View the English version hereĀ
Bent u op de hoogte van de laatste ontwikkelingen in relevante cyberwet- en regelgeving voor de industrie? Weet u met welke middelen u de āattack surfaceā van uw productie-omgeving kunt minimaliseren? Steeds vaker horen we over dreigingen en hacks door criminelen die de systemen van grote productiebedrijven aanvallen en platleggen. In navolging van de GDPR-wetgeving werken overheden aan regulering van OT-security. De NIS 2.0 Directive verscherpt beveiligingseisen en stuurt aan op strenger toezicht. Alle reden dus voor de industrie om OT-security hoog op de strategische agenda te zetten.
Dit blog is de tweede uit een serie van een aantal expert blogs. Klik hier voor de eerdere blog over OT cybersecurity zichtbaarheid en inzichten.
Wat gaat er mis? Is er onvoldoende urgentie? Zijn er verkeerde afwegingen?
āJe kunt niet beschermen wat je niet weet!ā zegt Willem Jan de Graaff, Director Service Delivery voor Manufacturing bij CGI in Nederland. āDoor gebrekkige bewustzijn en inzicht is de urgentie om maatregelen te nemen nog gering.ā
Uit onderzoek blijkt dat ruwweg zoān 10% van de industrie dit wel degelijk onder controle heeft, terwijl 30% nog zich in brandbestrijdingsmodus bevindt met dan nog zoān 60% die zich niet volledig bewust is van deze groeiende dreiging en relevante kwetsbaarheden. Het feit dat een deel van de incidenten āonder de pet gehouden wordenā wakkert het gevoel van urgentie ook niet aan. In alle gevallen is het zo dat wie bewust koers zet richting het optimaliseren van de eigen weerbaarheid, daarbij heel wat klippen moet omzeilen.
Grote productiefaciliteiten zijn zeer kostbaar en kennen een afschrijvingstermijn van wel dertig jaar of zelfs langer. Assets hebben in het algemeen een lange levensduur en zijn niet zelden reeds op leeftijd. Dat geldt al evenzeer voor de besturingssystemen. Soms worden PLCās aangestuurd met systemen die de āgeboorteā van inmiddels achterhaalde platforms als Windows XP nog meegemaakt hebben. āUpgradenā is dus gecompliceerd, terwijl āgewoonā vervangen bijna onmogelijk is. Dat zou betekenen dat volledige productiefaciliteiten stilgelegd moeten worden. Niet alleen conflicteert dat met de eis van beschikbaarheid, het gaat gepaard met gigantische productieverliezen en vraagt ook torenhoge investeringen. Al gauw wordt dan maar het bekende argument van de technicus afgestoft: āIf it aināt broke, donāt fix itā ā om vervolgens niks te doen.
Nieuwe regulering: van NIS 1.0 naar NIS 2.0
Er zijn dus veel redenen waarom OT-security achterblijft bij IT-security.
āNiks doen is echter geen optie. De (bedrijfs)economische en maatschappelijke impact van een geslaagde hack kan tĆ© groot zijn.ā zegt Eddy Boonen, Director Consulting Services voor Health bij CGI in BelgiĆ«. āEn er is nog een andere stok achter de deur, met de ontwikkeling van nieuwe regelgeving.ā
In navolging van de GDPR-wetgeving werken overheden aan regulering van de OT-security. In 2016 werd binnen de Europese Unie de EU Network and Information Security richtlijn aangenomen, beter bekend als NIS. Deze NIS-richtlijn was de eerste stap naar een EU-brede cyberbeveiligingswetgeving. Het bleef bij een richtlijn, om zo iedere EU-lidstaat de ruimte te geven, binnen de kaders van de NIS, eigen wetgeving te ontwikkelen die rekening hield met nationale omstandigheden. Daardoor verschillen de sectoren die per land onder de wetgeving vallen en loopt ook de hoogte van de boetes uiteen die bij niet-naleving opgelegd kunnen worden. Voor internationaal opererende OT-georiƫnteerde organisaties een onoverzichtelijke constructie.
Compliant blijven is dan ook een veel zwaardere opgave dan in het geval van de eenduidige GDPR-wetgeving. Een nieuwe NIS 2.0 die in vergaande ontwikkeling is, biedt al meer duidelijkheid over de sanctieregelingen en betrokken sectoren. Maar NIS 2.0 verscherpt ook de beveiligingseisen en de procedure voor incidentenmelding, en stuurt aan op strengere toezichtmaatregelen. Alle reden dus voor maakbedrijven om OT-security hoog op de strategische agenda te zetten.
Het goede nieuws
Het goede nieuws is dat dat laatste al steeds meer gebeurt. Uit de jaarlijkse strategische klantinterviews die CGI houdt, blijkt dat 90 procent van de deelnemende klanten met een verantwoordelijkheid voor productie IT- en OT-security zien als een van de belangrijkste trends in toekomstige investeringen.
Maar wat kan een productiebedrijf, dat zich bewust is van de urgentie en daarnaar wil handelen, dan doen om het OT-securityniveau en compliance op relatief korte termijn naar een hoger niveau te brengen? Hoe komt het uit āde mistā en zet het koers naar zoān helder doel?
Kijk hier voor meer informatie over CGI OT Cybersecurity Assessments die het veiligheidsbewustzijn en de weerbaarheid helpen verhogen en daarmee āde mistā doen optrekken.