Homepagina Nieuws en kennisStories

NIS2 en IEC 62443

01 okt 2024Digitale & Productgerichte oplossingen / Cyber Security

Twee cruciale pijlers voor cybersecurity anno 2024

De wereldwijde digitale transformatie heeft ongekende voordelen gebracht voor bedrijven, maar ook nieuwe risico’s. Cyberaanvallen zijn inmiddels een alledaags fenomeen en de impact ervan op organisaties kan verwoestend zijn. Om deze uitdagingen aan te pakken, heeft de EU de nieuwe cyberwetgeving NIS2 vorig jaar ingevoerd. Samen met IEC 62443, een standaard ontwikkeld voor de industrie, spelen beide een cruciale rol in het versterken van de cyberweerbaarheid van organisaties.

Wat is NIS2?

NIS2 (Netwerk- en Informatie Systemen Richtlijn) is een Europese cyberwetgeving en opvolger van de oorspronkelijke NIS-wetgeving, die in 2016 werd ingevoerd. Deze wetgeving richt zich op het verhogen van het beveiligingsniveau van netwerk- en informatiesystemen binnen de EU, vooral bij bedrijven die essentiële diensten leveren, zoals energie, transport en gezondheidszorg. De uitbreiding naar NIS2, die vanaf juli 2025 van kracht gaat, breidt de scope uit naar andere sectoren, zoals de voedingsindustrie, de financiële sector en overheidsdienst. De volgende sectoren vallen onder NIS2:
  • Vervaardiging / manufacturing
  • Energie
  • Transport
  • Bankwezen
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Beheerders van ICT-diensten
  • Afvalwater
  • Overheidsdiensten
  • Lokale overheden
  • Ruimtevaart
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
Een belangrijk aspect van NIS2 is de nadruk op de verantwoordelijkheid van organisaties om cybersecurityrisico’s binnen hun leveranciersketen in kaart te brengen en aan te pakken. Dit betekent dat bedrijven niet alleen hun eigen systemen moeten beveiligen, maar ook die van hun partners en leveranciers, de volledige keten. Het uiteindelijke doel is om een veerkrachtiger digitaal ecosysteem te creëren, waarin de kans op verstoringen door cyberaanvallen aanzienlijk wordt verkleind.
Boetes voor non-compliance NIS2
Nu NIS2 wettelijk is vastgesteld, kan de toezichthouder boetes opleggen voor het niet naleven van de verplichtingen. Je hebt nog tot juli 2025 om je voor te bereiden op NIS2.

Hoe te voldoen aan NIS2?

  • Zorgplicht: Organisaties moeten een risicobeoordeling uitvoeren en op basis daarvan passende maatregelen nemen om hun diensten te beveiligen.
  • Meldplicht: Incidenten moeten binnen 24 uur bij de toezichthouder worden gemeld. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan hulp- en bijstand verlenen.
  • Toezicht: Er komt een onafhankelijk toezichthouder die naar de naleving van de verplichtingen uit de richtlijn kijkt.

IEC 62443: Dé industriestandaard voor cybersecurity

Waar NIS2 zich richt op de verantwoordelijkheid van een brede scope aan bedrijven, richt de IEC 62443 norm zich specifiek op de beveiliging van industriële automatiserings- en controlesystemen (IACS). Deze norm is ontwikkeld door de International Electrotechnical Commission (IEC) en biedt een systematische benadering voor het evalueren en verbeteren van de cybersecurity in industriële omgevingen.
IEC 62443 is vooral relevant voor sectoren zoals de productie-industrie, energievoorziening en infrastructuur, waar de gevolgen van een cyberaanval bijzonder groot kunnen zijn. De norm dekt verschillende aspecten van cybersecurity, waaronder het ontwerp en de implementatie van beveiligingsmaatregelen, risicobeheer en de evaluatie van cybersecurityprogramma’s. We lichten de subkaders van de norm hieronder uit:
  • IEC 62443-4-1: gaat over R&D locatie certificeren aan de hand van 47 vereisten over hoe producten veilig ontwikkeld en ondersteund moeten worden.
  • IEC 62443-4-2: gaat over het product zelf en kan alleen worden afgegeven als 62443-4-1 al is gecertificeerd.
  • IEC 62443-3-3: gaat over systemen als geheel beoordelen. Soms is het niet mogelijk voor elk onderdeel binnen een systeem 4-2 te doen. Dat zou dan meer dan 30 certificaten zijn. Daarbij zijn soms onderdelen niet ontwikkeld of gecertificeerd aan de 4-2. Dan kan je het systeem als 1 geheel zien en die beoordelen aan de 3-3. De scope moet ook zelf bepaald worden. Zo kan je zeggen dat een EV-Laadpaal 1 systeem is of het totale hoogspanningsnet van Nederland. Beide kan je onder een 3-3 certificeren.

