Productcertificering

Productcertificering

op basis van IEC 62443

Productcertificering op basis van IEC 62443

Ben jij productleverancier? Als jij je bezighoudt met het ontwerpen en produceren van industriële componenten die geleverd worden aan systeemintegrators of eigenaren van bedrijfsmiddelen, is IEC 62443 certificering interessant. Het gaat dan om IEC 62443-4-1 voor het ontwikkelproces en IEC 62443-4-2 voor de componenten.

TÜV NORD heeft ruime ervaring in het certificeren conform IEC 62443. Onze experts in industriële technologie (OT) kunnen audits uitvoeren in diverse talen. Op deze pagina leggen we uit wat de norm inhoudt en waarom dit van belang is voor jouw organisatie. Ook lees je hoe een certificeringstraject eruitziet.

Wat is IEC 62443?

IEC 62443 is het internationale kader voor cybersecurity normen voor operationele/ industriële technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van industriële automatiserings- en besturingssystemen (IACS).

Kort gezegd: Deze certificering toont het cybersecurity-niveau aan van de OT- en/of IACS-omgeving in jouw organisatie. Dit is belangrijk voor de digitale weerbaarheid en de continuïteit.

Het IEC 62443 normenkader richt zich op verschillende aspecten van cybersecurity. Op deze pagina focussen wij op deel 4-1 (productontwikkeling) en deel 4-2 (productcertificering).

Meer informatie over de andere modules lees je op de pagina over IEC 62443.

IEC 62443

IEC 62443 is het internationale kader voor cybersecurity normen voor operationele/ industriële technologie (OT). IEC 62443 deel 4-1 richt zich op productontwikkeling en deel 4-2 op productcertificering.

 

STEL JE VRAAG

 

 

Deel 4-1: Lifecycle vereisten voor ontwikkeling van veilige producten

IEC 62443-4-1 specificeert procesvereisten voor de veilige ontwikkeling van producten die worden gebruikt in industriële automatiserings- en besturingssystemen. Het definieert een veilige product development lifecycle (SDLC) die op een vooraf bepaald ‘maturity level’ wordt gecertificeerd. Dit maturity level zegt iets over de mate van volledigheid (in breedte én diepte) van het beheersen van het hardware ontwikkelproces in het kader van de cyberveiligheidsborging.

Doel is het ontwikkelen, onderhouden en aanbieden van een passend veilig product in bepaalde omgeving, waarbij hogere of minder hoge eisen gesteld worden aan de mate van de intrinsieke cyberveiligheid in hardware en netwerk.

 

Deze product development lifecycle omvat de definitie van:

  • Beveiligingseisen
  • Veilig ontwerp

 

  • Veilige implementatie (inclusief coderingsrichtlijnen)
  • Verificatie en validatie
  • Patchbeheer
  • Het einde van de levensduur van het product.

Deze vereisten kunnen worden toegepast op nieuwe of bestaande processen voor het ontwikkelen, onderhouden en uitfaseren van hardware, software of firmware voor nieuwe of bestaande producten. De vereisten gelden voor de ontwikkelaar en onderhouder van het product, maar niet voor de integrator of gebruiker van het product. Deze laatste twee kunnen wel een eis stellen vanuit de omgeving waar de hardware een mate van cyberveiligheid moet kunnen garanderen.

Maturity levels

Vooraf aan de audit wordt bepaald op welk maturity level je gecontroleerd wilt worden. De verschillende maturity levels zijn:

Initial

Processen en procedures zijn niet of minimaal ingericht en gebeuren op ad-hoc basis.

Managed

Processen en procedures zijn gedefinieerd.

Defined

Processen en procedures zijn gedefinieerd en worden aantoonbaar gevolgd.

Improving

Processen en procedures zijn gedefinieerd, worden aantoonbaar gevolgd en zijn onderdeel van het continu verbeterproces.

Deel 4-2: Technische veiligheidseisen voor IACS-componenten

IEC 62443-4-2 biedt gedetailleerde technische eisen voor componenten van besturingssystemen (CR's) die verband houden met de zeven fundamentele requirements (FR's) zoals beschreven in IEC TS 62443-1-1, inclusief het definiëren van de vereisten voor beveiligingsniveaus en hun componenten, SL-C (component).

