Nu organisaties hun meest kritieke bedrijfsmiddelen willen beveiligen, wordt Operationele Technologie (OT) - van industriële besturingssystemen tot kritieke infrastructuur - steeds meer onder de loep genomen. Van oudsher was cyberbeveiliging gericht op IT-systemen, waardoor OT meer op zichzelf stond. De nieuwe NIS2-richtlijn markeert echter een duidelijke verschuiving: cyberbeveiliging is niet langer beperkt tot IT alleen, en de hoogste leidinggevende niveaus worden nu verantwoordelijk gehouden voor de beveiliging van zowel IT- als OT-omgevingen. Christo Butcher, executive consultant bij Fox-IT, werpt zijn licht op deze veranderingen.
De uitgebreide reikwijdte van NIS2
NIS2 erkent dat bedreigingen niet langer onderscheid maken tussen IT- en OT-systemen. In plaats van ze als afzonderlijke silo's te zien, roept de richtlijn op tot een geïntegreerde cyberbeveiligingsstrategie die alle aspecten van de infrastructuur van een organisatie omvat. Deze holistische visie brengt twee belangrijke uitdagingen met zich mee:
- Een breder regelgevend net: OT-processen maken vaak gebruik van verouderde systemen of gespecialiseerde protocollen, waardoor ze moeilijker te beveiligen zijn. Onder NIS2 kunnen deze systemen niet langer als bijzaak worden behandeld.
- Grotere verantwoordelijkheid op bestuursniveau: Verantwoordelijkheid op CEO-niveau is uitgegroeid tot meer dan alleen IT-toezicht en dwingt leiderschap om OT-risico's te begrijpen en te beheren als onderdeel van de strategische planning van de organisatie.
"Veel bedrijven weten niet zeker hoe ze NIS2 moeten implementeren vanwege de abstracte aard ervan. De brede reikwijdte van de richtlijn betekent dat deze weliswaar de juiste toon zet voor verantwoordelijkheid, maar geen direct uitvoerbare stappen biedt die bedrijven kunnen volgen." - Christo Slager
Top-down verantwoordelijkheid voor OT-beveiliging
In het verleden hadden CEO's en raden van bestuur de neiging om beslissingen op het gebied van cyberbeveiliging te delegeren. Tegenwoordig specificeert NIS2 expliciet dat de uiteindelijke verantwoordelijkheid bij de top ligt. Deze top-down benadering is direct van toepassing op OT-activa en -processen. Christo voegt hieraan toe:
"Vóór NIS2 was het voor CEO's te gemakkelijk om cyberbeveiliging volledig over te laten aan de CISO of IT-afdeling. NIS2 is hier heel duidelijk over: de eindverantwoordelijkheid ligt nu bij de top."
Met NIS2 moeten hogere leidinggevenden op de hoogte blijven van OT-risico's en ervoor zorgen dat ze de nodige budgetten toewijzen en organisatorische structuren afstemmen om kritieke industriële processen te beschermen. Hoewel de dagelijkse implementatie de verantwoordelijkheid blijft van cyberbeveiligingsteams, zorgt NIS2 voor een meer dynamische relatie: technische teams moeten voorbereid zijn om leidinggevenden te informeren over OT-risico's en leidinggevenden moeten OT-beveiliging behandelen als een strategische noodzaak.
De kloof tussen strategie en bedrijfsvoering overbruggen
Een van de grootste uitdagingen bij het implementeren van NIS2 is het vertalen van de mandaten op hoog niveau naar concrete actieplannen voor OT-omgevingen. Effectieve communicatie tussen organisatielagen is cruciaal. De richtlijn vereist een cultuuromslag, waarbij directies voldoende op de hoogte zijn van belangrijke OT-beveiligingskwesties om weloverwogen beslissingen te kunnen nemen, en operationele teams de kaders hebben om deze kwesties duidelijk te verwoorden. Christo legt uit: "Deze spanning is gunstig omdat het de uiteindelijke besluitvormers sterk aanmoedigt om het cyberbeveiligingslandschap te begrijpen en zich ermee bezig te houden. Ik voorzie een productieve ontwikkeling waarbij beide lagen van de organisatie - het strategisch leiderschap en de operationele cyberbeveiligingsteams - moeten toewerken naar een gemeenschappelijk begrip."
