OT-security is Chefsache

Door Marlou Snelders, Belangenbehartiging Digitalisering en Cybersecurity

Tijdens het bestuurlijk OT-diner, georganiseerd door FME samen met de Cyber Security Raad, kwamen 20 topbestuurders uit overheid, toezicht en bedrijfsleven samen met cybersecurity-experts. We spraken over verantwoordelijkheid: hoe maken we ketenveiligheid een gedeelde opgave in plaats van een individueel probleem? En hoe kunnen we sturen op gedrags-en uiteindelijk cultuurverandering ten aanzien van cyberweerbaarheid.

De kern werd snel duidelijk: cyberweerbaarheid in OT is geen IT-vraagstuk of compliance-oefening, maar een bestuurlijke verantwoordelijkheid die draait om gedrag, samenwerking en ketenafspraken.

IT en OT zijn niet langer gescheiden werelden.

Lange tijd waren IT en OT gescheiden werelden. IT op kantoor, OT op de productievloer. Die scheiding bestaat niet meer. Machines zijn verbonden, data wordt realtime uitgelezen en leveranciers voeren op afstand onderhoud uit. Hierdoor is de keten langer en complexer geworden. Dat levert efficiëntie op, maar vergroot ook het aanvalsoppervlak en de afhankelijkheden.

Ingeborg Kortekaas (Vattenfall) maakte dat scherp zichtbaar: geopolitieke afhankelijkheden, langere levertijden en vendor lock-in door beperkte Europese alternatieven maken de keten complexer én kwetsbaarder. Een cyberincident bij één toeleverancier kan directe gevolgen hebben voor de continuïteit verderop in de keten. 

Wetgeving als vertrekpunt: effectiviteit boven compliance

NIS2 en de Cyber Resilience Act (CRA) zijn geen doel op zich, maar ze geven wel een belangrijke impuls. Ze zorgen voor externe motivatie en zijn een startpunt voor gedragsverandering. We hebben te veel gefocust op efficiëntie en te weinig op effectiviteit. Eindeloze vragenlijsten voor due-diligence bieden geen waarborgen. Meerdere audits in meerdere landen leiden tot duplicatie. Wat nodig is, zijn gedeelde standaarden, minder administratieve lasten, en samenwerking tussen toezichthouders.

De discussie leidde tot een concrete richting: veranker security en weerbaarheid in sectorpacten, bottom-up en vanuit de praktijk ontwikkeld. Toezicht kan daarop bouwen met vertrouwen. Niet als vinkjescultuur, als een gezamenlijk contract. Met ruimte voor handhaving én voor belonen van goed gedrag. Certificering onder de CSA2 biedt daarbij een kans om het huidige lappendeken van meervoudige audits en overlappende toetsingskaders terug te dringen via één Europees kader.

Het eigenaarschap: wie is er verantwoordelijk?

Een terugkerend thema in de tafeldiscussies was de vraag naar eigenaarschap binnen organisaties. Ligt OT-cyberweerbaarheid bij IT? Bij operations? Bij de CISO? Of zoals steeds meer bestuurders beseffen in de lijn, bij de mensen die dagelijks met die systemen werken?

Het antwoord dat de avond opleverde: cyberweerbaarheid moet onderdeel worden van operationele besluitvorming, niet een losstaand thema. Dat vraagt om drie dingen: autonomie (mensen moeten begrijpen waarom het ertoe doet), verbondenheid (het is een collectief belang, geen IT-probleem) en competentie (mensen moeten weten wat ze kunnen doen). 

Gedragsverandering: wat werkt en wat niet

Maarten Timmermans (Awareways) voegde een dimensie toe die vaak wordt onderschat: houding en gedrag. Technische maatregelen zijn noodzakelijk, maar niet voldoende. De menselijke factor is minstens zo bepalend.

Wat maakt het verschil op de werkvloer? Fysieke veiligheidsprocedures als inspiratiebron voor security awareness. Beloningssystemen die goed gedrag zichtbaar maken, in plaats van alleen te straffen bij fouten. Technische drempels verlagen door overbodige tools te verwijderen en zaken als wachtwoordmanagers standaard te maken. Zichtbaarheid creëren, letterlijk, via herkenbare campagnes en fysieke communicatiemiddelen zodat het onderwerp op de werkvloer leeft.

Tegelijkertijd werd gewaarschuwd voor doorslaan. Te veel druk kan leiden tot risicoaversie, verminderd vertrouwen in technologie of mensen die technologie juist gaan mijden. Doel is het omgekeerde: meer technische geletterdheid, meer durf, en een cultuur waarin experimenteren met veiligheid mogelijk is, in sandboxes, in oefeningen, in samenwerking.

Het mkb: de sleutel én de blinde vlek

Van alle thema's die de avond passeerden, was het mkb het meest urgent. Mkb-bedrijven zijn integraal onderdeel van de ketens die beschermd moeten worden maar ze hebben doorgaans beperktere middelen, minder capaciteit en minder toegang tot kennis. Grote bedrijven kunnen onderling krachten bundelen om het mkb mee te nemen. Branches als FME kunnen een verbindende rol spelen. En de overheid kan bijdragen met heldere, behapbare opgaven en gerichte ondersteuning.

Want bewustzijn alleen is niet genoeg. Het mkb heeft concrete handvatten nodig, geen abstracte kaders, maar uitvoerbare stappen die aansluiten op de schaal en realiteit van hun organisatie.

Van praten naar actie

De avond bevestigde dat het bewustzijn er is. Bestuurders begrijpen dat OT-security een boardroom-onderwerp is geworden. Maar de boodschap was ook helder: niet alleen praten, tijd voor actie. Samen oefenen. Investeren, ook als dat onzeker voelt. En niet bang zijn om risico te nemen want stilstand is het grootste risico van allemaal.

FME ondersteunt haar leden in die stap. Niet met abstracte adviezen, maar met praktische handvatten. Want ondernemers die OT-security op orde hebben, versterken niet alleen hun eigen positie maar de hele keten.

Lees hier ook de handreiking Cybersecurity voor bestuurders voor concrete handvatten om mee aan de slag te gaan en de juiste vragen te kunnen stellen.