Met de digitalisering van de industrie raken productiesystemen steeds meer verbonden. Daarmee groeit het risico op – bewuste en onbewuste – manipulatie en dataverlies. En niet alleen in de IT-systemen, waar dat al jaren speelt, maar steeds meer ook in OT-omgevingen, waar security vaak nog een ondergeschoven kindje is. De publicatie van de nieuwe EU-Machineverordening (MVO), de aankomende NIS 2-richtlijn en de geplande Cyber Resilience Act (CRA) maken het voor fabrikanten, integrators en exploitanten van machines en installaties echter zonneklaar: security is een noodzaak én een wettelijke verplichting. ‘Wie vanaf 20 januari 2027 een CE-markering op zijn machine wil aanbrengen, moet ervoor zorgen dat het besturingssysteem van de machine afdoende beschermd is tegen onbedoeld of opzettelijk beschadigen en dat daaruit voortvloeiende gevaarlijke situaties worden vermeden’, weet Andreas Willert, hoofd Industrial Security bij Pilz. ‘De wettelijke en normatieve eisen zijn behoorlijk complex, diepgaand en met elkaar verweven. Fabrikanten en exploitanten van machines zullen daarom hun huidige veiligheidsprocessen voor safety en security moeten herzien. Want: geen safety zonder security.’
Link magazine februari/maart 2024 Thema: De keten op orde op lokaal niveau.
Lees Link magazine digitaal of vraag een exemplaar op bij mireille.vanginkel@linkmagazine.nl
Een spanningsveld ontstaat met de integratie van IT en OT, zeker op het gebied van security. Dat komt omdat die werelden verschillen, zowel qua doelstellingen als qua technologie. ‘Waar vertrouwelijkheid doorgaans het belangrijkste is in de IT, krijgt beschikbaarheid de hoogste prioriteit bij OT’, aldus Willert. ‘Daarnaast hebben bedrijven verschillende niveaus van kennis en volwassenheid met betrekking tot industriële security. De netwerken bieden daarom verschillende kwetsbaarheden. In tegenstelling tot safety zijn security-risico’s en de gevolgen daarvan niet tastbaar. Hoe begin je dan?’
Als expert op het gebied van machineveiligheid profileert Pilz zich steeds meer als partner in cyberveiligheid. ‘Klanten krijgen niet alleen een assessment en een analyse voor de veiligheid van hun machines, maar ook voor de industriële security van dat systeem’, legt Willert uit. ‘Alles uit één bron zodat de oplossingen op elkaar afgestemd kunnen worden.’
De ondersteuning begint altijd met een inventarisatie van de beschermingsbehoeften. ‘Welke wetten zijn van toepassing? Zijn er al verantwoordelijke mensen? Zijn er al certificeringen in de kantooromgeving?’, somt Willert op. De volgende stap is vaststellen hoe groot de schade is aan mens en machine bij een inbreuk van de veiligheid, vertrouwelijkheid, integriteit of beschikbaarheid. ‘Vergelijkbaar met de procedure voor een veiligheidsbeoordeling kunnen bedrijven vervolgens de stappen doorlopen van een risicoanalyse, het opstellen van een beveiligingsconcept, implementatie en eindverificatie’, aldus Willert. ‘De ervaring leert dat zo’n security risk assessment enkele weken of zelfs maanden kan duren. De tijd voor industriële security is daarom nu.’
