Wenn Sie eine industrielle Umgebung absichern, haben Sie wahrscheinlich schon in zwei verschiedenen Konferenzräumen diese Frage gehört: "Sind wir 800-82 konform?" und "Wo stehen wir bei der 62443-Konformität?" Viele Unternehmen behandeln diese als parallele Wege, die separate Arbeitsströme in Gang setzen, die Bemühungen verdoppeln, das Anlagenpersonal verwirren und Aufmerksamkeit und Budget verbrennen. Das muss nicht so sein. 

NIST SP 800-82 Rev. 3, das der maßgebliche Leitfaden der US-Bundesregierung für OT-Sicherheit ist, verweist ausdrücklich auf ISA-62443-2-1 als geeigneten Standard für ein Cyber-Sicherheitsprogramm für industrielle Automatisierungs- und Steuerungssysteme (IACS). Die beiden Rahmenwerke sind so ausgelegt, dass sie sich ergänzen und nicht konkurrenzieren. 800-82 stärkt Ihre Risikomanagementarchitektur und das Kontrolloverlay, während IEC 62443 Ihr operatives Sicherheitsprogramm, Ihre Systemdesignmethodik, die Unterdrückung von Risiken und die Hierarchie der technischen Anforderungen bereitstellt. Zusammen bilden diese beiden die verteidigungsfähigste und überprüfbarste OT-Sicherheitshaltung, die Sie aufbauen können.

Der heutige Blogbeitrag bietet Ihnen eine Anleitung zur Zuordnung, Sequenzierung und Implementierung auf Praxisebene, um sie als Teil eines einheitlichen Programms zu präsentieren, das auf Ihre einzigartigen Sicherheits- und Compliance-Bedürfnisse abgestimmt ist.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag über den Cybervorfall bei Adidas hier zu überprüfen.

NIST SP 800-82 Rev. 3: Das Handbuch vor Ort

Veröffentlicht im September 2023, stellt Rev. 3 eine wesentliche Überarbeitung der Ausgabe von 2015 dar. Wichtige Änderungen umfassen eine erweiterte Abdeckung von IIoT und cloud-vernetzten OT, eine engere Ausrichtung an NIST CSF und SP 800-53 Rev. 5, Leitlinien zur Sicherheit der Lieferkette und einen stärkeren Fokus auf kontinuierliche Überwachung, die an OT-Beschränkungen angepasst ist. Es ist strukturiert um:

• OT-Systemkategorisierung (z. B. für Auswirkungen: Niedrig, Mittel, Hoch) basierend auf Vertraulichkeit, Integrität und Verfügbarkeit

• Kontrollüberlagerungen, die SP 800-53 Rev. 5-Kontrollen an OT-Realitäten anpassen, während erkannt wird, dass man keinen laufenden Reaktor patchen oder ein sicherheitsgerichtetes System mitten in der Schicht neu starten kann

• Risikomanagement unter Verwendung eines dreistufigen Ansatzes: Organisationsebene, Ebene der Mission/Geschäftsprozesse und Informations-/OT-Systemebene, um einen differenzierteren Kontrollrahmen zu bieten

• Architekturleitlinien, einschließlich Defense-in-Depth, Netzwerksegmentierung, die vollständig mit dem Purdue-Modell übereinstimmt, und DMZ-Design

Es ist im Wesentlichen ein Leitdokumnt, das Ihnen sagt, was zu erreichen ist. IEC 62443 hingegen erklärt Ihnen, wie Sie Ihr Programm strukturieren müssen, um dorthin zu gelangen.

IEC 62443: Die Programmarchitektur

Die IEC 62443-Serie (in Zusammenarbeit mit ISA als ANSI/ISA-62443 gepflegt) ist der globale Standard für IACS-Sicherheit. Sie ist in vier Gruppen organisiert:

Die grundlegenden Konzepte des Frameworks sind Sicherheitsstufen (SL) und das Modell von Zonen und Durchleitungen.

