Cybersecurity, een noodzakelijk aandachtspunt voor de maakindustrie

Waarom cybersecurity belangrijk is

Cybersecurity is een urgent thema voor maakbedrijven vanwege de toenemende digitalisering en automatisering van industriële processen. Volgens het OT Security Rapport ABI van Palo Alto Networks heeft bijna 70% van de industriële organisaties in 2023 cyberaanvallen ervaren. Dit benadrukt de kwetsbaarheid van operationele technologieën (OT), die vaak minder goed beveiligd zijn dan informatiesystemen (IT).

Risico’s zoals ransomware-aanvallen, die 30% van de incidenten in Nederland vertegenwoordigen, kunnen aanzienlijke financiële schade en reputatieverlies veroorzaken. Het is daarom cruciaal dat maakbedrijven zich bewust zijn van deze risico’s en proactieve stappen ondernemen om hun digitale weerbaarheid te verhogen.

Bescherm je bedrijf tegen cybercrime

Het begrijpen en aanpakken van cyberdreigingen kan overweldigend lijken, vooral voor maakbedrijven die al te maken hebben met diverse andere uitdagingen. Cyberbeveiliging is echter een randvoorwaarde voor digitaal veilig ondernemen en verdient daarom prioriteit. De snelle ontwikkelingen in wet- en regelgeving, zoals NIS2 Richtlijn, de Cyber Resilience Act (CRA) en de Digital Operational Resilience Act (DORA), maken het noodzakelijk voor bedrijven om hun cyberbeveiligingsmaatregelen te versterken.

Wat is de NIS2-richtlijn en welke bedrijven vallen daaronder?

Om de digitale en economische weerbaarheid van Europese lidstaten ten aanzien van deze dreigingen te versterken heeft de Europese Unie eind 2022 de ‘Network and Information Security Directive’ (NIS2-richtlijn) aangenomen. De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s.

Sinds januari 2023 werkt de Rijksoverheid aan de nationale implementatie door de richtlijn om te zetten naar Nederlandse wetgeving. De NIS2-richtlijn wordt geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw).

De organisaties die onder de NIS2-richtlijn vallen - en daarmee ook onder de Cyberbeveiligingswet - behoren tot de volgende sectoren:

Afhankelijk van de grootte, omzet, en of het bedrijf een essentiële of belangrijke entiteit is, valt de organisatie onder de richtlijn. Check hier of de NIS 2-richtlijn ook van toepassing is op jouw organisatie. In het artikel Wat is de NIS2-richtlijn? lees je uitgebreid welke organisaties onder deze richtlijn vallen en welke verplichtingen deze richtlijn voorschrijft.

Praktische tips om te beginnen met cybersecurity

Een goed beginpunt voor bedrijven zonder de benodigde kennis en kunde in huis is om inzicht te krijgen in de basisstappen van cyberbeveiliging. Dit omvat niet alleen technische maatregelen, maar ook het betrekken van de directie bij strategische beslissingen omtrent cyberveiligheid.

De eerste stappen in cyberbeveiliging beginnen met het implementeren van de vijf basisprincipes van veilig digitaal ondernemen. Deze principes, zoals beschreven door het Digital Trust Center, bieden een solide fundament voor bedrijven die hun cyberweerbaarheid willen vergroten:

1. Inventariseer kwetsbaarheden - Inventariseer de ICT-onderdelen, kwetsbaarheden en maak een risico-analyse. Bij risico's kijk je naar beschikbaarheid, integriteit en vertrouwelijkheid.
2. Kies veilige instellingen - Controleer de instellingen van apparatuur, software en netwerk- en internetverbindingen. Pas standaardinstellingen aan en kijk kritisch naar functies en diensten die automatisch 'aan' staan.
3. Voer updates uit - Controleer of apparaten en software up-to-date zijn. Installeer beveiligingsupdates direct. Schakel automatische updates in zodat je apparaten en software voortaan altijd draaien op de laatste versie.
4. Beperk toegang - Definieer per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Zorg dat toegangsrechten worden aangepast als iemand een nieuwe functie krijgt of bij de onderneming vertrekt.
5. Voorkom virussen en andere malware - Er zijn 4 manieren om malware te voorkomen: Stimuleer veilig gedrag van medewerkers, gebruik een antivirusprogramma, download apps veilig en beperk de installatiemogelijkheden van software.

