EW10 cover 600
Januari 2023

Cybersecurity: ook installateurs verplicht aan de bak

NIS2 gaat stevige eisen stellen

29-00

NIS2 moet Europa online een stuk veiliger maken. Ook installateurs moeten hiermee aan de slag. De nieuwe wet- en regelgeving zorgt ervoor dat installateurs nadrukkelijker betrokken worden bij de digitale weerbaarheid van hun klanten. Wat gaat er precies veranderen en waar zullen installateurs straks rekening mee moeten houden?

NIS staat voor ‘Network and Information Security’ en heeft betrekking op cybersecurity. Het is een Europese richtlijn waarvan de kans groot is dat veel installateurs er nog nooit van gehoord hebben. Dat is ook niet zo raar, want de huidige richtlijn geldt in Nederland slechts voor 60 bedrijven die werkzaamheden verrichten voor de vitale infrastructuur van ons land.
Met NIS2 komt daar verandering in en krijgen vele duizenden bedrijven er mee te maken. Hélène Minderman van Techniek Nederland: ‘Ik schat dat het al gauw om meer dan 4.000 Nederlandse bedrijven zal gaan, waaronder veel installateurs. In de EU gaat het in totaal om zeker 160.000 bedrijven.’

Veiliger maken

NIS is bedoeld om Europa op cybersecuritygebied veiliger te maken. NIS geldt al sinds 2018 en is in Nederland geïmplementeerd in de WBNI, de Wet Beveiliging Netwerk- en Informatiesystemen. Deze wet geldt voor een groep zogeheten ‘aanbieders essentiële diensten’ en ‘digital service providers’. Dit zijn bedrijven die tot de vitale infrastructuur van ons land behoren of daar aan werken. Voor deze bedrijven geldt vooral een meldingsplicht als zij cybersecurity-incidenten waarnemen en ze dienen hun zaken aantoonbaar op orde te hebben.
Bij NIS2 wordt dat anders. Marcel Jutte, managing director van cybersecurityfirma Hudson Cybertec, legt uit: ‘NIS2 gaat een stuk verder dan NIS en stelt veel steviger eisen. Zo wordt de zorgplicht die al deels in NIS zit, flink uitgebreid. Dat betekent bijvoorbeeld dat er ook een verplichting komt om installaties of netwerken structureel te monitoren. Daarbij komt ook ketenaansprakelijkheid om de hoek kijken.’
‘Wat men met NIS2 beoogt, is dat de gehele keten van opdrachtgever tot opdrachtnemer en al diens onderaannemers, in elk project heel bewust gaat kijken naar de risico’s op het gebied van cybersecurity en deze voldoende vermindert. In deze gehele keten dient de kennis van cybersecurity dus flink opgeschroefd te worden. Daarbij voorziet de nieuwe richtlijn ook nog eens in de mogelijkheid dat de overheid in bepaalde gevallen, waar verplichtingen niet worden gevolgd, boetes kan opleggen.’
Bij NIS2 is de opdrachtgever heel duidelijk als eerste aan zet. Jutte: ‘De opdrachtgever van een installatie of een project dient in zijn opdracht of bestek duidelijk te specificeren aan welke eisen dit project moet voldoen. Naast eisen ten aanzien van bijvoorbeeld technische specificaties, prestaties of energiegebruik komen daar nu ook cybersecurity-eisen bij. Dat hoeft men niet zozeer te doen door heel specifiek technische security-eisen te beschrijven, maar wel door te verwijzen naar normen, zoals IEC 62443.’
IEC 62443 is een internationale reeks van normen die zich bezighoudt met cyberbeveiliging voor operationele technologie in automatiserings- en controlesystemen. De standaard is onderverdeeld in verschillende secties en beschrijft zowel technische als procesgerelateerde aspecten van cybersecurity van automatisering- en controlesystemen. Ook de manier waarop een bedrijf een installatie ontwerpt en daarin cybersecurity meeneemt wordt dus in deze norm beschreven.

29-01

Onderscheidend vermogen

In de praktijk kan dit bijvoorbeeld betekenen dat een opdrachtgever als eis stelt dat in het projectteam van de opdrachtnemer minstens twee mensen dienen te zijn opgenomen die aantoonbaar kennis hebben van cybersecurity. Dit kan de opdrachtnemer dan aantonen door medewerkers in het team op te nemen die bepaalde certificaten op het gebied van cybersecurity hebben behaald. Deze opdrachtnemer zal vervolgens zelf ook vergelijkbare eisen stellen aan de eigen onderaannemers, zodat de gehele keten die aan het project werkt over kennis van cybersecurity beschikt.
Minderman: ‘Je moet als installateur straks dus wel je zaken goed op orde hebben. Tegelijkertijd zit hier natuurlijk ook een kans. Een installatiebedrijf dat een aantal medewerkers op security-gebied opleidt en certificeert – en dus in staat is te werken conform IEC 62443 – kan zich dan natuurlijk ook op een positieve manier onderscheiden van andere firma’s die nog niet zover zijn.’
Op deze manier dwingt NIS2 dus zowel opdrachtgevers als opdrachtnemers om de kennis van de eigen organisatie op het gebied van cybersecurity verder te vergroten.

Cyber Resilience Act

In Europa staat cybersecurity al geruime tijd hoog op de agenda. Men werkt bijvoorbeeld ook aan de zogeheten Cyber Resilience Act (CRA). Hoe verhoudt NIS2 zich nu tot deze regelgeving? Jutte van Hudson Cybertec: ‘Bij CRA gaat het om de digitale weerbaarheid van producten. Het stelt eisen waaraan zowel hardware- als software-producten moeten voldoen als het om cybersecurity gaat. Denk hierbij aan de eis dat de fabrikant bij het ontwerpen, bouwen en onderhouden van het product nadrukkelijk naar cybersecurity moet kijken. De fabrikant moet eventuele security-problemen openbaar maken en gedurende de gehele levensduur van het product oplossingen aanbieden voor dit soort security-problemen. Bovendien moet de fabrikant als het om software gaat, gebruikers minimaal vijf jaar van updates voorzien. Daar worden producten op getest en alleen producten die hieraan voldoen mogen in de EU verkocht worden. Dit wordt straks onderdeel van de CE-markering.’
Producten kunnen afhankelijk van het belang van het product via een self-assessment of een onderzoek door een derde partij aantonen dat ze in overeenstemming zijn met de Cyber Resilience Act. In Brussel is in mei vorig jaar een voorlopig akkoord bereikt over NIS2. In de praktijk betekent dit dat invoering 21 maanden daarna zal plaatsvinden, dus zo rond februari volgend jaar.

Op de hoogte blijven

Techniek Nederland informeert haar leden wanneer er meer bekend is over inhoud en impact van NIS2 en het bijbehorende tijdpad. Heeft u eigen ervaringen/inzichten die u graag met ons wilt delen, neem dan contact op met Hélène Minderman, email h.minderman@technieknederland.nl.

Tekst: Robbert Hoeffnagel
Fotografie: iStock

Meer weten over de nieuwste installatietechnieken en de laatste richtlijnen?
Meld u dan nu aan voor onze gratis tweewekelijkse nieuwsbrief.