december 2025, OTAR
Veel infrastructuur in ons land is verouderd. De komende jaren ligt er een enorme renovatieopgave. Dat geldt ook voor de technische systemen. OT-systemen kunnen 15 tot 20 jaar oud zijn en werden niet ontworpen en bedacht, laat staan ingericht met het oog op cybersecurity, zegt OT-cybersecurity consultant Jos van Veluw. “Door de langlopende contracten is er nog veel van dit soort legacy. De laatste jaren is er absoluut een inhaalslag gemaakt. Rijkswaterstaat is bijvoorbeeld scherp op de cyberweerbaarheid van zijn OT en heeft daarin geïnvesteerd. Toch vergt de cybersecurity van OT-systemen continu aandacht. Het aantal cyberveiligheidsincidenten op de OT is de laatste jaren explosief toegenomen. Vaak ontstaan incidenten doordat de OT is gekoppeld aan de IT, de kantoorautomatisering. Ook verschijnt er steeds meer OT-specifieke malware. Tot nu toe zijn er in Nederland nog geen calamiteiten geweest, maar 24/7 geldt: alle hens aan dek.”
Infrastructuurbeheerders willen de digitale beveiliging van hun kritische objecten naar het hoogste weerbaarheidsniveau brengen, en terecht.
Annemarie Rutgers, Manager Commercie & Tendering
Croonwolter&dros is nauw betrokken bij de beveiliging van een groot aantal kritische objecten in ons land, zoals de Maeslantkering, de Hartelkering en de Krammersluizen. Medewerkers van de technisch dienstverlener zitten soms zelfs in het storingsteam van de beheerders van deze cruciale infrastructuurwerken, die in tijden van nood hun werk moeten blijven doen om ons land veilig te houden. “Cybersecurity is een essentieel onderdeel van aanbestedingen”, vertelt Annemarie Rutgers. Als manager Commercie & Tendering begeleidt zij de aanbestedingen bij Rijkswaterstaat, provincies, gemeenten en waterschappen. “Aan de markt worden steeds strengere eisen gesteld. Infrastructuurbeheerders willen de digitale beveiliging van hun kritische objecten naar het hoogste weerbaarheidsniveau brengen, en terecht. Daar is geen discussie over. Aanbieders moeten daar eenvoudigweg aan voldoen. In contracten wordt steeds nadrukkelijker gevraagd hoe wij dat niveau denken te gaan bereiken en hoe we daar de organisatie van de opdrachtgever in meenemen.” Op dit moment gaat zo’n 70 procent van de eisen daarover, slechts 30 procent is technisch van aard. Cybersecurity gaat vooral om governance, risicomanagement en bewustwording.
Awareness
Reden voor Croonwolter&dros om dit vraagstuk breed aan te vliegen, niet alleen met technische specialisten maar ook met deskundige medewerkers op andere disciplines. “Een puur technische oplossing volstaat niet. In 9 van de 10 gevallen”, zegt Van Veluw, “moeten we het vraagstuk van cybersecurity organisatorisch oplossen. Daar zit de sleutel om het geëiste weerbaarheidsniveau te halen. Het grote gevaar zit niet in de computer, maar vooral ook erachter. Uit wetenschappelijk onderzoek is gebleken dat de mens de zwakste schakel is. Die kan bewust of onbewust bijvoorbeeld een geïnfecteerd device aan een OT-systeem koppelen, waarop het systeem uitvalt. We zien dat de focus op de organisatie moet liggen. Dat begint met kennisoverdracht, veel oefenen en medewerkers leren om iets afwijkends te detecteren. Het gaat om awareness, het veranderen van houding en gedrag, wat niet eenvoudig is. Op elk infrastructuurproject brengen we een introductieprogramma waar cybersecurity deel van uitmaakt. Ook hebben we e-learnings ontwikkeld. We zetten een heel arsenaal van middelen in.”
Uit wetenschappelijk onderzoek is gebleken dat de mens de zwakste schakel is.
Jos van Veluw, OT-cybersecurtiy consultant
Risicomanagement
“Cybersecurity is ook een vraagstuk van risicomanagement”, vertelt Rutgers. “De eisen die een opdrachtgever stelt rond een object staan niet altijd in verhouding tot de risico’s die eraan zijn verbonden. Niet bij elk object zijn de risico’s en de impact van een inbreuk op de cyberveiligheid even groot. Het is goed om het principe van ‘better safe than sorry’ te hanteren, maar het nadeel ervan is dat je de reële risico’s uit het oog verliest en mogelijk maatregelen neemt die je niet nodig hebt, wat prijsopdrijvend werkt Het is goed om daar met de opdrachtgever het gesprek over te voeren. Ook dat heeft alles met bewustzijn te maken. Op die manier neem je de opdrachtgever mee en kom je samen tot de conclusie: dit en dit zijn de risico’s en zo pakken we ze aan. Daarom zijn we voorstander van een ‘doorgrondingsfase’ of twee-fasencontract, waarin we samen met de opdrachtgever de risicoanalyse voor cyberveiligheid kunnen doen. Dan komen we tot gemotiveerde keuzes en krijgt de opdrachtgever de oplossing die hij nodig heeft om zijn digitale beveiliging op orde te krijgen.”
Cybersecurity: geen luxe maar basisvoorwaarde
Als expert in technische installaties en slimme systemen draagt Croonwolter&dros bij aan de wereld van nu en van morgen met drie specialistische labels: GBBS (high end security), TAI (Technische Automatisering en Informatisering) en CS2 (OT-cybersecurity). Dit laatste onderdeel herbergt consultants en specialisten met jarenlange ervaring op het gebied van organisatiekunde, bewustwording (‘awareness’) en techniek van cybersecurity. CS2 helpt bedrijven onder meer met vulnerabilityscans, impactanalyses en awareness-trainingen. Ook biedt CS2 ondersteuning bij de wetgeving en richtlijnen op het gebied van cyberveiligheid waar infrastructurele werken aan moeten voldoen. Een ingrijpende Europese verordening is bijvoorbeeld de Cyber Resilience Act. Alle hard- en software die niet aan eisen voldoet, mag vanaf 11 december 2027 niet langer in de EU worden verkocht. Dat heeft al consequenties voor lopende infraprojecten. Eveneens gaat de Machineverordening in 2027 in, die een cybersecurity-paragraaf bevat met bepalingen die ook gelden voor bruggen en sluizen.
Annemarie Rutgers
Manager Commercie & Tendering
Jos van Veluw
OT-cybersecurity consultant
