We zien de laatste tijd steeds vaker dat Operational Technology (OT) als “nieuw aandachtspunt” binnen NIS2 wordt benoemd. Dat is logisch. Productielijnen, verpakkingsmachines, industriële installaties, warehouse-automatisering, toegangscontrolesystemen en andere operationele technologie vormen immers een steeds groter cyberrisico binnen Europa.
Wat veel organisaties echter niet weten, is dat OT binnen NIS2 Supply Chain certificering al jarenlang standaard onderdeel is van de aanpak.
NIS2 gaat niet alleen over IT
De gedachte dat NIS2 alleen over IT gaat, is onjuist. De Europese NIS2-richtlijn werkt expliciet vanuit een zogenaamde “all hazards approach”. Dat betekent dat niet alleen klassieke IT-systemen beveiligd moeten worden, maar ook operationele processen, fysieke infrastructuur en OT-omgevingen die essentieel zijn voor de continuïteit van organisaties.
Juist daar zit in de praktijk vaak een groot risico
Veel organisaties hebben hun Microsoft 365-omgeving, firewalls en endpoints redelijk op orde gebracht. Maar tegelijkertijd draaien productielijnen, industriële controllers, OT-netwerken en externe onderhoudsverbindingen vaak nog met oude wachtwoorden, onvoldoende segmentatie of beperkte monitoring. In sommige gevallen zijn OT-systemen zelfs direct of indirect vanaf internet bereikbaar. Onderzoek naar industriële controlesystemen laat zien dat OT-omgevingen wereldwijd nog altijd grote aantallen kwetsbaarheden bevatten.
ENISA: OT en supply chain security horen bij NIS2
De Europese cybersecurity-agency ENISA benadrukt daarom al langere tijd dat OT en supply chain security integraal onderdeel zijn van NIS2. In meerdere publicaties wordt expliciet verwezen naar ICT/OT supply chain cybersecurity, governance, monitoring en verantwoordelijkheden richting leveranciers.
Binnen NIS2 Supply Chain certificering is OT daarom vanaf het begin meegenomen in de normering. Niet alleen technisch, maar ook organisatorisch en bestuurlijk.
Dat betekent onder andere aandacht voor:
- beveiliging van operationele systemen en industriële apparatuur;
• beheer van externe toegang tot OT-omgevingen;
• leveranciers en onderhoudspartijen met toegang tot productiesystemen;
• segmentatie tussen IT- en OT-netwerken;
• back-up en continuïteitsmaatregelen;
• toegangsbeheer en fysieke beveiliging;
• risico’s rondom software-updates en remote beheer;
• bewustwording van medewerkers en directie;
• ketenrisico’s rondom OT-leveranciers.
Voor veel sectoren is dat essentieel. Denk aan logistiek, industrie, food, chemie, energie, productiebedrijven, infrastructuur, waterbeheer en gezondheidszorg. Stilval van OT heeft immers directe gevolgen voor productie, levering en maatschappelijke continuïteit.
Leveranciersrisico’s maken OT extra relevant
ENISA benadrukt daarnaast dat NIS2 niet alleen draait om interne beveiliging, maar juist ook om aantoonbare beheersing van leveranciers- en ketenrisico’s. Dat raakt OT direct, omdat veel operationele systemen afhankelijk zijn van externe softwareleveranciers, onderhoudspartijen, integratoren en gespecialiseerde technologiebedrijven.
In de praktijk zien wij dat OT vaak jarenlang buiten het cybersecuritybeleid is gebleven. Niet uit onwil, maar omdat OT traditioneel werd gezien als “techniek”, “operations” of “facility”, en niet als onderdeel van cybersecurity governance. NIS2 verandert dat fundamenteel.
OT is geen extra module, maar standaard onderdeel
Daarom is het belangrijk dat organisaties beseffen dat OT geen losse uitbreiding of extra module is binnen NIS2 Supply Chain certificering. Het zit al standaard verweven in de aanpak. Juist omdat operationele technologie voor veel organisaties het hart van de bedrijfscontinuïteit vormt.
De aandacht voor OT groeit nu snel binnen Europa. Maar binnen NIS2 Supply Chain certificering was dit onderwerp al vanaf het begin onderdeel van de norm.
Start met je NIS2-certificering
Wil je aantoonbaar grip krijgen op cyberrisico’s in je IT-, OT- en leveranciersketen? Start vandaag nog met je NIS2 Supply Chain certificering en laat zien dat jouw organisatie digitale weerbaarheid serieus neemt.
