OT verdient een eigen CISO – NIS2 vraagt om specifieke security kennis in operationele technologie

Het duurt nog even voordat de regering NIS2 heeft verwerkt in Nederlandse wetgeving. Dit betekent echter niet dat je achterover kunt leunen. NIS2 is kristalhelder in wat je moet doen. Aan ‘het hoe’ moet je als organisatie zelf invulling geven. Focus bij deze inspanningen op het vergroten van de cyberweerbaarheid, dan is compliancy automatisch het gevolg. Hierdoor gaat security veel meer leven in je organisatie. Dit geldt vooral voor organisaties met een omvangrijke operationele technologische infrastructuur. Het is raadzaam dat zij een CISO (chief information security officer) voor de OT aanstellen om dit proces in goede banen te leiden.

Het is al ruim een jaar geleden dat de Europese Unie de Network and Information Security Directive (NIS2-richtlijn) vaststelde. De richtlijn focust op het versterken van de digitale en economische weerbaarheid van Europese lidstaten. Vervolgens moeten de lidstaten deze richtlijn nu vertalen in nationale wetgeving. De minister van Veiligheid en Justitie heeft onlangs in een brief aan de Tweede Kamer gemeld dat deze procedure in Nederland vertraging heeft opgelopen. “Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht”, laat zij weten. Hoewel het ministerie de implementatiedeadline van 17 oktober 2024 niet haalt, “blijft het van belang dat bedrijven en organisaties niet afwachten totdat de nieuwe wet- en regelgeving volledig duidelijk is.” De minister roept in haar brief op om nu al maatregelen te nemen ter bescherming van de continuïteit van bedrijfsprocessen.

Niet compliant zijn is een bedrijfsrisico

Daarmee slaat ze de spijker op de kop. Begin hierbij met het in kaart brengen van de grootste bedrijfsrisico’s, waarbij je moet weten dat niet compliant zijn op zichzelf al een bedrijfsrisico is. Het lijkt zo vanzelfsprekend om deze risico’s te benoemen, maar ze zitten soms in een onverwachte hoek. Denk aan:

• Welke assets zijn essentieel voor het productieproces?
• Welke R&D-informatie wil je absoluut voor de concurrentie verborgen houden?
• En welke bedrijfsapplicaties zijn nodig voor medewerkers om hun dagelijks werk te doen?

Noodzaak om te rapporteren

Het biedt houvast om hierbij het NIST Cybersecurity Framework (National Institute of Standards and Technology) erbij te pakken. Deze bestaat uit de volgende stappen:

• Identificeren: leg de cybersecurity risico’s bloot die van invloed zijn op systemen, assets en data. Ontwikkel op basis hiervan een risicobeheerstrategie die in lijn is met de zakelijke doelstellingen van de organisatie.
• Beschermen: ontwikkel en implementeer de juiste beschermingen om businesscontinuïteit te waarborgen. Van Identity & Access Management tot beveiligde connectiviteit en endpoint bescherming.
• Detecteren: het op tijd detecteren van een cybersecurityincident, bijvoorbeeld met een Security Operations Center.
• Reageren: na detectie van een incident doe je er alles aan om de bedreiging te isoleren en de gevolgen te beperken. Bij een serieuze inbreuk zul je autoriteiten en partners op de hoogte moeten brengen. Voer tevens analyses uit om impact en oorzaak in kaart te brengen.
• Herstellen: Focus op het herstel van services en systemen die zijn aangetast. Je hebt immers een back-up en recoveryplan in de la liggen, toch?

Deze vijf stappen geven je als organisatie houvast en bieden tegelijkertijd een raamwerk om te laten zien hoe je richting NIS2 compliancy toewerkt. Juist omdat je nu nog niet kan weten hoe NIS2 er precies in de Nederlandse wet eruit komt te zien, is het goed om het fundament neer te leggen. Omdat de NIS2 richtlijn nadrukkelijk wijst op de noodzaak om te rapporteren over welke securitymaatregelen je neemt en de wijze waarop je deze implementeert, dient zo’n raamwerk een goed instrument. Autoriteiten zullen hier ook naar vragen op het moment dat er incidenten hebben plaatsgevonden.

CISO in de OT-omgeving

Organisaties die in hoge mate werken met operationele technologie, zoals in de industrie of bij nutsbedrijven, hebben rekening te houden met een extra obstakel. In de IT kun je alle data, assets en systemen op afstand monitoren en beheren. In de OT is dat een stuk lastiger. Machines en installaties beschikken vaak over verschillende vormen van hardware. En hoewel je op afstand de prestaties met sensoren kunt monitoren, heb je ‘boots on the ground’ nodig om de machines te controleren, bijvoorbeeld of de firmware nog up to date is. Dit staat in contrast met het streven van productieomgevingen om processen te automatiseren en zo veel mogelijk processen zonder operators af te handelen. Om het overzicht van alle securitymaatregelen te bewaren en de regie te houden, is het raadzaam dat ook voor de OT-omgeving een functionaris wordt aangesteld als een CISO in de IT-omgeving. Nu vervult in de OT een site of een plant manager deze taak; maar je hebt echt een cybersecurity expert nodig om cybersecure te worden in het kader van NIS2.

De conclusie? Wacht niet met het toewerken naar NIS2 compliancy. Kijk niet alleen vanuit compliancy-oogpunt naar NIS2. Zie het liever als dé kans om digitaal weerbaarder te worden. Dan komt het compliant zijn vanzelf. Er bestaat voor geen enkele organisatie een blauwdruk om zo ver te komen. Ga aan de slag en weet dat je steeds meer kunt leren, terwijl je het uitvoert. Met het aanstellen van een Corporate OT Security Officer, COSO, kan je als organisatie de hoogstnoodzakelijk versnelling met betrekking tot cyberweerbaarheid bereiken.

Auteur: Eric ten Bos, Co-Founder & Technical lead van het Thales Cyber OT Convergence Center (OTCC).