Countdown naar NIS2: hoe de nieuwe richtlijn de OT-beveiliging verandert
De richtlijn is ontworpen om de cyberveiligheid van kritieke infrastructuur en essentiële dienstverleners in de Europese Unie te verbeteren, en de digitale en economische weerbaarheid van Europese lidstaten ten aanzien van dreigingen te versterken. Vooral organisaties die sterk afhankelijk zijn van Operationele Technologie (OT) – zoals machines en robots – vallen binnen de scope van NIS2. Cybercriminelen kiezen steeds vaker OT-systemen als doelwit. Stefaan Hinderyckx, senior vicepresident cyberbeveiliging bij NTT DATA, bespreekt hoe de NIS2-richtlijn invloed heeft op de cyberbeveiliging binnen kritieke sectoren1.
Verplichte maatregelen voor OT-beveiliging
NIS2 stelt specifieke eisen aan organisaties binnen het OT-ecosysteem, waaronder:
- Risicobeoordelingen van de toeleveringsketen uitvoeren;
- Duidelijke verantwoordelijkheden verdelen en risicoregisters bijhouden;
- Informatie over bedreigingen integreren in de bredere cyberbeveiligingsstrategie.
Bovendien moeten organisaties hun assets nauwkeurig in kaart brengen, solide plannen voor bedrijfscontinuïteit ontwikkelen en effectieve crisismanagementstrategieën implementeren. Een wezenlijk onderdeel van de NIS2-regelgeving is de verplichting om grote incidenten binnen 24 uur te rapporteren. Dat betekent dat bedrijven altijd paraat moeten staan om snel te reageren, wat vaak vraagt om een reorganisatie van hun bestaande processen. Net dat is wat vele bedrijven kunnen missen als kiespijn omdat het tijd- en kostenintensief is, maar noodzakelijk om zich tegen aanvallen te beschermen.
De groeiende dreiging voor OT-systemen
En dat is nodig, want uit het “2024 State of Operational Technology and Cybersecurity Report” van Fortinet blijkt dat aanvallen op OT-systemen aanzienlijk zijn toegenomen. Waar vorig jaar slechts 11% van de organisaties meer dan zes beveiligingsinbreuken rapporteerde, is dit percentage ondertussen gestegen tot 31%. Deze stijging benadrukt niet alleen de ernst van de dreiging, maar ook het feit dat veel organisaties nog niet voldoende zijn voorbereid op de nieuwe regelgeving en de bijbehorende risico’s.
OT-systemen zijn vaak de zwakste schakel in de beveiligingsketen. Vele systemen zijn verouderd, kunnen niet eenvoudig worden gepatcht en zijn oorspronkelijk ontwikkeld met weinig tot geen aandacht voor moderne cyberbeveiligingspraktijken. Toen OT en IT nog grotendeels gescheiden waren, was de blootstelling van OT aan cyberdreigingen beperkt. Nu IT en OT steeds vaker aan elkaar worden gekoppeld, neemt het risico aanzienlijk toe.
Een voorbeeld is een nutsbedrijf met een conventioneel beveiligd IT-netwerk voor kantoormedewerkers en een minder goed beveiligd OT-netwerk voor de operationele infrastructuur. Wanneer deze netwerken worden geïntegreerd om efficiënter te kunnen werken, groeit de kans op kwetsbaarheden in het OT-netwerk, met een risico op ernstige beveiligingsinbreuken. En het zijn die kwetsbaarheden die moeilijk met traditionele IT-beveiligingsoplossingen kunnen worden aangepakt.
De complexiteit van OT-beveiliging
OT-systemen beveiligen is een complexe taak, wat het updaten van deze systemen extra uitdagend maakt. Voor veel bedrijven is operationele continuïteit cruciaal, en het stilleggen van een fabriek voor beveiligingsupdates kan zowel duur als nadelig zijn voor de productiviteit. Deze druk om te blijven draaien, gecombineerd met het vaak ad-hoc karakter van OT-systemen, leidt er toe dat bedrijven noodzakelijke beveiligingsupdates uitstellen.
Recente incidenten illustreren de gevolgen hiervan. Zo kon de Duitse batterijfabrikant Varta niet anders dan de productie stilleggen na een cyberaanval, en moest machinefabrikant Lemken de opening van een nieuwe fabriek uitstellen na een hack. Deze voorbeelden maken duidelijk dat OT-systemen een aantrekkelijk doelwit vormen voor cybercriminelen, en dat de financiële en operationele gevolgen van een aanval aanzienlijk zijn.
Het belang van gespecialiseerde expertise
Een bijkomend probleem is het gebrek aan specifieke OT-beveiligingsexpertise binnen organisaties. IT-teams hebben vaak niet de kennis om OT-systemen effectief te beveiligen, en ook op directieniveau ontbreekt soms het inzicht in de risico’s van niet-naleving van NIS2. Sterker nog recent onderzoek van Cisco toont aan dat 36 % procent van de bedrijven in EMEA meldt dat OT- en IT- teams onafhankelijk van elkaar werken, wat de noodzaak van verbeterde samenwerking benadrukt. Bedrijven zullen daarom niet alleen moeten investeren in de juiste technologieën, maar ook in het ontwikkelen van de juiste vaardigheden en kennis binnen hun teams.
Een gestructureerde aanpak voor naleving
Het naleven van de NIS2-richtlijn vraagt om een gestructureerde aanpak die rekening houdt met zowel beveiligingsvereisten als bedrijfscontinuïteit. Het inzetten van een ervaren managed service provider (MSP) kan hierbij een belangrijke rol spelen. Een MSP kan ondersteunen bij het uitvoeren van een uitgebreide risicobeoordeling, het identificeren van kwetsbaarheden in OT-netwerken en het ontwikkelen van een implementatiestrategie. Verouderde systemen, zoals OT-netwerken die nog draaien op Windows 95 of oudere besturingssystemen, kunnen zo worden beoordeeld zonder de bedrijfsactiviteiten te onderbreken.
Een andere belangrijke taak van een MSP is de integratie van nieuwe beveiligingsoplossingen en controle, met minimale onderbrekingen van operationele processen. Daarnaast kan een MSP continue monitoring implementeren, zodat organisaties ook op lange termijn voldoen aan de NIS2-vereisten.
Kortom, zakelijke leiders moeten begrijpen dat NIS2-compliance geen eenmalige inspanning is. Zodra de regelgeving van kracht is, zullen organisaties hun beveiligingsmaatregelen regelmatig moeten evalueren en aanpassen. Het is essentieel dat bedrijven cybersecurity hoog op de agenda zetten en de nodige experts inschakelen om te voorkomen dat ze de volgende slachtoffers worden van een gerichte cyberaanval.
- Onder de richtlijn vallen onder andere aanbieders van telecomdiensten, energievoorziening, spoorweginfrastructuur, financiële dienstverleners, afval- en waterbeheerbedrijven, post- en koeriersdiensten, levensmiddelenfabrikanten, medische hulpmiddelen en overheidsdiensten. Deze sectoren zijn verplicht om strikte beveiligingsmaatregelen te implementeren. ↩︎
Dit artikel is geschreven door Stefaan Hinderyckx, senior vicepresident cyberbeveiliging bij NTT DATA en valt buiten de verantwoordelijkheid van de redactie.