Sicherheitsstufen reichen von SL 1 bis SL 4:

• SL 1: Schutz vor unbeabsichtigtem oder versehentlichem Missbrauch

• SL 2: Schutz vor vorsätzlichen Angriffen mit einfachen Mitteln, geringer Motivation

• SL 3: Schutz vor vorsätzlichen Angriffen mit anspruchsvollen Mitteln, moderaten Ressourcen, automatisierungsspezifischem Wissen

• SL 4: Schutz vor staatlichen oder gut finanzierten Gegnern mit umfassendem automatisierungsspezifischem Wissen.

Zonen gruppieren Assets mit ähnlichen Sicherheitsanforderungen und Kritikalität, während Durchleitungen die kontrollierten Kommunikationswege zwischen den Zonen sind. Dieses Modell ist das architektonische Rückgrat von allem in der Serie 62443 und bietet eine differenziertere Kontrolle über Ihre Sicherheitsmaßnahmen.

Eine entscheidende Aktualisierung: IEC 62443-2-1:2024 (veröffentlicht im August 2024) restrukturierte die Anforderungen an den Anlagenbesitzer in Sicherheitselemente und führte ein Reifemodell ein. Es befasst sich auch explizit mit Altsystemen, wobei anerkannt wird, dass die Lebensdauer von IACS mehr als zwanzig Jahre betragen kann und dass ausgleichende Kontrollen akzeptabel sind, nicht nur native technische Fähigkeiten, wenn die zugrunde liegenden Systeme moderne Sicherheitsanforderungen nicht unterstützen können.

Strukturielle Zuordnung: Wie IEC 62443 800-82-Konformität unterstützt

Die Beziehung ist nicht auf einer Eins-zu-eins-Ebene. Vielmehr ist sie architektonisch. Stellen Sie sich 800-82 als die Definition der Compliance-Anforderungen vor und IEC 62443 als das Bereitstellen des Programms und der technischen Mittel, um diese zu erfüllen.

800-82 Abschnitt 4: OT-Risikomanagement → IEC 62443-3-2 + 62443-2-1

NIST SP 800-82 Rev. 3 Abschnitt 4 definiert das OT-Risikomanagement mit einem gestuften Ansatz. IEC 62443-3-2 ist das operationalisierte Äquivalent: Es definiert den Prozess zur Sicherheitsrisikoabschätzung und Systemplanung, indem ein Zonen- und Durchleitungsmodell und dokumentierte Ziel-Sicherheitsstufen als Ergebnis bereitgestellt werden, die in eine Cyber-Sicherheitsanforderungsspezifikation (CRS) verpackt sind.

Wie man dies in der Praxis umsetzt:

• Nutzen Sie 800-82's Risikorahmen (Identifizierung von OT-Systemen, Kategorisierung durch Auswirkungen) als Ihren Ausgangspunkt. Dies gibt Ihnen den geschäftlichen und missionsbezogenen Kontext.

• Nutzen Sie 62443-3-2 zur Durchführung der risikobasierten Systembewertung. Arbeiten Sie mit Ihren Verfahrenssicherheitsingenieuren zusammen — HAZOP-Dokumentationen sind eine Goldgrube, um das Schweregrad der Konsequenzen zu verstehen. Karten Sie Prozessgefahren bedrohungsszenarien (Kontrollverlust, Denial-of-Service einer Sicherheitsfunktion, unerlaubte Kommandoinjektion).

• Weisen Sie jeder Zone basierend auf Bedrohungsszenarien und Konsequenzanalyse Ziel-Sicherheitsstufen zu. Eine sicherheitsgerichtete Systemzone, die einen hochgefährlichen Prozess schützt, sollte SL 2 oder SL 3 anstreben. Ein Unternehmenshistoriker kann SL 1 mit einer Einweg-Datendiode als Durchleitung anstreben.

