SecureEdge Pro officieel IEC 62443-4-2 gecertificeerd: wat betekent dit voor machinebouwers?

We zijn trots om te delen dat IXON’s SecureEdge Pro officieel IEC 62443-4-2 gecertificeerd is. Een belangrijke mijlpaal, want dit wordt wereldwijd gezien als de norm voor cybersecurity in industriële componenten. Na een uitgebreid audit traject, uitgevoerd door de onafhankelijke partij Bureau Veritas, hebben we onlangs het officiële certificaat ontvangen.

Maar wat houdt deze certificering precies in? En vooral: wat betekent dit voor jou als machinebouwer? Bekijk de video voor een korte uitleg of lees hieronder verder voor meer verdieping.

In deze blog gaan we in op de volgende vragen:

• Wat is IEC 62443-4-2?
• Waarom is deze certificering belangrijk voor machinebouwers?
• Wat heeft IXON gedaan om de certificering te behalen?
• Waar voldoet de SecureEdge Pro nu aantoonbaar aan?
• Hoe IXON continu werkt aan security?
• Wil je als machinebouwer zelf voldoen aan IEC 62443-3-3?

Daarnaast beantwoorden we een aantal veelgestelde vragen over IEC 62443.

Wat is IEC 62443-4-2?

IEC 62443 is a family of standards with specific cybersecurity requirements for industrial automation. Whereas standards such as ISO or NIS2 mainly provide frameworks, IEC 62443 goes into greater depth.

Because IXON supplies industrial components, IEC 62443-4-2 is the appropriate standard. A mandatory basis for this is IEC 62443-4-1 for secure software development, which IXON has already successfully achieved.

The IEC 62443 standard consists of several sub-standards, each targeting a different level, only a limited number of which are certifiable:

• IEC 62443-4-1: eisen voor veilige software ontwikkelprocessen
• IEC 62443-4-2: eisen voor veilige industriële componenten
• IEC 62443-3-3: eisen voor complete systemen of machines
• IEC 62443-2-4: eisen voor service- en onderhoudsprocessen van systeemintegrators

Voor de SecureEdge Pro betekent dit dat het met het IEC 62443-4-2 certificaat voldoet aan de hoogste vereisten die gesteld worden voor de beveiliging van individuele industriële componenten.

Waarom is deze certificering belangrijk voor machinebouwers?

Steeds meer fabrieken en industriële eindklanten verwachten dat machines voldoen aan IEC 62443-3-3. Wanneer je componenten gebruikt die al 4-2 gecertificeerd zijn, zet je aantoonbaar grote stappen richting de systeemvereisten en kun je als machinebouwer eenvoudiger aantonen dat je voldoet. Dit brengt een aantal voordelen met zich mee:

1. Snellere acceptatie door eindklanten
   Eindklanten vragen steeds vaker expliciet naar IEC compatibiliteit. Met een officieel 4-2 certificaat kun jij direct laten zien dat jouw machine architectuur richting 3-3 al onderbouwd is.
2. Eenvoudiger voldoen aan NIS2, CRA en andere EU-richtlijnen
   Nieuwe EU-regelgeving verwijst steeds vaker naar IEC eisen. Als je componenten gebruikt die al IEC gecertificeerd zijn, voldoe je aantoonbaar sneller aan de verplichtingen uit NIS2, de Cyber Resilience Act en andere eisen die de EU voorschrijft.
3. Minder risico’s en sterker beveiligde machines 
   IEC-eisen zijn concreet, diepgaand en gebaseerd op best practices uit de industrie. Daardoor wordt het risico op incidenten verlaagd en werk je aantoonbaar veiliger.

Wat heeft IXON gedaan om deze certificering te behalen?

Om officieel IEC 62443-4-2 gecertificeerd te worden, moest IXON aantoonbaar voldoen aan de eisen van IEC 62443-4-1 voor secure software development.

In hoofdlijnen hebben we:

• Ons volledige software-ontwikkelproces opnieuw ingericht
• Meer dan 65 documenten ontwikkeld en geupdate
• Een uitgebreid secure design, testplan en testrapport opgesteld
• Meerdere audits doorlopen met Bureau Veritas
• Aanvullende securityfunctionaliteiten gebouwd voor de SecureEdge Pro

Het was een intensief traject, maar een belangrijke stap om machinebouwers nog beter en veiliger te ondersteunen.

Lees meer over onze IEC 62443-4-1 certificering.

Waar voldoet de SecureEdge Pro nu aantoonbaar aan?

Naast sterke encryptie en bescherming op het gebied van DoS en misbruik, beschikt de SecureEdge Pro over verbeterde functies waar jij direct van profiteert:

1. Lokale rollen & permissies
   Maak eenvoudig via de lokale webinterface meerdere gebruikers aan en bepaal precies wat iemand wel of niet mag wijzigen. Ideaal voor situaties waarin je eindklanten beperkte beheertoegang wilt geven.
2. Functionaliteiten uitschakelen (least functionality)
   Je kunt nu zelf protocollen, diensten en interfaces uitschakelen. Alles wat je niet gebruikt, kun je veilig afsluiten om je attack surface te minimaliseren.
3. Verbeterde audit logging
   De router registreert nog gedetailleerder wie wat wanneer doet. Dat is belangrijk bij incidentanalyse.

Hoe IXON continu werkt aan security

Bij IXON zien we security als de basis van alles wat we bouwen. Als cloudplatform voor remote access creëren we bewust een gateway tot industriële installaties. Dat brengt grote voordelen met zich mee, maar ook risico’s. Daarom is security bij IXON geen losse feature of tijdelijk project, maar het fundament van ons platform.

