Gli standard della serie IEC 62443 costituiscono la base per la certificazione di sicurezza degli IACS (Industrial Automation and Control Systems). Nel caso in cui si debba esaminare un componente IACS già provvisto di certificazione di conformità agli standard IEC 62443 pertinenti, il CVCN (Centro di Valutazione e Certificazione Nazionale) dell’Agenzia per la Cybersicurezza Nazionale (ACN) è potenzialmente interessato ad identificare quali funzionalità di sicurezza del componente siano state sottoposte a test indipendenti delle due tipologie considerate dal CVCN, di corretta implementazione e di analisi della vulnerabilità, durante il precedente processo di certificazione.

Le certificazioni di conformità agli standard IEC 62443-4-2 e IEC 62443-4-1 definite da ISASecure e da IECEE (sistema IEC di schemi di valutazione della conformità per apparecchiature e componenti elettrotecnici) sono state studiate con l’obiettivo di identificare le attività di valutazione corrispondenti ai requisiti e ai livelli di sicurezza specificati dagli standard e di analizzare tali attività rispetto alle tipologie di test del CVCN. Dopo un esame preliminare degli standard, lo studio si è concentrato sulla certificazione di conformità alla IEC 62443-4-2 di un componente IACS. La certificazione di conformità a IEC 62443-4-1 è stata considerata solo in quanto la sua applicazione al processo di produzione di un componente IACS è prerequisito per la certificazione di conformità a IEC 62443-4-2 del componente.

La certificazione CSA (Component Security Assurance), definita da ISASecure per verificare la conformità dei componenti IACS ai requisiti della IEC 62443-4-2, è stata analizzata approfonditamente. Usando la documentazione rilevante ISASecure, sono state individuate le azioni di valutazione riconducibili alle tipologie di test CVCN e sono stati prodotti diversi materiali (tabelle riassuntive, annotazioni per una interpretazione ragionata di singoli test indipendenti, grafici prodotti con specifici fogli Excel per consultazione rapida) per facilitare a un valutatore un esame di tali azioni.

I risultati ottenuti sono di potenziale interesse per il CVCN nel caso debba esaminare un componente IACS già dotato di una certificazione CSA. Infatti, in questo caso tali risultati dovrebbero fornire a un valutatore strumenti per rendere più rapida sia l’individuazione delle funzionalità di sicurezza del componente che durante il processo di certificazione CSA sono state oggetto di test indipendenti rilevanti per il CVCN sia l’interpretazione di tali test e della loro effettiva portata.