Die Richtlinie aus dem Jahr 2007 beschreibt konkrete Maßnahmen und Vorgehensweisen, durch deren Umsetzung die IT-Security in der Automatisierungstechnik erreicht werden kann und berücksichtigt dabei sowohl die Sichten von Systemherstellern, -integratoren, wie die der Betreiber.

Der Bundesverband der Energie- und Wasserwirtschaft gibt in diesem Whitepaper aus dem Jahr 2008 grundlegende Empfehlungen für Unternehmen der Energiewirtschaft, die im Wesentlichen auf der ISO 27002 für klassische IT basieren. Grundsätzlich wird bei Projekten mit hohem Schutzbedarf die Durch-führung einer individuellen Schutzbedarfsfeststellung empfohlen.

In 2009 verabschiedet das Bundeskabinett diesen Entwurf des Bundesministerium des Inneren. Hierin fasst der Staat seine Zielvorstellungen zum Schutz lebenswichtiger Einrichtungen wie Energie- und Wasserversorgung, sowie IT- und Transportdienstleistungen zusammen. Die Betrachtung gliedert sich in die Bereiche

1) Prävention von Schadereignissen,

2) Optimales Notfallmanagement, um Störungsauswirkungen minimal zu halten und

3) Nachhaltigkeit durch ständige Analyse zur Verbesserung der Schutzstandards.

Bei dieser Veröffentlichung aus dem Jahr 2006 handelt es sich um Erfahrungsberichte und Arbeitsunterlagen aus Sicht der Chemie- und Pharmaindustrie, die empfehlenden, aber keinen Normen- oder Richtliniencharakter haben. Deutlich dargestellt wird die Prioritätenreihenfolge der Schutzziele für Prozess-IT: 1. Verfügbarkeit, 2. Integrität, gefolgt von Authentizität, Vertraulichkeit, Nicht-Abstreitbarkeit und Überprüfbarkeit.

Die Richtlinie aus dem Jahr 2006 hat das Ziel, den Betreibern von Erzeugungsanlagen Hinweise und Empfehlungen zur Verbesserung der IT-Sicherheit zu geben. Im Focus steht dabei die für die Prozessführung der Erzeugungsanlagen erforderliche Funktionalität der Leittechnik, die durch Bedrohungen der IT-Systeme nicht beeinflusst werden darf.

Die Richtlinie IEC 62443 wird seit 2009 zusammen mit der ISA (International Society of Automation) vorangetrieben. Der vorliegende ANSI / ISA99-Standard „Security for Industrial Automation and Control Systems“ (Schichtenmodell) wird von der IEC mitgetragen und fliesst in den aktuellen Entwurf der IEC 62443 „Industrial communication networks – network and system security“ , Part 2 „Establishing an industrial automation and control system security program“ ein. Verabschiedung soll im Herbst 2010 sein. Schon im Vorwort wird darauf verwiesen, dass die empfohlenen Maßnahmen aus IEC 27001 und IEC 17799 speziell die klassische Unternehmens-IT abdecken und nicht 1:1 auf kritische Automatisierungsnetzwerke anwe ndbar sind.

Die “North American Electric Reliability Corporation” ist eine Non-Profit-Organisation, die mit der Richtlinienkompetenz für die Sicherheit und Verfügbarkeit der nordamerikanischen Stromversorgung beauftragt ist. NERC gibt insofern strenge Standards vor, die sowohl Planung als auch Betrieb von Elektrizitätserzeugungs- wie Verteilungsanlagen umfassen. Teil davon ist die „Critical Infrastructure Protection” mit ihren “Cyber Security” Standards, die den Schutz kritischer Elektrizitäts-Infrastrukturen gewährleisten sollen, insbesondere die zum Betrieb notwendigen SCADA- und Netzleitsysteme.