Productiebedrijven vormen de basis van de wereldwijde economie. Meerdere productiesegmenten worden geclassificeerd als kritieke infrastructuur, omdat ze fundamenteel zijn voor andere sectoren. Een sterke maakindustrie is een algemene indicatie van de economische kracht van een land. Maar recente data toont dat productiebedrijven te maken hebben met een laag niveau van digitale volwassenheid. Bovendien worden ze geconfronteerd met een ongekend aantal cyberaanvallen, wat resulteert in operationele verstoringen en financiële verliezen, waardoor 1 op de 4 industriële organisaties vorig jaar moest sluiten. Wat maakt de maakindustrie uniek kwetsbaar en wat zijn de obstakels voor het opbouwen van cyberweerbaarheid in deze sector? Hieronder bespreken we een aantal van deze uitdagingen.
Een recent rapport van Palo Alto Networks, “The State of OT Security: A Comprehensive Guide to Trends, Risks, and Cyber Resilience”, onthult dat 1 op de 4 productiebedrijven vorig jaar zijn industriële activiteiten moest stopzetten, als gevolg van een cyberaanval. Volgens het rapport heeft meer dan 70% van de industriële productiebedrijven vorig jaar een cyberincident meegemaakt.
Recent onderzoek door The World Economic Forum onthult dat 1 op de 4 wereldwijde cyberaanvallen in de afgelopen drie jaar op de maakindustrie gericht was. Los van industriële productie gaat het dan ook om automotive, luchtvaart en defensie, hardware en elektronica, consumptiegoederen, de productie van transportmiddelen en vele andere branches.
In alleen al 2023 zagen productiebedrijven dat bij zo’n 25% van alle beveiligingsincidenten IT het grootste aanvalskanaal was. 72% van de aanvallen begon daar. Het overgrote deel van de aanvallen bestond uit malware, met name ransomware. Het recente 2024 Threat Intelligence Report van IBM X Force spreekt zelfs van een 266% toename in ‘infostealing’-malware, nu cybercriminelen steeds vaker naar innovatieve manieren zoeken om inloggegevens voor e-mail, sociale media en bankaccounts te stelen.
Voor meer informatie over deze trends en uitdagingen, lees The Cybersecurity Handbook for Mid-sized Manufacturers 2025.
Volgens het IBM Cost of a Data Breach Report 2024 kan de impact van een succesvolle aanval op een individueel productiebedrijf tot 4,52 miljoen euro oplopen. Als deze trend doorzet, wordt de wereldwijde impact tegen 2025 naar verwachting 9,8 biljoen euro.
Wat maakt productiebedrijven zo kwetsbaar voor cyberaanvallen?
Fabrikanten werken binnen complexe ecosystemen, die bestaan uit verschillende locaties, uitgestrekte toeleveringsketens, OT- en IT-systemen, evenals verschillende leveranciers, aannemers, verkopers en partners. Digitale transformatie en Industry 4.0 hebben nog meer complexiteit toegevoegd aan de sector. Toegenomen connectiviteit, de behoefte aan hoge databeschikbaarheid en de eis om te kunnen samenwerken tussen verschillende afdelingen, binnen de toeleveringsketen en tussen locaties, hebben fabrikanten aantrekkelijke doelwitten gemaakt voor cyberaanvallen die uitgevoerd worden door wereldwijde cybercriminelen.
De digitale transformatie vergroot de complexiteit van beveiligingsuitdagingen verder, door nieuwe aanvalsoppervlakken te creëren en de behoefte aan gespecialiseerde beveiligingsstrategieën te benadrukken.
Een verstoring ergens binnen deze complexe opzet kan een domino-effect veroorzaken dat de wereldeconomie beïnvloedt. De lage tolerantie van fabrikanten voor downtime en verstoringen in de toeleveringsketen maakt hen ook bijzonder geneigd om losgeld te betalen in geval van een ransomware-aanval.
Toch is cyberweerbaarheid voor veel productiebedrijven nog geen prioriteit. The World Economic Forum adviseert om cybersecurity te verwerken in de algemene bedrijfsstrategie en cyberweerbaarheid-by-design te stimuleren. Dit betekent dat cybersecurity in ieder aspect van een organisatie geïntegreerd wordt. Mensen, middelen en processen moeten allemaal op elkaar af worden gestemd.
