Invoering NIS2 leidt tot paniek: ‘Geen besef van EU-cyberwetgeving’

icon.highlightedarticle.dark Automatisering
Laatste wijziging: 23 september 2024
Jeroen Marstboom (l) en Pieter Vanneuville (r)

Jeroen Marstboom (l), Peter Vanneuville (r)

In 2024 treedt de nieuwe EU-cybersecurityrichtlijn NIS2 in werking. Deze tweede Network and Information Security-richtlijn is breder dan zijn voorganger: ook chemie-, food- en farmabedrijven moeten eraan voldoen, en zelfs hun hele toeleveringsketen. Dat besef levert paniek op, merken de cybersecurity-specialisten bij grondstoffenverwerker AZO.

“Je hoort in de media vaak over cyberdreigingen en er komt steeds meer cybersecurity-wetgeving. Wij weten dat onze klanten daar ook mee geconfronteerd worden”, zo licht Pieter Vanneuville, managing director bij AZO in België, toe. AZO is gespecialiseerd in de automatische verwerking van grondstoffen.

Cybersecurity-wetgeving

De van oorsprong Duitse firma biedt totaaloplossingen in allerlei verschillende branches. “Daar hoort de digitale bescherming van systemen die bij onze klanten in gebruik zijn nadrukkelijk bij”, zegt Vanneuville. “Daarom gebruiken we cybersecurity als kapstok voor onze dienstverlening: we implementeren niet alleen de hardware en software bij onze klanten, maar maken het ook veilig.”

“In gesprek met OT-afdelingen merken we dat bedrijven vaak helemaal niet beseffen hoezeer NIS2 voor hen gaat gelden”
Pieter Vanneuville, AZO
tk1

Cybersecurity raakt operationele techniek

De meeste bedrijven waaraan AZO levert, werken met een strikte scheiding tussen de IT en de OT (Operational Technology). De IT-kant van zo’n bedrijf heeft doorgaans wel in de gaten dat er nieuwe wetgeving zoals NIS2 aankomt en weet wat er moet gebeuren om tijdig compliant te zijn. Het gesprek met de operationele tak (OT) vindt echter onvoldoende plaats, terwijl ook daar het nodige moet gebeuren om weerbaar te zijn tegen cyberdreigingen.

“Waar je verwerkingsprocessen automatiseert, koppel je machines aan elkaar: de zwakste schakel bepaalt dan de veiligheid van het hele systeem”
Jeroen Marstboom, AZO

Operationele tak beter beschermen

“Productie, onderhoud, techniek en engineering bevinden zich allemaal in de OT-tak. Maar de mensen daar spreken niet of nauwelijks met IT’ers”, aldus technical manager automation Jeroen Marstboom. Hij weet maar al te goed dat cybersecurity zich niet meer uitsluitend afspeelt binnen de muren van de IT-afdeling.

“Overal waar je verwerkingsprocessen automatiseert, koppel je machines met elkaar. Dat zijn allemaal potentiële kwetsbaarheden. De zwakste schakel bepaalt uiteindelijk de veiligheid van het hele systeem. Komen hackers via die ene zwakke schakel binnen, dan ligt je hele bedrijf binnen mum van tijd plat en is de schade gigantisch.”

AZO gebruikt cybersecurity als kapstok voor de dienstverlening. Het bedrijf implementeert niet alleen de hardware en software voor de operationele techniek, maar maakt het ook veilig
AZO gebruikt cybersecurity als kapstok voor de dienstverlening. Het bedrijf implementeert niet alleen de hardware en software voor de operationele techniek, maar maakt het ook veilig | foto:Marco Vellinga
tk2

NIS2: voldoen aan meer dan 150 voorschriften

Om de weerbaarheid tegen cyberdreigingen op Europees niveau goed te regelen, treedt in oktober 2024 de NIS2-wetgeving in werking. Die verplicht bedrijven in allerlei sectoren – waaronder de levensmiddelenbranche en de chemie – om te voldoen aan maar liefst 154 maatregelen en voorschriften.

