‘Security-by-design’ cruciaal voor cybersecurity

De EU heeft een strategie voor cyberbeveiliging opgesteld om de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten te beperken. Een onderdeel van deze strategie is nieuwe (aanvullende) wetgeving met uitdagende doelen, waarbij de implementatie van cybersecurity niet meer alleen verplicht is voor kritieke infrastructuren.

De NIS-richtlijn (NIS) zorgt al sinds 2016 voor grotere cyberveiligheid van de EU-lidstaten. Maar cybercriminelen ontwikkelen steeds geavanceerdere hack-ing-methodes en -tools, die nu ook op abonnementsbasis aangeboden worden op het darkweb. Hierdoor wordt een grote groep mensen met weinig technische kennis in staat gesteld om op een eenvoudige manier en zonder grote investeringen te beginnen met hacken.

Daarnaast zorgt de vierde industriële revolutie, ook wel bekend als Industrie 4.0, voor een groeiend aanvalspotentiaal. IoT(Internet of Things)-apparaten verbinden fysieke objecten met het internet, waardoor deze objecten gegevens kunnen verzamelen, uitwisselen en analyseren. Inmiddels zijn er tientallen miljarden IoT-apparaten met het internet verbonden, die niet allemaal even goed (meer) beveiligd zijn.

Verplicht beschermen

Het genoemde enorme aanvalspotentieel en de snel groeiende groep hackers, zorgen dan ook voor een explosieve toename aan cyberincidenten. Daarom is er de nieuwe NIS2-richtlijn die een grotere groep bedrijven verplicht haar systemen tegen cyberaanvallen te beschermen.

In Nederland zal deze Europese richtlijn worden omgezet naar de Cyberbeveiligingswet, die naar verwachting in het derde kwartaal van 2025 in werking zal treden. In vergelijking met de bestaande NIS, in Nederland bekend als Wet beveiliging netwerk- en informatiesystemen (Wbni), gaat deze nieuwe richtlijn gelden voor meer sectoren en bedrijven. De NIS2 spreekt over twee categorieën, namelijk essentiële en belangrijke entiteiten:

• Essentiële entiteiten zijn bedrijven die actief zijn op het gebied van de kritische infrastructuur, bijvoorbeeld op het gebied van opwekking, transport en opslag van elektriciteit/gas, vervoer over water, spoor of weg, drinkwater- en afvalwatervoorzieningen en digitale infrastructuur.

• Belangrijke entiteiten worden geselecteerd uit een lijst van zeven sectoren op basis van hun kritisch belang voor hun sector en het type dienst dat ze leveren. Voorbeelden zijn de productie en distributie van voedsel en chemicaliën en de productie van elektrische apparatuur, machines en voertuigen.

Deze organisaties moeten doeltreffend risicobeheer toepassen en ernstige of significante cyberincidenten melden aan de bevoegde nationale overheden die vervolgens de benodigde maatregelen kunnen nemen. In de NIS 1 stonden alleen algemene richtlijnen voor beveiligingsmaatregelen en het melden van incidenten.

Boetes

De NIS2-richtlijn wordt streng geïmplementeerd, inclusief zware boetes voor niet-naleving van de meldingsverplichtingen. De hoogte van de boetes hangt af van de classificatie van de ondernemingen. Entiteiten die als ‘belangrijk’ worden geclassificeerd, kunnen boetes krijgen van 7 miljoen euro of maximaal 1,4 procent van de totale wereldwijde jaaromzet in het vorige boekjaar. Voor ‘essentiële’ entiteiten kunnen de boetes oplopen tot 10 miljoen euro of maximaal 2 procent van hun totale wereldwijde jaaromzet.

Hoofdelijke aansprakelijkheid management

Daarnaast is een belangrijke wijziging binnen de NIS2 de introductie van hoofdelijke aansprakelijkheid voor management. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als blijkt dat zij bewust de beveiliging van IT- en OT-systemen en de naleving van de NIS2-richtlijnen hebben verwaarloosd. De NIS2-richtlijn legt ook de verplichting op aan het management om getraind te zijn in cybersecurityrisico’s en –beheer. Nationale autoriteiten hebben de bevoegdheid om inspecties en audits uit te voeren om naleving te controleren.

Cyber Resilience Act (CRA)

Aan de strenge eisen van de NIS 2-richtlijn kan eigenlijk alleen worden voldaan, wanneer de gebruikte producten volgens het security-by-design-principe zijn ontwikkeld. Om deze uitdaging op te lossen heeft de EU de Cyber Resilience Act (CRA) gedefinieerd.

De CRA verplicht fabrikanten om producten met digitale elementen, die direct of indirect verbonden zijn met een ander apparaat of een netwerk, te ontwikkelen volgens het security-by-design-principe. Dit betekent dat vanaf het ontwerp, de ontwikkeling en de productie al rekening moet worden gehouden met cybersecurity. Dit omvat onder andere bescherming van toegang, vertrouwelijkheid, integriteit en beschikbaarheid, evenals een veilige status bij levering.

Hierbij zijn minimale security-eisen gedefinieerd voor vier verschillende productklassen. Afhankelijk van de productklasse moeten de geïmplementeerde security maatregelen voor deze producten worden geverifieerd door de overheid, door middel van een productconformiteitstest door geaccrediteerde instanties, zoals bijvoorbeeld TÜV, door het gebruik van een geharmoniseerde norm of door een zelfevaluatie door de fabrikant.

Een aanvullend onderdeel is het bieden van patches voor kwetsbaarheden voor de gehele levenscyclus van het product door de fabrikanten. Producten die onder de CRA vallen mogen in de toekomst geen CE-markering meer dragen als ze niet voldoen aan de wettelijke voorschriften zoals vermeld in de CRA.