• Dokumentieren Sie alles im CRS. Dies wird Ihr primäres Prüfartefakt für 800-82 Abschnitt 4 Compliance.

Häufiger Fehler: Beachten des Zone- und Durchleitungsmodells als Netzwerkdiagrammaufgabe. Es ist kein solches. Es ist eine Risiko-Klassifizierungsübung, die die Kontrollauswahl antreibt. Beginnen Sie mit einer Konsequenzanalyse und zeichnen dann Zonen.

800-82 Abschnitt 5: Empfohlene Sicherheitskontrollen: IEC 62443-3-3 + 62443-4-2

800-82 Abschnitt 5 verweist auf die SP 800-53 Rev. 5 Kontrollfamilien und bietet OT-spezifische Überlagerungen. IEC 62443-3-3 bietet 110 grundlegende Anforderungen (FRs), die in sieben Kategorien organisiert sind — Zugangskontrolle (IAC), Kontrollbenutzung (UC), Systemintegrität (SI), Datenvertraulichkeit (DC), eingeschränkter Datenfluss (RDF), zeitnahe Reaktion auf Ereignisse (TRE) und Ressourcenverfügbarkeit (RA) — jede an spezifische Sicherheitsstufenanforderungen gebunden.

Die Zuordnung zwischen diesen beiden ist eine der nützlichsten Hilfsmittel für einen OT-Sicherheitsexperten. Beispielsweise:

Zugangskontrolle (800-82/800-53 AC-Familie). IEC 62443-3-3 IAC/UC-Anforderungen:

• 800-82 erfordert den Zugang mit dem geringsten Privileg und Multi-Faktor-Authentifizierung für den Fernzugriff. 62443-3-3 bei SL 2 erfordert die Identifikation und Authentifizierung menschlicher Benutzer, und bei SL 3 Multi-Faktor für alle Konten — dies gibt Ihnen einen testbaren technischen Schwellenwert.

• Wenn Ihr OT-Anbieter argumentiert, dass MFA bei einem Legacy-HMI nicht "machbar ist", erlaubt 62443-2-1:2024 ausdrücklich ausgleichende Kontrollen. Dokumentieren Sie die ausgleichende Kontrolle, das akzeptierte Restrisiko und die ausgleichenden Maßnahmen (separates Jump-Host mit MFA, Sitzungsaufzeichnung, zeitlich begrenzte Zugriffsfenster). Dies ist Ihre Prüf- Verteidigungsfähigkeit.

Systemintegrität (800-82 SI-Familie): IEC 62443-3-3 SI-Anforderungen:

• 800-82 erfordert Malware-Schutz, Software-Integritätsüberprüfung und Sicherheitsalarme. 62443-3-3 SI-Anforderungen bei SL 2 beinhalten Schutz vor schädlichem Code, Verhinderung unerlaubter Änderungen und Meldung von Integritätsverletzungen.

• Implementierung: Whitelist-basierter Endpunktschutz (nicht traditionelle AV) auf HMIs und Engineering-Arbeitsstationen; Nur-Lese-Medienkontrollen; Firmware-Verifizierung, wenn vom Controller-Hersteller unterstützt.

Auditing und Verantwortlichkeit (800-82 AU-Familie) und IEC 62443-3-3 TRE-Anforderungen:

• Beide Rahmenwerke erfordern Protokollierung, Prüfpfade und die Fähigkeit, Sicherheitsereignisse zu erkennen. In OT bedeutet dies den Einsatz passiver Netzwerküberwachung, die ICS-Protokollen wie Modbus, DNP3, EtherNet/IP, PROFINET, IEC 61850 versteht, ohne aktiven Verkehr einzuspritzen, der deterministische Kontrollschleifen stören könnte. Ein Überwachungstool, das aktiv OT-Geräte abfragt, hat keinen Platz in Ihrer Kontrollzone.