En daar blijft het niet bij: bedrijven die onder NIS2 vallen, zijn bovendien verplicht om te zorgen dat hun hele toeleveringsketen compliant is. Dat betekent dat ze alleen maar mogen samenwerken met leveranciers die óók aan die 154 voorschriften voldoen.

“In gesprek met OT-afdelingen merken we maar al te vaak dat bedrijven helemaal niet beseffen hoezeer NIS2 straks voor hen gaat gelden”, constateert Vanneuville. “Het gevolg is paniek: hoe krijgen we dit binnen een paar maanden nog voor elkaar? De eerlijkheid gebiedt te zeggen dat ze gisteren hadden moeten beginnen om nog tijdig compliant te zijn. Maar dat kan niet meer. Ons advies is dan: begin vandaag.

“Protocollen voor de aansturing van verouderde apparatuur zijn vanzelfsprekend niet berekend op de cyberdreigingen van nu”
Jeroen Marstboom, AZO

Oude installaties: onveilige protocollen

De grootste uitdagingen waarmee bedrijven zich geconfronteerd zien, hebben van doen met oude machines. Veel bedrijven in de grondstoffenverwerking gebruiken installaties uit de jaren 90, of zelfs jaren 80. Die moeten samenwerken met nieuwere machines in hetzelfde automatiseringsproces.

Marstboom: “Maar protocollen die gebruikt worden voor de aansturing van verouderde apparatuur zijn vanzelfsprekend niet berekend op de cyberdreigingen van nu. Zodra machines waarop die protocollen draaien in contact komen met andere machines, wordt het spannend. Dikwijls bouwen wij voor onze klanten daarom compleet nieuwe platforms voor machines van decennia oud. Je wilt niet dat zo’n oudere machine ongemerkt een kwetsbaarheid wordt.”

De core business van AZO: apparatuur voor grondstoffenverwerking
De core business van AZO: apparatuur voor grondstoffenverwerking | foto:Marco Vellinga
tk3

Oude machines vervangen?

Is het dan niet raadzaam om oude machines te vervangen door nieuwere modellen, die qua cybersecurity beter zijn ingericht op de huidige tijd? “Nee, dat hoeft niet”, weet Marstboom zeker. “Bedrijven hebben die machines aangeschaft omdat ze weten dat die decennialang meegaan. Ze zijn nog lang niet afgeschreven en werken technisch nog uitstekend. De mechanica veroudert niet; het is de aansturing die veroudert.”

“Vanwege de web-based automatiseringssystemen ben je als organisatie verplicht om naast budget voor IT ook budget te reserveren voor preventie en onderhoud van het OT-systeem”
Pieter Vanneuville, AZO

Cultuuromslag nodig

Cybersecurity staat niet van vandaag op morgen ineens hoog op de agenda bij elke OT-afdeling. De vergelijking met ATEX-wetgeving ligt voor de hand: 20 jaar geleden besefte niemand de impact van ATEX-wetgeving voor de verwerking van brandbare en explosiegevoelige bulkgrondstoffen.

“Dat moesten we bij elke klant expliciet benoemen, ze wakker schudden”, herinnert Vanneuville zich. “Nu, 20 jaar later, stellen klanten ons juist die vraag: hebben we bij dit project afdoende naar de ATEX-voorschriften gekeken? Daar heeft een cultuuromslag plaatsgevonden.”

Zo’n omslag is ook nodig als het om cybersecurity gaat. “De tijden veranderen. Door de introductie van web-based automatiseringssystemen ben je als organisatie verplicht om naast budget voor IT ook budget te reserveren voor preventie en onderhoud van het OT-systeem. Met die cultuuromslag helpen we onze klanten graag.”

Meer lezen over cybersecurity?

Smart industry en IIoT kunnen 100% veilig

Profile picture of Martijn Kroese MA

Geschreven door Martijn Kroese MA

Lees meer van Martijn Kroese MA icon.arrow--dark

Blijf op de hoogte en mis geen artikel

Inschrijven icon.arrow--dark