10 vragen over de regels voor OT
Van NIS2 tot productwetgeving: operationele technologie (ot) staat volop in de aandacht van wetgevers. Toch is het voor veel it- en ot-professionals onduidelijk welke regels nu echt van toepassing zijn op industriële omgevingen. Deze faq biedt een overzicht van de kaders en hun betekenis voor ot in de praktijk.
Tekst: Mels Dees Beeld: WONDERWORKS
Waarom valt ot onder cyberwetgeving?
Ot-systemen sturen fysieke processen aan en hebben invloed op veiligheid en continuïteit. Floris Dankaart, lead product manager bij Fox-it, merkt op dat ot lange tijd vooral vanuit safety gereguleerd werd. Ot wordt nu echter ook vanuit cybersecurity bekeken. ‘Digitale dreiging en fysieke veiligheid zijn niet van elkaar te scheiden.’
Simon Dompeling, transformation lead bij YaWorks en ot-expert, stelt dat dit geen omslag is. ‘De regelgeving bouwt al jaren op, van NIS naar NIS2 en straks de Cyberbeveiligingswet.’ Wat veranderde is de context: door de koppeling van machines met it (‘industry 4.0’) zijn ot-omgevingen sterker verbonden met externe netwerken, waardoor het aanvalsoppervlak groeide. En tegelijkertijd neemt het dreigingsniveau toe door professionele criminelen en statelijke actoren.
Wat beschouwen wetgevers als ot?
Systemen die fysieke processen aansturen of beïnvloeden en waarvan uitval gevolgen heeft voor veiligheid of dienstverlening, vallen in de praktijk onder ot, zoals ook beschreven in publicaties van het Europese cybersecurity-agentschap ENISA over Industrial Control Systems en ot-security. Volgens Dankaart gaat het daarbij om systemen die fysieke processen aansturen, bewaken of beïnvloeden, zoals robotica of energie-infrastructuur. ‘Systemen zonder directe invloed op fysieke processen, zoals kantoorapplicaties, doorgaans niet.’ Tegelijkertijd benadrukt Dompeling dat de wet geen onderscheid maakt tussen it en ot. Wetgeving als NIS2 kijkt naar het vermogen van organisaties om essentiële functies te blijven uitvoeren. Of een verstoring via it of ot ontstaat, is ondergeschikt aan de impact.
Waar onder NIS vooral expliciet aangewezen organisaties onder de wet vielen, geldt nu een brede lijst van sectoren en activiteiten die als maatschappelijk relevant worden beschouwd
Welke ot-omgevingen vallen onder NIS2?
NIS2 kijkt niet naar afzonderlijke installaties, maar naar de rol die systemen spelen bij het leveren van essentiële diensten. Volgens Dankaart vallen alle systemen die een organisatie nodig heeft om haar maatschappelijke functie te vervullen binnen de scope. ‘Organisaties moeten kunnen onderbouwen waarom bepaalde systemen wel of niet zijn meegenomen.’
Dompeling vult aan dat ot-omgevingen niet zelfstandig onder NIS2 vallen, maar via de organisatie waarvan ze onderdeel zijn. ‘Of een installatie onder de wet valt, hangt minder af van de techniek, maar meer van het belang ervan voor de dienstverlening.’
VAlt mijn organisatie onder NIS2 of de Cyberbeveiligingswet?
Of een organisatie onder NIS2 of de Cyberbeveiligingswet valt, hangt af van omvang en maatschappelijke impact. Dompeling benadrukt dat NIS2 het oude principe omdraait. Waar onder NIS vooral expliciet aangewezen organisaties onder de wet vielen, geldt nu een brede lijst van sectoren en activiteiten die als maatschappelijk relevant worden beschouwd. In combinatie met omvangscriteria betekent dit dat veel meer organisaties zelf moeten vaststellen of zij NIS2-plichtig zijn.
De invoering van EU-brede cybersecuritycertificerings-programma's zal leiden tot meer uniforme verwachtingen voor leveranciers en operators
Welke verplichtingen gelden er al voor ot?
