Zoeken

Navigeren door de nieuwe richtlijn voor netwerk- en informatiebeveiliging (NIS2) en essentiële strategieën voor operationele technologie (OT)

De impact van NIS2 op OT-omgevingen

De Europese Unie (EU) heeft onlangs haar regelgeving voor netwerk- en informatiebeveiliging bijgewerkt met de publicatie van de NIS2-richtlijn. Deze belangrijke wijziging verbreedt het aantal sectoren en organisaties waarop de richtlijn van toepassing is. Bovendien wordt nauwkeuriger gedefinieerd op welke sectoren de richtlijn van toepassing is. Als gevolg hiervan moeten organisaties nu hun bestaande beveiligingsmaatregelen voor zowel informatietechnologie (IT) als operationele technologie (OT) grondig herzien en verbeteren om aan deze nieuwe normen te voldoen.

De Europese Unie heeft op 27 december 2022 de richtlijn Netwerk- en informatiebeveiliging gepubliceerd. Deze richtlijn stelt een wettelijk regelgevend kader vast dat de individuele lidstaten van de EU uiterlijk op 17 oktober 2024 in hun nationale wetgeving moeten hebben omgezet. Het is de verantwoordelijkheid van elke lidstaat om specifieke minimumvereisten te definiëren.

Dit is vooral belangrijk voor het specificeren van de betrokken sectoren en het vaststellen van grenswaarden.

Het is nu al zeer waarschijnlijk dat het aantal betrokken organisaties aanzienlijk zal toenemen - experts zijn het erover eens dat er meer dan 100.000 organisaties in Europa onder deze nieuwe regels zullen vallen.

In de toekomst zullen organisaties wettelijk verplicht zijn om een hoog niveau van netwerk- en informatiebeveiliging te handhaven, zodat de kwaliteit gewaarborgd blijft. Dit geldt voor alle systemen en componenten die van vitaal belang zijn voor het leveren van kritieke diensten, waaronder IT, OT, embedded systemen, datacenters en andere. Organisaties moeten rekening houden met verschillende belangrijke aspecten:

  • Richtlijnen voor informatiebeveiliging & organisatiestructuur: Dit omvat het opzetten van een gestructureerde procesorganisatie om informatiebeveiliging te beheren.
  • Risicoanalyse: Het aannemen van een proactieve benadering om risico's te identificeren, classificeren en beoordelen, met behulp van een gestandaardiseerd proces.
  • Actief beheer van providers: Risico's beheren die verband houden met externe ICT-providers en toeleveringsketens.
  • Technische maatregelen: Het implementeren van fysieke beveiliging, het uitvoeren van penetratietesten, netwerksegmentatie en het zorgen voor robuuste authenticatie, autorisatie en logging om beveiligingsrelevante gebeurtenissen te detecteren.
  • Organisatorische maatregelen: Beveiligingsrelevante gebeurtenissen effectief afhandelen, processen voortdurend verbeteren en regelmatige beveiligingscontroles en -audits uitvoeren.

Alle maatregelen in het kader van de NIS2-richtlijn moeten kunnen worden gecontroleerd door de nationale toezichthoudende instanties van de respectieve EU-lidstaten. Deze wettelijke verplichting geldt niet alleen voor organisaties die er direct mee te maken hebben, maar ook voor organisaties in hun toeleveringsketen. Als gevolg hiervan schrijft NIS2 een duidelijk controlemechanisme en controleprocedures voor uitbestede diensten voor. Het is cruciaal voor elke organisatie om in dit stadium te beoordelen of ze direct of indirect worden beïnvloed door de NIS2-richtlijn.

De EU legt de verantwoordelijkheid voor naleving van NIS2 bij het management van elke organisatie. De straffen voor niet-naleving zijn aanzienlijk, variërend van boetes die vergelijkbaar zijn met die onder de GDPR tot de mogelijke tijdelijke schorsing van leidinggevend personeel.

Er wordt verwacht dat er geen technologische differentiatie zal zijn in deze vereisten. Dit betekent dat maatregelen voor het waarborgen van netwerk- en informatiebeveiliging voor IT, OT en ingebedde systemen waarschijnlijk dezelfde regels zullen volgen en vergelijkbare inspectieprocedures zullen ondergaan door de toezichthoudende autoriteit.

Implementatie van de NIS2-vereisten

Het implementeren van de netwerk- en informatiebeveiligingsstandaarden van de NIS2-richtlijn in operationele technologische (OT) omgevingen brengt aanzienlijke uitdagingen met zich mee. Deze omgevingen zijn complex en bestaan vaak uit diverse legacysystemen, propriëtaire technologieën en een web van onderling verbonden apparaten. De complexiteit wordt nog vergroot door de verschillende niveaus van beveiligingsvolwassenheid in veel industriële systemen. Het identificeren van deze niveaus is een kritieke eerste stap in het ontwikkelen of upgraden naar een beveiligingsarchitectuur die consistente beveiligingsbewaking mogelijk maakt.

