top of page
Zoeken

OT en NIS2: waarom uw productievloer het nieuwe doelwit is

  • Erik Bos
  • 25 mrt
  • 5 minuten om te lezen

En waarom uw IT-afdeling dat probleem niet alleen kan oplossen.



De meeste organisaties die serieus bezig zijn met NIS2 richten zich op wat ze kennen: het IT-landschap. Servers, werkplekken, Microsoft 365, cloudomgevingen. Begrijpelijk — maar in food, manufacturing en energie zit een tweede wereld. Een wereld van PLC's, SCADA-systemen, besturingsnetwerken en remote verbindingen naar machineleveranciers. Operationele Technologie — OT. En die wereld wordt bij NIS2-implementaties stelselmatig vergeten.


OT is anders dan IT — fundamenteel

Een IT-beheerder die naar een OT-omgeving kijkt, herkent veel: netwerken, IP-adressen, protocollen. Maar de logica is omgekeerd.

In IT geldt: bij twijfel, blokkeer. Patch snel. Isoleer bij een incident. In OT geldt: zorg dat het proces blijft draaien. Een PLC die een productielijn aanstuurt, een SCADA-systeem dat een koelinstallatie beheert — die mag je niet zomaar isoleren of herstarten. Firmware-updates vereisen productie-downtime, leverancierstests en soms fysieke aanwezigheid van de fabrikant. Veel OT-leveranciers brengen überhaupt geen patches meer uit voor oudere systemen — maar die systemen draaien nog wel, soms al twintig jaar.

De prioriteitsvolgorde in OT is availability en safety eerst, confidentiality pas daarna. Precies andersom dan in IT. De aanpak moet dus fundamenteel anders zijn.


De blinde vlek: de Technische Dienst

In de meeste industriële organisaties valt OT onder de Technische Dienst — mensen met diepgaande proceskennis, zelden met een security-achtergrond. IT beveiligt het kantoornetwerk. De TD beheert de machines. De grens daartussen — koppelingen met ERP, remote toegang van machineleveranciers, dataverbindingen met cloud-platforms — is een grijze zone waar niemand verantwoordelijkheid voelt.

Dat is precies de zone waar aanvallers naar zoeken. Een concreet voorbeeld: een machineleverancier heeft permanente VPN-toegang tot een productienetwerk, ingesteld jaren geleden, nooit gereviewed, zonder logging of MFA. Als die leverancier gecompromitteerd raakt — supply chain-aanvallen zijn een van de snelst groeiende aanvalsvectoren — heeft een aanvaller rechtstreeks toegang tot uw productielijn.


OT-risico's raken meer dan uw ICT

In de foodsector is dit vraagstuk extra urgent. OT-systemen besturen niet alleen machines — ze bewaken ook temperaturen, reinigingscycli, receptuurparameters en HACCP-kritische controlepunten. Een aanval die deze systemen verstoort, raakt direct de voedselveiligheid: pasteurisatietemperaturen, koelketenmonitoring, allergenenscheiding.

De schade is dan niet alleen operationeel — het raakt uw kwaliteitssysteem, uw certificeringen (BRC, IFS, FSSC 22000) en in het ergste geval de volksgezondheid. OT-security en food quality zijn twee kanten van dezelfde medaille.


Segmentatie: de meest onderschatte maatregel

Veel OT-netwerken zijn als flat network opgezet: alle apparaten op hetzelfde segment. Wie binnen is, heeft toegang tot alles. Een geïnfecteerd apparaat verspreidt zich razendsnel.

Segmentatie deelt het OT-netwerk op in logisch gescheiden zones op basis van functie en risicoprofiel: procesbesturing, monitoring, engineering, en een DMZ als buffer tussen OT en IT. Verkeer tussen zones verloopt via gecontroleerde, gelogde verbindingen.

Het directe voordeel: een aanvaller die één zone binnendringt, komt niet automatisch bij de rest. U kunt in een noodgeval één segment isoleren zonder de hele productie stil te leggen. Segmentatie is in de meeste OT-omgevingen de meest impactvolle maatregel — en tegelijk de meest uitgestelde.


Wat NIS2 hierover zegt

De Cyberbeveiligingswet (verwacht Q2 2026) vereist aantoonbaar risicobeheer over uw volledige operationele omgeving — inclusief OT, en inclusief de ketenzorgplicht richting leveranciers met toegang tot uw systemen. Essentiële entiteiten in food, energie en manufacturing staan onder proactief toezicht van de RDI.

De vraag is niet of uw OT onder NIS2 valt. De vraag is of uw aanpak die toets doorstaat.


Het juiste kader: IEC 62443

ISO 27001 is een uitstekende basis voor IT-beveiliging — maar past niet één-op-één op OT. De norm die wél specifiek voor industriële omgevingen is ontworpen, is IEC 62443.

Opbouw van de norm

IEC 62443 is een normenreeks die het volledige OT-security-landschap afdekt:

IEC 62443-2-x — Organisatie en processen. Beleid, risicobeheer, patch- en kwetsbaarheidsbeheer, leveranciersbeheer. De laag die het meest aansluit op ISO 27001.

