01
Festlegung des Scope
Wir empfehlen aufgrund der Komplexität des Themas die gemeinsame Auswahl eines Piloten (Werksteil, Standort), um die nötigen Prüfungen vornehmen zu können. Der Pilot schafft Klarheit, zeigt Optimierungsoptionen und bringt Ihnen Handlungssicherheit!
02
GAP-Analyse
Wir inventarisieren den Status Quo, bewerten die Schwachstellen nach ISO 27001/NIS oder auf Basis des IEC62443-Standards und geben Ihnen so einen wertvollen Überblick, wo Sie als Unternehmen stehen, dabei berücksichtigen wir natürlich Ihre bestehenden Maßnahmen im ISMS.
Die Analyse zeigt Ihnen gezielt auf, welche Bereiche Ihres OT Verbundes bereits sicher und normkonform sind und wo Bereiche nicht abgedeckt sind, und konkreter Handlungsbedarf besteht. Zudem geben wir Ihnen Empfehlungen zu den Maßnahmen, eine Einschätzung für die zu erwartenden Aufwände und die Dauer der Umsetzung.
03
Umsetzung der Maßnahmen auf Basis der GAP-Analyse
Wir begleiten sie bei der Umsetzung der Maßnahmen in der Pilotumgebung und bringen dabei unsere Industrie-, TISAX® und ISMS-Erfahrungen ein. Zudem kommen bei Bedarf erfahrene Partner für Sensorik, Netzwerke oder Cybersicherheit in der Produktion unterstützend hinzu. Die einzelnen Abschnitte der Norm manifestieren keine vorgegebene Reihenfolge, sondern die Norm versteht sich eher als ein Framework für die Etablierung und den kontinuierlichen Ausbau eines sicheren Umfeldes über alle Anwendungsebenen – vom Betrieb bis zur IoT Komponente.
04
Ausrollen der Pilotlösung auf die Gesamtorganisation
Nachdem Sie in ersten Teilen Ihrer OT Infrastruktur die Cybersicherheit umgesetzt haben, begleiten wir Sie bei der Einarbeitung der internen Erfahrungen aus dem Piloten und helfen bedarfsorientiert bei dem Rollout der Norm in den anderen relevanten Bereichen.
Consulting für OT
Unser Ablauf im Überblick
Gerne arbeite ich beim nächsten Projekt wieder mit Herrn Salvador und Team zusammen. Danke und alles Gute!
Andreas Freitag, BMW AG
Mein TISAX® Audit verlief reibungslos und war auf Anhieb erfolgreich, wir konnten unsere Informationssicherheit gemäß TISAX® nachweisen und können damit nun neue Automotive-Kunden gewinnen.
Lücken in unserer Vorbereitung bzw. Prüfung wurden zeitnah geschlossen und Dokumente in hoher Qualität wurden von Opexa geliefert. Das Team um Klaus Höllerer, Klaus Kilvinger und Thomas Salvador kann ich nur empfehlen.
Dr. Samir Kadunic, MAASU GmbH
Bei der Prüfung von Kundenanforderungen im Bereich TISAX® gab es dringenden Beratungsbedarf im Unternehmen. Dank der Hilfe der Opexa Advisory GmbH konnten wir unsere Kundenanforderungen erfüllen und zudem unsere Ziele mit einer deutlichen Kostenersparnis erreichen.
Die Opexa Advisory ist wegen der langjährigen Automotive-Erfahrung, dem Projekt Know-how und ihrer kompetenten, effizienten und unkomplizierten Unterstützung der ideale Partner.
Herbert Schmidt, Dennemeyer & Co. GmbH
Was unsere Kunden sagen
Häufige Fragen rund um die IEC 62443
Wir haben bereits eine TISAX® oder ISO27001 Zertifizierung, welchen Mehrwert habe ich?
