Var sätter man gränserna runt och inuti ett system som ska skyddas? Ett förslag till en ny del av den internationella standarden för IT-säkerhet i industriella styr- och reglersystem handlar om just det.  Den planerade nya delen, IEC 62443-3-2, Security risk assessment and system design, bygger på en uppdelning av systemet i avgränsade zoner och kanaler och på riskbedömning och en bestämning av de tänkta säkerhetsnivåerna. Just riskbedömningen är central i sammanhanget, eftersom hotbild, känslighet och möjliga konsekvenser är olika från anläggning till anläggning.

Förslaget, som har beteckningen 65/690/CDV är ute på remiss till 14 maj 2018. Den internationella standarden IEC 62443 är mer teknik- och lösningsorienterad än den mer generella – och mer kända – ledningssystemstandarden ISO 27000. Den är tänkt för automation och processtyrning i industri och teknisk infrastruktur och fokuserar på hur man gör för att uppnå det önskade skyddet, som förstås beror på vilken nivå som valts för de olika delarna av systemet.  IEC 62443, som har titeln Industrial communication networks – Network and system security, består av flera delar. Den behandlar kontroll av åtkomst och användning, skydd mot avlyssning och ändring av data och skydd mot obehörig publicering, samt snabbt ingripande om något händer och upprätthållande av tillgängligheten.