NIS2 en IEC 62443

01 okt 2024

Twee cruciale pijlers voor cybersecurity anno 2024

De wereldwijde digitale transformatie heeft ongekende voordelen gebracht voor bedrijven, maar ook nieuwe risico’s. Cyberaanvallen zijn inmiddels een alledaags fenomeen en de impact ervan op organisaties kan verwoestend zijn. Om deze uitdagingen aan te pakken, heeft de EU de nieuwe cyberwetgeving NIS2 vorig jaar ingevoerd. Samen met IEC 62443, een standaard ontwikkeld voor de industrie, spelen beide een cruciale rol in het versterken van de cyberweerbaarheid van organisaties.

Wat is NIS2?

NIS2 (Netwerk- en Informatie Systemen Richtlijn) is een Europese cyberwetgeving en opvolger van de oorspronkelijke NIS-wetgeving, die in 2016 werd ingevoerd. Deze wetgeving richt zich op het verhogen van het beveiligingsniveau van netwerk- en informatiesystemen binnen de EU, vooral bij bedrijven die essentiële diensten leveren, zoals energie, transport en gezondheidszorg. De uitbreiding naar NIS2, die vanaf juli 2025 van kracht gaat, breidt de scope uit naar andere sectoren, zoals de voedingsindustrie, de financiële sector en overheidsdienst. De volgende sectoren vallen onder NIS2:

Vervaardiging / manufacturing
Energie
Transport
Bankwezen
Infrastructuur financiële markt
Gezondheidszorg
Drinkwater

Digitale infrastructuur
Beheerders van ICT-diensten
Afvalwater
Overheidsdiensten
Lokale overheden
Ruimtevaart

Digitale aanbieders
Post- en koeriersdiensten
Afvalstoffenbeheer
Levensmiddelen
Chemische stoffen
Onderzoek

Een belangrijk aspect van NIS2 is de nadruk op de verantwoordelijkheid van organisaties om cybersecurityrisico’s binnen hun leveranciersketen in kaart te brengen en aan te pakken. Dit betekent dat bedrijven niet alleen hun eigen systemen moeten beveiligen, maar ook die van hun partners en leveranciers, de volledige keten. Het uiteindelijke doel is om een veerkrachtiger digitaal ecosysteem te creëren, waarin de kans op verstoringen door cyberaanvallen aanzienlijk wordt verkleind.

Boetes voor non-compliance NIS2

Nu NIS2 wettelijk is vastgesteld, kan de toezichthouder boetes opleggen voor het niet naleven van de verplichtingen. Je hebt nog tot juli 2025 om je voor te bereiden op NIS2.

IEC 62443: Dé industriestandaard voor cybersecurity

Waar NIS2 zich richt op de verantwoordelijkheid van een brede scope aan bedrijven, richt de IEC 62443 norm zich specifiek op de beveiliging van industriële automatiserings- en controlesystemen (IACS). Deze norm is ontwikkeld door de International Electrotechnical Commission (IEC) en biedt een systematische benadering voor het evalueren en verbeteren van de cybersecurity in industriële omgevingen.

IEC 62443 is vooral relevant voor sectoren zoals de productie-industrie, energievoorziening en infrastructuur, waar de gevolgen van een cyberaanval bijzonder groot kunnen zijn. De norm dekt verschillende aspecten van cybersecurity, waaronder het ontwerp en de implementatie van beveiligingsmaatregelen, risicobeheer en de evaluatie van cybersecurityprogramma’s. We lichten de subkaders van de norm hieronder uit:

IEC 62443-4-1: gaat over R&D locatie certificeren aan de hand van 47 vereisten over hoe producten veilig ontwikkeld en ondersteund moeten worden.
IEC 62443-4-2: gaat over het product zelf en kan alleen worden afgegeven als 62443-4-1 al is gecertificeerd.
IEC 62443-3-3: gaat over systemen als geheel beoordelen. Soms is het niet mogelijk voor elk onderdeel binnen een systeem 4-2 te doen. Dat zou dan meer dan 30 certificaten zijn. Daarbij zijn soms onderdelen niet ontwikkeld of gecertificeerd aan de 4-2. Dan kan je het systeem als 1 geheel zien en die beoordelen aan de 3-3. De scope moet ook zelf bepaald worden. Zo kan je zeggen dat een EV-Laadpaal 1 systeem is of het totale hoogspanningsnet van Nederland. Beide kan je onder een 3-3 certificeren.

IEC 62443 als compliance voor NIS2

Hoewel NIS2 en IEC 62443 zich op verschillende aspecten van cybersecurity richten, vullen ze elkaar perfect aan. NIS2 is verplichte wetgeving en om aan te tonen dat jij eraan voldoet, kunt u een standaard zoals IEC 62443 gebruiken. NIS2 legt de nadruk op een holistische benadering van cybersecurity, waarbij de hele keten, van leveranciers tot eindgebruikers, onder de loep wordt genomen. Om aan de eisen te voldoen in een industriële omgeving, kunt u IEC 62443 gebruiken.

NIS2 eist dat de volledige supply-chain, van ontwikkelaar tot eindgebruiker, zich bezighoudt met cybersecurity. Voor industriële producten is hier een makkelijke vierstapsroute voor gemaakt.

Stap 1

De asset owner zou graag een IACS (Industrial Automation and Control System) willen hebben en moet volgens de NIS2 voldoen aan cybersecurity-eisen. Om de juiste eisen te stellen aan de system-integrator gebruikt de asset owner IEC 62443-2-1. Dit subdeel wordt gebruikt om een IACS security program op te stellen. Hierbij moet de asset owner een cyber security managementsysteem gaan bouwen en processen op orde hebben.

Stap 2

Stap 3

Stap 4

Door te voldoen aan zowel de verplichte NIS2 wetgeving als de industriestandaard IEC 62443 kunnen organisaties dus niet alleen de naleving van wet- en regelgeving waarborgen, maar ook hun algehele cyberweerbaarheid versterken. Dit is van cruciaal belang in een tijd waarin cyberdreigingen steeds geavanceerder en talrijker worden.

DEKRA’s rol in cybersecurity

Bij DEKRA begrijpen we de complexiteit van cybersecurity en de uitdagingen waar organisaties voor staan. We bieden uitgebreide diensten aan, waaronder certificeringen voor de NIS2 richtlijn en de IEC 62443-normen, maar ook standaarden zoals ISO 27001, EN 18031, ETSI EN 303 645. Onze experts ondersteunen organisaties bij het voldoen aan de relevante wet- en regelgeving. Door te investeren in deze certificeringen, uitgevoerd door een onafhankelijke certificeringsinstelling zoals DEKRA, zet u een belangrijke stap richting een veiliger, robuuster en toekomstbestendig digitaal ecosysteem. Hiermee vergoot u niet alleen uw cyberweerbaarheid, maar ook het vertrouwen van uw klanten.

Toon alle artikelen