Kies voor een risico gebaseerde aanpak binnen cybersecurity
Op 6 en 7 november was Kiwa voor het eerst aanwezig op de Cybersec-beurs in de Koninklijke Jaarbeurs in Utrecht. We kijken terug op een evenement vol waardevolle gesprekken, inspirerende keynotes over thema’s als AI in cybersecurity en communicatie rondom hacks, en enthousiaste bezoekers die meer wilden leren over Kiwa’s expertise op het gebied van IoT- en OT-integratie. Bart Scholten, Kiwa’s teamlead cybersecurity, gaf op zowel woensdag als donderdag een presentatie in Theaterzaal 3. We spraken hem om dieper in te gaan op zijn inzichten.
In een steeds digitaler Europa groeit de behoefte aan robuuste wetgeving voor cybersecurity. Zo ook voor Operationele Technologie (OT) en het Internet of Things (IoT), domeinen die zowel bedrijfsveiligheid als nationale stabiliteit raken. Bart Scholten, teammanager cybersecurity bij Kiwa, lichtte in zijn presentatie tijdens Cybersec de actuele Europese cybersecurity-wetgeving toe en de noodzaak voor bedrijven om zich hierin te verdiepen.
Waarom is cybersecurity-wetgeving essentieel?
OT- en IoT-systemen vormen het fundament van onze economie, infrastructuur en financiën. Deze systemen zijn nog te vaak kwetsbaar voor aanvallen van cybercriminelen. Dit kan leiden tot economische schade en verstoringen in kritieke infrastructuur. Daarom moet regelgeving zorgen voor een uniform basisniveau van cyberbeveiliging in heel Europa, ook in het licht van toenemende cyberdreigingen. Daarom is een aantal nieuwe Europese reguleringen en richtlijnen ontworpen om cyberrisico’s te verminderen.
- NIS2-richtlijn (Network and Information Security): Deze richtlijn legt de nadruk op een risicogebaseerde aanpak voor bedrijven die onder andere een ‘zorgplicht’ hebben. Dit houdt in dat zij beveiligingsmaatregelen moeten treffen om risico’s te beheersen en in staat moeten zijn om incidenten snel te rapporteren. Bestuurders dragen bovendien hoofdelijke aansprakelijkheid, waardoor deze topics in het bestuur van de organisatie belegd moeten worden.
- Cyber Resilience Act (CRA): Dit wetsvoorstel introduceert minimumvereisten voor cybersecurity in producten met digitale elementen, zowel hard- als software, die in de EU worden verkocht. Hierbij richt het zich niet alleen op technische eisen aan het product, maar zijn er ook eisen gedurende de levensduur van het product wanneer deze in het veld staat.
- RED-DA (Radio Equipment Directive Delegated Act): Deze uitbreiding van het Radio Equipment Directive eist dat draadloze en IoT-apparaten een minimaal veiligheidsniveau bieden door persoonsgegevens te beveiligen, netwerkweerbaarheid te verhogen en fraude te voorkomen.
Waarom certificering conform cyberstandaarden?
Voor organisaties die compliant willen zijn aan relevante wet- en regelgeving, bieden internationaal gedragen kwaliteitsstandaarden als IEC 62443 en ETSI EN 303 645 een betrouwbaar houvast. Hieronder kort meer over de inhoud van deze normen en de manier waarom Kiwa hieraan toetst.
IEC 62443: Industriële OT-beveiliging
De standaard IEC 62443 is ontwikkeld om de cybersecurity in industriële automatisering en controleomgevingen te versterken. IEC 62443 legt zowel technische als organisatorische eisen op aan alle betrokken partijen: van leveranciers en systeemintegrators tot eindgebruikers. Deze norm, opgedeeld in meerdere delen, richt zich op de gehele levenscyclus van industriële systemen, waaronder:
- Ontwerp en implementatie van veilige systemen
- Toegangsbeheer en authenticatie voor industriële netwerken
- Beheer van kwetsbaarheden en beveiligingsupdates
- Incidentrespons voor OT-omgevingen
Hoe toetst Kiwa conform IEC 62443?
Kiwa hanteert een systematische aanpak voor de certificering van bedrijven en systemen volgens IEC 62443, waaronder:
- Gap-analyse: Kiwa voert eerst een grondige analyse uit om te beoordelen waar de organisatie of het systeem momenteel staat ten opzichte van de IEC 62443-eisen.
- Risicobeoordeling: Kiwa identificeert potentiële kwetsbaarheden en bedreigingen binnen de OT-systemen en geeft advies over risicoreductie.
- Testen en audits: Dit omvat testen van technische controles, zoals toegangsbeheer en netwerksegmentatie, evenals audits van operationele processen zoals incidentbeheer en training van medewerkers.
- Compliance-rapportage: Kiwa verstrekt een gedetailleerd rapport en indien alle vereisten zijn voldaan, de IEC 62443-certificering.
ETSI EN 303 645: Beveiliging van IoT-consumentproducten
De ETSI EN 303 645-standaard legt minimale eisen op voor de beveiliging van IoT-apparaten. Deze standaard is speciaal ontwikkeld voor consumentenproducten, zoals slimme thermostaten, beveiligingscamera’s en wearables. Belangrijke eisen binnen deze norm zijn onder andere:
- Unieke wachtwoorden voor apparaten om ongeautoriseerde toegang te voorkomen
- Veilige updates en beheermogelijkheden om kwetsbaarheden te reduceren
- Bescherming van persoonsgegevens en privacy van gebruikers
- Beperking van netwerktoegang en controle over communicatiekanalen van IoT-apparaten.
De nieuwe EU-wetgeving voor de cyberveiligheid van IoT-consumentenproducten verplicht vanaf augustus 2025
Wees voorbereid op de nieuwe EU-regels voor cyberveiligheid. Neem gerust contact met ons voor vragen over het voldoen aan in de nieuwe wetgeving geëiste minimale cyberveiligheidsniveau en dit te laten certificeren tegen de relevante kwaliteitsnormen.
Meer weten? Bekijk onze themapagina!