800-82 Abschnitt 6: Netzwerkarchitektur und Defense-in-Depth: IEC 62443-Zone/Conduit-Modell

NIST 800-82 Rev. 3 befürwortet Verteidigungs-in-Depth-Architekturen basierend auf dem Purdue-Modell, während moderne Anpassungen für Cloud-Konnektivität und IIoT anerkannt werden. IEC 62443's Zonen- und Durchleitungsmodell ist der Implementierungsrahmen.

Nun lassen Sie uns dies in eine konkrete Architektur umsetzen:

• Level 0-1 (Feldgeräte wie Sensoren, Aktoren, SPS): Keine routbaren IP-Protokolle, wenn vermeidbar. Anwenden von Anbieter-Härtungsleitfäden, alle Standard-Logins ändern, ungenutzte Kommunikationsports und Dienste deaktivieren. Diese Geräte können in der Regel nicht im normalen Zyklus gepatcht werden; nehmen Sie dies in Ihr Risikoregister und ausgleichende Kontrollen auf.

• Level 2 (Steuerung/HMI): Mikrosegmentierung nach Prozesslinie oder Zelle, wo machbar. Anwendungs-Whitelisting anwenden. Engineering-Arbeitsstationen sollten niemals Internetzugang haben. Kontrolle von austauschbaren Medien ist essenziell. Viele werden sich daran erinnern, dass sich der Stuxnet-Angriff von 2010 über USB verbreitet hat.

• Level 3 (Betriebsmanagement/MES): Aggressive Nord-Süd-Verkehrsfilterung. Historiker sollten Daten einseitig nach oben senden, wo möglich; niemals einen Pull von Level 4 auf Level 3 zulassen. Dies ist eine Durchleitungsdesignentscheidung, nicht nur eine Firewallregel.

• DMZ (IT/OT-Grenze): Der Verkehr, der die IT/OT-Grenze überquert, muss die DMZ durchqueren. Jump-Hosts für Fernzugriff, Patch-Verteilungsserver, AV-Update-Server, und Datenaggregationsdienste sind hier angesiedelt. Niemals direkte Verbindungen zwischen Level 4 IT und Level 2 Steuerungssystemen zulassen.

• Level 4/5 (Corporate IT, Cloud): Das SIEM, SOAR, der Identitätsanbieter und Data Lakes befinden sich hier. OT-Identitäten sollten in Ihrer Identitätsinfrastruktur die erste Priorität sein und nicht eine nachträgliche Maßnahme, die von einem gemeinsamen lokalen Admin-Konto verwaltet wird.

800-82 Beschaffungsketten-Risikomanagement: IEC 62443-2-4

800-82 Rev. 3 widmet der Sicherheit der Lieferkette erhebliche Aufmerksamkeit — ein bedeutendes Upgrade von Rev. 2. IEC 62443-2-4 (Programm-Richtlinien für IACS-Dienstleister) ist das entsprechende Instrument. Es zu nutzen:

• Vertragliche Sicherheitsanforderungen für Systemintegratoren, OEM-Fernzugriff-Anbieter und IACS-Dienstleister festlegen

• Nachweis über 62443-2-4-Konformität in Lieferantenverträgen verlangen

• Dienstanbieter verpflichten, dedizierte Jump-Hosts anstelle von Direkt-zu-Kontrollsystem-Verbindungen zu verwenden

• Sitzungsaufzeichnung für jeglichen Zugang durch Dritte erfordern — dies ist Ihre Lebensader für die Ermittlung von Vorfällen, wenn eine Anbieteranbindung zu einem Bedrohungsvektor wird

Die unbequeme Wahrheit über den Zugriff von Anbietern: Der Großteil der OT-Sicherheitsvorfälle beinhaltet eine Verbindung von Dritten, wie beispielsweise ein direktes VPN zu einem SPS, ein ungesichertes Mobilmodem, das von einem Kühlgerätanbieter installiert wurde, ein Laptop eines Integrators mit abgelaufenen Anmeldeinformationen. 62443-2-4 gibt Ihnen die vertraglichen und programmatischen Mittel, um dieser Stolperfalle zu begegnen.