Het betrekken van de directie in dit proces is cruciaal. Door hen te overtuigen van het belang van cybersecurity, kan de benodigde ondersteuning en financiering worden verkregen om effectieve maatregelen te implementeren.

IT en OT Beveiliging

Voor maakbedrijven is het van belang om zowel hun IT- als OT-systemen (Operationele Technologie) te beveiligen. IT-systemen, zoals bedrijfsnetwerken en databases, zijn vaak goed beveiligd, maar OT-systemen, die machines en industriële processen aansturen, zijn vaak kwetsbaarder. Een aanval op OT-systemen kan leiden tot ernstige productieonderbrekingen en veiligheidsrisico’s. Het is dus van groot belang om ook de OT-systemen goed te beveiligen.

Er zijn verschillende strategieën die bedrijven kunnen volgen om hun OT-systemen te beveiligen:

Risicobeoordeling: Het is belangrijk om een grondige risicobeoordeling uit te voeren om potentiële kwetsbaarheden in je OT-systemen te identificeren.

• Netwerksegmentatie: Door je netwerk op te splitsen in kleinere segmenten, kun je de verspreiding van malware beperken als een deel van je netwerk wordt gecompromitteerd.
• Regelmatige updates en patches: Zorg ervoor dat alle software en firmware in je OT-systemen up-to-date zijn om bekende beveiligingslekken te dichten.
• Training van medewerkers: Je medewerkers zijn een belangrijke verdedigingslinie tegen cyberdreigingen. Zorg ervoor dat ze getraind zijn in de basisprincipes van cyberbeveiliging.

Het is hierin essentieel dat bedrijven samenwerken met betrouwbare IT-leveranciers om zowel IT- als OT-beveiliging te waarborgen. Dit kan door middel van het maken van duidelijke afspraken en het regelmatig evalueren van de beveiligingsmaatregelen (een beveiligingsvragenlijst kan je hierbij helpen), maar ook door cybersecurity onderdeel uit te laten maken van SLA’s.

De eerste stappen zetten naar een digitaal veilig bedrijf

Maakbedrijven kunnen beginnen met eenvoudige stappen om hun cyberweerbaarheid te vergroten. Dit omvat het uitvoeren van een basis scan van hun cyberveiligheid, zoals beschikbaar gesteld door het Digital Trust Center. Daarnaast zijn er diverse bronnen en tools beschikbaar die bedrijven kunnen gebruiken om hun kennis over cyberbeveiliging te vergroten en praktische stappen te ondernemen.

Cybersecurity is een noodzakelijk onderdeel van de bedrijfsvoering in de maakindustrie. Door proactief stappen te zetten en gebruik te maken van beschikbare tools en richtlijnen, kunnen bedrijven hun weerbaarheid tegen cyberdreigingen vergroten en voldoen aan de nieuwste wet- en regelgeving. Door de juiste stappen te nemen en samen te werken met deskundige partners, kunnen maakbedrijven hun digitale weerbaarheid significant vergroten en zich beter beschermen tegen de groeiende dreiging van cyberaanvallen.

Het project Cyber Security for Smart Industry is een samenwerking tussen Smart Industry, FME, Koninklijke Metaalunie, Klikopmorgen.nl, BOOST, EDIH NN, EDIH Digital Hub Noordwest, Digitalzh, en cyberweerbaarheidsorganisaties Cyber Weerbaarheidscentrum Brainport, CVD - Centrum voor Veiligheid en Digitalisering, Security Delta (HSD). Dit project heeft als doel om bedrijven in de maakindustrie bewust te maken van de meest voorkomende risico's en hen te informeren over eenvoudig te implementeren maatregelen. Daarnaast streeft het ernaar zoveel mogelijk MKB-bedrijven aan te moedigen concrete stappen te ondernemen om hun cyberweerbaarheid te verbeteren.