Als jouw toegewijde partner biedt Orange Cyberdefense uitgebreide ondersteuning bij het versterken van de cybersecurity voor industriële systemen. Onze gespecialiseerde OT-beveiligingsassessments zijn ontworpen om je organisatie te helpen zich aan te passen aan de NIS2-richtlijn en andere beveiligingsstandaarden. Deze assessments geven een duidelijk inzicht in operationele risico's en leveren praktische, bruikbare aanbevelingen. Onze focus ligt op het verbeteren van de beveiliging van mensen, processen en technologiecomponenten.

Meer informatie vind je op onze pagina Industrial Security Assessments.

Strategische benaderingen voor netwerkontwerp en -integratie

Onder de NIS2-richtlijn en andere beveiligingsstandaarden is het beveiligen van netwerken en bedrijfsmiddelen, met name voor kritieke infrastructuur, een essentiële beveiligingsopdracht. Ons strategisch netwerkontwerp voorziet in deze behoefte door rekening te houden met de toenemende integratie van IT en OT, samen met de toepassing van nieuwe technologieën zoals 5G en het toegenomen gebruik van mobiele systemen in industriële omgevingen. We helpen bedrijven bij het implementeren van defense-in-depth architecturen, waaronder effectieve segmentatie van IT- en OT-netwerken en de implementatie op maat van microsegmentatie voor OT-netwerken.

Omdat we de dynamische aard van cyberdreigingen erkennen, leggen we sterk de nadruk op het menselijke aspect van beveiliging. We bieden trainingen in beveiligingsbewustzijn om medewerkers te helpen potentiële aanvallen te herkennen en erop te reageren.

Onze beheerde firewallservice hanteert een risicogebaseerde aanpak, biedt sterke bescherming en tijdige detectie van bedreigingen, waar nodig aangevuld met virtuele patching en snelle reactie op incidenten. Daarnaast biedt onze proactieve beheerde endpointsecurityservice robuuste malwarepreventie en -detectie, samen met beleidsvorming en efficiënt bedreigingsbeheer.

Met onze Secure Access Service Edge-oplossing en Zero Trust Network-architectuur biedt Orange Cyberdefense een veilig beheer van de toegang tot het netwerk en de bedrijfsmiddelen van uw bedrijf.

Lees meer over onze oplossingen op onze Industrial Cybersecurity pagina.

Uitgebreide OT-beveiliging met Orange Cyberdefense

Organisaties moeten hun IT- en OT-netwerken goed kennen om bedrijfsmiddelen te beschermen, complexe bedreigingen te detecteren en voorbereid te zijn op beveiligingsincidenten. Een belangrijke uitdaging ligt in het omzetten van technische gegevens in zinvolle, beveiligingsrelevante informatie en het begrijpen van de impact van beveiligingsgebeurtenissen op industriële omgevingen.

De Managed Industrial Security Services van Orange Cyberdefense voorzien je van een uitgebreid inzicht in je operationele technologie (OT). Onze diensten helpen je goed geïnformeerde beveiligingsbeslissingen te nemen. We richten ons op het maken en bijwerken van een gedetailleerde inventaris van je OT-activa, plaatsen activagegevens in context, identificeren verbindingen en kwetsbaarheden en bieden specifieke, bruikbare aanbevelingen. Door informatie over bedreigingen en kwetsbaarheden te integreren, verbeteren we je inzichten en bieden we een solide basis voor het ontwikkelen van een sterk OT-beveiligingsprogramma.

Wil je meer lezen over dit onderwerp? bezoek dan onze Managed Industrial Security [identify] pagina.

Bovendien houdt het aanpakken van de vereisten om operationele risico's in IT/OT-connectiviteit te minimaliseren in dat effectieve detectie van bedreigingen in OT-omgevingen moet worden opgezet zonder nieuwe risico's te introduceren. Inzicht in beveiligingsgebeurtenissen en hun impact op OT-systemen is cruciaal om effectief te voldoen aan cyberbeveiligingsnormen.

Wil je meer lezen over dit onderwerp? bezoek dan onze Managed Industrial Security [detect] pagina. 

Conclusie

De NIS2-richtlijn markeert een belangrijke herziening van de netwerk- en informatiebeveiligingsstandaarden binnen de Europese Unie. Deze richtlijn schrijft voor dat industriële omgevingen een constant hoog niveau van beveiligingsvolwassenheid moeten handhaven, met een sterke nadruk op het begrijpen en beheren van de impact van beveiligingsgebeurtenissen.

Een grote uitdaging voor veel organisaties is het gebrek aan middelen en expertise om OT-risico's effectief te beoordelen en beveiligingsevents en waarschuwingen af te handelen. Door deze kloof zijn ze vaak ver verwijderd van hun kernactiviteiten, waardoor de behoefte aan gespecialiseerde kennis en ondersteuning toeneemt.

Als gevolg hiervan is er een groeiende trend onder deze organisaties om op zoek te gaan naar competente partners zoals Orange Cyberdefense. Met hun expertise op het gebied van cyberbeveiliging en managed security services kunnen zij organisaties helpen te voldoen aan de strenge eisen van de NIS2-richtlijn en zorgen voor een robuuste netwerk- en informatiebeveiliging.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11