Der Maturity Level beschreibt den Reifegrad organisatorischer Security-Prozesse. Die IEC 62443-2-1 verwendet dafür ein Modell auf Basis des CMMI-Frameworks. Der ML-Wert wird auf Grundlage der Security Program Elements festgelegt und ist damit ein Maß für den organisatorischen Reifegrad der Security-Prozesse einer Organisation.
ML 1 – Initial
ML 1 steht für einen initialen Reifegrad. Dafür muss ein generisches Verständnis von Security vorhanden sein. Außerdem werden verschiedene Prozesse gestartet. Der Reifegrad ist damit vorhanden, aber noch grundlegend und nicht in einem kontrollierten organisatorischen Rahmen abgesichert.
ML 2 – Managed
ML 2 steht für einen gemanagten Reifegrad. Es muss nachgewiesen werden, dass das Personal, das den Prozess durchführt, über das entsprechende Fachwissen verfügt, geschult ist und oder schriftliche Verfahren befolgt. Zusätzlich müssen Dokumente erstellt worden sein, die die Prozesse beschreiben. Diese Dokumente legen fest, wie die Bereitstellung und Ausführung der Fähigkeiten zu steuern ist.
ML 3 – Defined
ML 3 steht für einen definierten Reifegrad. Die in ML 2 beschriebenen Prozesse sind bereits im IACS durchgeführt worden. Das muss durch dokumentierte Nachweise belegt werden. Der Reifegrad beruht damit nicht nur auf beschriebenen und gesteuerten Prozessen, sondern auf ihrer nachweisbaren Umsetzung im industriellen Automatisierungssystem.
ML 4 – Optimised
ML 4 steht für einen optimierten Reifegrad. Geeignete Prozessmetriken können verwendet werden, um die Effektivität und Leistung des Prozesses nachzuweisen. Diese Metriken belegen eine kontinuierliche Verbesserung in den betreffenden Bereichen. Zusätzlich ist der Prozess in der gesamten Organisation wiederholbar. ML 4 beschreibt damit den höchsten Reifegrad mit messbarer Wirksamkeit, Verbesserung und organisatorischer Reproduzierbarkeit.
Einordnung des Maturity Level
Der Maturity Level bezieht sich auf die Organisation. Das erreichte Security Level wird dagegen für eine Maschine bestimmt, und das Capability Level wird für Komponenten bewertet. Der Reifegrad beschreibt also nicht die Schutzfähigkeit einer einzelnen Komponente und auch nicht unmittelbar das erreichte technische Schutzniveau einer Maschine, sondern die organisatorische Qualität der zugrunde liegenden Security-Prozesse.