Veel ot-omgevingen vallen al langer onder wettelijke verplichtingen. Dompeling wijst erop dat in Nederland de Wet beveiliging netwerk- en informatiesystemen van kracht is, die de NIS-richtlijn implementeert. ‘De wet verplicht organisaties om risico’s inzichtelijk te maken, passende maatregelen te nemen en incidenten te melden, maar laat de technische invulling bij de organisatie zelf.’ Dankaart zegt dat het daarbij vaak gaat om verplichte risicobeoordelingen, veiligheidsintegriteitsnormen en incidentmeldingen. Veel van deze eisen zijn ouder dan cybersecuritywetgeving en vinden hun oorsprong in safety-engineering.
Wat verandert er met de invoering van de Cybersecurity Act?
Dompeling benadrukt dat cybersecurity met deze wetgeving een bestuursverantwoordelijkheid wordt. ‘Bestuurders zijn persoonlijk aansprakelijk op het naleven van de verplichtingen en moeten kennis hebben van cyberrisico’s.’ Organisaties moeten zelf beoordelen of zij onder de wet vallen en een cybersecurity-managementsysteem inrichten, met aandacht voor continuïteit, incident response, meldtermijnen en verantwoordelijkheid voor de toeleveringsketen. ‘De invoering van EU-brede cybersecuritycertificerings-programma’s zal leiden tot meer uniforme verwachtingen voor leveranciers en operators,’ zegt Dankaart. Dat heeft impact op inkoop, doordat minimale beveiligingsniveaus worden vastgelegd en het vertrouwen in ot-producten toeneemt.
‘Er komen regels die zich richten op fysieke veiligheid, sabotage en terrorismebestrijding. Leveranciers van machines en software krijgen daarbij verantwoordelijkheden’
Welke regels raken ot de komende jaren?
Dompeling wijst erop dat er regels komen die zich richten op fysieke veiligheid, sabotage en terrorismebestrijding. Leveranciers van machines en software krijgen daarbij verantwoordelijkheden.
Daarbij gaat het onder meer om de Cyber Resilience Act, regelgeving rond ai en cryptografie en aangescherpte eisen aan de toeleveringsketen. ‘We verwachten ook updates van sectorspecifieke richtlijnen,’ zegt Dankaart, ‘zeker nu verdere automatisering en remote operations binnen industry 4.0 nieuwe risico’s introduceren.’
Welke beveiligingseisen stelt de wetgever aan ot-systemen?
De wet schrijft geen technische maatregelen voor ot-systemen voor, maar verlangt wel dat risico’s proportioneel en passend worden beheerst. ‘Dat zie je terug in generieke ot-standaarden zoals IEC 62443, aangevuld met sectorspecifieke normen, bijvoorbeeld voor energie-infrastructuur,’ stelt Dankaart. Veel organisaties leunen voor hun cybersecuritymanagementsysteem op ISO 27001, ze vullen dat waar nodig aan met sectorspecifieke ot-richtlijnen‘
Heeft ot eigen standaarden?
‘IEC 62443 vormt de basis voor ot-security,’ zegt Dankaart, ‘aangevuld met sectorspecifieke normen, bijvoorbeeld voor energie, transport, luchtvaart en scheepvaart.’
In de praktijk combineren organisaties dit vaak met bestaande it-kaders. ‘Veel organisaties leunen voor hun cybersecuritymanagementsysteem op ISO 27001,’ merkt Dompeling daarom op, ‘ze vullen dat waar nodig aan met sectorspecifieke ot-richtlijnen.’
Welke wet- en regelgeving hebben we niet behandeld?
De Europese Machineverordening stelt eisen aan het ontwerp en de besturing van machines, inclusief software en digitale besturingen, blijkt uit toelichtingen van de Europese Commissie en conformiteitsinstanties. Voor zware industriële installaties geldt de Seveso-regelgeving, die zich richt op het voorkomen van grote ongevallen met gevaarlijke stoffen. Cyberverstoringen worden daarbij betrokken in risicoanalyses, meldt onder meer CET Journal. Daarnaast speelt IEC 61511 een rol als norm voor functionele veiligheid in de procesindustrie. Deze norm wordt in de praktijk vaak gecombineerd met IEC 62443 om safety en security samen te beoordelen.
