Hoe Cyber Secure zijn jouw machines?
De dreiging van cyberaanvallen neemt snel toe, en daarmee ook de druk op bedrijven en organisaties om hun digitale veiligheid op orde te hebben. In reactie hierop scherpt de Europese Unie de regelgeving aan. Wat betekent dit voor jouw machines (o.a. de CE-markering), ontwikkelproces of productieomgeving en hoe krijg je hier grip op? In dit artikel leggen we jou de nieuwe NIS2-richtlijnen en de Cyber Resilience Act helder uit. Daarnaast helpen we jou in 4 stappen concreet naar een veilige industriële automatiseringsomgeving.
Nieuw in de NIS2-richtlijn
De aankomende NIS2-richtlijn breidt de bestaande NIS-wetgeving uit en legt strengere eisen op aan een groter aantal organisaties. Denk aan verplichte registratie en melding van beveiligingsincidenten, het aantoonbaar op orde hebben van cybersecurity binnen de gehele toeleveringsketen en het opstellen van een incident response plan.
De NIS2-richtlijn is vastgesteld door de Europese Unie in 2022. De regels rondom de NIS2 zijn van kracht geworden in oktober 2024. Bedrijven en organisaties hebben tot het tweede kwartaal van 2026 de tijd gekregen om aan deze regelgeving te voldoen.
Ben jij niet zeker of je al aan alle richtlijnen voldoet? En wil je grip krijgen op cybersecurity, vraag het ons dan gerust.
Veranderingen:Cyber Resilience Act (CRA)
Ook de Cyber Resilience Act (CRA) zal grote impact hebben. Deze wet is namelijk gericht op alle producenten van soft- en hardwarematige producten en stelt nieuwe eisen aan alle producten met digitale elementen die op de Europese markt worden gebracht.
Producenten moeten onder meer een grondige risicoanalyse uitvoeren en kunnen aantonen dat ze beleid voeren voor patch- en updatebeheer. Dit als onderdeel van het CE-keurmerk. Belangrijk: Niet voldoen aan CRA, betekent geen CE-markering. Verder moeten producenten garant staan voor de levenscyclus van de componenten en machines. Van het opstellen van specificaties tot en met het uit bedrijf nemen van de machines. Gevoelige gegevens mogen niet op straat komen te liggen.
De wetgeving stelt twee belangrijke deadlines:
- 11 september 2026 dienen producenten meldingen te doen van kwetsbaarheden binnen hun producten.
- 11 December 2027 mogen geen producten meer worden uitgebracht binnen de EU die niet aan de CRA voldoen.
Hoe pakken we cybersecurity
vanuit Brisq aan?
Om in te spelen op de groeiende behoefte aan cybersecurity helpt Brisq Automation jou je machines en/of producten met digitale interfaces beter te beveiligen en deze klaar te maken voor de verplichte wetgeving. Dit vanuit een verscheidenheid aan kennis van vendor-specifieke hardware en protocollen.
We doen dit stap voor stap, op een gestructureerde manier en volgens de internationale IEC 62443-norm. De methodiek beschreven in de IEC 62443-3 sluit goed aan bij de eisen die worden gesteld binnen de Cyber Resilience Act en NIS2. De norm kijkt naar risico’s en geeft duidelijke richtlijnen voor het verbeteren van de beveiliging. Zowel op bedrijf- als productniveau. Zo zorgen we ervoor dat jouw organisatie goed voorbereid is op de aangescherpte regels.
De 4 stappen naar cybersecurity van uw OT-netwerk
Onze aanpak maakt gebruik van een methode die breed wordt toegepast binnen de industrie. Onze ISA/IEC 62443 Certified Specialist neemt jou graag mee in deze reis naar veilige machines, robotarmsystemen of andere mechanische oplossingen.
Stap 1: Samen brengen we jouw OT-infrastructuur in kaart aan de hand van het beproefde Purdue-model (PERA). Dit model biedt een gestructureerde weergave van de verschillende lagen binnen jouw OT-netwerk en helpt om de relevante hardwarecomponenten op de juiste plek te positioneren.
Stap2: Na het opstellen van dit lagenmodel helpen we je met de inventarisatie van risicoscenario’s. In deze fase draait het om het identificeren van mogelijke scenario’s waarin gevaren of kwetsbaarheden zich kunnen voordoen. Denk bijvoorbeeld aan scenario’s waarbij zwakke communicatieprotocollen, onbeveiligde interfaces of onbedoelde aansturingsmogelijkheden kunnen leiden tot veiligheidsrisico’s.
Stap 3: Vervolgens worden de componenten gegroepeerd op basis van overeenkomstige eigenschappen en mogelijke risico’s binnen het Purdue-model. Voor elke groep wordt er een High Level Risk Assessment uitgevoerd, waarin de volgende elementen per scenario worden uitgewerkt:
- De kans dat het risico zich voordoet
- De impact van het risico op het proces en de organisatie
- De maatregel(en) die het management dient te nemen om het risico te beheersen
- De restrisico’s die overblijven na het implementeren van deze maatregelen
Stap 4: Op basis van de kans en impact worden passende mitigerende maatregelen bepaald, afgestemd op de specifieke context en het dreigingsniveau. Door o.a. slimme netwerksegmentatie (zones & conduits), authenticatie en autorisatie bouwen we een ‘hardening‘ van je barrière, tegen de verspreiding van incidenten. Deze maatregelen zijn in overeenstemming met de IEC 62443-norm en kunnen worden opgenomen in het technische ontwerp van nieuwe systemen (Security by Design), of worden toegepast op een bestaande installatie.
Deze gestructureerde aanpak zorgt ervoor dat producten en machines op een verantwoorde en conforme wijze cybersecure worden gemaakt. Dit in lijn met actuele wet- en regelgeving op het gebied van cybersecurity (NIS2 en CRA).
Vandaag nog aan de slag met NIS2 of CRA?
De deadline van 11 september 2026 komt sneller dichterbij dan je denkt. Zorg dat jouw Operational Technology op tijd veilig en toekomstbestendig is. Brisq brengt automatisering in beweging, ook als het gaat om de route naar cybersecurity (NIS2 /CRA).
Het belang van industriële cybersecurity is wel duidelijk. Maar hoe krijg je daar grip op? Heb je nog geen concreet stappenplan, dan nodig ik jou uit om een afspraak in te plannen om met ons in gesprek te gaan.
Ben je klaar voor 2026? Of wil je even klankborden over waar je nu staat? Ik help jou graag met een eerste security review check.
