‘Wat je niet weet, kan het meeste zeer doen’
De Europese Unie scherpt de cyberwetgeving stevig aan. Met de nieuwe NIS2-richtlijn, de Cyber Resilience Act (CRA) en de vernieuwde Machinerichtlijn worden ook industriële organisaties geconfronteerd met nieuwe verantwoordelijkheden op het gebied van digitale veiligheid. Volgens Christiaan Woldendorp, OT-cybersecurityexpert bij Kiwa-onderdeel Hudson Cybertec, is dat hard nodig. ‘De tijd dat machines, productieomgevingen en installaties cyberveilig waren omdat ze “los” stonden van het internet, is voorgoed voorbij.’
De wake-upcall kwam meer dan tien jaar geleden met Stuxnet, volgens experts de “moeder van alle industriële cyberaanvallen”. ‘Die malware werd via een usb-stick een Iraanse kerncentrale binnengesmokkeld en richtte daar fysieke schade aan’, legt Woldendorp uit. ‘Sindsdien raken hackers steeds vaker ook industriële besturingen. Zo zat in mei 2021 door een cyberaanval maar liefst 87% van de tankstations in Washington DC zonder brandstof. Een ander voorbeeld is de aanval op het Nederlandse Hoppenbrouwers. Die kwam tot stand via de beveiligingssoftware van een leverancier. Dat is precies waar de NIS2 onder andere op wijst: niet alleen je eigen beveiliging moet op orde zijn, ook die van je supply chain.’
IT en OT groeien naar elkaar toe
Waar IT-security traditioneel gericht is op vertrouwelijkheid van informatie, draait OT-security vooral om beschikbaarheid en integriteit. ‘Die werelden lopen steeds meer in elkaar over. Sensoren en machines communiceren via bluetooth of internet, productiecijfers worden doorgestuurd naar ERP-systemen. Je kunt niet langer doen alsof OT losstaat van IT. Daarbij: sommige systemen in de OT draaien al dertig jaar. Ze zijn nooit ontworpen met cybersecurity in het achterhoofd.’ Volgens Woldendorp is (micro)segmentatie een belangrijk hulpmiddel om OT-systemen te beveiligen. ‘Zie het netwerk als een puzzel: elk segment is een puzzelstuk en je wilt kunnen bepalen wie van het ene naar het andere stuk mag springen.’
Standaarden als fundament
De nieuwe cyberwetgeving vraagt om aantoonbare maatregelen. Kwaliteitsstandaarden als ISO 27001 (voor IT) en IEC 62443 (voor industriële automatisering) bieden daarvoor een solide basis. ‘Deze normenkaders helpen bij de implementatie van de wetgeving,’ legt Woldendorp uit. ‘Vergeet niet dat NIS2 het hele bedrijf raakt: met alleen een ISO 27001-certificering voor IT ben je er als industrieel bedrijf niet. Voer daarom IEC 62443 in voor je OT en koppel je bestaande managementsystemen, zodat IT en OT elkaar versterken in plaats van dubbel werk te veroorzaken. Bonus: IEC 62443 sluit inhoudelijk aan op de eisen van de CRA, zodat je hiermee al een groot deel van die vereisten afdekt.’
Veiligheid begint met inzicht
De eerste stap richting cyberveiligheid is weten wat je hebt. Woldendorp: ‘Hoe wil je systemen beveiligen als je niet weet wat er draait? Veel industriële organisaties hebben geen volledig overzicht van hun assets en bijbehorende risico’s. Wat je niet weet, kan zomaar het meeste zeer doen.’ Volgens Woldendorp is zo’n inventarisatie de basis voor alles wat volgt: risicoanalyse, segmentatie, etc. ‘Wie pas begint als de wetgeving ingaat, is te laat. De NIS2 wordt medio 2026 van kracht en ook delen van de CRA worden al in 2026 verplicht. Het implementeren van maatregelen hiervoor kost veel tijd. Je hebt mensen, processen en leveranciers nodig. Begin dus nu!’
Cyberveiligheid als kwaliteitskenmerk
Certificering is niet de heilige graal, maar kan volgens Woldendorp wél helpen om aantoonbaar grip te krijgen op risico’s. ‘Cyberveiligheid hoort net zo goed bij kwaliteit als productveiligheid of milieumanagement. Het laat zien dat je organisatie weerbaar is, op papier én in de praktijk.’ Woldendorps advies is dan ook helder: ‘Zie de nieuwe wet- en regelgeving op het vlak van cybersecurity niet als administratieve last, maar als kans om structureel beter te worden.’