800-82 Vorfallreaktion und Wiederherstellung: IEC 62443-2-3 + 62443-2-4

800-82 Abschnitt 4.5 befasst sich mit der OT-Vorfallreaktion mit wichtigen OT-spezifischen Überlegungen: Vorrang für Sicherheit, Aufrechterhaltung der physischen Prozesskontinuität und der Realität, dass Sie möglicherweise ein teilweise kompromittiertes System weiter betreiben müssen, weil die Alternative — Abschalten — schlimmere Sicherheitsfolgen hätte als ein eingedämmtes Cyber-Ereignis.

IEC 62443-2-3 (Patch-Management in der IACS-Umgebung) und die Vorfallmanagementelemente von 62443-2-4 bieten den Rahmen für die betrieblichen Verfahren.

Praktische Umsetzung:

• Ihr OT-Vorfallreaktionsplan ist nicht Ihr IT-VR-Plan mit "OT" am Anfang eingefügt. Erstellen Sie separate Einsatzpläne für jede größere Asset-Klasse: SPS-Kompromittierung, Historik-Ransomware, HMI-Malware, unbefugter Zugang zu Engineering-Arbeitsstationen.

• Definieren Sie Ihre Eskalationswege, die Prozesssicherheitsingenieure einschließen, nicht nur IT-Sicherheit. Das OT-Sicherheitsteam schaltet einen laufenden Prozess nicht unilateral offline — dies ist eine gemeinsame Entscheidung mit der Betriebsführung und Sicherheitsingenieuren.

• Führen Sie Tischübungen mit dem Anlagenbodenpersonal durch, nicht nur mit IT-Mitarbeitern. Ihre Wartungstechniker sind Ihre Ersthelfer in einem realen Vorfall.

• Dokumentieren Sie manuelle Rückfallverfahren. Wenn Ihr OT-Netzwerk aufgrund eines Vorfalls isoliert wird, können Ihre Betreiber den Prozess manuell betreiben? Wenn nicht, ist dies eine Lücke in der Widerstandsfähigkeit, die vor einem Vorfall geklärt werden muss.

 Implementierungsreihenfolge: Wo anfangen?

Die meisten Organisationen versuchen, alles auf einmal zu tun und erreichen nichts gründlich. Hier ist eine Reihenfolge, die widerspiegelt, wie sich Risikominderung tatsächlich akkumuliert:

Phase 1: Wissen, was Sie haben (Monate 1-3)

Führen Sie eine passive Asset-Erkennung über Ihr OT-Netzwerk durch. Nutzen Sie keine aktiven Scantools in einer Produktions-OT-Umgebung ohne herstellerspezifische Autorisierung und Tests in einer Replikaumgebung zuerst. Tools wie Claroty, Dragos, Nozomi Networks und Microsoft Defender for IoT sind für passive OT-Erkennung ausgelegt. Ausgabe: ein Asset-Inventar, kategorisiert nach Zone, Kritikalität und Unterstützbarkeit (unterstützt vs. end-of-life vs. nicht unterstützt). Dies speist sowohl 800-82 Abschnitt 4 (Systeminventar) als auch 62443-3-2 (Eingabedaten für Zonenplanung und Risikoassessment).

Phase 2: Segmentierung und Schutz der wichtigsten Bereich (Monate 2-6)

Basierend auf Ihrer Risikoabschätzung und dem Zonen-/Durchleitungsmodell implementieren Sie Ihre Netzwerksegmentierung. Beginnen Sie mit der IT/OT-Grenze — der DMZ, wenn Sie keine haben, oder mit der Härtung der bestehenden. Beenden Sie flache OT-Netzwerke. Wenden Sie die Durchleitungskontrollen zuerst zwischen Ihren Zonen mit den höchsten Konsequenzen an. Dies führt zur schnellsten Angriffsflächenreduktion.

