Beknopte handleiding voor machinebouwers: hoe herken je een geldig cybersecurity certificaat

In de huidige industriële omgeving is cybersecurity niet langer een concurrentievoordeel, maar een vereiste vanuit de markt en regelgeving. Toch zijn niet alle documenten die op een certificaat lijken ook daadwerkelijk officiële certificeringen. Het verschil begrijpen helpt je om betrouwbare leveranciers te kiezen en technische, juridische en reputatierisico’s te vermijden.

Algemene certificeringen zoals ISO 27001 hebben betrekking op de organisatie van een bedrijf, maar bieden geen garantie dat een specifiek product beschermd is tegen cyberaanvallen. Daarom is een specifieke productcertificering (IEC 62443-4-2) vereist

Ga er dus niet automatisch van uit dat een product veilig is omdat een leverancier ISO 27001 gecertificeerd is. Controleer altijd of het betreffende component beschikt over een specifieke IEC 62443 certificering.

In deze blog komen de volgende onderwerpen aan bod:

• Wat een officiële certificering is
• Waarschuwingssignalen van ‘zelfverklaringen'
• Hoe je snel een leverancier controleert
• Ondersteuning voor machinebouwers

Wat is een officiële certificering?

Kijk bijvoorbeeld naar het IEC 62443-4-2 certificaat van IXON's SecureEdge gateways. Hieraan zijn de kenmerken van een officiële industriële cybersecuritycertificering goed te herkennen:

• Het certificaat wordt afgegeven door een geaccrediteerde, onafhankelijke certificeringsinstantie (zoals Bureau Veritas, TÜV of UL)
• Het certificaat is gebaseerd op een officiële internationale standaard, zoals beheerd door de IECEE (IEC System of Conformity Assessment Schemes for Electrotechnical Equipment and Components):
  
• Het certificaat is openbaar te verifiëren via internationale databases:
  
  
  Voorbeeld van een zoekopdracht met het IXON's IEC 62443-4-2 certificaat

• Welke standaard gecertificeerd is (bijvoorbeeld een specifiek onderdeel van de standaard) en Welk Security Level of Maturity Level is behaald, afhankelijk van het type certificering

• Op welk product of component de certificering van toepassing is
  

Denk hierbij aan een rijbewijs:
Een ‘verklaring’ lijkt op een vriend die zegt dat iemand goed kan autorijden
Een ‘certificering’ is het officiële document dat een bevoegde instantie afgeeft na het succesvol afronden van een examen.

Lees meer over IXON's IEC 62443-4-2 certificering.

Waarschuwingssignalen van ‘zelfverklaringen’

Een conformiteitsverklaring of niet-geaccrediteerde verklaring:

• Kan afkomstig zijn van adviesbureaus of onbevoegde derde partijen
• Bevat geen erkende onafhankelijke audits
• Vermeldt vaak meerdere standaarden (zoals NIST, BSI of OWASP) zonder daadwerkelijke certificering
• Kan niet worden gecontroleerd via officiële registers
  

Kortom: het gaat om een verklaring, niet om aantoonbaar bewijs.

Hoe controleer je snel een leverancier?

Wanneer een leverancier aangeeft gecertificeerd te zijn, vraag dan altijd om de volgende gegevens. Deze gegevens staan bijvoorbeeld vermeld in IXON’s IEC 62443-4-1 certificaat voor veilige softwareontwikkeling:

• Het officiële certificaatnummer

• De naam van de certificerende instantie
• De norm en het behaalde Security Level of Maturity Level (afhankelijk van het type certificering)
• Verificatie via internationale databases zoals: certificates.iecee.org

Voorbeeld van een zoekopdracht met het IEC 62443-4-1-certificaat van IXON. Lees meer

Kan een leverancier deze informatie niet verstrekken, of ontbreekt een directe link naar het certificaat in het register, dan gaat het waarschijnlijk niet om een officiële certificering.

Ondersteuning voor machinebouwers

Een officiële certificering toont aan dat onafhankelijke derde partijen de conformiteit hebben gecontroleerd. De SecureEdge gateways van IXON behoren tot de eerste IEC 62443-4-2 gecertificeerde edge gateways ter wereld. Het gebruik van gecertificeerde industriële componenten vereenvoudigt bovendien het certificeringsproces volgens IEC 62443-3-3 voor machines, iets waar eindklanten in de industrie steeds vaker om vragen

Nieuwe Europese regelgeving verwijst bovendien steeds vaker naar IEC-eisen. Door gebruik te maken van componenten die al IEC-gecertificeerd zijn, kan sneller worden aangetoond dat wordt voldaan aan verplichtingen uit NIS2, de Cyber Resilience Act (CRA) en de nieuwe Machineverordening (EU) 2023/1230.