Cybersecurity wordt wet en dit gaan we allemaal merken!

De Europese Unie heeft een uitgebreide strategie voor cyberbeveiliging opgesteld om de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten te beperken. Hoewel deze nieuwe wetgeving uitdagende doelen stelt, ben ik van mening dat de investeringen die hiermee gepaard gaan de moeite waard zijn. Maar, wat zijn die uitdagingen? En wat betekent dit voor jou als burger, exploitant of fabrikant? 

Network and Information Security (NIS)

Door de toename van cyberaanvallen is er behoefte aan een update van de NIS-richtlijn (NIS). De nieuwe NIS2-richtlijn verplicht meer exploitanten hun systemen tegen cyberaanvallen te beschermen en wordt in Nederland geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw) – naar verwachting in het derde kwartaal van 2025. Dit is een cruciale stap, omdat het niet alleen de verantwoordelijkheid van exploitanten vergroot, maar ook de beveiliging van de toeleveranciersketen omvat. Hierdoor moeten fabrikanten hun steentje bijdragen, wat ik beschouw als een noodzakelijke stap in de bescherming van onze maatschappij tegen cyberaanvallen.  

Organisaties die vallen onder de Cbw, krijgen onder andere te maken met registratieplicht, zorgplicht, meldplicht en toezicht. Deze maatregelen leiden ongetwijfeld tot hogere investeringskosten en administratieve lasten, maar ze zijn essentieel voor het waarborgen van de veiligheid van onze digitale infrastructuur. 

Cyber Resilience Act (CRA) 

De CRA verplicht fabrikanten om producten met digitale elementen, die direct of indirect verbonden zijn met een ander apparaat of netwerk, volgens het ‘secure by design’-principe te ontwikkelen. Dit is een vooruitstrevende benadering die ervoor zorgt dat veiligheid vanaf het begin wordt ingebouwd in producten. Deze wet stelt eisen waaraan moet worden voldaan bij het op de markt brengen van hardware- en softwareproducten, voor hun gehele levenscyclus van ten minste vijf jaar! Dit betekent dat fabrikanten niet alleen verantwoordelijk zijn voor de initiële veiligheid van hun producten, maar ook voor het actief melden en effectief afhandelen van misbruikte kwetsbaarheden en incidenten.  

Vanaf 11 december 2027 (voor CE-markering) is het verplicht om te voldoen aan de CRA, wat een aanzienlijke impact heeft op alle bestaande producten binnen de Europese Unie, inclusief IT-producten en producten voor thuisgebruik. Hoewel dit zal leiden tot hogere kosten en complexiteit, geloof ik dat deze aanpak cruciaal is voor het beschermen van onze maatschappij en het versterken van het vertrouwen in digitale producten.

Conclusie 

NIS2 en CRA vergroten de digitale weerbaarheid, maar vereisen aanzienlijke inspanningen en investeringen. Deze extra inspanning, die betrekking heeft op de hele keten, zorgt voor hogere investeringskosten, toename van complexiteit en hogere administratieve lasten.  

Producten die niet volgens het ‘secure by design’-principe zijn ontwikkeld, mogen vanaf december 2027 alleen nog voor reparatiedoeleinden worden verkocht. De kans is dus groot dat bestaande ontwerpen voor nieuw te bouwen machines en installaties terug moeten naar de tekentafel. Daarom is het verstandig nu al over te stappen op veilige producten.  

Hoewel de kosten en complexiteit toenemen, zijn deze maatregelen essentieel voor het beschermen van gevoelige informatie, het waarborgen van bedrijfscontinuïteit en het versterken van klantvertrouwen. Kortom, investeren in cybersecurity is een investering in de toekomst en de veiligheid van elke organisatie! 

Volg mijn gratis webinar cybersecurity voor OT en leer meer over de cybersecurity-wetgevingen, zoals NIS2, CRA en de nieuwe Machineverordening.

Harm Geurink, product manager automation bij Phoenix Contact

Blijf op de hoogte van het laatste nieuws:

Misschien vindt u deze succesverhalen ook interessant:

Kijkt u ook eens naar deze trainingen die we aanbieden: