Deze pagina biedt uitsluitend algemene informatie en vormt geen juridisch advies. Raadpleeg een gekwalificeerd jurist voor de classificatie en nalevingsverplichtingen die op uw organisatie van toepassing zijn.

NIS2-compliance voor industriële OT: IEC 62443 gap-analyse en remediatie

NIS2 legt verplichtingen op aan organisaties met operationele technologie. PLCs, SCADA-systemen en industriële netwerken vallen daar expliciet onder. Wij helpen u begrijpen wat er nodig is, en voeren het technisch uit.

Of bel direct: +31 299 705 078 · Geen verkoopgesprek

IEC 62443-gecertificeerde aanpakAudit-rapport binnen 12 wekenTechnische én documentaire remediatieErvaring in food, marine en processindustrie
Sectoren

Uw sector en NIS2

Elke industriële sector heeft een eigen OT-landschap, legacy-systemen en risicoprofiel. Wij werken in de volgende sectoren:

Specialisaties

Verdieping per domein

NIS2-compliance voor OT beslaat meerdere technische domeinen. Elk heeft eigen normen, risico's en implementatiepad.

De richtlijn

Wat is NIS2?

NIS2 (EU-richtlijn 2022/2555) is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. De richtlijn trad in werking op 16 januari 2023. Lidstaten dienden haar voor 17 oktober 2024 om te zetten in nationale wetgeving. In Nederland werd dit de Cyberbeveiligingswet (Cbw).

De richtlijn vergroot de reikwijdte van zijn voorganger aanzienlijk: meer sectoren, lagere drempels en strengere eisen voor risicobeheer, beveiliging van de toeleveringsketen en incidentmelding.

Artikel 21 vereist expliciet dat gedekte entiteiten "netwerk- en informatiesystemen, inclusief productietechnologie" beveiligen. Uw OT-vloer valt dus in scope, niet alleen het kantoornetwerk.

Belangrijke data
Dec 2022
NIS2 gepubliceerd in EU Publicatieblad
16 jan 2023
Inwerkingtreding
17 okt 2024
Omzettingsdeadline: nationale wetgeving van kracht
2026+
Eerste handhavingscycli verwacht
Reikwijdte

Voor wie geldt NIS2?

Essentiële entiteiten (Bijlage I)
  • ·Energie (elektriciteit, olie, gas, stadsverwarming)
  • ·Transport (lucht, rail, water, weg)
  • ·Bankwezen en financiële marktinfrastructuur
  • ·Gezondheidszorg
  • ·Drinkwater en afvalwater
  • ·Digitale infrastructuur (DNS, IXP's, cloud)
  • ·ICT-dienstverlening (B2B)
  • ·Overheid
  • ·Ruimtevaart
Belangrijke entiteiten (Bijlage II)
  • ·Post- en koeriersdiensten
  • ·Afvalverwerking
  • ·Chemische productie en distributie
  • ·Voedselproductie, -verwerking en -distributie
  • ·Maakindustrie (medische hulpmiddelen, elektronica, machines, voertuigen)
  • ·Digitale aanbieders (online marktplaatsen, zoekmachines, sociale media)
  • ·Onderzoeksorganisaties
Drempelwaarde: Geldt over het algemeen voor organisaties met ≥50 medewerkers of >€10M omzet, of aanbieders van kritieke diensten ongeacht omvang. Laat uw juridisch adviseur uw classificatie bevestigen.
OT-context

Waarom OT anders is dan IT

Lange levensduur

OT-apparatuur draait 20 tot 30 jaar. Patchen is niet altijd mogelijk. Firmware-updates kunnen garanties doen vervallen, en productieuitval is geen IT-onderhoudsvenster.

Real-time beperkingen

PLCs werken op deterministische scancycli van 1–10 ms. Beveiligingsmaatregelen die latency of onvoorspelbaarheid toevoegen, kunnen procesaansturing direct verstoren.

Legacy protocollen

Modbus, Profibus, OPC-DA: ontworpen voor betrouwbaarheid, niet voor beveiliging. Geen authenticatie, geen encryptie. Gebouwd vanuit de aanname van fysieke isolatie.

De air gap bestaat niet meer

Remote diagnostiek, MES/ERP-koppelingen, cloud historians: elke integratie is een potentieel aanvalspad. De meeste OT-netwerken zijn in de praktijk niet meer geïsoleerd.

Fysieke gevolgen

Een gecompromitteerde PLC kan apparaatschade, productieverlies, milieuincidenten of persoonlijk letsel veroorzaken. De impact beperkt zich niet tot data: het is de installatie zelf.

Artikel 21 dekt OT expliciet

NIS2 vereist bescherming van "productietechnologie", niet alleen kantoor-IT. Toezichthouders verwachten OT-specifiek risicobeheer, geen copy-paste van IT-beveiligingsbeleid.

Onze aanpak

IEC 62443 als technisch raamwerk

IEC 62443 is de internationale norm voor industriële cyberbeveiliging. De norm sluit goed aan op de NIS2-artikel-21-vereisten en is het raamwerk dat GCG gebruikt om OT-beveiligingswerk te structureren.

01

Netwerksegmentatie

Zones en conduits conform IEC 62443-3-3 en het Purdue Reference Model. L2–L3.5-segmentatie met firewalls en een DMZ tussen IT en OT. Laterale beweging ingedamd.

02

PLC- en SCADA-hardening

Firmware-updates waar mogelijk, rolgebaseerd gebruikersbeheer, verwijdering van ongebruikte services, uitschakelen van legacy-protocollen waar vervangbaar, en SCADA-toegangscontrolelijsten.

03

Veilige remote access

Industriële VPN met MFA, NAC en jump-serverarchitecturen. Tosibox, Ewon en Siemens SINEMA RC voor toegang op machineniveau. Auditlogboeken op iedere sessie.

04

OPC UA-beveiliging

Certificaatbeheer, versleutelde kanalen en rolgebaseerde toegang in OPC UA-servers. Migratie van OPC-DA waar technisch haalbaar zonder verstoring van real-time prestaties.

05

Audittrails en monitoring

Logging van engineeringwijzigingen, HMI-toegangsgebeurtenissen en alarmhistorie. Syslog-forwarding naar SIEM waar van toepassing. NIS2 vereist incidentdetectie. Passieve OT-monitoring kan daarbij helpen.

06

Toeleveringsketenveiligheid

NIS2 artikel 21 lid 2 sub d vereist beheersing van risico's van leveranciers en dienstverleners. Wij reviewen OEM-remote-accessregelingen en onderhoudstoegang door derden.

Wat wij leveren

Van scoping tot remediatie

1
Scope-bepaling
Bent u in scope? Welk regime, essentieel of belangrijk? Welke locaties en systemen vallen eronder?
2
Gap-analyse
Huidige staat vs. NIS2-artikel-21-vereisten, in kaart gebracht tegen IEC 62443 Security Level 1 en 2.
3
Technische uitvoering
Segmentatie, hardening, remote access, OPC UA-beveiliging, uitgevoerd door OT-engineers, niet door generalistische IT-consultants.
4
Documentatie en rapportage
Risicoregister, beveiligingsbeleid, netwerkdiagrammen en het bewijspakket dat een toezichthouder of auditor verwacht.
5
Periodieke review
NIS2-compliance is een doorlopende verplichting, geen eenmalig project. Jaarlijkse of tweejaarlijkse reviews houden u actueel.

Veelgestelde vragen

Klaar om uw NIS2-beoordeling te starten?

Een gap-analyse begint met een technische intake. Geen verplichtingen. Wij vertellen u eerlijk wat de knelpunten zijn.