Zoals gedefinieerd in IEC TS 62443-1-1, zijn er in zeven fundamentele vereisten (FR's). Omdat deze termen gebruikelijk zijn, noemen we ze in het Engels:Identification and authentication control (IAC)

  • System integrity (SI)
  • Use Control (UC)
  • System integrity (SI)
  • Data confidentiality (DC)
  • Restricted data flow (RDF)
  • Timely response to events (TRE)
  • Resource availability (RA).

Deze zeven FR's vormen de basis voor het definiëren van beveiligingsniveaus voor besturingssystemen. Het doel en de doelstelling van een certificering zijn het definiëren van maximale beveiligingsniveau voor componenten door middel van testen.

 

Securitylevels

Vooraf wordt bepaald op welk securitylevel je een component wil laten toetsen. De verschillende securitylevels zoals gedefinieerd in de IEC 62443-1-1 zijn:

Securitylevel 0: Geen speciale vereisten of bescherming vereist;
Securitylevel 1: Bescherming tegen toevallig of onbedoeld misbruik;
Securitylevel 2: Bescherming tegen opzettelijk misbruik door eenvoudige aanvallers met weinig middelen, algemene vaardigheden en lage motivatie (zoals alleen opererende hackers);
Securitylevel 3: Bescherming tegen opzettelijk misbruik door aanvallers die beschikken over geavanceerde middelen, IACS-specifieke kennis en gematigde motivatie (zoals cybercriminelen en groepen georganiseerde hackers);
Securitylevel 4: Bescherming tegen opzettelijk misbruik door aanvallers met geavanceerde middelen, IACS-specifieke kennis en hoge motivatie (zoals naties of staten).
Hoe voldoe je aan de IEC 62443 norm?

Het certificeringstraject voor IEC 62443 in volle breedte:

TÜV NORD begeleidt je graag in het certificeringsproces om te voldoen aan de IEC 62443. We hanteren daarbij de volgende stappen:

  1. Het verzamelen van de benodigde documentatie. Na de kick-off sturen wij een self assessment toe. Met deze tool omschrijf je hoe jouw organisatie voldoet aan de eisen en welke documenten dat onderbouwen.
  2. Beoordeling. Jouw contactpersoon bij TÜV NORD bestudeert de aangeleverde documenten om te bepalen of jouw organisatie voldoet aan een of meerdere onderdelen van de IEC 62443.
  3. Toetsing. Wanneer het gaat om een product wordt dit getest in ons eigen product-testlaboratorium. Wanneer het gaat om een proces vindt de audit plaats op locatie. Hierbij werken we nauw samen met uw cybersecurity-medewerkers.
  4. Toelichting of aanpassing. Komen tijdens de audit afwijkingen aan het licht? Dan vragen wij je om deze toe te lichten en op te lossen.
  5. Certificaat. Wanneer naleving van de norm is aangetoond, zal TÜV NORD het IEC 62443 certificaat afgeven.
Waarom productcertificering op basis van IEC 62443?

Certificering volgens de IEC 62443-standaard biedt verschillende voordelen:

  1. Aantoonbare veiligheid: De IEC 62443-standaard laat zien welk securitylevel jouw product heeft. Je toont hiermee het beveiligingsniveau aan.
  2. Verhoogd vertrouwen: Certificering volgens de IEC 62443-standaard geeft klanten, partners en stakeholders het vertrouwen dat jouw producten voldoen aan de internationale beveiligingsnormen. Het toont aan dat je de bescherming van industriële systemen en gegevens uiterst serieus neemt.
  3. Concurrentievoordeel: Steeds meer klanten en organisaties worden zich bewust van het belang van cybersecurity in industriële omgevingen en geven de voorkeur aan gecertificeerde producten. Door producten te certificeren volgens de IEC 62443-standaard kun je je onderscheiden van concurrenten.
  4. Naleving van regelgeving: Regels en voorschriften met betrekking tot cybersecurity worden steeds strenger. Door producten te certificeren volgens de IEC 62443-standaard, ben je voorbereid op toekomstige regelgeving en voorkomt je mogelijke boetes of juridische problemen.