Die ISO/IEC27001/2 und auch TISAX ist nicht primär auf das Fertigungsumfeld optimiert, daher ergänzt die ISA/IEC62443 bzw. NIS bei der Umsetzung einer umfassenden, risikobasierten Strategie zum Schutz der Betriebsanlagen: Die Kombinierten Anforderungen und Maßnahmen der 27001/2 und der 62443 sind die Grundlagen um die Gestaltung und Umsetzung von technischen und verfahrenstechnischen Maßnahmen zu gewährleisten.
Ist die Norm nur für industrielle Automatisierungsnetze sinnvoll?
Das Framework der IEC62443 ist als Grundlage für alle technisch orientierten Netze geeignet. Wenn für eine konkrete technische Situation keine Branchenspezifischen Anforderungen definiert sind lässt die Norm sich als Basis verwenden. So dient sie IEC62443 als Grundlage für IT Sicherheitsanforderungen für Elektrische Bahn-Signalanlagen (DIN VDE V 0831-104) und SmartHome Lösungen (VDE-AR-E 2849-1:2017-08).
Gibt die Norm konkrete Maßnahmen vor?
Anlalog zur ISO27001 spezifiziert die IEC62443 ein Rahmenwerk bestehend aus Anforderungen und allgemeinen Maßnahmen und Kontrollen, jedoch keine konkreten technischen Umsetzungen. Grundsätzlich fordert die Norm eine risikoorientierte Vorgehensweise mit entsprechender Schutzbedarfsfeststellung und kontinuierlicher Verbesserung (PDCA Modell). Die Norm verfolgt den Defence-in-Depth Ansatz, daher sollten entsprechende Maßnahmen bereits bei der Beschaffung von Komponenten berücksichtigt werden.
In welchem Zusammenhang steht die IEC62443 mit der ISO27001 und der IEC61508?
Bereits heute sichern Sie Ihr Unternehmensnetzwerk von der Interprise Infrastruktur bis hin zur Fertigungssteuerungs-Ebene (MES) mit IT-Sicherheitsrichtlinien und -regeln nach ISO27001 ab, auf der Shopfloor Ebene realisieren sie die Prozesssicherheit z.B. mit einer Umsetzung der IEC61508. Die ISA/ISE62443 formuliert zusätzliche Anforderungen und Maßnahmen die von der IT bis auf den Shopfloor reichen.
In der Produktion herrschen besondere Begingungen, die durchgängige Sicherheit der "Operational Technology" ist durch Systeme unterschiedlichen Alters - und mit verschiedensten Technologien - erschwert. Eine sinnvolle Ergänzung zur ISO 27001 die die Informationssicherheit in den IT-Netzen beleuchtet bietet die IEC62443 als Cybersecurity Framework für Industriesysteme. Analog zur ISO 27001 bringt der Standard eine Auswahl von Kriterien und Maßnahmen für die Sicherheit der OT Systeme, hier jedoch auch unter Berücksichtigung von technischen Herausforderungen. IEC62443 folgt dem „Defense-in-Depth“ Ansatz und involviert alle Beteiligten: Betreiber, Integrator und Komponentenhersteller. Unternehmen, die Ihre organisationsweite Informationssicherheit auf ein hohes Niveau heben wollen, sollten Ihr ISO27001 ISMS mit den Maßnahmen und Methoden der IEC 62443 für Ihre OT Landschaft und auch Ihre Lieferanten ergänzen.
Unsere Berater begleiten und unterstützen Sie, um sicherzustellen, dass Ihr Unternehmen auch komplexere Anforderungen erfüllt, wie z.B. ein umfassenderes IoT-Risikomanagement, die Sammlung von Bedrohungsinformationen und fortschrittliche Sicherheitstests. Konkret helfen wir bei den notwendigen Maßnahmen bei:
Implementierung eines Frameworks für das IOT-Risikomanagement
Optimierung eines Incident Management und effizienter Reporting Prozesse
Jährlichen Tests von kritischen Systemen und Anwendungen
Angemessenem IoT-Drittanbieter-Management