoerd volgens internationale IEC 62443-standaarden.
  • Jarenlange ervaring: Diepgaande expertise in OT-, IACS- en SCADA-omgevingen.
  • Efficiënt: Certificeringstrajecten op maat, afgestemd op jouw rol (asset owner, integrator of leverancier).
  • Internationaal vertrouwd: Zekerheid voor klanten, partners en toezichthouders wereldwijd.

Veelgestelde vragen

Antwoorden op veelgestelde vragen

IEC 62443 is een internationale norm voor cybersecurity in operationele technologie (OT) en industriële automatiserings- en besturingssystemen (IACS). De norm helpt organisaties hun industriële processen te beschermen tegen cyberdreigingen en biedt een raamwerk voor zowel proces- als productcertificering.

De norm is bedoeld voor asset owners (eigenaren van industriële installaties), system integrators, onderhoudspartijen en productleveranciers. Kortom: alle organisaties die betrokken zijn bij het ontwerpen, beheren, onderhouden of leveren van industriële automatiserings- en besturingssystemen.

  • Procescertificering richt zich op de organisatie en haar processen (asset owners, integrators).
  • Productcertificering richt zich op hardware, software en componenten die gebruikt worden in industriële omgevingen.

Deel 4-1 beschrijft de eisen voor een Secure Development Lifecycle (SDLC) bij productontwikkeling. Het gaat o.a. om veilig ontwerp, implementatie, validatie, patchbeheer en end-of-life management. De audit toetst de volwassenheid van dit proces aan de hand van maturity levels.

Deel 4-2 stelt technische veiligheidseisen voor componenten in OT/IACS-omgevingen. De toetsing richt zich op zeven fundamentele requirements (zoals authenticatie, integriteit, data confidentiality en resource availability) en wordt uitgevoerd op security levels (0–4).

Beide normen richten zich op cybersecurity, maar in verschillende domeinen:

  • ISO 27001: informatiebeveiliging in IT-omgevingen, leidt tot een certificaat.
  • IEC 62443: cybersecurity in OT/IACS-omgevingen, leidt tot een proces- of productcertificaat.
    Veel organisaties combineren beide trajecten om tijd en kosten te besparen.

OT-omgevingen zijn steeds vaker doelwit van cyberaanvallen. Een geslaagde aanval kan leiden tot productiestilstand, financiële schade of zelfs gevaar voor veiligheid en milieu. IEC 62443 helpt risico’s beheersen, vertrouwen winnen en voldoen aan regelgeving.

IEC 62443 wordt gezien als harmonized standard voor de Cyber Resilience Act (CRA) en de Radio Equipment Directive (RED). Deze EU-regelgeving verplicht leveranciers en fabrikanten om cybersecurity aantoonbaar op orde te hebben voor producten met digitale componenten.

Het biedt aantoonbare veiligheid, meer vertrouwen in de keten, concurrentievoordeel bij aanbestedingen, toegang tot nieuwe markten en voorbereiding op toekomstige EU-wetgeving.

Alleen erkende en onafhankelijke certificatie-instellingen mogen IEC 62443-audits en -certificeringen uitvoeren. TÜV NORD is een internationaal erkende partner met diepgaande OT/IACS-expertise en ondersteunt organisaties en leveranciers met betrouwbare IEC 62443-certificeringstrajecten.

Heb je een vraag over IEC 62443?

Wil je weten hoe IEC 62443 jouw organisatie kan helpen of direct een audit starten? Neem contact op met TÜV NORD en ontdek wat wij voor je kunnen betekenen.

Stel je vraag

Ook interessant voor jou

ISO 27001 certificering

ISO 27001 is de internationale norm voor informatiebeveiligingsmanagement. Met een gecertificeerd managementsysteem toon je aan dat je risico’s structureel beheerst, gegevens beschermt en voldoet aan wettelijke eisen.
Lees meer

ENX VCS Audit

Cybersecurity in voertuigen is belangrijker dan ooit. Met de ENX Vehicle Cybersecurity (VCS) Audit laat je zien dat je voldoet aan de juiste eisen voor digitale veiligheid in de automotive sector.
Lees meer

CE-markering

CE‑markering bevestigt dat jouw product voldoet aan essentiële Europese veiligheids-, gezondheids- en milieueisen en daarmee vrij verhandelbaar is in de EER. TÜV NORD begeleidt je stap voor stap via intake, testen, technische documentatie en volledige conformiteitsbeoordeling.
Lees meer

Meer Keuringen en inspecties

Een keuring door TÜV NORD geeft je een onafhankelijk en objectief oordeel over de staat van jouw kraan, attractie of sporttoestel. Na afloop ontvang je snel een duidelijk keuringsrappor
Bekijk alle keuringen