OT is bijna onzichtbaar, maar tegelijkertijd overal in de samenleving aanwezig. Van energienetten en drinkwatervoorziening tot verkeersregelinstallaties en windparken op zee. Naarmate deze systemen verder digitaliseren, neemt ook de kwetsbaarheid toe.
Denkt uw organisatie bij digitale weerbaarheid ook aan uw OT-systemen?
Operationele technologie, wat is het en wat doet het?
OT stuurt en bewaakt fysieke processen
Operationele technologie (OT) omvat systemen die hardware en software combineren om fysieke processen en machines aan te sturen en te bewaken. OT wordt breed toegepast in de maakindustrie, energie, telecom, waterbeheer en transport, waar betrouwbaarheid, veiligheid en continuïteit cruciaal zijn.
OT is vaak onzichtbaar aanwezig in onze samenleving: in telecominfrastructuur, verkeersregelinstallaties, netbeheer, drinkwatervoorziening en waterpeilbeheer. Doordat fysieke processen steeds verder digitaliseren, neemt de afhankelijkheid van deze systemen toe. OT is daarmee bijna overal aanwezig en van vitaal belang voor het functioneren van onze maatschappij.
Praktijkvoorbeelden van OT
OT speelt een rol in veel sectoren en dagelijkse processen. Voorbeelden zijn energie en netbeheer, drinkwater en waterpeilbeheer, telecominfrastructuur, verkeersregelinstallaties, transport en logistiek, de maakindustrie en offshore windparken.
Het belang van digitale weerbaarheid voor OT
OT en cybersecurity: een groeiende uitdaging
OT-systemen zijn vaak ontworpen met veiligheid en bedrijfszekerheid als uitgangspunt, niet met cyberbeveiliging. Steeds vaker worden deze systemen aan netwerken gekoppeld, bijvoorbeeld om ze op afstand te monitoren of te onderhouden. Dat maakt ze kwetsbaar als er onvoldoende beveiligingsmaatregelen zijn genomen.
Verstoring heeft directe fysieke gevolgen
Verstoringen in OT kunnen direct leiden tot fysieke schade, veiligheidsincidenten en productiestilstand. Dat onderscheidt OT van IT, waarbij incidenten vooral gaan over data, continuïteit en vertrouwelijkheid.
IT en OT groeien steeds meer naar elkaar toe
In moderne organisaties zijn IT- en OT-omgevingen steeds sterker met elkaar vervlochten. Een eenzijdige risicoanalyse, alleen gericht op IT, leidt daardoor tot blinde vlekken. Cyberbeveiliging van OT is bovendien geen puur technisch onderwerp. Het gaat ook om bewustwording, samenwerking en bestuurlijke verantwoordelijkheid.
Aandachtspunten voor uw organisatie
De RDI ziet dat organisaties die OT nadrukkelijk meenemen in hun risicomanagement, beter voorbereid zijn op incidenten. Onderstaande aandachtspunten kunnen daarbij als richting dienen. Let op: deze punten zijn geen uitputtende lijst.
Een gezamenlijke governance-structuur voor IT- en OT-risicomanagement helpt om risico's integraal te beoordelen en te prioriteren op ondernemingsniveau
De hard- en software van OT-systemen hebben vaak een langere levensduur dan IT-systemen. Denk daarbij aan tijdige software-updates, het oplossen van beveiligingslekken en een goede architectuur. Erkende modellen en normen zoals het Purdue Enterprise Reference Architecture en het IEC 62443-framework bieden richting voor het structureren en beveiligen van industriële systemen.
Veel OT-systemen zijn afhankelijk van externe leveranciers. Het is van belang na te gaan of zij passende beveiligingsmaatregelen hebben genomen.
Significante cyberincidenten die invloed hebben op OT moeten worden gemeld bij het sectorale Computer Security Incident Response Team (CSIRT).
Investeren in kennisdeling en training zorgt ervoor dat medewerkers binnen zowel IT- als OT-omgevingen risico's herkennen en goed handelen bij incidenten.
Hoe draagt de RDI bij aan digitale weerbaarheid van uw OT?
Verantwoordelijkheid voor OT binnen organisaties
De verantwoordelijkheid voor OT ligt bij het bestuur van een organisatie, niet bij de CISO alleen. Bestuurders dragen zorg voor het totale risicomanagement van de organisatie, waarin zowel IT- als OT-risico's zijn opgenomen.
De RDI houdt toezicht op de digitale weerbaarheid van organisaties die onder de Cyberbeveiligingswet (Cbw) vallen.
Belang van grondige risicoanalyses
Een risicoanalyse richt zich dus zowel op de beveiliging van IT-systemen als op OT-systemen. Risicomanagement betekent: weten wat u heeft, begrijpen wat er mis kan gaan en maatregelen nemen om de meest relevante risico's te beheersen. OT hoort daar nadrukkelijk bij.
Effectief risicomanagement vraagt om een multidisciplinaire aanpak. Door verschillende teams samen te brengen en te zorgen dat iedereen dezelfde taal spreekt, wordt een organisatie weerbaarder. Betrek bijvoorbeeld veiligheids- of kwaliteitsteams: daar leeft vaak al een sterke risicocultuur die kan helpen bij de bewustwording rondom OT.
We werken samen met nationale en internationale partners
Digitale weerbaarheid in OT bouw je niet alleen. De RDI werkt samen met het NCSC en andere partners aan het versterken van de weerbaarheid in de sector. De RDI draagt bij vanuit haar rol als toezichthouder: door inzichten uit inspecties te delen en bij te dragen aan het bredere gesprek over OT en digitale weerbaarheid.