Artigo técnico · IEC 62443 · Cibersegurança · Gestão
ISA/IEC 62443 para gestores de operação
IEC 62443 é referência de cibersegurança industrial que afeta disponibilidade, manutenção, contratos e investimentos em automação.
Publicado em Revisado em Política editorial
Quem precisa entender IEC 62443
Na prática, IEC 62443 costuma ser tratada como assunto exclusivo do integrador de sistemas: aparece em proposta, gera mais um parágrafo de documentação, e some. Esse é exatamente o motivo pelo qual muitas plantas falham nas auditorias quando elas chegam.
A norma não é um produto que se compra. É um framework de governança de cibersegurança industrial que determina decisões em três níveis:
- Estratégico, gerentes de planta, diretores de operações, CFO
- Tático, engenheiros de projetos, gestores de contratos, TI
- Operacional, automação, manutenção, integradores
Se o nível estratégico não entende o framework, os outros dois ficam sem direção, e a planta acumula dívida técnica de cibersegurança.
O que a norma realmente exige
A IEC 62443 é dividida em quatro grupos de documentos:
- 62443-1, definições e conceitos gerais
- 62443-2, políticas e procedimentos (organização)
- 62443-3, requisitos de sistema (arquitetura, zonas/conduítes e requisitos por nível de segurança)
- 62443-4, requisitos de produto (fabricantes de equipamento)
Para um gerente de operações, três partes são especialmente úteis: 62443-2-1 (programa de cibersegurança industrial), 62443-3-2 (definição do sistema, zonas, conduítes, análise de risco e SL-T) e 62443-3-3 (requisitos técnicos de sistema por nível de segurança). A prévia oficial da ANSI/ISA-62443-3-2 é uma boa referência para entender a sequência do método.
Referência técnica pública
IEC 62443 como governança de risco operacional
Referência visual pública para contextualizar zonas, conduítes, risco, responsáveis técnicos e níveis de segurança alvo.
Fonte: Cisco + Rockwell Automation - CPwE Design and Implementation Guides · abrir fonte primária · acesso em 12 jul. 2026
Security Levels (SL), o que escolher
A norma define quatro níveis de segurança:
- SL-1, proteção contra violação casual
- SL-2, proteção contra ataques intencionais com recursos limitados
- SL-3, proteção contra ataques sofisticados
- SL-4, proteção contra ataques sofisticados e bem financiados
Essas descrições não autorizam escolher um SL apenas pelo setor. O SL-T é resultado da análise de risco por zona e conduíte e pode variar entre os requisitos fundamentais. Duas áreas do mesmo segmento podem ter consequências, ameaças e controles compensatórios diferentes; por isso, não existe “SL padrão para a indústria brasileira”.
O que mudou em compliance B2B
Requisitos de clientes, auditorias de cadeia de suprimentos e questionários de risco cibernético podem citar IEC 62443 ou pedir controles equivalentes. A incidência varia por contrato, setor, país, seguradora e período; não se deve presumir obrigação sem consultar o instrumento aplicável.
Quando a referência aparece em contrato, auditoria ou apólice, lacunas de controle podem virar risco contratual ou influenciar a avaliação de risco. O caminho estruturado para sair dessa exposição é um diagnóstico de redes e cibersegurança OT com gap analysis contra a norma, seguido de hardening dos ativos críticos por prioridade de risco.
O que perguntar ao seu integrador
Como gerente, você não precisa virar especialista em norma. Mas precisa saber o que perguntar:
- “Que SL você está propondo para cada zona da minha planta?”
- “Qual é a análise de risco que justifica esse SL?”
- “Como vamos demonstrar conformidade em uma auditoria?”
- “Que documentação fica comigo no fim do projeto?”
- “Qual o plano de manutenção de patches e atualizações?”
Se o fornecedor responde com vendor pitch ou desconversa, você está falando com a pessoa errada.
Investimento que se paga
Cibersegurança OT não é gasto sem retorno. Na nossa experiência de engenharia em campo:
- Incidente em planta industrial não fica no custo direto de TI: ele combina parada de produção, recuperação manual, perda de batelada, laudos de seguro e impacto de marca. O custo de implantar controles desde o projeto é uma fração desse total.
- Um programa estruturado de cibersegurança OT (inventário, segmentação, gestão de patches, backup e resposta) melhora prevenção, detecção e recuperação, mas seu efeito deve ser acompanhado por indicadores e testes, não presumido como garantia de menos paradas.
- Evidências organizadas tendem a reduzir retrabalho em auditorias, sem garantir aprovação: escopo, maturidade e critérios do avaliador continuam determinantes.
A conta fecha no longo prazo, e em prevenção, não em receita. Para referências externas sobre custo de incidentes em ambientes OT, fontes úteis são os relatórios anuais da ISA Global Cybersecurity Alliance, o IBM Cost of a Data Breach Report (que tem corte por setor industrial) e os boletins do CISA.
Sua planta tem uma análise de risco OT documentada? Se a resposta for não ou “não sei”, vale uma conversa estruturada.