Maar cybersecurity is niet beperkt tot interne, organisatorische verandering. Om echte cyberweerbaarheid op te bouwen, moeten fabrikanten investeren in het beheren van de complexe ecosystemen waarin ze actief zijn. Dit omvat onder meer bewustzijnsinitiatieven die strekken tot belangrijke stakeholders, het opbouwen van vertrouwde partnerschappen en een voortdurende inspanning om risico's van derden te beheren.
Unieke beveiligingsrisico’s en hun impact op de productie en operationele veiligheid
Cyberaanvallen op de maakindustrie kunnen verstrekkende gevolgen hebben, zoals het verlammen van productielijnen of het binnendringen in het controlesysteem van een fabriek via onveilige IoT-apparaten. Deze dreigingen benadrukken het belang van een robuuste IT-infrastructuur, die flexibel, schaalbaar en veilig is. Een doelgerichte cyberaanval kan de productie niet alleen stilleggen, maar ook de veiligheid van werknemers in gevaar brengen en tot significante financiële verliezen leiden. Daarom is het essentieel dat bedrijven in de maakindustrie proactieve maatregelen nemen om hun IT-systemen te beschermen en de operationele veiligheid te waarborgen.
Wat zijn de belangrijkste uitdagingen voor fabrikanten? Een recente whitepaper van de World Economic Forum ziet drie soorten beveiligingsuitdagingen voor bedrijven in de productiesector: technisch, organisatorisch en regelgevend.
Organisatorische uitdagingen zijn het voornaamste obstakel
Voor veel stakeholders is de kloof tussen enterprise- en industriële omgevingen de belangrijkste hindernis bij het opbouwen van cyberweerbaarheid. Bedrijven worden geconfronteerd met aanzienlijke uitdagingen bij het harmoniseren van hun cyberbeveiligingsstrategieën tussen verschillende afdelingen. Dit omvat het managen van verschillende denkwijzen binnen afdelingen en functies, evenals het bewustzijn van de uiteenlopende doelstellingen binnen individuele teams.
Verschillende prioriteiten binnen IT- en OT-teams
Informatietechnologie (IT) en operationele technologie (OT) zijn steeds meer samengevloeid binnen de maakindustrie, waardoor stakeholders vaak geconfronteerd worden met verschillende manieren waarop cybersecurity wordt aangepakt. De convergentie van IT en OT brengt unieke uitdagingen op het gebied van beveiliging met zich mee, wat de verschillen in volwassenheid wat betreft beveiliging tussen de twee benadrukt. Dit is niet alleen een kwestie van mentaliteit, maar hiaten in het begrijpen van prioriteiten vertalen zich ook in onvolledige strategieën, gebrek aan eenduidige governance en knelpunten in samenwerking tussen verschillende functies.
Daar bovenop komt het gebrek aan een formele IT/OT-consolidatiestrategie. Eens in de zoveel tijd betekent dit dat een robuuste en verenigde beveiligingsstrategie niet in de gehele organisatie geïmplementeerd kan worden. Discrete maatregelen worden niet ondersteund door een strategie en kennis over cybersecurity blijft vaak vastzitten in silo’s, wat de operationele efficiëntie en de mogelijkheid om te verdedigen tegen cyberaanvallen beperkt.
Onduidelijke verantwoordelijkheden en een gebrek aan interne kennis beperken het succes van beveiligingsstrategieën
Zelfs bij grote fabrikanten zijn de verantwoordelijkheden binnen IT-afdelingen mogelijk niet duidelijk. Eens in de zoveel tijd komen we een situatie tegen waarbij een IT-manager door verschillende soorten verantwoordelijkheden moet navigeren en is cybersecurity slechts één van vele gebieden waar geen echt eigenaarschap over bestaat. Best practices zoals functiescheiding worden vaak genegeerd doordat IT-professionals jongleren met een verscheidenheid aan taken.
Gebrek aan specifieke cybersecurity-expertise en interne kennis vormen een obstakel. Net als in veel andere sectoren heeft de maakindustrie moeite met het vinden en behouden van talent. De schaarste is extra groot vanwege de unieke technische expertise die in deze branche vereist is. Bedrijven vinden het moeilijk om talent te vinden met expertise in zowel productie als cybersecurity. Productieleiders spelen een cruciale rol in de aanpak van deze tekorten en het verbeteren van beveiligingsstrategieën, door strategische investeringen te doen en verouderde infrastructuren te vernieuwen.