Nieuwe Machineverordening

Om mens en milieu te beschermen tegen de gevaren van machines en installaties, zoals bijvoorbeeld letsel of vervuiling, moeten machines al sinds 1995 voldoen aan de Machinerichtlijn. Sindsdien is de richtlijn meerdere keren herzien en de meest recente versie is de Machinerichtlijn 2006/42/EG, die in 2006 werd ingevoerd. Deze richtlijn moet worden geactualiseerd, omdat er rekening moet worden gehouden met de risico’s van nieuwe technologieën en nieuwe regelgeving voor productveiligheid. Daarnaast is gebleken dat de omzetting van de richtlijn in nationale wetgeving, in sommige gevallen andere regelgeving vereist.

Dit resulteerde in de Machineverordening 2023 waarbij ook rekening moet worden gehouden met cybersecurity in combinatie met functionele veiligheid. Hoe kun je namelijk functionele veiligheid garanderen als de cybersecurity niet op orde is? Een moderne industriële robot die wordt gebruikt in een productieomgeving moet zijn beschermd met cybersecuritymaatregelen om te voorkomen dat hackers de controle over de robot overnemen, wat zou kunnen leiden tot gevaarlijke situaties voor de werknemers en de omgeving. Daarnaast mag de software van de robot geen bekende security-zwakheden bevatten en moet de leverancier van de robot, indien nodig, security-patches beschikbaar stellen, zodat de functionele veiligheid gewaarborgd blijft.

De Machineverordening is een aanvulling op de CRA, die machines ook als een product beschouwt. Echter, voor machines met functionele veiligheid is de Machineverordening leidend.

Niets doen is geen optie

De nieuwe wetgeving betekent dat zowel exploitanten als fabrikanten moeten kunnen aantonen dat ze voldoen aan de wettelijke vereisten voor de implementatie van cybersecurity in hun systemen en producten.

Voor fabrikanten en importeurs betekent dit dat producten met digitale elementen, die direct of indirect verbonden zijn met een ander apparaat of een netwerk en niet ontwikkeld zijn volgens het security-by-design-ontwerpproces, vanaf 11 december 2027 in de Europese Unie alleen nog voor reparatiedoeleinden mogen worden verkocht. Deze producten mogen dan niet meer voor nieuwe installaties worden gebruikt en dit gaat ongetwijfeld een grote impact hebben op nieuw te bouwen machines of installaties.

Bereid je dus voor op de aankomende wetgeving en houdt rekening met de gevolgen ervan. Automatiseer daarom nieuwe systemen niet meer op basis van ‘verouderde’ producten, maar stap, indien mogelijk, zo spoedig mogelijk over naar producten die ontwikkeld zijn volgens een security-by-design-ontwerpproces én een cybersecurity-certificering hebben.

IEC 62443 internationale standaard

Naast de Europese wetgeving speelt de internationale standaard IEC 62443 een belangrijke rol in het waarborgen van cybersecurity binnen industriële automatisering en besturingssystemen. IEC 62443 biedt een reeks richtlijnen en best practices voor het beveiligen van operationele technologie (OT) tegen cyberdreigingen. Deze standaard wordt wereldwijd erkend en toegepast. Door de implementatie van IEC 62443 kunnen organisaties een systematische aanpak hanteren om hun producten en systemen te beschermen, risico’s te beheren en de integriteit van hun operationele processen waarborgen. Het naleven van deze standaard helpt bedrijven niet alleen om te voldoen aan wettelijke vereisten, maar ook om hun algehele cybersecurity weerbaarheid te versterken.

Veilig ontwikkelproces en gecertificeerde producten

Phoenix Contact is al in 2017 begonnen met de implementatie van IEC 62443. Omdat de bescherming van systemen of installaties alleen kan worden gegarandeerd als ze van alle kanten worden beveiligd, is een 360°-beveiligingsconcept ontwikkeld en geïmplementeerd. Deze holistische benadering van cybersecurity heeft ervoor gezorgd dat de ontwikkeling en productie bij Phoenix Contact al sinds 2018 is gecertificeerd volgens IEC 62443-4-1. Op deze basis kunnen vervolgens gecertificeerde producten worden ontwikkeld en geproduceerd. Zo zijn de PLCnext-controllers van Phoenix Contact de eerste industriële besturingen die een certificering hebben ontvangen volgens IEC 62443-4-2 SL2. Naast aanbieder van cyberveilige producten, is Phoenix Contact ook gecertificeerd als IACS Service Provider en kan zo haar klanten helpen bij het ontwerpen van veilige automatiseringsoplossingen.

Conclusie

De implementatie van de NIS2-richtlijn, de Cyber Resilience Act en de nieuwe Machineverordening stellen hoge eisen aan de cybersecurity van producten en systemen. Dit heeft tot gevolg dat fabrikanten ‘verouderde’ producten met digitale elementen ‘versnelt’ uit hun leveringsprogramma moeten nemen, waardoor gebruikers op zoek moeten naar alternatieve oplossingen. Tevens moeten fabrikanten van producten met digitale elementen haar gebruikers proactief informeren over security issues en zullen ze adviseren de door hen uitgebrachte security patches te beoordelen en indien nodig te testen en te installeren. Dit zorgt voor extra werk voor met name bestaande machines en installaties. Door te voldoen aan internationale standaarden zoals IEC 62443, kunnen bedrijven niet alleen aan deze wettelijke vereisten voldoen, maar ook hun algehele cybersecurity weerbaarheid versterken. Wacht niet tot het te laat is en investeer vandaag nog in cybersecurity. Samen zorgen we voor een veilige en betrouwbare industriële omgeving.

(Tekst en beeld: Phoenix Contact)