Platform over productie- en procesautomatisering
Wie een fabriek beveiligt, beveiligt niet alleen data, maar vooral beschikbaarheid. OT-omgevingen (PLC’s, SCADA, drives, robots, analyzers en soms safety-systemen) zijn ontworpen voor continuïteit en veiligheid en daarom vraagt cybersecurity er een andere aanpak dan in kantoor-IT.
NIST (National Institute of Standards and Technology) benadrukt dat OT-security vertrekt vanuit safety en beschikbaarheid: maatregelen moeten het proces beschermen zónder de betrouwbaarheid en performance te ondermijnen. Dat vraagt andere keuzes dan in klassieke IT.
De meeste plants zijn al lang niet meer volledig afgesloten. Remote support, koppelingen met MES/ERP, dashboards en datacollectie voor energie en kwaliteit leveren duidelijke meerwaarde op, maar zorgen er ook voor dat er meer ingangen en afhankelijkheden ontstaan. Daardoor gaan incidenten in toenemende mate over productiestilstand, kwaliteitsverlies of procesverstoring. Het is al lang niet meer enkel het verlies van data.
Tooling (firewalls, EDR, monitoring) is nodig, maar zonder governance blijft het pleisters plakken. ISO/IEC 27001 beschrijft een ISMS-aanpak waarin je risico’s structureel identificeert, beheerst en verbetert. Voor OT is ISA/IEC 62443 een logische aanvulling: een ISA Global Cybersecurity Alliance-paper legt uit hoe 62443 je ISO 27001/27002-aanpak kan uitbreiden naar OT en dat OT-security management daarbij hoort te coördineren met je bredere ISMS.
In OT is segmentatie vaak de best renderende maatregel. Binnen IEC 62443 werk je met zones (assets met gelijkaardige security-eisen) en conduits (gecontroleerde communicatiepaden tussen zones). Praktisch: je ontwerpt bewust ‘barrières’ zodat een probleem in één zone (bijvoorbeeld een onderhoudslaptop of een besmet engineering workstation) niet automatisch de volledige procesomgeving raakt.
• Enterprise IT;
• OT-DMZ (jump servers, patch repositories, data brokers);
• Supervisory (SCADA/HMI);
• Control (PLC/IO);
• Vendor/remote access zone (tijdelijk, gelogd, streng beperkt).
De EU-deadline om NIS2 om te zetten was 17 oktober 2024. Nederland liep vertraging op: RDI en NCTV geven aan dat de beoogde nationale wetten – de Cyberbeveiligingswet (Cbw / NIS2) en de Wet weerbaarheid kritieke entiteiten (Wwke / CER) – nu met een streefdatum in het 2e kwartaal van 2026 in werking moeten treden (onder voorbehoud van de parlementaire behandeling). De Cyberbeveiligingswet-pagina (Digitale Overheid) bevestigt dat de Cbw de Nederlandse omzetting van NIS2 is en verduidelijkt dat een richtlijn pas doorwerkt na nationale wetgeving.
Zelfs vóór volledige inwerkingtreding zie je dat klanten (OEM’s, eindgebruikers, integratoren) de NIS2-principes al contractueel meenemen: eisen rond logging, incidentprocessen, asset management en remote access worden vaker ‘harde’ eisen in projecten.
Onder NIS2/Cbw hoort bij significante incidenten een meldketen richting CSIRT en toezichthouder. NCSC beschrijft de meldplicht en de meerwaarde van melden (onder andere bijstand en leren van incidentinformatie). In Nederland wordt bovendien gewerkt met een centraal meldportaal zodat organisaties in één keer kunnen melden bij zowel CSIRT als toezichthouder. Praktisch biedt NCSC ook een online route om cyberincidenten te melden.
NCSC vermeldt dat de Rijksinspectie Digitale Infrastructuur (RDI) een vragenlijst heeft ontwikkeld waarmee organisaties kunnen evalueren of ze onder NIS2 vallen en als essentieel/belangrijk worden aangemerkt. In de praktijk wordt dit vaak gebruikt als de RDI NIS2-Quickscan (eerste indicatie; de uiteindelijke duiding hangt af van wetgeving en toezicht). Dit is relevant voor industriële spelers omdat supply chains vaak gemengd zijn: een maakbedrijf kan zelf buiten scope vallen, maar wel leveren aan partijen die wél in scope zijn. Zo komen security-eisen toch binnen via contracten, audits en supplier assessments.
Waar NIS2 vooral gaat over organisaties en hun risicobeheer, legt de Cyber Resilience Act (CRA) verplichtingen bij producten met digitale elementen (hardware/software). In de CRA staat de toepassingskalender expliciet: de verordening is van kracht na publicatie, maar gaat van toepassing vanaf 11 december 2027; de reporting-verplichtingen (artikel 14) starten al op 11 september 2026 en sommige bepalingen (o.a. rond conformity assessment bodies) op 11 juni 2026. Voor industriële automatisering betekent dit dat ‘security by design’ en vulnerability handling + supportperiode meer gewicht krijgen bij de selectie van componenten (PLC’s, gateways, industriële PC’s, sensoren met Ethernet, remote access-appliances).
