FME: bestuurlijke aandacht cruciaal voor OT-security

De FME beschouwt bestuurlijke aandacht voor cybersecurity als cruciaal voor de veiligheid van operationele technologie (OT).

Samen met veertig bestuurders uit de overheid, het bedrijfsleven en de academische wereld nam Theo Henrar, voorzitter van de FME en covoorzitter van de Cyber Security Raad (CSR) - maandag deel aan het bestuurlijk diner ‘IACS & Cybersecurity’, schrijft hij in een blog. Deze avond draaide om één kernvraag: hoe vergroten we de cybersecurity en weerbaarheid van operationele technologie (OT)?

Een belangrijke conclusie die deze avond werd getrokken is dat operationele technologie een vaste plek verdient op de bestuursagenda. Het inzichtelijk maken en doorgronden van OT-systemen, inclusief de leveranciersketen, vormt de essentiële basis om ze effectief te beschermen tegen digitale dreigingen.

Inspiratie en dialoog

Auke Huistra (DNV Cyber) en Maarten Abbenhuis (TenneT) boden tijdens het diner concrete inzichten en praktische voorbeelden. Dit zorgde voor de nodige discussies aan tafel. Huistra ging uitgebreid in op dreigingen, risico’s en de te nemen maatregelen binnen OT-systemen. Abbenhuis belichtte hoe TenneT invulling geeft aan de digitale transitie en cybersecurity, met bijzondere aandacht voor het belang van analoge fallback-opties, een onderwerp dat vaak bestuurlijk te weinig aandacht krijgt.

Medewerkers actief betrekken

Naast het vergroten van bestuurlijke betrokkenheid, werd onderkend dat medewerkers actief in de besluitvorming betrokken moeten worden. Dit zorgt ervoor dat de uitvoering van cybersecuritybeleid daadwerkelijk aansluit op het strategisch beleid. Structureel testen van systemen, gecombineerd met het opleiden en trainen van personeel en regelmatig oefenen van uiteenlopende scenario’s – ook met ketenpartners – zijn onmisbare elementen om het herstelvermogen van organisaties te vergroten. Het gaat immers niet alleen om preventie, maar vooral ook om een snelle en effectieve reactie wanneer zich toch een incident voordoet.

Vijf strategische lessen

Uit deze avond haalde Henrar vijf strategische lessen:

1. Weet wat je hebt: Zorg voor helder inzicht in systemen, netwerken en koppelingen, zeker bij overnames en in complexe OT-landschappen met legacy-systemen. Breng je volledige landschap, inclusief leveranciersketens in kaart. Dit is de basis.
2. Betrek medewerkers actief: Stimuleer betrokkenheid van medewerkers en voer de juiste discussies op bestuursniveau. Alleen gezamenlijk kan de kloof tussen beleid en praktijk worden overbrugd. Awareness begint bij gedrag, maar veiligheid vraagt om een cultuurverandering waarin security en privacy net zo geïntegreerd zijn als safety.
3. Test continu: Maak testen en oefenen (in scenario’s) onderdeel van elke fase: van ontwerp tot onderhoud., en weet wat werkt. Continu OTO (opleiden, trainen, oefenen) is cruciaal om effectief te reageren en te herstellen.
4. Integreer security, privacy en safety: Doorbreek silo’s, omarm een holistische aanpak en zoek de samenwerking op. Zorg voor structurele kennisuitwisseling, leven lang leren en borging.
5. Zorg voor herstelvermogen: Incidenten zijn onvermijdelijk, maar schade is te beperken door goede voorbereiding. Richt je organisatie zo in dat je snel kunt reageren en herstellen. Zorg voor heldere rollen en onderling vertrouwen, zowel intern als in de keten.