IEC 62443 als compliance voor NIS2

Hoewel NIS2 en IEC 62443 zich op verschillende aspecten van cybersecurity richten, vullen ze elkaar perfect aan. NIS2 is verplichte wetgeving en om aan te tonen dat jij eraan voldoet, kunt u een standaard zoals IEC 62443 gebruiken. NIS2 legt de nadruk op een holistische benadering van cybersecurity, waarbij de hele keten, van leveranciers tot eindgebruikers, onder de loep wordt genomen. Om aan de eisen te voldoen in een industriële omgeving, kunt u IEC 62443 gebruiken.
NIS2 eist dat de volledige supply-chain, van ontwikkelaar tot eindgebruiker, zich bezighoudt met cybersecurity. Voor industriële producten is hier een makkelijke vierstapsroute voor gemaakt.
De asset owner zou graag een IACS (Industrial Automation and Control System) willen hebben en moet volgens de NIS2 voldoen aan cybersecurity-eisen. Om de juiste eisen te stellen aan de system-integrator gebruikt de asset owner IEC 62443-2-1. Dit subdeel wordt gebruikt om een IACS security program op te stellen. Hierbij moet de asset owner een cyber security managementsysteem gaan bouwen en processen op orde hebben.
De system-integrator wordt nu geconfronteerd met het feit dat de asset owner geen systemen wil hebben die niet cyberveilig zijn, dus zal de system-integrator op zijn beurt moeten gaan denken aan de cybersecurity. Hiervoor gebruikt de system-integrator gedeeltelijk IEC 62443-2-1 en IEC 62443-2-4 om processen op orde te hebben, zodat ze weten welke eisen ze kunnen verwachten van de asset owner.
Om het gehele systeem te controleren op de cybersecurity-eisen gebruikt de system-integrator IEC 62443-3-3. Dit systeem bestaat uit een verzameling van allemaal losse onderdelen die samen gebruikt worden om het geheel op te bouwen. Om makkelijk aan de eisen van de 3-3 te voldoen vraagt de system-integrator op zijn beurt aan de productleveranciers om aan te tonen dat hun producten cyberveilig zijn.
Hierbij komen we bij de laatste stap. De productleverancier moet zijn product dus cyberveilig gaan maken. In plaats van achteraf een keer nadenken over hoe dat dan moet, is het de bedoeling dat het product 'secure by design' is. Dit kan men realiseren door een Secure Product Development Lifecycle te implementeren. Dit staat beschreven in de IEC 62443-4-1. Om vervolgens te kijken of dat het product daadwerkelijk cyberveilig is, moet men het product nog testen volgens de IEC 62443-4-2 standaard. Hierin staan de eisen en testen voor het product.
Door te voldoen aan zowel de verplichte NIS2 wetgeving als de industriestandaard IEC 62443 kunnen organisaties dus niet alleen de naleving van wet- en regelgeving waarborgen, maar ook hun algehele cyberweerbaarheid versterken. Dit is van cruciaal belang in een tijd waarin cyberdreigingen steeds geavanceerder en talrijker worden.
NIS2 en IEC 62443 cybersecurity en crime whitepaper
Cybercrime whitepaper
Gebruikt uw organisatie producten met online connectiviteit? In deze whitepaper leest u alles wat u moet weten over uw rol in de strijd tegen cybercriminaliteit.
NIS2 en IEC 62443 Cybersecurity expert
NIS2: blijf op de hoogte
Blijf up-to-date van belangrijke recente ontwikkelingen op het gebied van NIS2. Schrijf u hier in en ontvang automatisch een update via e-mail.

DEKRA’s rol in cybersecurity

Bij DEKRA begrijpen we de complexiteit van cybersecurity en de uitdagingen waar organisaties voor staan. We bieden uitgebreide diensten aan, waaronder certificeringen voor de NIS2 richtlijn en de IEC 62443-normen, maar ook standaarden zoals ISO 27001, EN 18031, ETSI EN 303 645. Onze experts ondersteunen organisaties bij het voldoen aan de relevante wet- en regelgeving. Door te investeren in deze certificeringen, uitgevoerd door een onafhankelijke certificeringsinstelling zoals DEKRA, zet u een belangrijke stap richting een veiliger, robuuster en toekomstbestendig digitaal ecosysteem. Hiermee vergoot u niet alleen uw cyberweerbaarheid, maar ook het vertrouwen van uw klanten.
Heeft u een vraag? Onze experts komen graag met u in contact
Boris Zandstra
DEKRA Cybersecurity services
CCV-keurmerk pentesten in een serverruimte

CCV-keurmerk pentesten

Met het CCV-keurmerk pentesten toont u aan dat uw organisatie deskundig en veilig te werk gaat. Om dit keurmerk te behalen moet u o.a. laten zien dat u beschikt over gekwalificeerde medewerkers die de test op professionele wijze uitvoeren.
Details
certificering iso 27001

ISO 27001 certificering

Toon het belang van informatie- en gegevensbescherming voor uw organisatie aan met een certificering volgens de ISO/IEC 27001 norm.
Details
red richtlijn

Testen volgens RED richtlijn

U moet vanaf augustus 2025 voldoen aan de Delegated Act van de richtlijn radioapparatuur (RED). Lees hier meer over de toekomstige wetgeving en hoe DEKRA u helpt.
Details