Die IEC hat viele Normen zum Schutz von industriellen und kritischen Infrastrukturen entwickelt, darunter umfassende Normen, die für viele unterschiedliche Situationen anwendbar sind sowie beispielsweise Sondernormen für Kernkraftwerke oder das Gesundheitswesen. Gleichzeitig arbeitet die IEC auch an der Konformitätsbewertung (en: conformity assessment, CA) und weltweiten Zertifizierungsverfahren im Rahmen von Arbeitsgruppen (en: working groups, WGs), die von ihrem Conformity Assessment Board (CAB) und dem Certification Management Committee (CMC) der IECEE, dem IEC-System für Konformitätsbewertungsverfahren für elektrotechnische Geräte und Bauteile, eingerichtet wurden.
Zusätzlich zur ISO/IEC 27000-Normenreihe für IT-Service Management und der IEC 62443-Normenreihe für industrielle Kommunikationsnetzwerke und IACS, hat eine Gruppe von IEC Technischen Komitees (en: technical committees, TCs) und Unterkomitees (en: subcommittees, SCs) Normen, Technische Spezifikationen (TS) und Anforderungen für bestimmte Bereiche entwickelt.
IEC CAB hat die WG 17 gegründet, um die Marktbedürfnisse sowie einen Zeitrahmen für CA-Dienste (weltweite Zertifizierungssysteme, en: Global Certification Schemes) für Produkte, Dienstleistungen, Personal und integrierte Systeme im Bereich der Cybersicherheit zu untersuchen. Jedoch schließt sie den Anwendungsbereich der industriellen Automatisierung aus, der unter die IECEE CMC WG 31 fällt. CAB WG 17 kommuniziert ebenfalls mit anderen Industriebereichen über den generischen Ansatz bezüglich Cybersicherheit, der von IECEE CMC WG 31 angegangen wird, und wie dieser auch in anderen Bereichen gelten könnte.
Die Hauptaufgabe der IECEE CMC WG 31 besteht darin, einen „einzigartigen Ansatz für CA zur IEC 62443-Normenreihe“ zu entwickeln. Zu diesem Zweck hat sie OD-2061, ein im Juni 2018 veröffentlichter Beschlussleitfaden, erstellt, in dem beschrieben wird, wie die Konformitätsbewertung behandelt und auf bestimmte Normen der IEC 62443-Normenreihe angewendet werden kann.
OD-2061 erklärt auch, unter welchen Bedingungen IECEE Cyber Certificates of Conformity – Industrial Cyber Security Capability – geliefert werden kann. Sie sind nur gültig, wenn sie „von einem zugelassenen Prüflabor der Zertifizierungsstelle (CB) unterzeichnet und einem von einem nationalen CB (NCB) ausgestellten Zertifikat beigefügt sind“.
Derzeit sind diese Zertifikate für die folgenden Bewertungen definiert, die jeweils für eine oder mehrere Normen der IEC 62443-Normenreihe gelten:
- Produktfähigkeit
- Prozessfähigkeit
- Produktanwendung der Fähigkeiten
- Prozessanwendung der Fähigkeiten
- Lösungsanwendung der Fähigkeiten
Zusammen mit den cyberbezogenen IEC-Sicherheitsnormen sollte die jüngste Einführung umfassender CA-Zertifizierungssysteme sicherstellen, dass Systeme, die auf industrielle Kommunikationsnetzwerke und IACS – einschließlich Lieferketten – angewiesen sind, besser gegen Cyberbedrohungen geschützt sind.