Bereid uw OT-omgeving voor op de Cyberbeveiligingswet (NIS2) & CRA

Wat is de Cyberbeveiliginswet (NIS2-richtlijn)?
NIS2 staat voor Network and Information Security Directive 2 en is een update van de oorspronkelijke NIS-richtlijn uit 2016. De nieuwe richtlijn legt strengere eisen op om netwerken en gevoelige informatie te beschermen tegen cyberaanvallen. Waar de originele NIS-richtlijn invloed had op een beperkt aantal organisaties, gaat het bij de NIS2 om ruim 10.000 direct betrokken organisaties. Wanneer men daar niet bij hoort, dan is toch de kans heel groot dat men tot de 50.000 tot 70.000 betrokken leveranciers hoort. De landelijke wetgeving die hieruit voortkomt is in de maak.

Wat is CRA?
De Cyber Resilience Act (CRA) is een EU-wetgeving die zich richt op het verbeteren van de cyberweerbaarheid van producten met digitale elementen. Het doel is om ervoor te zorgen dat deze producten veilig zijn gedurende hun hele levenscyclus, van ontwerp tot gebruik. Het gaat hierbij niet alleen om alle bedrijven die een product ontwikkelen, produceren en verkopen, maar ook om systeemintegratie, waarbij software wordt toegepast voor besturing of centrale bediening. Tenslotte heeft men als importeur of distributeur van producten met een digitaal element meldingsverplichting met betrekking tot kwetsbaarheden en security patches.

Belangrijke veranderingen
Een grote groep bedrijven moet maatregelen treffen. Men kan daarbij denken aan zorgplicht, registratieplicht en meldplicht. Voor de OT-omgeving zit de uitdaging voornamelijk in het OT Lifecycle management. IT-security oplossingen zijn hier simpelweg niet voor ontwikkeld. Onze vraag is dan ook: hebt u al onderzoek gedaan naar uw leveranciers en waar zij staan met betrekking tot Cyberbeveiligingswet (NIS2-richtlijn) en de EU Cyber Resilience Act? Zijn wij uw OT-netwerk partner, dan zit u goed! Maar vraag het ons gerust waarom dit zo is.

Voorbereidingstips voor uw OT-omgeving
Modelec helpt u om uw OT-netwerk en OT-security in kaart te brengen. Denk hierbij aan een netwerkscan, Security Assessment of zelfs een Risico Analyse.

In ons streven om OT-netwerkoplossingen te leveren die een maximale beschikbaarheid garanderen, hoort in onze ogen ook het uitsluiten van OT-security risico’s. Maar: bescherming van wat moet worden beschermd is de basis. En daar hoort een gedegen inventarisatie bij, zodat u kunt beginnen met het beschermen van assets die van de grootste waarde zijn voor uw besturing.

Natuurlijk willen we graag wat vertellen op basis van onze ervaringen. Begin met het gebruik van een OT-specifieke Endpoint Protection voor in elk geval uw OT-legacy Windows-systemen, zoals Stellar van TXOne (CPSDR of Cyber-Physical Systems Detection and Response).

Een goede tweede maatregel is het gebruik van IEC-62443-4-2 gecertificeerde OT-netwerk-switches, zoals die van Moxa. Naast een betrouwbare werking en een maximale uptime, helpt deze keuze ook te voldoen aan de eisen vanuit de CRA én NIS2 patchmanagement-eisen.

Als laatste willen we u graag de volgende gedachte meegeven: is uw moderne OT-besturingssysteem niet de legacy van morgen?

Heeft uw bedrijf al stappen ondernomen om zich voor te bereiden op NIS2 en CRA?