Security is in de afgelopen tien jaar enorm veranderd. Waar je vroeger vooral de rand van het netwerk wilde beveiligen, moet tegenwoordig ieder endpoint worden beveiligd. Om organisaties in Europa zo weerbaar mogelijk te maken, is de NIS2 in het leven geroepen. Ook machinebouwers moeten als gevolg daarvan maatregelen nemen.

Het hoofdkantoor van Lenze in Nederland ontvangt in de laatste week van september en eerste week van oktober een paar honderd mensen, in het kader van zijn The Pace of Automation-evenement. De aanwezigen komen luisteren naar de visie van Lenze op de toekomst. Veel draait om bekende thema’s zoals smart customization en innovaties in automatisering en robotica. Maar er is ook een belangrijke rol weggelegd voor cybersecurity. 2024 is namelijk het jaar van de NIS2, al blijkt het merendeel van de aanwezigen daarvan nog niet op de hoogte.

De NIS2 is de opvolger van de eerste NIS-richtlijn, die in 2016 verscheen. Daarin staat een aantal beveiligingseisen waaraan met name vitale organisaties moeten voldoen. ‘Maar in de afgelopen tien jaar zijn zaken steeds meer met elkaar verbonden geraakt’, zegt Marcel van Oirschot, commercieel directeur van beveiligingsbedrijf Hunt & Hackett, tijdens een rondetafelgesprek op het event. ‘Overheden wilden daarom meer garanties dat als een organisatie wordt aangevallen, dit geen gigantische impact op de Europese economie of toeleverketen heeft.’

Onder de NIS2 worden daarom niet alleen de beveiligingseisen uitgebreid, maar ook de organisaties die eraan moeten voldoen. Ook machinebouwers vallen daar al snel onder: iedereen die onderdeel is van een toeleverketen die als essentieel of belangrijk wordt beschouwd, valt onder de NIS2. Het gaat dan bijvoorbeeld om ketens rondom levensmiddelen, gezondheidszorg en transport.

Ook voor het management

Security wordt al snel als IT-probleem gezien, merken Van Oirschot en Rolf Rettinger, managing director van bhn, de IT-tak van Lenze. ‘Leden van de Raad van Bestuur zeggen vaak dat het iets voor de IT-afdeling is, maar dat kan onder de NIS2 niet meer’, zegt Van Oirschot. Rettinger vult aan: ‘Onder de NIS2 zijn managers en bestuursleden verantwoordelijk voor de security van hun bedrijf. Ze kunnen zelfs persoonlijk aansprakelijk worden gesteld bij misstanden. Ze moet dus echt kunnen aantonen dat ze hierover in controle zijn. Ze moeten deelnemen aan trainingen en hun kennis vergroten.’

Bovendien is snelheid geboden. De NIS2-richtlijn is binnen de Europese Unie al aangenomen. Lidstaten hadden officieel tot 17 oktober om de richtlijn om te zetten in lokale wetgeving, waarna organisaties hieraan moeten voldoen. Nederland loopt echter achter en is naar verwachting pas op 1 juli 2025 zo ver. Maar dat betekent niet dat bedrijven op hun lauweren kunnen rusten. ‘Hieraan voldoen kost je wel wat meer dan een week werk’, waarschuwt Van Oirschot. ‘Er zijn heel veel dingen waaraan je moet voldoen, die je zes, negen of zelfs twaalf maanden kosten.’

Rettinger beaamt dat: ‘Lenze begon hier drie jaar geleden flink in te investeren. Aan de ene kant heb je certificaten die je moet behalen, aan de andere kant heb je elementen die aangeven dat je voldoet aan de wet. Op IT-niveau zijn we bijna klaar, maar op OT-niveau – dus op de shop floor – zijn we pas net begonnen.’

Eerste stappen

Organisaties die onder de NIS2 vallen, moeten aan verschillende eisen voldoen. Denk aan het instellen van een goed updatebeleid, het opstellen van een incident response-plan voor als het toch fout gaat, het beperken van toegang tot gevoelige gegevens, het uitvoeren van een risicoanalyse en zorgen dat al het personeel wordt getraind rondom security.

‘Alles begint met zeggen dat je security serieus neemt’, zegt Van Oirschot. Toch kan het voor bedrijven lastig zijn om te bepalen of ze überhaupt onder de NIS2 vallen en wat ze dan moeten doen. Van Oirschot en Rettinger adviseren daarom met klem om te starten met tools van het Nationaal Cyber Security Center (NCSC) en het Digital Trust Center (DTC). De organisaties hebben een zelfevaluatie beschikbaar gesteld, waarmee organisaties kunnen zien of ze onder de NIS2 vallen. Daarnaast is er een quickscan, om te zien in hoeverre het bedrijf al aan de NIS2 voldoet.

Rettinger benadrukt verder dat ook Lenze hulp kan bieden. Het bedrijf biedt in zijn producten bijvoorbeeld al mogelijkheden voor de versleuteling van gevoelige data, authenticatie van gebruikers en diensten, firewalls en back-ups. ‘We gebruiken onze expertise en middelen om anderen hierin te ondersteunen’, aldus Rettinger.