Wet- en regelgeving

‘Nieuwe wetgeving cyber security gaat bedrijven wakker schudden’

Met de toenemende digitalisering van onze samenleving groeit het gevaar van cybercrime. Systemen worden aangevallen, bedrijfsprocessen verstoord. De impact op de samenleving kan enorm zijn. Je moet er toch niet aan denken dat een ziekenhuis buiten bedrijf komt te liggen of dat de stroomvoorziening in gevaar komt door een aanval op de computersystemen van de leverancier. Een goede cybersecurity is dus niet alleen voor bedrijven van belang, maar voor de hele samenleving. Ook omdat de mogelijkheden tot het uitvoeren van zo'n digitale aanval steeds groter worden.

Ben Kokx houdt zich binnen Philips bezig met product security. “Onze afdeling bekijkt of de producten aan alle securityvereisten voldoen. Denk daarbij aan medische systemen, clouddiensten of consumentengoederen die met internet verbonden zijn. We willen zorgen dat die producten veilig te gebruiken zijn en voldoen aan de lokale wet- en regelgeving. Standaardisatie speelt daar een belangrijke rol in.” De normenserie IEC 62443 voor industrial cybersecurity is onmisbaar om een goede cybersecurity op te zetten, aldus Kokx. “Het is een complete en brede set aan standaarden die eigenlijk alle aspecten van het onderwerp bedekken. Maar het is ook mogelijk om aan cherrypicking te doen; er als bedrijf die aspecten uit pakken die voor jou het meest van toepassing zijn. In het geval van Philips zijn dat bijvoorbeeld de 62443-4-1 en 62443-4-2 normen uit de serie. Die zijn prima geschikt om voor medische systemen te gebruiken. De serie is dus breder inzetbaar dan alleen voor de industrie.”

Platform is nuttig
Kokx levert vanuit zijn positie bij Philips nuttige kennis voor het Industrieel Platform Cyber Security waar hij lid van is. Het platform richt zich op de risico’s in de industrie ten aanzien van cybersecurity met het doel deze te beperken. “Ik richt me met name op standaardisatie en nu met name op de aanpassingen voor de Radio Equipment Directive, die gericht is op apparaten die een radio aan boord hebben voor draadloze communicatie. En dat zijn er meer dan je denkt, bijvoorbeeld een draadloze babycamera, bluetooth speelgoed, je Wi-Fi laptop of 4G smartphone. Binnen de CEN/CENELEC JTC13 werkgroep willen we de cybersecurity eisen voor dat soort apparaten op papier gaan zetten. Gelukkig is er een aantal standaarden dat we kunnen gebruiken om ons daarbij te helpen. We willen dus vooral niet zelf het wiel uitvinden maar putten uit de reeds aanwezige kennis en kunde.” Kokx en zijn werkgroep belandden zo bij de IEC 62443 normenreeks en zochten samenwerking met de Europese werkgroep die zich met deze normenreeks bezig houdt. “Dat is een vruchtbare samenwerking gebleken met een grote groep uitstekende experts. Het Platform brengt zo mensen vanuit verschillende vakgebieden met elkaar in contact om elkaar te versterken. ”

Breder inzetten
Kokx ziet in de praktijk steeds meer de noodzaak om te komen tot een horizontale OT-standaard in plaats van ‘slechts’ de industriële hoek te bedienen die centraal staat in de normenreeks IEC 62443. “Dat zie ik niet alleen in de medische hoek, maar ook in transport en building automation. Binnen standaardisatie is de discussie opgestart voor een horizontale OT-security standaard die ook op andere vakgebieden van toepassing is. Dat onderwerp is recent binnen het IEC ter sprake geweest en we gaan nu bekijken hoe we die specifieke standaarden kunnen verbreden. Daar ligt nog best een uitdaging in want alle risicoanalyses die in die standaarden staan moeten opnieuw tegen het licht worden gehouden. Je krijgt dan te maken met het verschil tussen IT, waarbij veel met data wordt gewerkt, en OT, waarbij fysieke machines zijn betrokken. Als bij IT iets niet goed gaat kun je een systeem uitzetten, dat gaat bij OT niet zo maar want je kunt niet opeens een beademingsapparaat uitzetten. Naar dat soort dingen moet je dus goed kijken. Maar de basis in de normenserie IEC 62443 is er en die is goed.”

Wetgeving
In veel bedrijven is er nog te weinig aandacht voor cybersecurity, vindt Kokx. “Er is weliswaar de NIS Directive, die aanzet tot het delen van informatie over incidenten, maar het mag wat mij betreft wel wat strenger. Vanuit Nederland en de Europese Commissie wordt nu behoorlijk wat druk uitgeoefend om dit onderwerp beter geregeld te krijgen. Er is momenteel een nieuwe draft in de maak die mogelijk alle Europese fabrikanten gaat verplichten dat ze hun digitale veiligheid op orde moeten hebben. Gebeurt dat niet, dan kunnen er zelfs boetes worden uitgedeeld die behoorlijk op kunnen lopen. Boetes zorgen voor meer bewustwording, dat hebben we bij de invoering van de AVG ook gezien.” Ook zorgt het samenspel tussen de Radio Equipment Directive en de NIS Directive voor meer aandacht in de supply chain, zegt Kokx. “Niet alleen je eigen producten moeten veilig zijn, maar je moet als bedrijf ook zorgen dat alle onderdelen die in je product zitten of producten die je zelf gebruikt, veilig zijn. Zo houd je binnen de keten elkaar scherp en krijg je een olievlekwerking. De focus komt dus veel meer op toeleveranciers te liggen, de hele keten moet mee gaan doen.”

Soorten circulair
Met de komende strengere wetgeving zal cybersecurity in de toekomst meer afgedwongen gaan worden. “Dat is een goede zaak want er is eigenlijk nog te weinig aandacht voor het onderwerp, het leeft nog onvoldoende. Veel bedrijven moeten echt die extra stap nog gaan zetten, ze beseffen vaak het belang niet of hebben er simpelweg de mankracht of de middelen niet voor om het goed op poten te zetten. Terwijl de belangen zo ontzettend groot zijn.” Kokx vreest een toekomstige wildgroei aan certificeringen van systemen, diensten en bedrijven om aan de bewijslast van veilige producten en diensten te kunnen voldoen. “Ik hoop dat het niet zo ver komt maar ik vrees dat we niet van certificering weg kunnen blijven. Met name door de ketenafhankelijkheid waarbij iedere partij van zijn toeleverancier bewijzen wil zien dat een product of dienst ook deugt. Het betekent meer administratieve rompslomp maar zorgt wel dat cybersecurity die op een hoger niveau komt.”

Praat mee over industrile cybersecurity
Het Industrieel Platform Cyber Security richt zich op de risico’s in de industrie ten aanzien van cybersecurity met het doel deze te beperken. Door contact te leggen met een netwerk van experts kan dit ook voor uw bedrijf de nodige voordelen opleveren. Meer weten of lid worden van het Industrieel Platform Cyber Security? Kijk dan hier. 

Bron: NEN

Dit artikel heeft betrekking op het volgende thema
Meer nieuws van NEN Nederlands Normalisatie-instituut
Meer nieuws over Wet- en regelgeving