Gebrek aan een uitgebreid, bedrijfsbrede beveiligingsbesturings-framework
Vanwege de complexe en meerlaagse structuur van productiebedrijven, is cyberbeveiligingsgovernance vaak gefragmenteerd. Bij velen worden beslissingen gemaakt op het niveau van de individuele locatie. Er is geen bedrijfsbreed beleid aanwezig dat tijdens een cyberaanval of ander groot IT-beveiligingsincident gevolgd kan worden.
Daarnaast worden beveiligingsbewustwordingsprogramma’s mogelijk niet in het gehele bedrijf gesteund, maar blijven dit slechts lokale initiateven. Om effectief te zijn, moet bewustwordingstraining op alle operationele locaties worden aangeboden en beschikbaar zijn voor alle bedrijfsfuncties.
Uiteindelijk moeten cyberbeveiligingsmaatregelen met dezelfde urgentie worden aangepakt als vraagstukken rond de veiligheid van medewerkers, werkplek en apparatuur. Het veilig houden van bedrijfsinformatie en waakzaam blijven zou niet anders moeten zijn dan het dragen van beschermende kleding of het uitschakelen van uitzendapparatuur in gevoelige gebieden.
Cybersecurity-maatregelen moeten op vergelijkbare wijze behandeld worden als bestaande veiligheidsmaatregelen voor werknemers en door het gehele bedrijf gesteund worden, zonder uitzonderingen.
Technische uitdagingen: toegenomen connectiviteit in Industry 4.0-contexten, heterogene apparaten en legacy-systemen
Volledig inzicht in alle bedrijfsmiddelen plus een verenigd framework voor het beheer en de controle van IT-systemen en operationele technologie (OT) zijn de belangrijkste vereisten voor een robuuste beveiligingsstrategie. De industrie heeft te maken met unieke technische uitdagingen in beveiliging, als gevolg van toegenomen connectiviteit en legacy-systemen. Dit is waar productiebedrijven mee worstelen. Ondanks de opkomst van digitaliseringsinitiatieven, vertaalt de verhoogde connectiviteit niet per se naar verbeterde beveiligingsmaatregelen.
Hoge zichtbaarheid en connectiviteit van apparaten geïntroduceerd door geavanceerde technologieën
Voor veel bedrijven bestaat legacy-apparatuur naast diverse andere verbonden middelen. De toegenomen samensmelting van IT en OT, gedreven door Industry 4.0-technologieën, heeft omgevingen gemaakt die direct inzicht in alle activa mogelijk maakt – van de machines op de werkvloer tot geavanceerde machinelearning-algoritmes in de cloud. Maar deze omgevingen blijven vaak kwetsbaar voor cybercriminelen.
Nieuwe technologieën komen met onverwachte complexiteiten en introduceren onbekende risico’s. De toegenomen adoptie van industriële Internet of Things- (IIoT-)producten met de mogelijkheid om in de cloud ontwikkelde ML-algoritmes direct uit te rollen op edge-apparaten, biedt unieke kansen voor fabrikanten - zowel op het gebied van verhoogde operationele efficiëntie als snellere inzichtgeneratie. Maar ze zorgen ook voor grotere aanvalsoppervlakken en introduceren nieuwe aanvalsvectoren.
Verouderde industriële controlesystemen
Nog alarmerender zijn de legacy industriële controlesystemen en OT met slechts gedeeltelijke zichtbaarheid, beperkte ondersteuning en zonder robuust toegangsbheer. Door de hoge vervangingskosten worden veel van deze systemen nog altijd gebruikt. Maar ze kunnen zich niet aanpassen naar de huidige cybersecurity-standaarden. Legacy-systemen vormen daarom een kwetsbaarheid. MES-oplossingen kunnen hier helpen door de veiligheid van deze verouderde industriële controlesystemen te verbeteren.
Toegenomen afhankelijkheid van opensource-technologie en software van derde partijen
Veel productieprocessen en sleutelapplicaties omvatten het gebruik van software van derde partijen, die als missie heeft om de operationele efficiëntie en kwaliteitsstandaarden te verhogen. Zulke softwareproducten beloven meer interoperabiliteit tussen systemen en middelen. Ze leveren kritieke mogelijkheden die fabrikanten helpen om hun concurrerend vermogen te verhogen. Maar deze hoge connectiviteit zorgt opnieuw voor extra waakzaamheid en gerichte inspanning om de beveiligingshouding te verbeteren.
