Come è strutturata la Serie IEC 62443?

La Serie IEC 62443 è strutturata in quattro parti principali, ciascuna delle quali affronta un diverso aspetto della cybersecurity industriale:

1. Generale,
2. Politiche e procedure,
3. Sistema
4. Componente

La parte Generale fornisce i concetti fondamentali, la terminologia e i modelli utilizzati in tutta la Serie IEC 62443. Essa stabilisce un linguaggio comune e un quadro concettuale condiviso per tutti gli stakeholder coinvolti nella cybersecurity industriale. Gli elementi chiave includono:

• • Definizioni dei principali concetti di cybersecurity, come zone, condotti (conduits), livelli di sicurezza e rischio.
  • Descrizione delle architetture tipiche di automazione industriale e degli ambienti di minaccia.
  • Introduzione della strategia di difesa in profondità (defense-in-depth) per i sistemi industriali.
  • Allineamento dei concetti di cybersecurity con le considerazioni di sicurezza funzionale (safety) e affidabilità.

Questa parte ha principalmente carattere informativo e funge da scheletro della norma. Garantisce che tutti gli stakeholder, tecnici e non tecnici, condividano una comprensione comune dei principi di cybersecurity prima di passare alla fase di implementazione.

La parte Politiche e Procedure si concentra sugli aspetti organizzativi e gestionali della cybersecurity. Definisce come le aziende dovrebbero istituire, gestire e migliorare continuamente i propri programmi di sicurezza informatica.

I principali temi trattati includono:

• • Governance della cybersecurity e assegnazione delle responsabilità
  • Processi di valutazione e gestione del rischio.
  • Gestione degli asset e gestione del ciclo di vita dei sistemi.
  • Gestione degli incidenti, patch management e change management.
  • Requisiti per fornitori di servizi e system integrator.

Questa parte è rivolta principalmente ai proprietari degli asset (asset owner) e ai fornitori di servizi, garantendo che la cybersecurity sia integrata nei processi organizzativi e non venga trattata come una questione esclusivamente tecnica. Sottolinea che sistemi sicuri non possono esistere senza una gestione strutturata, personale formato e procedure documentate.

La parte Sistema affronta la cybersecurity a livello dell’intero sistema di automazione industriale. Definisce i requisiti tecnici per la progettazione e l’implementazione di architetture di sistema sicure. I concetti chiave includono:

• • Zone e condotti (zones and conduits): raggruppamento degli asset con requisiti di sicurezza simili e controllo delle comunicazioni tra di essi.
  • Livelli di sicurezza (Security Levels – SL 1–4): rappresentano una resistenza crescente nei confronti di attori di minaccia con differenti capacità e motivazioni.
  • Requisiti di sicurezza a livello di sistema per il controllo degli accessi, la segmentazione di rete, l’integrità del sistema, il monitoraggio e la disponibilità.
  • Integrazione sicura di componenti provenienti da fornitori diversi.

Questa sezione è particolarmente rilevante per i system integrator e gli architetti di cybersecurity, poiché traduce gli obiettivi di sicurezza organizzativi in architetture tecniche concrete.

La parte Componente si concentra sui singoli prodotti, come PLCs, RTUs, HMIs, switch industriali e componenti software. Essa definisce:

• • Requisiti del ciclo di sviluppo sicuro (Secure Development Lifecycle) per i fornitori di prodotti.
  • Capacità tecniche di sicurezza che i componenti devono offrire, come autenticazione, autorizzazione, comunicazioni sicure e controlli di integrità.
  • Livelli di capacità di sicurezza allineati ai requisiti di sicurezza a livello di sistema.

Questa sezione garantisce che i componenti industriali siano progettati tenendo conto della cybersecurity e possano essere integrati in modo sicuro all’interno di sistemi più complessi. È particolarmente rilevante per i produttori e i vendor di prodotti industriali.