Hoewel de CEO of het bestuur misschien niet van de ene op de andere dag OT-experts worden, moeten ze wel elementaire risicoscenario's begrijpen, zoals losgeld, sabotage of spionage, en hoe deze aanvallen kritieke bedrijfsactiviteiten kunnen verstoren. Omgekeerd moeten OT-managers en beveiligingsteams deze scenario's vertalen in bruikbare inzichten en een voortdurende dialoog onderhouden met het leiderschap.
Segmentatie en de rol van datadiodes
NIS2 benadrukt het belang van het identificeren en beschermen van de 'kroonjuwelen' van een organisatie, waaronder essentiële OT-processen. Een belangrijke strategie hierbij is netwerksegmentatie. Het creëren van goed gedefinieerde beveiligingszones maakt het moeilijker voor aanvallers om zich lateraal binnen een netwerk te bewegen. Christo zegt:
"Segmentatie is cruciaal bij het creëren van beveiligingszones binnen een organisatie. Het doel is om de ontploffingsradius van een incident te minimaliseren, waardoor de impact als er iets misgaat kleiner wordt. Deze aanpak zorgt voor meer gedetailleerde controle en beter risicobeheer."
In OT-omgevingen omvat segmentatie vaak het inzetten van DataDiodes om een eenrichtingsverkeer van gegevens uit kritieke systemen te creëren. Door fysiek te voorkomen dat gegevens teruggaan naar zones met een hoog risico, voegen DataDiodes een beschermingslaag toe die veel verder gaat dan wat standaard firewalls kunnen bieden. Hoewel ze niet universeel toepasbaar zijn, zijn ze van onschatbare waarde voor het isoleren van de meest gevoelige OT-processen, het voorkomen van gegevensmanipulatie en het verhinderen dat bedreigingsactoren door netwerken heen bewegen. Christo voegt hieraan toe: "Daarom is er een groeiende interesse in eenvoudige, zwart-wit beveiligingsoplossingen die wel hoge veiligheidsgaranties bieden. DataDiodes is hier een duidelijk voorbeeld van en biedt een veel sterkere beveiligingsgarantie vanwege hun fundamentele benadering van beveiliging. Executives houden van dat niveau van duidelijkheid!"
Een continu proces in een veranderend landschap
OT-beveiliging is nooit een eenmalig project. Er ontstaan nieuwe bedreigingen, systemen evolueren en organisaties moeten hun houding regelmatig opnieuw beoordelen. De focus van NIS2 ligt op top-down verantwoordelijkheid en legt de verantwoordelijkheid bij het leiderschap om ervoor te zorgen dat processen en technologieën up-to-date blijven en in staat zijn zich te verdedigen tegen het steeds veranderende bedreigingslandschap.
Door verantwoording af te dwingen op de hoogste niveaus, wil NIS2 een culturele en operationele verschuiving teweegbrengen in de manier waarop organisaties prioriteit geven aan cyberbeveiliging - met name in domeinen zoals OT, waar de inzet bijzonder hoog kan zijn.
Belangrijkste opmerkingen
- OT in reikwijdte: NIS2 heeft expliciet betrekking op zowel IT als OT en vergroot het belang van industriële en kritieke systemen in de algehele cyberbeveiligingsstrategie van een organisatie.
- Verantwoordelijkheid op directieniveau: De leiding moet de OT-risico's begrijpen en zorgen voor een robuuste verdediging; de verantwoordelijkheid kan niet langer alleen aan technische teams worden gegeven.
- Cultuur van samenwerking: Effectieve implementatie vereist duidelijke communicatie tussen leidinggevenden, CISO's en OT-beveiligingsteams - een brug tussen strategie en activiteiten.
- Segmentatie & DataDiodes: Netwerksegmentatie en fysieke eenrichtingsgegevensstromen bieden sterke beveiligingsmaatregelen waar leidinggevenden op kunnen vertrouwen, met name voor kritieke OT-omgevingen.
- Voortdurende evolutie: Het bedreigingslandschap is dynamisch. Organisaties moeten zich voortdurend aanpassen, geleid door een mandaat van bovenaf en samenwerking tussen verschillende afdelingen.
NIS2 maakt cyberbeveiliging - zowel IT als OT - tot een prioriteit op directieniveau. Als organisaties hun activiteiten afstemmen op deze richtlijn, zal de nadruk op segmentatie, duidelijke communicatie en strategische verantwoording helpen om kritieke processen veilig te houden in een steeds complexere digitale omgeving.
