John van Vugt: ‘Bij procestechnologie moeten we denken aan digitale systemen die met internet zijn verbonden en die nodig zijn om industriële processen aan te sturen. Bij operationele technologie gaat het vooral om Internet of Things-achtige toepassingen in bijvoorbeeld gebouwautomatisering en bij particulieren thuis zoals zonnepanelen of slimme deurbellen.’
Hoewel de officiële nulmeting nog moet plaatsvinden (zie kader) durft Van Vugt de stelling wel aan dat de cyberweerbaarheid van installatiebedrijven op het gebied van informatietechnologie inmiddels redelijk op orde is. Anders is het volgens Van Vugt als het om proces- en operationele technologie gaat. ‘Dat blijkt ook uit het Cybersecuritybeeld Nederland, een rapportage die jaarlijks wordt uitgebracht door de Nationaal Coördinator Terrorismebestrijding en Veiligheid. In die rapporten zien we duidelijk de kwetsbaarheid van onder andere installatieonderdelen die gekoppeld zijn aan internet.’
Ook in gesprekken met installatiebedrijven hoort Van Vugt dat terug. ‘Vaak heeft men wel nagedacht over zaken als goede wachtwoorden. Maar veel andere aspecten die met een goede cyberweerbaarheid te maken hebben, laat men in veel gevallen nog over aan de opdrachtgever. Als Techniek Nederland zien we daar echter wel degelijk een belangrijke rol weggelegd voor onze leden en de fabrikanten van de producten die wij als sector bij onze klanten plaatsen. Het zou ideaal zijn als cyberweerbaarheid, en alle maatregelen die daarbij horen, zo snel mogelijk volledig geïntegreerd zijn in de producten, installaties en diensten die installatiebedrijven hun opdrachtgevers leveren.’

Formele nulmeting

Hoewel de laatste maanden veel berichten over de NIS2-richtlijn – de EU-brede wetgeving inzake cyberbeveiliging – naar buiten zijn gekomen, was dat zeker niet de aanleiding voor Techniek Nederland om cyberweerbaarheid hoog op de agenda te plaatsen, ‘Het heeft natuurlijk wel geholpen om aandacht voor cybersecurity te krijgen’, zegt Van Vugt. ‘NIS2 betekent voor veel installatiebedrijven dat zij straks betrokken zijn bij de kritieke infrastructuur van ons land. Dat brengt met zich mee dat zij aan cyberweerbaarheid nog meer aandacht moeten geven, ook als het gaat om de security bij en van hun toeleveranciers. Daarom zijn we als branchevereniging vorig jaar al een programma gestart om hen te helpen hun cyberweerbaarheid te verbeteren.’
Onderdeel van dit programma is een formele nulmeting: waar staan we nu eigenlijk als het gaat om cyberweerbaarheid van operationele en procestechnologie? Hiertoe zal gebruik worden gemaakt van een scan die is ontwikkeld door ThreadStone Cyber Security; de zogeheten ThreadScan. Alle leden van Techniek Nederland krijgen een uitnodiging om deze scan voor hun eigen bedrijf en hun eigen situatie te doen. ‘Ik kan niet genoeg benadrukken hoe belangrijk het is dat zoveel mogelijk Techniek Nederland-leden, maar ook leveranciers, aan dit onderzoek deelnemen. Wat Techniek Nederland betreft hoop ik op ruim meer dan de helft van onze leden, al zie ik nog liever dat elk lid meedoet.’

Alle leden van Techniek Nederland krijgen een uitnodiging voor de Threadscan

Haast voor installatiebedrijven

De scan zal niet alleen een nulmeting opleveren die aangeeft hoe goed of slecht de cyberweerbaarheid van de gehele installatiesector is. ‘Erg interessant is ook dat we op basis van de scan elk deelnemend bedrijf een resultaat geven van hun eigen specifieke situatie. Dat is natuurlijk zeer belangrijke informatie voor elk installatiebedrijf, omdat je aan de hand van die resultaten meteen ziet welke zaken binnen de eigen organisatie al goed geregeld zijn en waar nog verbeteringen mogelijk of nodig zijn.’
‘Daarbij speelt de komst van NIS2 natuurlijk ook. Steeds meer installatiebedrijven hebben de afgelopen maanden ontdekt dat zij onderdeel zijn van de kritieke infrastructuur van ons land en straks dus onder NIS2 vallen. Laten we daarom niet vergeten dat NIS2 al op 1 maart 2024 ingaat. Als de individuele scan aangeeft dat er verbeteringen nodig zijn, dan is er dus haast geboden.’