Complexe beleidsuitdagingen binnen de EU
Productiebedrijven zijn onderhevig aan meerdere regels en industriestandaarden over databescherming en beveiliging. Regelgevende uitdagingen vereisen uitgebreide IT-beveiligingsstrategieën voor productiebedrijven. Een gedecentraliseerde organisatorische setup en sterk gefragmenteerde, regionale wettelijke vereisten maken het voor fabrikanten moeilijk om een verenigde strategie te behouden.
De Cyber Resilience Act (CRA)
Op EU-niveau introduceren opkomende complexe wetten als de Cyber Resilience Act (CRA) vereiste beveiligingsmaatregelen voor bedrijven die hardware- of softwareproducten maken met een digitaal component. De CRA is op 10 december 2024 van kracht geworden en omvat de gehele levenscyclus van dit soort producten. Producten die aan de CRA voldoen, zijn voorzien van het CE-keurmerk.
Met de CRA wil de EU de ontoereikende cybersecurityniveaus in producten en het gebrek aan consistente beveiligingsupdates voor software aanpakken. Het doel is om gemakkelijker te kunnen identificeren welke hardware- en softwareproducten beveiligingsfuncties bevatten. Voor fabrikanten zijn deze beveiligingsmaatregelen verplicht. De maatregelen hebben impact op productplanning, -ontwerp, -ontwikkeling en -onderhoud. Bepaalde producten met kritieke relevante ondergaan een extra beoordeling door een derde partij, voor ze de Europese markt op mogen.
De CRA is gebaseerd op de Europese Cyberbeveiligingsstrategie (2020) en de EU-strategie voor de veiligheidsunie. Ze vullen de NIS2-richtlijn aan. Productiebedrijven die onder de CRA vallen hebben tot 11 december 2027 om aan de eisen te voldoen.
De vernieuwde Network and Information Security (NIS2)-richtlijn
De NIS2 en CER classificeren bepaalde maakindustrieën als ‘essentiële entiteiten’. Deze fabrikanten moeten een gerichte aanpak adopteren om hun beveiligingshouding te beheren, om zo de risico’s en impact van incidenten te beperken voor de ontvangers van hun diensten.
De NIS2-richtlijn is de Europese wetgeving voor cybersecurity en heeft als doel om een hoog niveau van beveiligingsstandaarden te bereiken binnen de EU. De NIS2-richtlijn is in 2023 van kracht geworden, om het bestaande beveiligingsframework te moderniseren, gezien het constant veranderende dreigingslandschap en het hoge niveau van digitalisering binnen de lidstaten.
Om een hoger niveau van cyberweerbaarheid en verbeterde incident response-mogelijkheden te garanderen, breidt de NIS2 uit naar nieuwe sectoren en entiteiten. Het doel is om een beveiligingscultuur neer te zetten in sectoren die vitaal zijn voor de economie. Bedrijven die geïdentificeerd zijn als ‘essentieel’ of ‘belangrijk’ (zoals de maakindustrie) moeten verplicht voldoen aan de NIS2. Deze bedrijven moeten een specifieke set maatregelen nemen en moeten voldoen aan een meldingsplicht.
Lees voor meer informatie ons artikel ‘NIS2: Hoe de nieuwe EU cyberwet jouw bedrijf beschermt’ en bezoek ons NIS2 Resource Centre.
De Critical Entities Resilience (CER)-richtlijn
De Critical Entities Resilience Directive is op 16 januari 2023 van kracht geworden. De CER-richtlijn omvat elf sectoren en definieert kritieke entiteiten die essentiële, maatschappelijke diensten leveren om de economie te ondersteunen, het milieu te beschermen en de volksgezondheid en veiligheid te waarborgen. Voor deze kritieke entiteiten heeft de Europese Commissie een onvolledige lijst van essentiële diensten opgesteld, die cruciaal zijn voor het behoud van een functionerende maatschappij, in de brede zin van het woord. Deze kritieke entiteiten zijn onderhevig aan verhoogde beveiligingseisen.
