Opsio - Cloud and AI Solutions
Cloud3 min read· 667 words

Hva Er IEC 62443? OT-Sikkerhetsstandarden Forklart

Johan Carlsson
Johan Carlsson

Country Manager, Sverige

Publisert: ·Oppdatert: ·Vurdert av Opsios ingeniørteam
Oversatt fra engelsk og gjennomgått av Opsios redaksjon. Se originalen →

Quick Answer

Hva Er IEC 62443? OT-Sikkerhetsstandarden Forklart IEC 62443 er den internasjonale standarden for sikkerhet i industrielle automasjon- og kontrollsystemer (IACS), utviklet av ISA (International Society of Automation) og vedtatt av IEC. Standarden er referert til i Digitalsikkerhetsloven som relevant teknisk standard for OT-sikkerhet i norsk kritisk infrastruktur, og er den dominerende standarden for OT-sikkerhetsarbeid globalt. ( ISA , 2022) Viktige punkter IEC 62443 dekker hele OT-sikkerhetslivssyklusen: fra risikovurdering til komponentkrav Fire serier adresserer generelle konsepter, policyer og prosedyrer, systemkrav og komponentkrav Sikkerhetsniva SL 1-4 graderer hvor robust sikkerheten ma vare mot ulike trusselnivayer Soner og kanaler er det operative kjernekonspetet for implementering IEC 62443-sertifisering er etterspurt av leverandorer og kunder i prosessindustri globalt Hva er IEC 62443? IEC 62443 er en serie pa over 12 standarddokumenter som dekker alle aspekter av sikkerhet i industrielle automasjonssystemer. Den er strukturert for tre ulike roller: eiere/operatorer av industrielle systemer, systemintegratorer og komponentleverandorer.

Hva Er IEC 62443? OT-Sikkerhetsstandarden Forklart

IEC 62443 er den internasjonale standarden for sikkerhet i industrielle automasjon- og kontrollsystemer (IACS), utviklet av ISA (International Society of Automation) og vedtatt av IEC. Standarden er referert til i Digitalsikkerhetsloven som relevant teknisk standard for OT-sikkerhet i norsk kritisk infrastruktur, og er den dominerende standarden for OT-sikkerhetsarbeid globalt. (ISA, 2022)

Viktige punkter

  • IEC 62443 dekker hele OT-sikkerhetslivssyklusen: fra risikovurdering til komponentkrav
  • Fire serier adresserer generelle konsepter, policyer og prosedyrer, systemkrav og komponentkrav
  • Sikkerhetsniva SL 1-4 graderer hvor robust sikkerheten ma vare mot ulike trusselnivayer
  • Soner og kanaler er det operative kjernekonspetet for implementering
  • IEC 62443-sertifisering er etterspurt av leverandorer og kunder i prosessindustri globalt

Hva er IEC 62443?

IEC 62443 er en serie pa over 12 standarddokumenter som dekker alle aspekter av sikkerhet i industrielle automasjonssystemer. Den er strukturert for tre ulike roller: eiere/operatorer av industrielle systemer, systemintegratorer og komponentleverandorer. Hvert dokument i serien gir spesifikke krav og veiledning for en av disse rollene. Standarden bruker en risikobasert tilnarming der sikkerhetsniva tilpasses det faktiske trusselbildet og konsekvensene av kompromittering. (IEC, 2023)

For norske industrivirksomheter er IEC 62443 relevant av tre arsaker: den er referert i Digitalsikkerhetsloven, den er krav i mange europeiske anbud for industriprosjekter, og den gir et strukturert rammeverk som letter sikkerhetsarbeidet pa tvers av organisasjonen.

De fire seriene i IEC 62443

Standarden er organisert i fire hoveddeler, kalt serier, som addresserer ulike aspekter av OT-sikkerhet:

Serie 1 og 2: Generelt og policyer

Serie 1 - Generelt: Definerer terminologi, konsepter og krav som gjelder for hele standardserien. IEC 62443-1-1 (Terminology, Concepts and Models) er grunnlagsdokumentet alle andre deler bygger pa.

Serie 2 - Policyer og prosedyrer: Retter seg mot eiere og operatorer av IACS. Dekker sikkerhetsstyringssystem (IEC 62443-2-1), patch management (IEC 62443-2-3) og krav til leverandorer og integratorer (IEC 62443-2-4). Dette er "governance"-laget i standarden.

