IEC 62443-2-1:2024 specificeert de vereisten voor het beveiligingsprogramma (SP) van de eigenaar van activa en de procedures voor een industrieel automatiserings- en controlesysteem (IACS) in werking. Dit document gebruikt de brede definitie en reikwijdte van wat een IACS vormt, zoals beschreven in IEC TS 62443‑1‑1. In de context van dit document omvat de eigenaar van activa ook de exploitant van het IACS.

Dit document erkent dat de levensduur van een IACS meer dan twintig jaar kan bedragen en dat veel oudere systemen hardware en software bevatten die niet langer worden ondersteund. Daarom behandelt het SP voor de meeste oudere systemen slechts een subset van de vereisten die in dit document zijn gedefinieerd. Als IACS of componentsoftware bijvoorbeeld niet langer wordt ondersteund, kunnen de vereisten voor beveiligingspatches niet worden nageleefd. Evenzo is back-upsoftware voor veel oudere systemen niet beschikbaar voor alle componenten van het IACS. Dit document specificeert niet dat een IACS deze technische vereisten heeft. Dit document stelt dat de eigenaar van activa beleid en procedures moet hebben rond dit soort vereisten. In het geval dat een asset-eigenaar legacysystemen heeft die niet de native technische mogelijkheden hebben, kunnen compenserende beveiligingsmaatregelen deel uitmaken van het beleid en de procedures die in dit document worden gespecificeerd.

Deze editie bevat de volgende belangrijke technische wijzigingen ten opzichte van de vorige editie:

a) herziene vereistenstructuur in SP-elementen (SPE' s),

b) herziene vereisten om duplicatie van een informatiebeveiligingsbeheersysteem (ISMS) te elimineren, en

c) een volwassenheidsmodel gedefinieerd voor het evalueren van vereisten.