 

 

Cyber Resilience Act

De IEC 62443 wordt gezien als harmonized standard voor compliance aan de Cyber Resilience Act. Deze nieuwe verordening zal gepubliceerd en geïmplementeerd worden in de eerste helft van 2024. De act, die past in het kader van het New Legislative Framework (NLF), stelt productveiligheidseisen voor producten die in de EU op de interne markt worden gebracht.

Het doel van de Cyber Resilience Act is maximale harmonisatie: overal in de EU dezelfde cybersecurityeisen aan producten met digitale componenten (PDE’s). Vanaf de ingang van deze verordening mogen producten met digitale elementen alleen nog op de EU-markt worden aangeboden wanneer deze voldoen aan de essentiële cybersecurity-eisen van de CRA.

Radio Equipment Directive (RED)

Producten met een draadloze connectie of (reeds gecertificeerde) radiocomponent moeten voldoen aan de Radio Equipment Directive (RED) voordat ze in de Europese Unie op de markt gebracht mogen worden. Deze cybersecurity-eisen voor IoT-producten zijn vanaf 1 augustus 2025 verplicht. TÜV NORD kan jouw producten toetsen om aan te tonen dat deze nu al voldoen aan de eisen van de RED.

Het gaat bijvoorbeeld om apparaten die radiotechnologie gebruiken voor communicatie via internet, zoals mobiele telefoons, tablets en elektronische camera’s. Maar ook babyfoons, smartwatches, fitnesstrackers, bepaald speelgoed en verbonden industriële apparaten moeten aan de RED-eisen voldoen. Voor compliance aan de RED worden voorlopig IEC 62443 en ETSI 303645 als standaard gehanteerd.

Waarom een IEC 62443 certificaat bij TÜV NORD?

Onze onafhankelijke blik helpt je kritisch te kijken naar je organisatie en haalt mogelijke verbeterpunten boven water. We hanteren een nuchtere en toegankelijke manier van certificeren waarbij we graag met je meedenken. Met onze internationale vertegenwoordiging toetsen wij ook vestigingen in het buitenland. 

 

Onafhankelijkheid
TÜV NORD Nederland is een technische en zakelijke serviceprovider in onafhankelijke beoordeling zoals certificering, keuring, inspectie en training. We bevorderen sinds 1981 veiligheid, kwaliteit, betrouwbaarheid en leefomgeving.

Expertise
Je hebt één van onze experts aan je zijde. TÜV NORD heeft een team van experts op het gebied van cybersecurity, die geaccrediteerd zijn voor certificering, testen en inspectiediensten.

Internationaal expertnetwerk
Wij zijn onderdeel van de TÜV NORD GROUP, met tienduizenden activiteiten in 70 landen en meer dan 10.000 werknemers (in FTE). Wij ondersteunen bij al je IT-vraagstukken, ook over de grens.

Industriële ervaring
In Nederland beoordelen onze ruim 300 vakmensen dagelijks producten, diensten, systemen, arbeidsmiddelen, transportmiddelen, machines en cybersecurity. Dat doen we in de meest uiteenlopende branches.

Praktisch en laagdrempelig
TÜV NORD Nederland onderscheidt zich door haar nuchtere, laagdrempelige en praktijkgerichte kijk op beoordelen. Wij maken aantoonbaar dat jouw organisatie voldoet aan de gestelde eisen voor betrouwbaarheid.

Gericht op verbetering
Tijdens onze beoordelingen identificeren we heel feitelijk risico’s en pijnpunten, om draagvlak voor verbetering te verkrijgen. We helpen bedrijfsrisico’s zoveel mogelijk te beperken en ondersteunen de continuïteit van jouw organisatie.

TÜV NORD denkt met je mee

Genoeg redenen om samen te werken met TÜV NORD. Maar het draait niet om ons. Het belangrijkste is wat het beste past bij jou, jouw organisatie en processen. Daarin denken we graag mee. We delen onze kennis en zijn flexibel in het bedenken van oplossingen.

Er zijn bijvoorbeeld mogelijkheden tot het combineren van audits, zoals een IEC 62443 4-1 audit gecombineerd met een audit als ISO 27001. Dit kan voordelen bieden.

 

Heb je vragen of opmerkingen? Stuur ons een bericht!
Neem direct contact op met onze specialist via
0499 - 339 528 Of vul het contact formulier in