Organisaties die zowel IT- als OT-omgevingen beheren, lopen al snel tegen de vraag aan: welke norm hebben we nodig? ISO 27001 en IEC 62443 worden vaak naast elkaar genoemd, maar ze zijn fundamenteel anders van opzet en focus. In dit artikel leggen we de verschillen uit, laten we zien waar ze overlappen en helpen we u bepalen of u een of beide nodig heeft.
In het kort: ISO 27001 richt zich op informatiebeveiliging in brede zin (IT, processen, mensen). IEC 62443 is specifiek ontworpen voor de cybersecurity van industriële automatiseringssystemen (OT). Ze vullen elkaar aan — ze vervangen elkaar niet.
ISO 27001: informatiebeveiliging breed
ISO 27001 is de internationale standaard voor een Information Security Management System (ISMS). De norm schrijft voor dat organisaties:
- Risico's voor informatiebeveiliging systematisch identificeren en behandelen
- Een continu verbeterproces (Plan-Do-Check-Act) inrichten
- Beheersmaatregelen implementeren uit Annex A (93 controls in de 2022-versie)
- Beleid, procedures en documentatie op orde hebben
ISO 27001 is breed toepasbaar: van kantooromgevingen tot datacenters, van HR-processen tot cloudservices.
IEC 62443: OT-security specifiek
IEC 62443 is een serie normen die specifiek gericht is op Industrial Automation and Control Systems (IACS). De norm behandelt:
- Netwerksegmentatie via zones en conduits
- Security Levels (SL-1 t/m SL-4) per zone
- Eisen voor asset owners, system integrators en componentleveranciers
- Technische eisen voor authenticatie, logging, communicatie-integriteit en meer
IEC 62443 is ontworpen voor omgevingen waar beschikbaarheid en veiligheid zwaarder wegen dan vertrouwelijkheid — precies het omgekeerde van een typische IT-omgeving.
De vergelijking
| Aspect | ISO 27001 | IEC 62443 |
|---|---|---|
| Focus | Informatiebeveiliging (IT-breed) | OT / industriële systemen |
| Scope | Organisatiebreed ISMS | Specifieke IACS-omgevingen |
| Prioriteit | Vertrouwelijkheid > Integriteit > Beschikbaarheid | Beschikbaarheid > Integriteit > Vertrouwelijkheid |
| Aanpak | Managementsysteem (PDCA) | Technische eisen + risicoanalyse per zone |
| Certificeerbaar | Ja (door accreditatie-instantie) | Ja (per component, systeem of proces) |
| Rollen | Organisatie als geheel | Asset owner, integrator, leverancier |
| NIS2-relevant | Ja | Ja (voor OT-onderdelen) |
Waar overlappen ze?
Er is aanzienlijke overlap op het gebied van:
- Risicomanagement — beide normen vereisen een systematische risicoanalyse
- Toegangsbeheer — authenticatie, autorisatie en accountbeheer
- Incidentmanagement — detectie, respons en herstel
- Changemanagement — gecontroleerde wijzigingen aan systemen
- Awareness en training — medewerkers moeten beveiligingsbewust zijn
Heeft u beide nodig?
Het antwoord hangt af van uw situatie:
- Alleen IT-omgeving: ISO 27001 volstaat
- Alleen OT-omgeving: IEC 62443 is de primaire norm, maar ISO 27001 helpt bij het managementsysteem
- IT + OT (de meeste industriële bedrijven): u heeft beide nodig. ISO 27001 als overkoepelend ISMS, IEC 62443 voor de specifieke OT-eisen
NIS2 verwijst naar beide normen als middel om compliance aan te tonen. Een gecombineerde aanpak bespaart dubbel werk en biedt het sterkste beveiligingsfundament.
Hulp bij ISO 27001 of IEC 62443?
Resotech begeleidt organisaties bij de implementatie en certificering van ISO 27001 en IEC 62443. Wij kennen beide normen van binnenuit.
Plan een gesprek ISO 27001-dienst