De noodzaak van OT-cybersecurity en de kracht van kwaliteitsstandaarden

In dit artikel:

De EU verscherpt de regels rond digitale veiligheid: met NIS2, de Cyber Resilience Act (CRA) en aangepaste Machinerichtlijn komen industriële bedrijven in heel Europa voor nieuwe verplichtingen te staan. Christiaan Woldendorp van Kiwa-onderdeel Hudson Cybertec waarschuwt dat de tijd voorbij is dat productielijnen “veilig” waren omdat ze niet op internet zaten. Historische incidenten — van Stuxnet in Iran tot de tankstations in Washington DC die in 2021 zonder brandstof zaten en de aanval op Hoppenbrouwers via leverancierssoftware — laten zien dat ook operationele technologie (OT) doelwit wordt.

Waar IT-beveiliging vooral draait om vertrouwelijkheid, gaat OT-security vooral over beschikbaarheid en integriteit van machines en processen. Dat maakt eigen risico’s en die van de supply chain relevant: NIS2 legt verantwoordelijkheid ook bij ketenpartners. Veel OT-systemen zijn oud en nooit ontworpen met cybersecurity in gedachten, waardoor netwerkscheiding of (micro)segmentatie essentieel is: behandel het netwerk als losse puzzelstukken en beperk wie tussen die stukken kan bewegen.

Praktische stappen die Woldendorp adviseert: begin met een volledige inventaris van assets en risico’s, implementeer IEC 62443 voor OT naast ISO 27001 voor IT, en koppel managementsystemen zodat IT en OT elkaar versterken. Certificering is geen wondermiddel, maar helpt aantoonbaar risico’s te beheersen. De timing dringt: NIS2 wordt medio 2026 van kracht en delen van de CRA gelden al in 2026 — implementatie vergt tijd, mensen en leveranciers. Zie de nieuwe regels niet als administratieve last maar als kans om structureel veerkrachtiger te worden.