Dit betekent dat we continu inspelen op nieuwe ontwikkelingen binnen cybersecurity, actief luisteren naar klanten en security structureel verankeren in onze processen. Van een dedicated securityteam en jaarlijkse audits tot wekelijkse management meetings en de integratie van security in elke R&D en productbeslissing.

Tegelijkertijd vindt IXON het belangrijk dat jij zelf de juiste balans kunt bepalen tussen veiligheid en gebruiksgemak. Met de SecureEdge Pro krijg je daarom standaard veel flexibiliteit: je kiest zelf welke functies je inschakelt, hoe streng je gebruikers beheert en welke risico’s voor jouw situatie acceptabel zijn. Om je daarbij te helpen, heeft IXON twee configuratie guides ontwikkeld.

"Wij bepalen niet wat voor jou een acceptabel risico is. We geven je alle opties, zodat jij de juiste keuze kunt maken voor jouw situatie."

- Dylan Eikelenboom, Security Officer bij IXON

Wil je als machinebouwer zelf voldoen aan IEC 62443-3-3?

Door het certificeringstraject dat wij zelf hebben doorlopen, hebben we veel inzichten opgedaan die we graag willen meegeven aan machinebouwers die zelf het traject willen doorlopen.

Een paar praktische tips:

• Begin vroeg: de IEC is diepgaand en kost tijd.
• Neem, als dit mogelijk is, security direct mee in het ontwerp
• Werk met een ervaren consultant: dat versnelt het hele traject.
• Gebruik IEC-gecertificeerde componenten zoals de SecureEdge Pro, om makkelijker te voldoen aan de IEC 62443-3-3.

Veelgestelde vragen

Wat is het verschil tussen IEC 62443-4-2 en 62443-3-3?

Deze twee standaarden lijken sterk op elkaar, maar richten zich op een ander niveau binnen een industriële installatie.

• IEC 62443-4-2 gaat over één specifiek component, zoals een router, PLC of HMI. De norm legt heel concreet vast welke beveiligingsfuncties zo’n apparaat moet ondersteunen.
• IEC 62443-3-3 gaat over het complete systeem, bijvoorbeeld een hele machinebesturing of productielijn.

Hoe werken security levels binnen IEC 62443?

Binnen de IEC-standaard wordt gewerkt met vier security levels (SL1 t/m SL4). Die geven aan tegen welk type aanvaller een component of systeem bestand moet zijn:

• SL1: bescherming tegen toevallige aanvallen
• SL2: bescherming tegen georganiseerde aanvallen
• SL3: bescherming tegen geavanceerde aanvallers
• SL4: bescherming tegen bijvoorbeeld state-sponsored aanvallen

IXON’s SecureEdge Pro is gecertificeerd voor Security Level 2 (SL2). Het betekent dus dat een component bestand is tegen een aanvaller die doelgericht te werk gaat, basiskennis heeft en gebruikmaakt van algemeen beschikbare tools. SL2 is precies het dreigingsniveau dat in de industrie het meest gezien wordt.

Waarom heeft IXON gekozen voor security level 2?

Security Level 2 is het niveau dat machinebouwers, OEM’s en industriële eindklanten het vaakst eisen. SL3 en SL4 worden vooral toegepast in kritische sectoren, waar de beveiligingseisen veel zwaarder zijn en in de praktijk minder passen bij standaard machinebouw. SL2 biedt daarom de beste balans: een hoog beveiligingsniveau, praktisch toepasbaar en sluit aan op de vragen vanuit de markt.

Omdat veel van onze klanten actief zijn in sectoren zoals waterzuivering, food & beverage en energie, hebben we ook meerdere SL3 eisen meegenomen. Daardoor is de SecureEdge Pro in veel gevallen voldoende veilig voor omgevingen waar normaal gesproken SL3 vereist is, al bepaalt een auditor altijd of het totale systeem uiteindelijk SL3 compliant is.

Hoe helpt de IEC 62443-4-2 mij richting NIS2 of de Cyber Resilience Act?

NIS2 en de Cyber Resilience Act schrijven niet voor hoe je iets moet beveiligen, maar wel dat je aantoonbare maatregelen moet nemen. Precies daar sluit IEC 62443 perfect op aan.

Omdat IEC 62443 verder gaat dan Europese wetgeving, helpt het gebruik van IEC gecertificeerde componenten bij het aantoonbaar invullen van technische beveiligingseisen binnen NIS2 en de Cyber Resilience Act.

Kan IXON helpen als ik zelf IEC 62443 wil behalen?

We kunnen adviseren, ervaringen delen en IEC-gecertificeerde componenten leveren. We doen geen officiële consultancy, maar onze Security Desk helpt graag met uitleg over de norm. Daarnaast heeft IXON een gratis Excel spreadsheet (Security Kit) gemaakt met uitleg, zodat je direct kunt starten met een eerste IEC 62443-analyse van je machine.

Is IEC verplicht voor mijn machine?

Nee, de norm is niet wettelijk verplicht. Maar steeds meer fabrieken nemen IEC wel op in hun inkoopvoorwaarden. In de praktijk wordt het daarmee steeds vaker een ‘must have’.

Moet ik zelf iets doen om de SecureEdge Pro veilig in te stellen?

Standaard is de SecureEdge Pro veilig geconfigureerd, maar je kunt de beveiliging verder aanscherpen met onze:

• Secure Baseline Guide voor een zo veilig mogelijke basisconfiguratie.
• Advanced Hardening Guide voor extra informatie en suggesties voor situaties waarin je bewust andere keuzes wilt maken.
  

Hiermee bepaal jij zelf hoe streng je jouw installatie maakt. Je kunt functies uitschakelen, toegangsrechten instellen en de router zo configureren dat deze geschikt is voor gebruik in SL2-omgevingen en daarboven.