Phase 3: Identitäts- und Zugangshygiene (Monate 3-6)

Beseitigen Sie gemeinsame Konten, insbesondere auf HMIs und Engineering-Arbeitsstationen. Implementieren Sie rollenbasierte Zugriffskontrolle. Setzen Sie eine sichere Fernzugangslösung (Jump-Host + MFA + Sitzungsaufzeichnung) ein und schließen Sie direkte VPN-Zugänge zu OT-Anlagen. Fordern Sie Ihre Lieferanten auf, dies zu tun. Implementieren Sie eine privilegierte Zugangskontrolle für technische Berechtigungen.

Phase 4: Sichtbarkeit und Erkennung (Monate 5-9)

Setzen Sie OT-aktiviertes Monitoring ein. Erstellen Sie eine Basislinie des normalen industriellen Protokollverhaltens und alarmieren Sie bei Abweichungen wie unerwarteten Funktionscodes, neuen Geräten, die im Netzwerk auftauchen, oder anormalem Verkehr zu Level 3/4. Leiten Sie Ereignisse zu Ihrem SIEM. Erstellen Sie OT-spezifische Erkennungsregeln; IT-Sicherheitsanalysten werden nicht wissen, dass ein Modbus-Schreiben an eine unerwartete Registeradresse anormal ist, ohne Anleitung.

Phase 5: Programreife (Fortlaufend)

Patch-Management gemäß 62443-2-3 (risikobasiert, getestet in einer Testumgebung, koordiniert mit Planungsabläufen), kontinuierliche Überwachung, Vorfallreaktionsübungen, Lieferantenkonformitätsdurchsetzung und jährliche Risikoabschätzungaktualisierungen mit 62443-3-2 als Methodik.

Wie man Compliance nachweist: Der Prüf-Nachweisstapel

Wenn ein Regulator, Kunde oder eine interne Prüfung von Ihnen verlangt, 800-82-Konformität nachzuweisen, produzieren Sie dies — und welches 62443-Artefakt es generiert:

Wo Organisationen oft scheitern

In über einem Jahrzehnt praktischer OT-Sicherheit tauchen immer wieder dieselben Fehlermodi auf. Seien Sie sich dieser bewusst:

IT-Sicherheitszeithorizonte auf OT-Patch-Management anwenden. Ein kritischer Patch auf einem Windows-basierten HMI wird nicht in 30 Tagen angewendet, wenn der HMI-Anbieter den Patch nicht validiert hat, Sie einen 24/7-Produktionsplan haben und das nächste geplante Wartungsfenster in sechs Monaten ist. 62443-2-3 spricht dies explizit mit einem risikobasierten Patch-Management-Ansatz an — bewerten Sie die Exploiterbarkeit und Auswirkungen der ungepatchten Schwachstelle, implementieren Sie ausgleichende Kontrollen (Netzwerkisolierung, Überwachung, temporäre Zugangsrestriktionen) und dokumentieren Sie das akzeptierte Risiko, bis der Patch sicher angewendet werden kann.

Nur auf dem Papier existierende Segmentierung. Ein Zonen- und Durchleitungsdiagramm, das nicht der tatsächlichen Netzwerkkonfiguration entspricht, ist schlimmer als kein Diagramm — es schafft eine falsche Sicherheit. Überprüfen Sie Ihre Segmentierung mit regelmäßigen Netzwerküberprüfungen und passiven Analysen des Datenverkehrs. Ihr Überwachungstool wird Ihnen sagen, ob dieser Historiker tatsächlich nur mit Level 3 spricht oder ob jemand letzten Monat eine direkte Verbindung zu einer Engineering-Arbeitsstation geöffnet hat.

