Deze pagina biedt uitsluitend algemene informatie en vormt geen juridisch advies. Raadpleeg een gekwalificeerd jurist voor de classificatie en nalevingsverplichtingen die op uw organisatie van toepassing zijn.
NIS2-compliance voor industriële OT: IEC 62443 gap-analyse en remediatie
NIS2 legt verplichtingen op aan organisaties met operationele technologie. PLCs, SCADA-systemen en industriële netwerken vallen daar expliciet onder. Wij helpen u begrijpen wat er nodig is, en voeren het technisch uit.
Of bel direct: +31 299 705 078 · Geen verkoopgesprek
Uw sector en NIS2
Elke industriële sector heeft een eigen OT-landschap, legacy-systemen en risicoprofiel. Wij werken in de volgende sectoren:
Verdieping per domein
NIS2-compliance voor OT beslaat meerdere technische domeinen. Elk heeft eigen normen, risico's en implementatiepad.
Het internationale raamwerk voor beveiliging van industriële automatiserings- en besturingssystemen. Security Levels, zones, conduits.
IACS Unified Requirements E26 en E27 passen NIS2-conforme cyberbeveiliging toe op scheepssystemen en offshore-installaties.
Kritieke infrastructuur onder Bijlage II. Batchbesturing, doseersystemen, HACCP-geïntegreerde SCADA in scope.
Discrete en procesindustrie onder Bijlage II. PLC-hardening, MES/ERP-segmentatie, remote onderhoudstoegang.
Wat is NIS2?
NIS2 (EU-richtlijn 2022/2555) is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. De richtlijn trad in werking op 16 januari 2023. Lidstaten dienden haar voor 17 oktober 2024 om te zetten in nationale wetgeving. In Nederland werd dit de Cyberbeveiligingswet (Cbw).
De richtlijn vergroot de reikwijdte van zijn voorganger aanzienlijk: meer sectoren, lagere drempels en strengere eisen voor risicobeheer, beveiliging van de toeleveringsketen en incidentmelding.
Artikel 21 vereist expliciet dat gedekte entiteiten "netwerk- en informatiesystemen, inclusief productietechnologie" beveiligen. Uw OT-vloer valt dus in scope, niet alleen het kantoornetwerk.
Voor wie geldt NIS2?
- ·Energie (elektriciteit, olie, gas, stadsverwarming)
- ·Transport (lucht, rail, water, weg)
- ·Bankwezen en financiële marktinfrastructuur
- ·Gezondheidszorg
- ·Drinkwater en afvalwater
- ·Digitale infrastructuur (DNS, IXP's, cloud)
- ·ICT-dienstverlening (B2B)
- ·Overheid
- ·Ruimtevaart
- ·Post- en koeriersdiensten
- ·Afvalverwerking
- ·Chemische productie en distributie
- ·Voedselproductie, -verwerking en -distributie
- ·Maakindustrie (medische hulpmiddelen, elektronica, machines, voertuigen)
- ·Digitale aanbieders (online marktplaatsen, zoekmachines, sociale media)
- ·Onderzoeksorganisaties
Waarom OT anders is dan IT
Lange levensduur
OT-apparatuur draait 20 tot 30 jaar. Patchen is niet altijd mogelijk. Firmware-updates kunnen garanties doen vervallen, en productieuitval is geen IT-onderhoudsvenster.
Real-time beperkingen
PLCs werken op deterministische scancycli van 1–10 ms. Beveiligingsmaatregelen die latency of onvoorspelbaarheid toevoegen, kunnen procesaansturing direct verstoren.
Legacy protocollen
Modbus, Profibus, OPC-DA: ontworpen voor betrouwbaarheid, niet voor beveiliging. Geen authenticatie, geen encryptie. Gebouwd vanuit de aanname van fysieke isolatie.
De air gap bestaat niet meer
Remote diagnostiek, MES/ERP-koppelingen, cloud historians: elke integratie is een potentieel aanvalspad. De meeste OT-netwerken zijn in de praktijk niet meer geïsoleerd.
Fysieke gevolgen
Een gecompromitteerde PLC kan apparaatschade, productieverlies, milieuincidenten of persoonlijk letsel veroorzaken. De impact beperkt zich niet tot data: het is de installatie zelf.
Artikel 21 dekt OT expliciet
NIS2 vereist bescherming van "productietechnologie", niet alleen kantoor-IT. Toezichthouders verwachten OT-specifiek risicobeheer, geen copy-paste van IT-beveiligingsbeleid.
IEC 62443 als technisch raamwerk
IEC 62443 is de internationale norm voor industriële cyberbeveiliging. De norm sluit goed aan op de NIS2-artikel-21-vereisten en is het raamwerk dat GCG gebruikt om OT-beveiligingswerk te structureren.
Netwerksegmentatie
Zones en conduits conform IEC 62443-3-3 en het Purdue Reference Model. L2–L3.5-segmentatie met firewalls en een DMZ tussen IT en OT. Laterale beweging ingedamd.
PLC- en SCADA-hardening
Firmware-updates waar mogelijk, rolgebaseerd gebruikersbeheer, verwijdering van ongebruikte services, uitschakelen van legacy-protocollen waar vervangbaar, en SCADA-toegangscontrolelijsten.
Veilige remote access
Industriële VPN met MFA, NAC en jump-serverarchitecturen. Tosibox, Ewon en Siemens SINEMA RC voor toegang op machineniveau. Auditlogboeken op iedere sessie.
OPC UA-beveiliging
Certificaatbeheer, versleutelde kanalen en rolgebaseerde toegang in OPC UA-servers. Migratie van OPC-DA waar technisch haalbaar zonder verstoring van real-time prestaties.
Audittrails en monitoring
Logging van engineeringwijzigingen, HMI-toegangsgebeurtenissen en alarmhistorie. Syslog-forwarding naar SIEM waar van toepassing. NIS2 vereist incidentdetectie. Passieve OT-monitoring kan daarbij helpen.
Toeleveringsketenveiligheid
NIS2 artikel 21 lid 2 sub d vereist beheersing van risico's van leveranciers en dienstverleners. Wij reviewen OEM-remote-accessregelingen en onderhoudstoegang door derden.
Van scoping tot remediatie
Veelgestelde vragen
Klaar om uw NIS2-beoordeling te starten?
Een gap-analyse begint met een technische intake. Geen verplichtingen. Wij vertellen u eerlijk wat de knelpunten zijn.