IEC-62443-certificering kan helpen bij naleving NIS2 en EU CRA

De NIS2-richtlijn wordt de opvolger van de NIS, NIB en Wbni. Het verwerken van deze richtlijn in de Nederlandse wetgeving heeft vertraging, maar is bekrachtigd in het EU-parlement. Zaken als zorgplicht, meldplicht, toezicht, ‘incident response’, leiderschap aansprakelijkheid én beveiliging van de ‘supply chain’ zijn ingegaan.

Het lopende Nederlandse wetgevingstraject is alleen bedoeld voor handhaving ofwel beveiliging van de ‘supply chain’ (lees: de impact op de keten). Daarover meer.

EU CRA
De EU Cyber Resilience Act (CRA) voegt nog een dimensie toe, als het gaat om productaansprakelijkheid. Het doel hiervan is om consumenten en bedrijven veilig te stellen, die producten of software met een digitale component kopen of gebruiken.

Deze wet ziet erop toe dat ontoereikende beveiligingskenmerken tot het verleden behoren. De invoering van de verplichte cyberbeveiligingsvereisten voor fabrikanten en detailhandelaren gelden voor de gehele levenscyclus van het product.

Hoewel de CRA-wetgeving nog in ontwikkeling is, wordt de definitieve tekst in de 1^e helft van 2024 verwacht. Na goedkeuring volgt er een implementatieperiode van 36 maanden. In 2027 zal de wet van kracht worden.

Impact OT-security
Genoemde wet- en regelgeving gaan een grote impact hebben. De NIS2-richtlijn geeft aan dat moet worden gewerkt aan het verhogen van de cyberweerbaarheid. Hoe dit exact moet geschieden, staat niet beschreven?

Een logische keuze binnen het OT-landschap is het volgen van de IEC-62443 standaard. Regelmatig wordt dan ook de vraag gesteld, hoe de NIS2 kan worden vertaald naar werkbare, binnen de OT bruikbare, oplossingen.

De EU CRA geldt voor alle producten met digitale elementen (PDE’s), die bedoeld zijn voor een fysieke connectie met een ander apparaat rechtstreeks of via een netwerk. Binnen de OT zijn dit bijvoorbeeld PLC’s, netwerkswitches, I/O en (SCADA) PC’s en servers.

Gecertificeerde IEC-62443 oplossing
Voldoen aan de NIS2 en CRA heeft invloed op de wijze waarop OT-besturingen ontwikkeld en ontworpen worden. De hele keten (supply chain) moet daarom onder de loep worden genomen.

Weet u momenteel hoe uw hardware-leverancier omgaat met bijvoorbeeld ‘patch management’? Of hoe zij hun hardware en software ontwikkelen? Is iemand hiermee bekend? Het advies van Modelec Data-Industrie is om dit in elk geval te gaan onderzoeken.

Eén van de oplossingen om te voldoen aan NIS2, en zeker de EU CRA, is het gebruiken van IEC-62443-4-2 netwerkapparatuur van een IEC-62443-4-1 gecertificeerde fabrikant als Moxa of Westermo. De gecertificeerde oplossingen van Moxa en Westermo zijn ‘Secure-by-Design’. Hierdoor is de gebruiker namelijk verzekerd van ‘lifecycle management’, hetgeen één van de NIS2- en CRA-eisen is.

De ISO 27001-certificering laat zien dat MODELEC voldoet aan alle eisen rondom informatiebeveiliging. Ondersteuning bij netwerkontwerp en -configuratie is bij MODELEC in vertrouwde handen.

Meer weten over dit onderwerp? En meer leren over praktische gebruikerscases om de cyberweerbaarheid te verhogen? Of direct meer weten over de verschillende IEC-62443 oplossingen van Moxa en Westermo? De toegewijde experts van Modelec beantwoorden graag alle vragen.

Tip! Meldt u aan voor het Modelec-event NIS2 en CRA praktische invulling vanuit de techniek. Neem hiervoor contact op met de specialisten van MODELEC.