Vad Är IEC 62443? Industriell Cybersäkerhetsstandard Förklarad
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Vad Är IEC 62443? Industriell Cybersäkerhetsstandard Förklarad
IEC 62443 är den internationella standardfamiljen för cybersäkerhet i industriella automations- och styrsystem (IACS). Standarden används av 68 procent av OT-säkerhetsteam som primärt referensramverk och erkänns av EU som en harmoniserad standard under NIS2-direktivet (SANS Institute, 2024). Den ger strukturerad vägledning för ägare, systemintegratörer och komponenttillverkare.
Viktiga slutsatser
- IEC 62443 täcker hela ekosystemet: systemägare, integratörer och komponenttillverkare.
- Standarden definierar Security Levels 1-4 som kopplar krav till risk- och hotprofil.
- EU erkänner IEC 62443 som harmoniserad standard under NIS2-direktivet.
- 68 procent av OT-säkerhetsteam använder IEC 62443 som primärt ramverk (SANS, 2024).
Vad är IEC 62443?
IEC 62443, formellt ISA/IEC 62443, är en familj av standarder som definierar cybersäkerhetskrav för industriella automations- och styrsystem. Standarden utvecklades av ISA99-kommittén och har sedan standardiserats av IEC. Den täcker hela livscykeln för IACS, från design och implementering till drift och underhåll. Till skillnad från NIST-riktlinjer är IEC 62443 en formell internationell standard som kan användas för certifiering.
Standardens styrka är att den adresserar alla aktörer i OT-ekosystemet. Systemägare (asset owners) får krav på riskhantering och säkerhetsprogram. Systemintegratörer får krav på säker integration av komponenter och system. Komponenttillverkare får produktsäkerhetskrav. Denna tredimensionella täckning gör IEC 62443 unikt komplett som ramverk.
Citatkapsyl: IEC 62443 är den internationella standardfamiljen för industriell cybersäkerhet, erkänd av EU under NIS2-direktivet och använd av 68 procent av OT-säkerhetsteam globalt. Standarden definierar Security Levels 1-4 och täcker systemägare, integratörer och komponenttillverkare (SANS Institute, 2024).
IEC 62443:s fyra serier
IEC 62443 är organiserad i fyra serier, var och en med ett specifikt fokusområde. Standardens omfång gör att de flesta organisationer väljer att prioritera de delar som är mest relevanta för deras roll och riskprofil snarare än att implementera hela standardfamiljen på en gång.
Serie 1: Allmänt
Serie 1 inkluderar grundläggande dokument som terminologi, koncept och modeller. IEC 62443-1-1 definierar standardens grundbegrepp. IEC 62443-1-2 är en ordlista. IEC 62443-1-3 definierar systemkravsmodellen. Serie 1-dokumenten ger den konceptuella grunden som resten av standarden bygger på och är utgångspunkten för alla som ska förstå IEC 62443-ramverket.
Serie 2: Policies och procedurer
Serie 2 riktar sig primärt till systemägare och beskriver krav på säkerhetsprogram, riskutvärderingsmetodik och patch management. IEC 62443-2-1, Establishing an IACS Security Program, är det mest centrala dokumentet för systemägare. Det beskriver hur ett säkerhetsprogram byggs upp och underhålls, och är direkt tillämpbart för NIS2-efterlevnad.
Serie 3: Systemkrav
Serie 3 definierar säkerhetskrav på systemnivå och är det område de flesta OT-säkerhetsprojekt fokuserar på. IEC 62443-3-2 definierar processen för säkerhetszoner och förbindelser (conduits), inklusive how to establish Security Levels. IEC 62443-3-3, System Security Requirements and Security Levels, är kärndokumentet som specificerar krav per Security Level.
Serie 4: Komponentkrav
Serie 4 riktar sig till komponenttillverkare och definierar säkerhetskrav för enskilda produkter. IEC 62443-4-2 specificerar tekniska säkerhetskrav för IACS-komponenter som PLC, HMI och nätverk. Allt fler industriella leverantörer certifierar sina produkter mot IEC 62443-4-2, vilket ger systemägare ett objektivt mått på produkters säkerhetsnivå.
[IMAGE: Diagram över IEC 62443 standardseriestruktur - sökterm: IEC 62443 standard series structure diagram]Vill ni ha expertstöd med vad är iec 62443?
Våra molnarkitekter hjälper er med vad är iec 62443 — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Vad är Security Levels (SL 1-4)?
Security Levels (SL) är ett av IEC 62443:s viktigaste bidrag. De kopplar säkerhetskrav till en specificerad hotnivå och möjliggör riskbaserade säkerhetsbeslut. NIST SP 800-82 (rev 3) refererar till IEC 62443:s Security Levels som ett rekommenderat ramverk för OT-riskklassificering (NIST, 2023).
SL 1 skyddar mot oavsiktliga händelser och opportunistiska angrepp. SL 2 ger skydd mot medvetna angrepp med allmänt tillgängliga verktyg och begränsad motivation. SL 3 skyddar mot sofistikerade angrepp med OT-specifik expertis och hög motivation. SL 4 är avsett för skydd mot statliga aktörer med obegränsade resurser och är i praktiken ovanligt utanför försvarssektorn.
En typisk industriell anläggning siktar på SL 2 för de flesta zoner och SL 3 för de mest kritiska processerna. Valet av Security Level ska baseras på en riskbedömning som väger konsekvens av kompromiss mot sannolikhet för angrepp.
Hur kopplar IEC 62443 till NIS2?
EU:s NIS2-direktiv refererar till IEC 62443 som en relevant europeisk standard för cybersäkerhet i industriella system. ENISA, EU:s cybersäkerhetsbyrå, pekar ut IEC 62443 som det rekommenderade ramverket för OT-operatörer som lyder under NIS2. Svenska organisationer som implementerar IEC 62443 kan använda det som dokumentation för NIS2-efterlevnad gentemot MSB.
Kopplingen between IEC 62443 och NIS2 är inte en formell likställdhet, men ramverkets systematiska täckning av riskhantering, zonering, åtkomstkontroll och incidentrespons adresserar de flesta av NIS2:s krav för OT-operatörer. En mappning av IEC 62443-krav mot NIS2-artiklar publicerades av ENISA 2024.
Hur implementeras IEC 62443 i praktiken?
Implementering av IEC 62443 börjar med en gap-analys mot valda delar av standarden. De flesta organisationer börjar med IEC 62443-2-1 (säkerhetsprogram) och IEC 62443-3-2 (zon- och förbindelsesmodell). En stegvis implementation tar typiskt 12-24 månader för en medelstor industriell organisation.
Certifiering är frivillig men ger ett oberoende intyg på säkerhetsnivå. Ackrediterade certifieringsorgan som TÜV, Bureau Veritas och SGS erbjuder IEC 62443-certifiering för system och komponenter. För svenska operatörer av samhällsviktiga tjänster kan certifiering mot IEC 62443 stärka NIS2-efterlevnadsdokumentationen.
NIST 800-82 för OT: guide Opsio OT-säkerhetstjänsterRelaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
