Wat is IEC 62443-3-3?
IEC 62443-3-3 is een onderdeel van de IEC 62443-serie en beschrijft de technische beveiligingseisen voor industriële automatiserings- en controlesystemen (IACS). Deze norm richt zich specifiek op het realiseren van beveiligingsmaatregelen op systeemniveau, zoals SCADA-, DCS- en PLC-omgevingen.
IEC 62443-3-3 definieert concrete technische beveiligingseisen en koppelt die aan het juiste Security Level (SL).
🧠 Wat beschrijft IEC 62443-3-3?
De norm bevat 48 technische eisen, gegroepeerd in 7 fundamentele categorieën. Deze zijn van toepassing op het “target system”, bijvoorbeeld een SCADA-systeem, HMI-omgeving of procescontroller.
7 Fundamentele eisen:
- Identification and authentication control (IAC)
- User-Based Access Control, MFA, unieke gebruikers-ID’s
- Use control (UC)
- Least Privilege, RBAC, beperking van functies per gebruiker
- System integrity (SI)
- Whitelisting, Application Control, Patchmanagement
- Data confidentiality (DC)
- Encryptie van netwerkverkeer, wachtwoorden en data
- Restricted data flow (RDF)
- Timely response to events (TRE)
- Resource availability (RA)
- Bescherming tegen DDoS, Redundantie, High Availability
🔐 Security Levels (SL)
IEC 62443-3-3 definieert vier Security Levels, gebaseerd op het type dreiging:
| SL | Doel | Voorbeeldgebruik |
|---|---|---|
| SL 1 | Bescherming tegen toevallige fouten | Niet-kritische HMI of monitoringstations |
| SL 2 | Bescherming tegen opzettelijke misbruik met beperkte middelen | Basis OT-netwerken |
| SL 3 | Bescherming tegen goed uitgeruste aanvallers | Kritische infrastructuur, productie |
| SL 4 | Bescherming tegen zeer geavanceerde aanvallen | Energie, chemie, vitale processen |
Iedere technische eis uit IEC 62443-3-3 heeft een minimale SL waarbinnen deze toegepast moet worden.
🏭 Praktische toepassing in OT
| Component | Voorbeelden van 3-3-eisen |
|---|---|
| SCADA | Loginbeheer (IAC), logging van handelingen (TRE), data-encryptie (DC) |
| PLC | Authenticatie van programmeertools (IAC), fysieke poortcontrole (UC) |
| Historian | Beveiligde communicatie (DC), bescherming tegen DoS (RA), patchbeheer (SI) |
| Engineering Station | Whitelisting (SI), Application Control (UC), rechtenbeheer (RBAC) |
✅ Voordelen van implementatie
- Duidelijke en meetbare technische eisen
- Ondersteunt Defense in Depth-strategie
- Toepasbaar per systeem, per zone of segment
- Ondersteunt compliance met NIS2, ISO 27001, NIST CSF
📌 Samengevat
IEC 62443-3-3 bevat de technische beveiligingseisen voor systemen in OT-netwerken, gekoppeld aan Security levels. Het is de technische basis voor het beschermen van processen, systemen en infrastructuur tegen cyberdreigingen.