Sichere Systeme sind in der kritischen Infrastruktur von entscheidender Bedeutung. Die Grundlage sind immer sichere Produkte mit sicheren Systemen, die  auf sichere Weise eingesetzt werden.

Im Einklang mit einem risikobasierten Ansatz der IEC 62443 bieten die Produkte und Systeme die entsprechenden Sicherheitsmerkmale, um das erwartete Schutzniveau zu erreichen.

Um das Schutzniveau im Laufe der Zeit auf dem neuesten Stand zu halten, ist ein Patch-Management-Prozess von entscheidender Bedeutung.

Der Produkthersteller muss den Patch-Management-Prozess des Bedieners in Übereinstimmung mit den Anforderungen von IEC 62443-4-1 und den Empfehlungen von IEC 62443-2-3 unterstützen.

Minimale Cyber-Sicherheitspraktiken:

• Der Lieferant muss über einen Schwachstellenbehandlungsprozess für die Produkte verfügen (z. B.  Schwachstellenüberwachung für 3rd-Party-Komponenten).
• Der Anbieter veröffentlicht die cybersecurity advisories auf einer für den Betreiber leicht zugänglichen Webseite und über ICS-CERT.
• Der Lieferant stellt die Sicherheitsupdates und Patches auf sichere Weise zur Verfügung (signierte Binärdateien oder zumindest kryptografischer Hash auf einer zweiten Webseite, um sicherzustellen, dass der Patch authentisch ist).  
• Der Lieferant hat einen einzigen Ansprechpartner für alle Sicherheitsfragen für Produkte, Systeme oder Dienstleistungen
• Der Lieferant betreibt ein eigenes CERT, das Teil der weltweiten CERT-Netzwerke ist (z.B.  FIRST)
• Der Lieferant wird regelmäßig Betriebssystem-Sicherheitspatches mit der Anwendung hinsichtlich Kompatibilität qualifizieren und die Ergebnisse gegebenenfalls veröffentlichen.
• Der Lieferant bietet Patch-Management-Services für die Komponenten mit unterschiedlichen Service Level Agreements von der reinen Information bis zur Installation von Patches an.