Binnen de openbare ruimte draaien er tal van technologieën. Denk aan bruggen, sluizen en verkeerinstallaties. Welke worden beheerd door Nederlandse gemeenten. Met de opkomst van cyberaanvallen en aanstaande NIS2-wetgeving, is het de vraag in welke mate deze OT-objecten (Operationele Technologie) voldoen aan de geldende digitale veiligheid.
Onlangs voerde De Haagse Hogeschool een onderzoek uit onder de CISO’s (Chief Information Security Officer) van Nederlandse gemeenten. Hieruit blijkt dat:
- De huidige maatregelen op het gebied van cybersecurity voor de systemen ondermaats zijn, volgens de CISO’s.
- Dat terwijl de noodzaak om passende maatregelen te implementeren serieus is. Zeker nu de strengere eisen van NIS2-wetgeving in het najaar van 2024 van kracht gaan.
Wat verstaan we onder Operationele Technologie?
Dit is in feite een verzamelnaam voor alle systemen die gebruikt worden om apparatuur en stedelijke infrastructuur te bedienen, beheren en controleren. Denk aan verkeerslichten en bruggen. Hoewel Operationele Technologie minder aandacht krijgt, dan bijvoorbeeld bekende veiligheidsrisico’s als hacken en phishing, is het wel degelijk een onderdeel dat belangrijk is voor publieke veiligheid.
De herziening van de NIS-richtlijn
In 2016 is de originele NIS-richtlijn (European Network and Information Security) opgezet en in Nederland vertaald in de WBNI. Het doel van deze richtlijn is dat alle essentiële diensten op het gebied van cyberveiligheid aan de regelgeving voldoen. Vanaf begin 2025, zal de NIS2 in Nederland actief worden, vertaald in de Cyberbeveiligingswet (CBW) Een grote verandering hierin is dat vanaf dit moment overheden ook onder NIS2 vallen en aan de strengere eisen moeten voldoen. Zij zullen dan ook passende maatregelen moeten gaan nemen, niet alleen op de kantoorautomatisering (KA), maar ook op de operationele techniek (OT). Dit staat letterlijk in de NIS2.
Momenteel cybersecurity bij OT vaak ondermaats
51 CISO’s uit evenveel Nederlandse gemeenten werkten mee aan het onderzoek. Hieruit komen een aantal zaken naar voren:
- 75% heeft het beheer van OT-objecten volledig of deels uitbesteed.
Echter, weet lang niet iedereen wat er precies uitbesteed is.
- 20% weet niet precies wat hoe het beheer van OT-objecten geregeld is.
- 58% zegt dat er geen specifiek beleid is ontwikkeld voor de beveiliging van OT-objecten.
- 25% weet niet in welke mate er sprake is van vervlechting van gemeentelijk IT- en OT-systemen.
- 75% van het bestuur, 66% van het management heeft weinig tot geen aandacht voor het inrichten van OT-security.
- 57% geeft hun eigen gemeente een onvoldoende cijfer voor de cybersecurity van OT-objecten.
Voldoen aan NIS2: IEC 62443
Ook voor Nederlandse provincies en gemeenten wordt het zaak te voldoen aan de herziene NIS2-richtlijnen. Er wordt geacht dat zij hun digitale beveiliging op orde hebben, ook ten aanzien van OT-objecten. De wereld van OT is anders dan de standaard kantoorautomatisering binnen veel organisaties. Door andere eisen en verwachtingen werken deze standaard IT-processen niet binnen een OT-omgeving. Vandaar dat er specifiek voor deze omgeving de IEC 62443-norm is ontwikkeld. Wanneer u een IEC 62443-certificering heeft behaald, toont u aan te voldoen aan deze nieuwe NIS2-richtlijnen mbt OT-security.
IEC 62443-certificering
Wilt u meer weten over IEC 62443-certificering? De IEC 62443-norm is de wereldwijd bekende standaard gericht op industriële cybersecurity, dat zich ook richt op Operationele Technologie. Wanneer u uw vitale processen, systemen en infrastructuur van uw OT-objecten op een goede manier beveiligd hebt, is het zaak dit te laten toetsen aan de norm.
Met een IEC 62443 certificering van DigiTrust laat u zien dat uw securityprogramma rondom OT binnen uw organisatie op het gewenste niveau zit.
- Uw audit start wanneer het past voor uw organisatie.
- Gedurende het certificeringstraject wordt u persoonlijk begeleid.
- Gericht op IEC 62443-2-1 en IEC 62443-2-4.
Lees hier meer over IEC 62443.
