Cybersecurity door de waardeketen met NIS2: “We doen het samen”
Afgelopen woensdag kwamen leden van de branches Gebouw Automatisering en Industriële Automatisering bij elkaar voor een belangrijk thema: cybersecurity. De aanleiding? De Network and Information Security Directive richtlijn (NIS2.) De vertaling van deze richtlijn naar Nederlandse wetgeving is dit jaar gestart en samen met het Digital Trust Center, Siemens en Rijkswaterstaat gingen we hierover in gesprek.
In het atrium bij FHI in Leusden staat de koffie klaar. Er klinken enthousiaste begroetingen en leden schudden elkaar de hand. Deze bijeenkomst wordt georganiseerd voor leden van de branches Gebouw Automatisering én Industriële Automatisering.
Branchemanager Wendy Debets legt uit waarom het belangrijk is om beide branches rondom dit thema samen te brengen: “De samenwerking tussen de FHI-branches is bij dit onderwerp heel natuurlijk. De bedrijven lopen tegen dezelfde uitdagingen aan. Door dit onderwerp vanuit verschillende gezichtspunten en invalshoeken te bespreken, kom je tot nieuwe inzichten en creatieve manieren om dit belangrijke onderwerp op te pakken. FHI zoekt de synergie tussen de aangesloten branches op.”
“Het was een hele interessante dag. Het belangrijkste is het stukje bewustwording. Het is belangrijk om op de hoogte te zijn van de wetgeving in Nederland, ik blijf de ontwikkelingen daarom zeker in de gaten houden.” – Joris Lit, JUMO Meet-en Regeltechniek
Veilige infrastructuur
Rijkswaterstaat (RWS) beheert maatschappelijk vitale processen binnen het water- scheepsvaart- en verkeersmanagement. De objecten variëren van vuurtorens, tot spitsstroken, bruggen en tunnelcomplexen. De meerderheid daarvan wordt digitaal aangestuurd. Mark van Leeuwen, cybersecurity adviseur bij RWS, vertelt het publiek welke uitdagingen daar bij komen kijken. “Voorheen waren onze processen lokaal, maar nu is alles digitaal en door technologieën aan elkaar geknoopt. Sommige objecten zijn tien tot twintig jaar oud en zijn daarom niet ontworpen om weerbaar te zijn tegen cyberdreigingen.”
Mark legt uit dat RWS een integrale aanpak hanteert vanuit drie pijlers: bewaken, voorkomen en beheersen. “Voor het bewaken hebben we een detectie- en responsteam opgezet voor 24 uur bewaking en monitoring. Het voorkomen doen we door middel van security-by-design. Dat betekent dat cybersecurity integraal onderdeel is van het ontwerpen, bouwen en realiseren in de hele levenscyclus van een object. Het beheersen is een continu risicomanagement. Dit doen we met tools en asset testen.”
Samenwerking
“Waarom is OT cybersecurity niet meer optioneel?” Met die vraag openen Ton Mes en Ruud Welschen van Siemens hun presentatie. De cybersecurity specialisten benoemen vier aspecten: het beschermen van business, wetgeving, digitalisering én steeds professionelere en beter georganiseerde hackers
Ruud benadrukt dat we nog een heleboel werk te doen hebben en wijst op de huidige stand van zaken met een artikel uit het Financieel Dagblad: “Een kwart van de industriële bedrijven zijn wekelijke slachtoffer van cyberaanvallen kopte het FD gisteren. Tegelijkertijd lazen we vandaag dat CEO’s de eigen aansprakelijkheid op het gebied van cybersecurity niet op het netvlies hebben.” Maar waar begin je dan? Volgens Ton en Ruud is het een pittige reis, maar hoef je die niet alleen te maken. “We hebben elkaar nodig, cybersecurity doen we samen.”
NIS2
Na de lunch gaat Rajko Smaak, cybersecurity adviseur bij het Digital Trust Center (DTC), verder met een overzicht van de NIS2-richtlijn. Rajko: “De NIS2 schrijft vier verplichtingen voor: zorgplicht, meldplicht, registratieplicht en toezicht. De zorgplicht begint met een risicoanalyse. Breng je kroonjuwelen in kaart en beoordeel de mogelijke risico’s. Ga daarnaast aan de slag met incidentenbehandeling. Stel een incident responseplan op en bereid de organisatie voor door middel van oefeningen.” In de NIS2 wordt ook verwezen naar Supply Chain Risk Management. Bedrijven zijn sterk afhankelijk van de producten of diensten van toeleveranciers. Een hack heeft daarom niet alleen invloed op het bedrijf in kwestie, maar kan ook grote gevolgen hebben voor organisaties waarmee het (digitaal) verweven is.
“Wij zijn erg enthousiast over het workshopgedeelte, het is fijn om in een kleinere setting het gesprek met elkaar aan te gaan. Daarnaast is het ook goed dat er vanuit de overheid en de wetgevende kant partijen aanwezig waren. Dat zorgt voor een goede overdracht van informatie.” – Jeroen Bronkhorst en Pieter de Gier, Emerson
Ketenafspraken
We sluiten de dag af met twee korte break-out sessies. De deelnemers gaan in groepjes uiteen om de verschillende aspecten van de NIS2 te bespreken. Er wordt druk gediscussieerd en op post-its en flip-overs geschreven. De belangrijkste uitkomsten? Cybersecurity is een gezamenlijke verantwoordelijkheid, er moeten daarom gezamenlijk afspraken worden gemaakt. Breng je keten in kaart en leg afspraken contractueel vast. Voorkom dat je vanuit afnemers verschillende eisen opgelegd krijgt en benader ze proactief met cybersecurity afspraken.
Na vandaag is het duidelijk dat cybersecurity ons allemaal raakt. Met de toegenomen digitalisering en verbondenheid van de OT-wereld zetten we de deur wagenwijd open. Tegelijkertijd neemt ook de bewustwording toe. Dat blijkt alleen al uit de mooie opkomst tijdens deze bijeenkomst.
Wil je op de hoogte blijven van activiteiten en nieuws uit de branche? Bezoek dan de website of meld je aan voor de nieuwsbrief.