Auteur: Karl D’haveloose

Ik mocht er op 11 december even bij zijn. Op uitnodiging van Agoria (Alain Wayenbergh) en CMIB (Cyber Made In Belgium ) zaten 95 industriële koppen samen om te horen wat de meningen van experten en gebruikers zijn als het gaat over het vertalen van NIS2 naar effectieve OT-cyberomgevingen. Ik mocht aanschuiven, want ik moet straks tijdens Indumation 2026 dit cyberevent modereren. U bent er graag bij, veronderstel ik.

Bedoeling is niet om hieronder het zoveelste verslag te schrijven, dat vindt u op de Agoria-site. Ik heb het hieronder vooral over de echte urgentie/motivatie waarvoor en hoe een OT-cyberimplementatie moet gestuurd worden. Het hoeft geen betoog, het is een ‘web of disruptions’ aan het worden: op de werkvloer, in de digitale processen en in de supply chain waar incidenten zich gewoon gaan opstapelen. Verder is de vraag of wij iets kunnen leren van de aanpak van de Amerikanen?

Afgelopen zomer werd Jaguar Land Rover, de grootste Britse autofabrikant, gedwongen om zijn activiteiten bijna een maand stil te leggen na een grootschalige cyberaanval op zijn wereldwijde IT-systemen. De aanval vond vermoedelijk zijn oorsprong bij een externe leverancier. De gevolgen waren aanzienlijk: verstoringen in de toeleveringsketen en een geraamde economische schade van 2,5 miljard dollar voor de Britse economie. Het incident onderstreept hoe sterk verweven – en tegelijk kwetsbaar – moderne productiesystemen vandaag zijn.

Dergelijke incidenten tonen de toenemende urgentie voor maakbedrijven om cybersecurity-raamwerken te hanteren, die wel rekening houden met geconnecteerde supply chains en digitale operaties en niet langer uitsluitend focussen op klassieke IT-netwerken met gesegmenteerde of offline OT-omgevingen.

Digitale transformatie, een veranderend dreigingslandschap, andere regelgeving

Naarmate digitale transformatie de maakindustrie hertekent, nemen cyberdreigingen toe in omvang én complexiteit. Industriële besturingssystemen, geconnecteerde apparaten en slimme fabrieken verhogen de efficiëntie, maar vergroten tegelijk het aanvalsoppervlak. In de VS is het vrijwillige raamwerk, indertijd onder de noemer NIST, al 10 jaar oud. In Europa is het verhaal hieronder anders.

De eerste Amerikaanse stappen om hierop in te spelen kwamen van het National Institute of Standards and Technology (NIST) met de publicatie van een eerste publieke ontwerpversie van het Cybersecurity Framework (CSF) 2.0 Manufacturing Profile. Deze update biedt maakbedrijven een actueel en praktisch referentiekader om hun weerbaarheid te versterken, zonder de productiviteit op de werkvloer te ondermijnen.

Het oorspronkelijke NIST Cybersecurity Framework uit 2014 groeide uit tot een de facto standaard voor cyberrisicobeheer. Versie 2.0, gepubliceerd in 2024, weerspiegelt tien jaar technologische evolutie en breidt de scope van louter IT uit naar operationele technologie (OT) en cyberfysieke systemen (CPS).

NIS 2 dan is de welgekende Europese richtlijn (EU 2022/2555), die dan op zijn beurt naar een Belgische en Nederlandse wetgeving wordt vertaald. Deze brengt zowel risicobeheermaatregelen, incidentmelding, supply chainbeveiliging alsook bestuurdersverantwoordelijkheid en de boetes in kaart.

Het werd zowel voor de VS als voor Europa echt wel urgent, dat die vertaalslag naar OT concreet werd gemaakt. In Europa, waar NIS gecombineerd wordt met de ISO industriële cybersecuritynorm IEC 62443 en sommige uitbreidingen ISO/IEC 27001 en CyFun®, resulteert dit toch wel in een complex heksenpotje. Maar zoals eerder vermeld is het mijn bedoeling om vooral de geleerde lessen uit het Jaguar-incident even op de voorgrond te brengen. Daarnaast wil ik schetsen wat voor de VS als The Manufacturing Profile als nieuwe toevoeging wordt geformuleerd.

Govern

Nieuw is het toevoegen van de ‘Govern-functie’, die het belang benadrukt van leiderschap, supply chainrisico’s en identiteitsbeheer als volwaardige strategische pijlers, in plaats van bijkomstigheden. Het Manufacturing Profile vertaalt dit generieke raamwerk naar sectorspecifieke richtlijnen voor productieomgevingen en helpt fabrikanten om:

• Kritische productie-assets te identificeren en te beschermen.
• Afwijkend gedrag in geconnecteerde systemen tijdig te detecteren en erop te reageren.
• Snel te herstellen van incidenten zonder de operationele continuïteit te ondermijnen.

Cruciaal is dat het profiel expliciet de convergentie van IT en OT erkent: een belangrijke motor voor innovatie, maar tegelijk een fundamentele kwetsbaarheid. Deze integratie maakt realtime productiedata, cloudanalytics en AI-gestuurde optimalisatie mogelijk, wat leidt tot hogere efficiëntie, voorspellend onderhoud en betere besluitvorming. Tegelijk worden besturingssystemen blootgesteld aan dreigingen, die vroeger beperkt bleven tot IT-netwerken. 