Serie 3 og 4: Systemer og komponenter

Serie 3 - Systemkrav: Definerer sikkerhetskrav pa systemniva. IEC 62443-3-2 (Security Risk Assessment) og IEC 62443-3-3 (System Security Requirements and Security Levels) er de mest brukte dokumentene. Her defineres soner, kanaler og sikkerhetsnivakrav.

Serie 4 - Komponentkrav: Spesifiserer sikkerhetskrav til individuelle komponenter som PLS, HMI og nettverksenheter. Leverandorer bruker denne serien for a sertifisere produkter til spesifikke sikkerhetsnivayer.

Gratis eksperthjelp

Trenger dere hjelp med cloud?

Book et gratis 30-minutters møte med en av våre spesialister innen cloud. Vi analyserer behovet ditt og gir konkrete anbefalinger — helt uten forpliktelse.

Solution ArchitectAI-spesialistSikkerhetsekspertDevOps-ingeniør
50+ sertifiserte ingeniørerAWS Advanced Partner24/7 support
Helt gratis — ingen forpliktelseSvar innen 24t

Sikkerhetsnivåer (SL 1-4)

IEC 62443 definerer fire sikkerhetsnivayer (Security Levels, SL) som beskriver robustheten av sikkerheten mot ulike trusselnivayer. Valg av sikkerhetsniva er basert pa risikovurdering for det aktuelle systemet og driftsomrade. (ISA 62443-3-3, 2022)

  • SL 1: Beskyttelse mot utilsiktet eller tilfeldig feilhandling. Minimumsniva for alle IACS-systemer
  • SL 2: Beskyttelse mot motiver enkle ma med generelle midler og ressurser. Relevant for de fleste industrielle miljoer
  • SL 3: Beskyttelse mot sofistikerte angripere med spesialisert kunnskap og ressurser. Relevant for kritisk infrastruktur
  • SL 4: Beskyttelse mot statsstotte aktorer med avansert kompetanse og ubegrensede ressurser. For de mest kritiske installasjonene

For norsk kritisk infrastruktur anbefaler NSM minst SL 2 for de fleste OT-systemer, og SL 3 for systemer med potensielt katastrofale konsekvenser ved kompromittering.

Soner og kanaler i IEC 62443

Kjernen i IEC 62443's operative implementering er konseptet med sikkerhetssoner (Security Zones) og kanaler (Conduits). En sikkerhetssone er en logisk eller fysisk gruppering av eiendeler med like sikkerhetskrav og tilgangspolicyer. En kanal er kommunikasjonsveien mellom to soner, med definerte sikkerhetskontroller. (IEC 62443-3-2, 2020)

Sonedefinisjonen er basert pa: Hvilke eiendeler har like sikkerhetskrav? Hvem skal ha tilgang? Hvilke trusler er relevante for sonen? Kanaldefinisjonen bestemmer: Hva slags trafikk er tillatt? Hvilken autentisering kreves? Er enveis eller toveis kommunikasjon tillatt? Dette er det praktiske redskapet for a implementere Purdue-modellens nettverkssegmentering.

Slik starter du med IEC 62443

For norske industrivirksomheter som vil starte med IEC 62443 anbefaler vi en tretrinns tilnarming. Forst: les IEC 62443-2-1 for a forsta kravet til sikkerhetsstyringssystem. Andre: gjennomfor en gap-analyse mot IEC 62443-3-2 for a identifisere risikoer og definere soner. Tredje: implementer tiltak for a na mal-sikkerhetsniva (SL), start med de mest kritiske sonene. Sertifisering er ikke palagt, men dokumentert samsvar er verdifullt for tilsyn og leverandorforhold. (ISA, 2025)

Written By

Johan Carlsson
Johan Carlsson

Country Manager, Sverige

Johan leder Opsios virksomhet i Sverige og driver AI-innføring, DevOps-transformasjon, sikkerhetsstrategi og skyløsninger for nordiske bedrifter. Med over 12 års erfaring innen skyinfrastruktur har han levert mer enn 200 prosjekter på AWS, Azure og GCP — med spesialisering innen Well-Architected-vurderinger, landingssonedesign og multi-sky-strategi.

View all articles →LinkedIn

Editorial standards: Denne artikkelen er skrevet av skypraktikere og fagfellevurdert av vårt ingeniørteam. Vi oppdaterer innhold kvartalsvis. Opsio opprettholder redaksjonell uavhengighet.