November/December 2023
‘Cyberweerbaarheid kan en moet omhoog’
‘Als we kijken naar de cyberweerbaarheid van Nederland op het gebied van informatietechnologie, dan zien we dat we inmiddels een behoorlijk hoog niveau hebben bereikt. Ook in de installatiesector. Op het gebied van procestechnologie en operationele technologie ligt de cyberweerbaarheid echter nog een stuk lager. Daarom loopt er binnen Techniek Nederland een groot project om hier verbetering in te brengen,’ zegt John van Vugt, vakspecialist cybersecurity Techniek Nederland.
John van Vugt: ‘Bij procestechnologie moeten we denken aan digitale systemen die met internet zijn verbonden en die nodig zijn om industriële processen aan te sturen. Bij operationele technologie gaat het vooral om Internet of Things-achtige toepassingen in bijvoorbeeld gebouwautomatisering en bij particulieren thuis zoals zonnepanelen of slimme deurbellen.’
Hoewel de officiële nulmeting nog moet plaatsvinden (zie kader) durft Van Vugt de stelling wel aan dat de cyberweerbaarheid van installatiebedrijven op het gebied van informatietechnologie inmiddels redelijk op orde is. Anders is het volgens Van Vugt als het om proces- en operationele technologie gaat. ‘Dat blijkt ook uit het Cybersecuritybeeld Nederland, een rapportage die jaarlijks wordt uitgebracht door de Nationaal Coördinator Terrorismebestrijding en Veiligheid. In die rapporten zien we duidelijk de kwetsbaarheid van onder andere installatieonderdelen die gekoppeld zijn aan internet.’
Ook in gesprekken met installatiebedrijven hoort Van Vugt dat terug. ‘Vaak heeft men wel nagedacht over zaken als goede wachtwoorden. Maar veel andere aspecten die met een goede cyberweerbaarheid te maken hebben, laat men in veel gevallen nog over aan de opdrachtgever. Als Techniek Nederland zien we daar echter wel degelijk een belangrijke rol weggelegd voor onze leden en de fabrikanten van de producten die wij als sector bij onze klanten plaatsen. Het zou ideaal zijn als cyberweerbaarheid, en alle maatregelen die daarbij horen, zo snel mogelijk volledig geïntegreerd zijn in de producten, installaties en diensten die installatiebedrijven hun opdrachtgevers leveren.’
Formele nulmeting
Hoewel de laatste maanden veel berichten over de NIS2-richtlijn – de EU-brede wetgeving inzake cyberbeveiliging – naar buiten zijn gekomen, was dat zeker niet de aanleiding voor Techniek Nederland om cyberweerbaarheid hoog op de agenda te plaatsen, ‘Het heeft natuurlijk wel geholpen om aandacht voor cybersecurity te krijgen’, zegt Van Vugt. ‘NIS2 betekent voor veel installatiebedrijven dat zij straks betrokken zijn bij de kritieke infrastructuur van ons land. Dat brengt met zich mee dat zij aan cyberweerbaarheid nog meer aandacht moeten geven, ook als het gaat om de security bij en van hun toeleveranciers. Daarom zijn we als branchevereniging vorig jaar al een programma gestart om hen te helpen hun cyberweerbaarheid te verbeteren.’
Onderdeel van dit programma is een formele nulmeting: waar staan we nu eigenlijk als het gaat om cyberweerbaarheid van operationele en procestechnologie? Hiertoe zal gebruik worden gemaakt van een scan die is ontwikkeld door ThreadStone Cyber Security; de zogeheten ThreadScan. Alle leden van Techniek Nederland krijgen een uitnodiging om deze scan voor hun eigen bedrijf en hun eigen situatie te doen. ‘Ik kan niet genoeg benadrukken hoe belangrijk het is dat zoveel mogelijk Techniek Nederland-leden, maar ook leveranciers, aan dit onderzoek deelnemen. Wat Techniek Nederland betreft hoop ik op ruim meer dan de helft van onze leden, al zie ik nog liever dat elk lid meedoet.’
Alle leden van Techniek Nederland krijgen een uitnodiging voor de Threadscan
Haast voor installatiebedrijven
De scan zal niet alleen een nulmeting opleveren die aangeeft hoe goed of slecht de cyberweerbaarheid van de gehele installatiesector is. ‘Erg interessant is ook dat we op basis van de scan elk deelnemend bedrijf een resultaat geven van hun eigen specifieke situatie. Dat is natuurlijk zeer belangrijke informatie voor elk installatiebedrijf, omdat je aan de hand van die resultaten meteen ziet welke zaken binnen de eigen organisatie al goed geregeld zijn en waar nog verbeteringen mogelijk of nodig zijn.’
‘Daarbij speelt de komst van NIS2 natuurlijk ook. Steeds meer installatiebedrijven hebben de afgelopen maanden ontdekt dat zij onderdeel zijn van de kritieke infrastructuur van ons land en straks dus onder NIS2 vallen. Laten we daarom niet vergeten dat NIS2 al op 1 maart 2024 ingaat. Als de individuele scan aangeeft dat er verbeteringen nodig zijn, dan is er dus haast geboden.’
Scan brengt cyberweerbaarheid in kaart
Er wordt veel onderzoek gedaan naar security op het gebied van informatietechnologie, procestechnologie en operationele technologie. Toch zien we dat er behoefte is aan een goede nulmeting die in kaart brengt hoe goed de installatiesector het doet als het gaat om cyberweerbaarheid ten aanzien van met name operationele technologie.
Om deze informatie boven water te krijgen, organiseert Techniek Nederland een onderzoek waaraan alle leden van Techniek Nederland kunnen deelnemen. John van Vugt: ‘Hoe meer bedrijven de scan doen, hoe beter het is.’
Voor Techniek Nederland-leden is er nog een reden om deel te nemen aan deze scan. Elk bedrijf dat de scan invult, ontvangt op maat van de eigen antwoorden een rapportage waaruit duidelijk blijkt hoe het bedrijf het doet als het om cyberweerbaarheid gaat. Bovendien vindt men in de rapportage ook meteen welke technische of andere maatregelen nog genomen kunnen of moeten worden om de cyberweerbaarheid op een goed niveau te krijgen.
Tekst: Robbert Hoeffnagel
Fotografie: iStock
Lees meer artikelen in het dossier software