Instrumentatie- en componentenleveranciers krijgen te maken met aangescherpte regelgeving rondom cyber security. Zo wordt de Radio Equipment Directive op 1 augustus 2024 uitgebreid met nieuwe richtlijnen. Maar ook klanten stellen steeds hogere eisen aan hun leveranciers op het gebied van cyber security. Tijdens een themabijeenkomst van de branche Industriële Automatisering werd de impact van de nieuwe regelgeving besproken. Want er is werk aan de winkel voor veel bedrijven om te voldoen aan alle nieuwe regels.
Door: Dimitri Reijerman
Het openingsverhaal was voor Bart Scholten (KIWA). Hij beschreef de eisen die de Radio Equipment Directive stelt aan draadloze apparatuur en belichtte een aantal cases waarbij hackers schade wisten aan te richten. Certificering, zoals door de KIWA en TÜV NORD Nederland wordt uitgevoerd, kan bedrijven helpen hun beveiliging naar een hoger niveau te tillen en elektronica te laten voldoen aan de nieuwe richtlijnen die volgend jaar ingaan.
Scholten liet in een ldemo ook een fictieve hackpoging zien. Dit voorbeeld illustreerde weer eens hoe zwakheden in de beveiliging van producten actief misbruikt kan worden. Een van de eisen die vanuit de EU gesteld gaan worden is dan ook dat er geen universele wachtwoorden gebruikt mogen worden en dat de ontwikkelaar firmware-updates moet aanbieden. Ook het belang van de IEC 62443-4-1- & 4-2-normeringen, waarbij een derde onafhankelijke partij de certificering uitvoert, werd aangestipt. En dan moet de omstreden Cyber Resilience Act, ook opgesteld om de beveiliging van software te vergroten, nog goedgekeurd worden door de EU.
Chris van den Hooven van Hudson Cybertec sprak ook over het nut van certificering voor OT-omgevingen. Zo worden er al eisen rondom certificering opgenomen in tenders opgenomen of expliciet geëist door een opdrachtgever, waarbij wederom de IEC 62443-normeringen van toepassing zijn.
Maturity levels
Van der Hooven besprak ook de aankomende NIS2-richtlijn – waarin een zorgplicht en meldplicht is opgenomen. Daarnaast ging hij in de op de zogeheten ‘maturity levels’ binnen de IEC 62443. Deze niveaus geven aan welke processen zijn geoptimaliseerd voor een goed beveiligingsniveau. Belangrijk daarbij is dat bedrijven beginnen met het opzetten van een cybersecure ontwikkelproces.
Bas van Hertom van TÜV NORD Nederland dook nog dieper in de materie van ‘maturity levels’. Om tot level 3 of zelfs level 4 te komen, is een nauwe samenwerking nodig tussen system integrators, asset owners en maintenance providers. Volgens Van Hertom is het belangrijk voor producenten om nu al in te spelen op de komende regelgeving, ook omdat de productontwikkelprocessen langer worden.
Siemens geeft in het landschap van Industriële Automatisering het voorbeeld door als eerste level 4 te behalen. Ruud Welschen van Siemens beschreef hoe het concern cyber security steeds hoger op de agenda heeft gezet en een dedictated team heeft die vrijwel alle actuele bedreigingen – vastgelegd in zogeheten CVE’s – inventariseert en actief met de sector deelt.
Na de diverse presentaties ontstond een levendige discussie. Want sommige bedrijven vrezen dat de kosten door certificering en andere noodzakelijke stappen flink kunnen oplopen. Met name kleine bedrijven zouden het hierdoor moeilijk kunnen krijgen. Ook zijn sommige richtlijnen in de ogen van sommige producenten te vaag geformuleerd, waardoor er onduidelijkheden en interpretatieverschillen kunnen ontstaan. De toekomst zal leren hoe deze kwesties zich zullen ontwikkelen, maar duidelijk is dat bedrijven stappen moeten zetten om aan de nieuwe richtlijnen te voldoen.