Menschen ignorieren. IEC 62443-2-1:2024 umfasst Sicherheitselemente für Sicherheitsbewusstsein, Schulung und organisatorische Rollen. 800-82 Abschnitt 4 behandelt auch Sicherheitsbewusstsein. Ihre Wartungstechniker, die nicht autorisierte USB-Laufwerke anschließen, Ihre Bediener, die Fernzugriff auf Desktop-PCs an Anbieter geben, ohne es zu protokollieren, Ihr Engineering-Team, das dasselbe Passwort auf allen SPS verwendet — dies sind keine Technologiefehler. Es handelt sich um Programmfehler. Sicherheitsbewusstsein und Verfahrensdurchsetzung sind Kontrollen, nicht bloße Zusatzmodule.

Altsysteme als zu ignorierende Compliance-Ausnahmen behandeln. Legacy-IACS werden explizit in 62443-2-1:2024 behandelt — sie erfordern ausgleichende Kontrollen, dokumentiertes Restrisiko und eine Roadmap. Eine nicht dokumentierte Legacy-SPS, die auf einem nicht unterstützten Betriebssystem läuft, ohne ausgleichende Kontrollen, ist ein offener Befund. Eine Legacy-SPS mit Netzwerkisolierung, Protokollfilterung an der Durchleitung, 24/7-Passivüberwachung und einer geplanten Ersetzung im Investitionsbudget ist ein gemanagtes Risiko. Die Dokumentation macht den Unterschied.

Ein strategischer Fall: Warum Dual-Framework-Programme gewinnen

Regulierte Sektoren wie Energie (NERC CIP Adjazenz), Verteidigungsindustrie (CMMC), Chemie (CISA-Chemiefabrikanforderungen), Wasser (America's Water Infrastructure Act) beziehen sich zunehmend sowohl auf NIST SP 800-82 als auch IEC 62443 in regulatorischen Leitlinien und Kundenanforderungen zur Sicherheit. Ihr Programm gleichzeitig auf beiden Rahmenwerken aufzubauen, ist kein Compliance-Overhead; es ist vielmehr eine Versicherung gegen zukünftige regulatorische Änderungen, ein Wettbewerbsvorteil in Kunden-Sicherheitsbewertungen und eine technisch fundiertere Sicherheitsarchitektur als eines der beiden Rahmenwerke allein bietet.

Die praktische Formel lautet: Verwenden Sie IEC 62443 für Programmstruktur und Governance, verwenden Sie NIST 800-82 für Kontrollauswahl und Überlagerungen und verwenden Sie die Govern-Funktion von NIST CSF 2.0, um eine Governance und Verantwortlichkeit auf Führungsebene im gesamten Programm zu schaffen.

Organisationen, die auf diesem integrierten Fundament aufgebaut wurden, übertreffen ihre Peers konsequent sowohl in Audit-Ergebnissen als auch bei tatsächlichen Metriken zur Vorfallreaktion, weil ihr Sicherheitsprogramm widerspiegelt, wie industrielle Systeme tatsächlich funktionieren und nicht, wie IT-Systeme mit aufgesetzter OT-Terminologie funktionieren.

Treten Sie mit uns in Kontakt, um mehr darüber zu erfahren, wie Sie mit einem einheitlichen Ansatz die Konformität mit IEC 62443 und NIST SP 800-82 sicherstellen können.

Wichtige Ressourcen

• NIST SP 800-82 Rev. 3, Leitfaden zur Betriebstechnologie (OT) Sicherheit — September 2023

• ISA/IEC 62443 Schnellstart-Leitfaden — ISA

• CISA-Katalog bekannter exploitierter Schwachstellen — zur Priorisierung des Patchings unter der Anleitung von NIST SP 800-40 Rev. 4

• Strategische Implementierung von ISA/IEC 62443-3-2 

• NIST SP 800-82 Rev. 3: Strategische Implementierungscheckliste