Die IEC-62443-Normfamilie eignet sich mit ihren Teilnormen und deren Konzepten, wie etwa Defense in Depth, Zonierung, Prozessbezug und Lieferantenmanagement, wie keine andere Norm dazu, sichere IoT-Komponenten und -Systeme zu entwickeln und zu betreiben. Wie muss die Softwareentwicklung organisiert sein, um IEC-62443-konforme Ergebnisse abliefern zu können? Können agile Ansätze wie Scrum oder Kanban beibehalten werden, ist eine zusätzliche Governance-Struktur oder gar eine alternative Organisationsform notwendig? Der Beitrag geht der Frage nach, wie Softwareentwicklungsteams organisiert sein und welche Dokumentationspflichten beachtet werden müssen, um IEC-62443-konforme Produkte und Systeme zu entwickeln und zu betreiben. Er nimmt dabei Bezug auf den Microsoft Secure Development Lifecycle, auf agile und auf "leane" Ansätze und auf entsprechende Metriken zur Softwareentwicklung. Er behandelt in diesem Zusammenhang auch Fragen zur Zertifizierung nach IEC 62443 sowie öffentlich-rechtliche und privatrechtliche Aspekte wie das IT-Sicherheitsgesetz und Haftungsfragen.