Lessons learned: het derde partij-risico

De aanval op Jaguar Land Rover illustreert dat cyberrisico’s zich niet beperken tot de fabriek zelf. De oorsprong lag bij een externe partner, wat de afhankelijkheid van maakbedrijven van leveranciers, logistieke partners en remote maintenancediensten scherp blootlegt.

Aanvallers dringen vaak binnen via leveranciers met verouderde toegangsrechten, gedeelde accounts of gebrekkig toezicht. Een recente studie van het Ponemon Institute toont aan dat bijna de helft van de industriële organisaties het afgelopen jaar te maken kreeg met een cyberincident waarbij derden betrokken waren. Onlangs mocht in België het AZ Monica dit ondervinden.

Het NIST Manufacturing Profile reikt concrete maatregelen aan om deze risico’s te beperken, onder meer door:

- Alle externe connecties in kaart te brengen, zoals onderhoudspartners met toegang tot productienetwerken.

- Zero-trust-toegangsbeleid te implementeren, waarbij herauthenticatie vereist is voor toegang tot gevoelige systemen.

- Afwijkend toegangsgebruik continu te monitoren, bijvoorbeeld toegang buiten normale uren of vanaf ongebruikelijke locaties.

Wanneer deze principes consequent worden toegepast, kunnen dreigingen van derden snel ingedamd of zelfs volledig voorkomen worden. In een moderne productieomgeving is vertrouwen zonder verificatie simpelweg niet langer houdbaar.

Security als hefboom voor productiviteit

Sterke cybersecurity hoeft productie niet te vertragen. Integendeel, een doordacht beveiligingsraamwerk verhoogt de productiviteit door de downtime te beperken, de herproductie te verminderen en de integriteit van data te verbeteren.

Het NIST Manufacturing Profile hanteert hiervoor een schaalbare, risicogebaseerde aanpak. In plaats van alles tegelijk te willen beveiligen, kunnen bedrijven prioriteit geven aan processen waarbij compromittering de grootste impact zou hebben op veiligheid, financiën of reputatie.

Welke belangrijke maatregelen kunnen dit dan wel zijn?

• Netwerksegmentatie tussen IT en OT om de verspreiding van incidenten te beperken.
• Rolgebaseerde toegangscontrole (RBAC), zodat medewerkers en leveranciers enkel toegang hebben tot wat strikt noodzakelijk is.
• Multi-factorauthenticatie (MFA) voor alle externe toegang, vooral voor leveranciers en geprivilegieerde gebruikers.
• Context- en gedragsanalyse om realtime, risicogebaseerde beveiligingsbeslissingen mogelijk te maken.

Indien correct geïmplementeerd integreren deze maatregelen zich grotendeels in bestaande systemen, met minimale verstoring van de operaties. Zo ontstaat adaptieve weerbaarheid die veilige, frictieloze toegang combineert met robuuste bescherming.

De toekomst: identiteit als nieuwe perimeter

Identity & Access Management (IAM) groeit uit tot het centrale controlepunt in digitale productieomgevingen. Fabrikanten moeten elke gebruiker, elk apparaat en elke applicatie authenticeren, autoriseren en monitoren, zeker in omgevingen met gedeelde werkstations, kiosken en mobiele toestellen op de productievloer.

Firewalls en wachtwoorden volstaan niet meer tegen AI-gedreven aanvallen. Tegenstanders gebruiken automatisering en artificiële intelligentie om legacybeveiliging te omzeilen, legitiem gedrag te imiteren en vergeten toegangen te misbruiken. Identiteitsgebaseerde beveiliging vertrekt daarentegen van het principe dat vertrouwen continu moet worden verdiend en nooit verondersteld wordt.

Het Manufacturing Profile sluit hier nauw bij aan door de nadruk te leggen op:

• Continue verificatie van wie of wat toegang vraagt en van waar.
• Least-privilege-principes, waarbij rechten strikt worden beperkt tot de taak in kwestie.
• Automatisering en analytics om anomalieën sneller te detecteren dan menselijke teams en manuele toegangscontroles te verminderen.

Door identiteit centraal te verankeren in de beveiligingsstrategie verlagen bedrijven hun kwetsbaarheid en vergroten ze het vertrouwen in geconnecteerde operaties. Uniform identiteitsbeheer stelt teams in staat sneller samen te werken, veilig te innoveren en sneller te herstellen na incidenten.

Conclusie: this is not a compliancy drill

De introductie van NIST CSF 2.0 Manufacturing Profile biedt de sector een kans om veilige productie opnieuw te definiëren in het digitale tijdperk. Cyberaanvallen, zoals die bij Jaguar Land Rover, zullen alleen maar frequenter en geavanceerder worden.

Maakbedrijven die cybersecurity benaderen als een strategische bedrijfsfunctie – en niet louter als compliance-oefening – zijn het best geplaatst om veilig te innoveren en vertrouwen te behouden binnen hun ecosysteem. De toekomst van de maakindustrie wordt niet alleen bepaald door wat we bouwen, maar ook door hoe veilig we het bouwen.

Veilige, frictieloze toegang en sterk identiteitsbeheer stellen fabrikanten in staat met vertrouwen te moderniseren: elke connectie verifiëren, elke identiteit beschermen en de operaties draaiende houden.

Die Amerikanen proclameren het alvast begrepen te hebben: dit is geen compliancy drill meer, maar een strategische prioriteit.