Siemens ondersteunt industriële eindklanten om NIS2-conform te zijn
“Cybersecurity vergt inspanningen op diverse niveaus”
NIS2-conform zijn is een uitdaging die razend actueel is voor heel wat industriële bedrijven. Dat gaat gepaard met noodzakelijke aanpassingen op IT-niveau, maar zeker ook op vlak van operationele technologie (OT). Cybersecurity is een thema waar Siemens intern én extern heel wat aandacht aan besteedt. Drie specialisten duiden hoe de technologiespeler de industriële eindklant hierin begeleidt.
“Uiteraard is cybersecurity voor Siemens een topprioriteit”, opent Koen Pauwelyn, Service Sales Specialist en vanuit die functie ook intens bezig met cybersecurity. “IT- en OT-apparatuur die volledig veilig zijn, is een vereiste die heel wat van onze klanten terecht in hun lastenboeken opnemen. Onze services en productportfolio zijn in die zin enorm geëvolueerd. We willen een voortrekkersrol spelen, onder meer door klanten gericht te informeren.”
Dat is ook nodig, weet zijn collega Bart Boumans (Sales Specialist industriële communicatie voor Vlaanderen). “We maken het nog geregeld mee dat klanten die tegen medio 2025 NIS2-geregistreerd moeten zijn, het in Keulen horen donderen. Dat geldt evenzeer voor bedrijven die ervan overtuigd zijn niets met NIS2 te maken te hebben. Nochtans: als zij een leverancier zijn van een onderneming die wél ‘NIS2 compliant’ moet zijn, doen ze er goed aan toch de nodige inspanningen te doen, omdat NIS2-plichtige ondernemingen de taak hebben hun ‘supply chain’ eveneens veilig te stellen.”
NIS2-plichtige ondernemingen hebben de taak ook hun 'supply chain' veilig te stellen.
Bart Boumans, Sales Specialist industriële communicatie Vlaanderen
Bij Siemens merken ze vaak dat industriespelers zich bij NIS2 vooral op IT focussen, maar de OT-zijde verdient minstens evenveel aandacht. “PLC’s, sensoren, machines,… moeten eveneens beveiligd zijn”, gaat Koen Pauwelyn verder. “Dat is uitdagend, vermits machines veel langer meedraaien dan pakweg een laptop en vaak nog werken met verouderde systemen die niet meer up te daten zijn. Zelfs als ze wél op moderne technologie draaien, is er jaarlijks doorgaans maar één keer de mogelijkheid om ze te ‘patchen’, vermits ze de klok rond werken en een bedrijf het zich niet kan permitteren om om de haverklap de productie stil te leggen in functie van updates.”
Plan van aanpak
Het is dus vijf voor twaalf om een coherente strategie uit te werken en uit te voeren. Siemens kan in dat verhaal een cruciale rol vertolken. Koen: “Voor een systeemintegrator is het moeilijk om zijn eigen realisaties te beoordelen op vlak van cybersecurity. Wij kunnen die rol, als derde partij, voor onze rekening nemen. Daarbij starten we met een nulmeting, die de huidige situatie in beeld brengt. Op basis daarvan kunnen we een ‘roadmap’ uitwerken die alle vereiste aanpassingen in kaart brengt om aan de NIS2-richtlijn te beantwoorden. Omdat het onmogelijk is om alles in één keer te wijzigen, gaan we uit van een gefaseerde aanpak met een aantal duidelijke prioriteiten.”
Siemens bekijkt cybersecurity in verschillende lagen, volgens het ‘Defense in Dept’-concept. Een eerste laag is netwerksecurity. “Netwerksegmentatie is een belangrijke stap, onder meer voor het beveiligen van verouderde machines”, verduidelijkt Gregory Putman (Sales Specialist industriële communicatie voor Wallonië). “Ook het voorzien van firewalls voor dergelijke machines is een ideale manier om ze te beveiligen, zodat ze geïsoleerd zijn van de rest van het OT-park.”
Netwerksegmentatie is een belangrijke stap, onder meer voor het beveiligen van verouderde machines.
Gregory Putman
System integrity is een tweede essentiële pijler. “Dat kan onder meer via TIA Portal (Total Integrated Automation Portal), een softwareplatform waarmee je automatiseringsproducten, zoals PLC’s, eenvoudig én veilig kunt programmeren met gebruik van geëncrypteerde communicatie. TIA portal is onder meer uitgerust met een usermanagementsysteem, waarbij je duidelijk kan bepalen wie waarvoor bevoegd is. Dit laat ook toe om vanuit het IT-systeem Active Directory (AD) het gebruikersmanagement te bepalen voor de OT-toestellen. ‘Anomaly detection’ is eveneens cruciaal. Dit is een geavanceerde cybersecuritybenadering die real-time bescherming biedt door automatisch verdachte activiteiten te detecteren, te analyseren en te melden.”
Plant security
Ook op plant security kan je als bedrijf maar beter goed inzetten. “Dit omvat onder meer het accuraat afschermen van je infrastructuur van de buitenwereld. Plant security op de juiste manier aanpakken, begint met het correct informeren van je medewerkers, onder meer door hen te laten deelnemen aan algemene opleidingen over cybersecurity.
We merken dat opleidingen vaak een besparingspost zijn voor bedrijven, maar op (lange) termijn kan dat negatieve gevolgen voor de productiviteit hebben. Ook meer gerichte cybersecurity-opleidingen, bijvoorbeeld over engineeringprogramma’s, geven vaak inzichten in complexe materie die onvoldoende bekend is.”
100% cybersecurity bestaat niet, maar met adequate monitoring kan je veel onheil vermijden. “De integratie van alarmsystemen die anomalieën detecteren, is een stap in de goede richting. Deze oplossingen monitoren je netwerk op een passieve manier: als ze een alarm hebben uitgestuurd, beslis je zelf welke acties je uitvoert.”
Bij Siemens raden ze eindklanten aan om werk te maken van de juiste firmware (met de gratis security-updates voor PLC’s en andere OT-componenten) en aan verstandig back-up-management te doen. “Ook dat is een belangrijke pijler binnen NIS2. Het is essentieel om dankzij back-ups data te kunnen recupereren en af en toe daadwerkelijk te testen hoe goed die back-ups werken. Elk bedrijf moet werk maken van een duidelijk ‘disaster plan’, met duidelijke maatregelen die in geval van een probleem snel in actie kunnen treden. Daarvoor moet je een verantwoordelijke aanduiden, die ervoor zorgt dat de vastgelegde procedures nauwkeurig worden opgevolgd en die protocollen idealiter ook regelmatig test.”
Interactie met Cebeo
De wisselwerking tussen Cebeo en partners zoals Siemens, kan een meerwaarde betekenen in de uitdaging van de industrie om NIS2-conform te zijn. Gregory: “Cebeo maakt zijn klanten duidelijk wat NIS2 precies is en fungeert als een gids die hen wegwijs maakt in de te nemen stappen. Siemens kan voor de juiste informatie en opleidingen zorgen en vervolgens ook voor de begeleiding om NIS2 binnen de organisatie uit te rollen.”