Van deze is hier de "Productie, verwerking en distributie van voedingssector" relevant, waaronder fabrikanten vallen die gespecialiseerd zijn in grootschalige industriële voedselproductie en -verwerking, diensten in de voedseltoeleveringsketen en groothandels-distributiediensten voor voedsel
Waarom cyberweerbaarheid belangrijk is voor het behoud van operationele beveiliging en bedrijfscontinuïteit
In een industrie waar downtime kan resulteren in financiële verliezen en verstoringen in de toeleveringsketen, is de mogelijkheid om snel te herstellen van cyberincidenten essentieel. Cyberweerbaarheid omvat meer dan alleen het implementeren van beveiligingsmaatregelen. Het vereist een holistische aanpak die bestaat uit risicomanagement, incident response-planning en continue verbetering. Door cyberweerbaarheid onderdeel te maken van de algemene strategie kunnen fabrikanten zich verzekeren dat ze beter voorbereid zijn om cyberdreigingen af te handen en om hun impact te minimaliseren. Deze proactieve aanpak beschermt niet alleen de activa en operaties van het bedrijf, maar het versterkt ook het concurrentievermogen in een verbonden wereld.
Strategieën om cybersecurity te verbeteren
Om de cyberweerbaarheid te verbeteren, worden fabrikanten aangemoedigd om een meervoudige aanpak te adopteren, die bestaat uit technologie, processen en mensen. Beveiligingsbewustzijnsprogramma’s moeten op alle niveaus geïmplementeerd worden, om ervoor te zorgen dat iedereen het belang van beveiliging en hun rol om deze te onderhouden begrijpt. Regelmatige trainingssessies kunnen werknemers helpen om phishing-pogingen te begrijpen, de risico’s van onbeveiligde netwerken te begrijpen en best practices voor wachtwoordbeheer te volgen.
Naast de algemene bewustzijnstraining moet er gespecialiseerde training aangeboden worden voor IT- en OT-teams, om de unieke uitdagingen rondom de beveiliging van industriële omgevingen aan te pakken. Het gaat dan onder meer om training over de meest recente cybersecurity-technologieën, methodes om dreigingen te detecteren en incident response-procedures. Door te investeren in het opleiden van werknemers kunnen productiebedrijven een beveiligingscultuur creëren die het risico op cyberaanvallen significant verminderd.
Andere strategieën omvatten de implementatie van robuuste endpoint-beveiliging, het regelmatig uitvoeren van beveiligingsbeoordelingen en het opzetten van sterke samenwerkingen met vertrouwde beveiligingsaanbieders. Door een proactieve en uitgebreide aanpak te nemen voor cybersecurity kunnen fabrikanten hun operaties effectief beschermen en hun data beveiligen.
Conclusie en vooruitblik
Van ransomware tot kwetsbaarheden in legacy-systemen en complexiteiten in de toeleveringsketen, de risico’s voor productiebedrijven zijn groot. Om weerbaarheid op te bouwen, worden bedrijven in de sector geadviseerd om een systematische aanpak te adopteren en zich te focussen op praktische, uitvoerbare stappen. Dit omvat het creëren van kaders voor cyberbeveiligingsgovernance, het verbeteren van de samenwerking tussen IT- en OT-afdelingen en zorgen dat medewerkers training krijgen op het gebied van cyberbewustzijn.
Leiders in de productiesector spelen een cruciale rol bij het doorvoeren van cyberbeveiligingsverbeteringen en het waarborgen van naleving van regelgeving. Ze moeten strategische investeringen doen om verouderde infrastructuren te updaten en hogere beveiligingsstandaarden implementeren om de toenemende risico's van digitale technologieën te beperken.
In 2025 wordt de naleving van regelgeving zoals de Cyber Resilience Act en NIS2 steeds relevanter. Deze wetten stellen duidelijke eisen aan cyberbeveiligingspraktijken, waardoor het voor fabrikanten essentieel is om deze standaarden vroegtijdig in hun bedrijfsvoering te integreren.
Investeren in robuuste endpointbeveiliging en incident response-capaciteiten kan een extra verdedigingslaag bieden. Het beheren van risico's van derden en het aangaan van partnerschappen met betrouwbare cyberbeveiligingsaanbieders zijn belangrijke stappen om blootstelling te verminderen.
Neem contact met ons op om te ontdekken hoe we je kunnen helpen je beveiligingspositie te verbeteren.