IEC 62443-3-x — Systeemarchitectuur. De kern voor OT-omgevingen. Risicomethodologie specifiek voor Industrial Automation and Control Systems (IACS) en beveiligingseisen op systeemniveau.

IEC 62443-4-x — Componentniveau. Eisen aan leveranciers: hoe moeten producten worden ontwikkeld en welke beveiligingsfunctionaliteit moet een component bieden. Relevant bij aanschaf van nieuwe OT-apparatuur.


Het zones-en-conduits-model

Het centrale concept is de indeling van uw OT-omgeving in zones en conduits. Een zone is een groep assets met vergelijkbaar risicoprofiel — procesbesturing, supervisory control, engineering, DMZ. Een conduit is een gecontroleerd communicatiepad tussen twee zones, met expliciete regels: welk verkeer, in welke richting, met welke authenticatie en logging.

Het model dwingt u na te denken over elke verbinding in uw netwerk. Niet "werkt het?" maar "mag het, en onder welke voorwaarden?"

Security Levels

Per zone bepaalt u een Security Level (SL):

SL 1 — bescherming tegen onopzettelijke verstoringen. Minimale basislijn.

SL 2 — bescherming tegen intentionele aanvallen met beperkte middelen. Voor de meeste industriële omgevingen het nagestreefd niveau.

SL 3 — bescherming tegen geavanceerde aanvallers met specifieke OT-kennis. Relevant voor kritieke infrastructuur.

SL 4 — bescherming tegen state-sponsored aanvallen. Voor de meeste organisaties buiten scope.

Voor de meeste NIS2-plichtige organisaties betekent IEC 62443 in de eerste plaats: breng uw OT-architectuur in kaart, definieer zones op basis van functie en risico, en benoem wie verantwoordelijk is voor de security van elke zone. Dat is een governance- en architectuurvraagstuk vóór het een technisch vraagstuk is.


De 8 principes van het NCSC als praktisch vertrekpunt

Het UK National Cyber Security Centre publiceerde samen met het Nederlandse NCSC-NL en partners de Secure Connectivity Principles for Operational Technology — acht principes voor veilige OT-connectiviteit.

1. Balanceer risico's en kansen. Elke nieuwe verbinding vereist een formeel besluit met gedocumenteerde risicobeoordeling en een benoemde senior risk owner.

2. Beperk de blootstelling. Gebruik just-in-time toegang: verbindingen alleen openzetten wanneer nodig, daarna sluiten.

3. Centraliseer en standaardiseer verbindingen. Geen losse VPN-tunnels per leverancier — één gecontroleerde toegangspoort via een DMZ.

4. Gebruik veilige protocollen. Migreer van onveilige industriële protocollen (Modbus, OPC DA) naar veilige varianten (OPC UA, DNP3-SAv5). Waar dat niet kan: documenteer de compenserende maatregelen.

5. Harden de OT-grens. De grens tussen OT en de buitenwereld is uw primaire verdedigingslinie. Investeer in moderne boundary-apparatuur die u kunt updaten zonder productie te stoppen.

6. Beperk de impact van compromittering. Segmenteer zodat een aanvaller die één systeem binnendringt niet automatisch bij de rest kan. Lateral movement is in een flat netwerk triviaal.

7. Log en monitor alle connectiviteit. OT-omgevingen hebben voorspelbare verkeerspatronen — afwijkingen zijn relatief eenvoudig te detecteren, maar alleen als u een baseline heeft en actief monitort.

8. Stel een isolatieplan op. Wat doet u als een OT-systeem gecompromitteerd raakt? Kunt u isoleren zonder de productie stil te leggen? Dit plan moet er zijn vóór het incident.


Drie stappen die u nu kunt zetten

OT-asset inventarisatie. U kunt geen risico's beheersen van systemen die u niet kent. Gebruik passieve discovery-tools — actief scannen kan OT-apparaten laten crashen.

Governance-besluit over verantwoordelijkheid. Wie is de risico-eigenaar voor OT-security? IT, de TD, of een gecombineerde structuur? Dit moet expliciet belegd zijn.

Review van alle externe toegang. Welke leveranciers hebben remote toegang tot uw OT-omgeving? Onder welke voorwaarden, met welke logging en welke beperkingen? Dit is het meest urgente gat in de meeste organisaties.


Mijn rol

Ik begeleid NIS2-implementaties waarbij OT expliciet onderdeel is van de scope. Niet als OT-technicus, maar als adviseur die security-expertise inbrengt in de OT-context — met begrip voor de operationele realiteit van productieomgevingen en met kennis van zowel IEC 62443 als de bredere NIS2-verplichtingen.


Als u wilt weten waar uw organisatie staat, begin ik met een gerichte gap-analyse die zowel uw IT- als OT-omgeving in scope neemt.


Erik Bos | IsCompliant | mijnitmanager.nl


 
 
 

Opmerkingen

Op zoek naar een interim IT manager die direct impact maakt? Neem contact op voor een kennismaking.

Email: Erik@MijnItManager.nl | Tel: 06-53368387

©2026  MijnItManager. 

bottom of page