De nieuwe cyber security wetgevingen die op dit moment vorm krijgen, zijn een duidelijk signaal vanuit de overheid dat het beter moet met de digitale weerbaarheid van organisaties. Wie dat niet serieus neemt, kan als bestuurder aansprakelijk gesteld worden.
Veel van deze nieuwe wetgevingen zijn nog niet 100% uitgekristalliseerd, wel is duidelijk dat deze verstrekkende gevolgen kunnen hebben. We hebben het dan over de nieuwe cyber securityrichtlijn NIS2, de herziene Netwerk- en Informatie-beveiligingsrichtlijn, en de Cyber Resilience Act (CRA). De Cyber Resilience Act is wetgeving die ervoor zorgt dat digitale producten, waaronder alle hardware, software en componenten aan essentiële cyber securityeisen voldoen, voordat ze op de Europese markt worden gebracht. Het gemeenschappelijke doel van beide wetgevingen is het borgen van een uniform en hoog beveiligingsniveau van netwerken en systemen in de hele Europese Unie. Dit geldt voor organisaties binnen de sectoren energie, banken, financiële markten, zorg, digitale infrastructuur, en overheidsdiensten. Maar ook voor sectoren als post- en koeriersdiensten, voedselproductie, levensmiddelen, chemie en onderzoek.
Frank van Olphen, directeur CS2: “We krijgen in de komende jaren te maken met een overvloed aan nieuwe cyber securityregelgeving. Die dienen allemaal specifieke doelen, terwijl de NIS2 van al die maatregelen de grootste algemene invloed heeft. Er wordt breed beseft dat deze richtlijn op ons afkomt, en onze klanten vragen zich af wat de impact hiervan zal zijn: Val ik onder deze wetgeving, wat heeft dit voor invloed op mijn organisatie, wat moet ik doen en welke maatregelen moet ik nemen? Van essentieel belang hierbij is dat een organisatie goed inzicht heeft in haar risicoprofiel en de assets die ze wil beschermen: waar liggen de kwetsbaarheden en wat moet ik doen om deze te beschermen?”
Drie aspecten
Klanten die door CS2 worden begeleid bij hun ambitie om hun cyberweerbaarheid naar een hoger plan te brengen, krijgen op drie aspecten ondersteuning: mens, organisatie en techniek. Strategie en beleid is daar een onderdeel van. Er wordt gewerkt vanuit een risico gestuurde aanpak waarbij de risico-inventarisatie de basis vormt voor de prioritering van de te nemen maatregelen. “Wij maken een risk assessment waarin de NIS2 is meegenomen. Hiermee ontstaat een risicoprofiel die bepaalt welke maatregelen genomen moeten worden, zodat de klant voldoet aan de voorgeschreven digitale weerbaarheid.”
Wat daaruit volgt, is dat CS2 de opdrachtgever meeneemt in de bewustwording en training over de te nemen stappen. Het derde aspect heeft betrekking op de technische maatregelen om er daadwerkelijk voor te zorgen dat invulling aan de richtlijn wordt gegeven. “Hiermee vertaal je eigenlijk praktisch je strategie en beleid naar toepassingen binnen de verschillende systemen in je bedrijf. Dit doen we aan de hand van diverse normenkaders, met name de IEC 62443 (security framework voor OT/PA) en de ISO 27001”.
OT versus IT
Een van de kenmerkende verschillen tussen IT en OT/PA is dat binnen de procesautomatisering nog veel verouderde systemen en PLC-sturingen (legacy) actief zijn, welke door de jaren heen gekoppeld zijn door een netwerkverbinding. Ondanks deze netwerkverbinding blijft er onvoldoende overzicht van welke assets er zijn, hoe deze interacteren met elkaar en welke datastromen er zijn. Dit inzicht is belangrijk om vervolgens in staat te zijn de juiste beveiligingsmaatregelen te nemen.
Veel organisaties, signaleert Van Olphen, hebben de overtuiging dat ze met een paar technische aanpassingen in hun architectuur hun netwerk goed hebben beveiligd. Van Olphen roept bedrijven op die conclusie niet al te snel te trekken. “Wij zitten bij veel bedrijven nog in de bewustwordingsfase om hen te demonstreren dat het niet alleen gaat om een technische aanpassing, maar op de eerste plaats om een strategische beslissing die impact heeft op de gehele bedrijfsvoering”.
“Zoals gesteld ligt onze focus voornamelijk aan de kant van de operationele techniek (OT) en procesautomatisering (PA), niet aan de IT-kant. Met ons security assessment kijken we welke maatregelen er inmiddels zijn getroffen aan zowel de OT- als IT kant, op zowel strategisch, tactisch en dus operationeel vlak. Wij kijken waar we een harde scheiding moeten maken tussen operationele techniek en het informatienetwerk, maar we kijken ook waar we die samen kunnen laten lopen. Ons motto is in deze ‘Samen waar het kan – gescheiden waar het moet’.”
De risicoafweging hierin is gebaseerd op het BIVC model (Beschikbaarheid, Integriteit, Vertrouwelijkheid & Controleerbaarheid van data) en levert dan ook een security strategie op die volledig in context van de organisatie is en in lijn met haar bedrijfsdoelstellingen.
Dit is ook wat CS2 uniek maakt, de focus op operationele techniek en procesautomatisering zonder de IT-kant uit het oog te verliezen. Daar waar veel bedrijven zich focussen op een deel van het cyber security domein is CS2 de verbindende factor tussen mens, techniek en organisatie om de continuïteit van de bedrijfsvoering en de beschikbaarheid systemen te borgen.
Croonwolter&dros
CS2 is een zelfstandig, specialistisch en onafhankelijke entiteit binnen Croonwolter&dros aangaande cyber security met een specialistische focus op OT / PA security. CS2 opereert als een kennisintensieve, leveranciersonafhankelijke solution provider (lees: system integrator) van cyber security-gerelateerde consultancydiensten en systemen.
Wilt u meer weten neem dan contact op via sales.CS2@croonwolterendros.nl of kijk op www.cs2solutions.nl.