FreelancePM
← Terug naar blog
project-managementmanufacturingdigital

IACS Cybersecurity: waarom industriële OT-systemen een eigen aanpak vergen

19 mei 2026 · FreelancePM · 4 min leestijd
IACS Cybersecurity: waarom industriële OT-systemen een eigen aanpak vergen

IACS cybersecurity is geen niche-thema meer voor plant engineers — het is een onderwerp voor de directiekamer van elke industriële organisatie in Vlaanderen. Industrial Automation and Control Systems (IACS) draaien productielijnen, waterzuivering, energiedistributie en batchcontrole in farma. Als ze uitvallen, stopt de productie, komt de toezichthouder aankloppen en is een veiligheidsincident niet ver weg.

Toch behandelen veel organisaties hun operationele technologie (OT) nog steeds als "een ander stukje IT". Dat is een fout. Hieronder leggen we uit waarom industriële cybersecurity een eigen aanpak vereist, hoe het IEC 62443 framework die aanpak structureert, en hoe een pragmatische implementatie er uitziet voor een Vlaamse industriële KMO.

Waarom IACS fundamenteel anders is dan IT-security

Klassieke IT-security optimaliseert voor de CIA-driehoek: Confidentiality, Integrity, Availability — in die volgorde. In een industriële omgeving keert die volgorde om. Beschikbaarheid en veiligheid komen eerst; een PLC die midden in een batch herstart kan een miljoen euro product vernietigen of een operator verwonden.

Ook de techniekstack is anders. Je werkt met:

  • SCADA-systemen van tien jaar oud op Windows-versies die geen support meer krijgen
  • PLC's van Siemens, Rockwell of Schneider die je niet zomaar op een dinsdagnacht patcht
  • Seriële bussen, Modbus, Profinet — protocollen zonder ingebouwde authenticatie
  • Leveranciers die de garantie schrappen zodra je een EDR-agent installeert

Dit is de wereld van ICS security, en de norm is IEC 62443 — niet ISO 27001 alleen.

Het IEC 62443 framework in mensentaal

IEC 62443 is een meerdelige norm van IEC en ISA. Hij verdeelt de verantwoordelijkheden over drie rollen:

  • Asset owners — de plant operator die de productie draait
  • System integrators — wie het controlesysteem ontwerpt en in dienst neemt
  • Product suppliers — de OEM's die PLC's, HMI's en engineering software bouwen

Voor projectmanagers is IEC 62443-3-3 het meest bruikbare deel. Het definieert zeven Foundational Requirements (FR) en het concept van Security Levels (SL). SL's lopen van SL1 (bescherming tegen toevallige overtreding) tot SL4 (bescherming tegen gerichte aanvallen met zware middelen). De meeste Vlaamse productiesites mikken realistisch op SL2.

Security zones en conduits: het kern-ontwerppatroon

Het belangrijkste concept in iacs cybersecurity is zones en conduits. Je segmenteert de plant in logische zones — elke zone groepeert assets met dezelfde security-eisen — en je definieert conduits als de enige toegestane communicatiepaden tussen die zones.

Een typische Purdue-model segmentering ziet er zo uit:

  • Niveau 0–1 — fysiek proces, sensoren, actuatoren, PLC's
  • Niveau 2 — lokale SCADA / HMI
  • Niveau 3 — site-operations, historians, batch servers
  • Niveau 3.5 — industriële DMZ, de enige brug naar enterprise IT
  • Niveau 4–5 — enterprise IT en cloud

Elke conduit tussen die zones krijgt een eigen risk assessment, firewallregels, monitoring en review-cyclus. Goed uitgevoerd elimineert deze ene ontwerpkeuze 70 tot 80% van de realistische aanvalspaden.

Hulp nodig bij het ontwerp van je zones en conduits?

RGI bv begeleidt Vlaamse industriële KMO’s bij IEC 62443-implementaties en IACS security-assessments — pragmatisch, vendor-neutraal, zonder jargon.

Plan een vrijblijvend gesprek met RGI →

Top 5 risico’s voor productie-omgevingen

1. Legacy SCADA en niet-ondersteunde Windows

Windows XP, Windows 7, Server 2008 draaien nog steeds kritieke HMI’s in Vlaanderen. Patchen is vaak onmogelijk zonder hercertificatie door de leverancier. Compensating controls (netwerkisolatie, application allow-listing, virtual patching) zijn dan geen optie maar verplichting.

2. IT/OT-convergentie verkeerd uitgevoerd

Vlakke netwerken waar de kantoor-laptops de PLC’s kunnen pingen zijn nog steeds eerder regel dan uitzondering. Eén phishing-klik bij finance wordt zo een productiestilstand. Net daarom zijn segmentatie en een industriële DMZ de eerste technische winsten van elk IEC 62443-programma.

3. Ransomware tot in de PLC-laag

Moderne ransomware-bendes zoeken expliciet engineering-workstations en SCADA-servers. Ze weten dat plant-downtime sneller wordt betaald dan een versleutelde finance share. Offline backups van engineering-projecten, recepten en PLC-programma’s zijn niet meer onderhandelbaar.

4. Supply-chain risico via integratoren en leveranciers

De remote-maintenance VPN die je paneelbouwer in 2014 opzette is nog actief. De USB-stick van je service-technieker hangt ook in twaalf andere plants. OT security moet zich uitstrekken tot elk contract en elk remote-access pad.

5. NIS2 voor essentiële en belangrijke entiteiten

België heeft NIS2 omgezet via het CCB. Manufacturing, voeding, chemie, farma, energie en water vallen expliciet in scope. Bestuurders dragen nu persoonlijke aansprakelijkheid voor cyberrisicobeheer. IEC 62443 is het de facto controle-framework waar auditoren naar kijken.

Waarom een IACS-implementatie geen "gewoon ISMS" is

Als je al eens een ISO 27001-traject leidde, ken je 60% van wat nodig is. De overige 40% maakt industriële cybersecurity moeilijk:

  • Productiestilstand-risico. Elke wijziging raakt OEE. Een firewallregel op het verkeerde moment kan een verpakkingslijn stilleggen. Change windows worden in weken onderhandeld, niet in dagen.
  • Vendor-coördinatie. Siemens, Rockwell, Schneider, ABB — elke OEM heeft zijn eigen hardening guide, patch-policy en garantievoorwaarden. Implementaties zijn per definitie multi-vendor.
  • Veiligheidsinterlocks. Security-maatregelen mogen nooit de functionele veiligheid (SIL-classificaties, ATEX-zones) in gevaar brengen. Gezamenlijke risk assessments met HSE zijn verplicht.
  • Operator-acceptatie. Als je tweefactor-authenticatie 30 seconden toevoegt aan een ploegoverdracht, gaan operators badges delen. Bruikbaarheid is een security-controle.

Praktische stappen voor een Vlaamse industriële KMO

  1. Asset-inventaris. Je kan niet beschermen wat je niet in kaart hebt. Passive discovery (Claroty, Nozomi, Armis) is te verkiezen boven actieve scans die legacy-toestellen kunnen crashen.
  2. Risico-gebaseerde zoning. Workshop met productie en engineering om het Purdue-model op de echte plant te tekenen.
  3. Conduit-hardening. Industriële DMZ, deny-by-default firewallregels, jump servers voor externe leveranciers.
  4. Monitoring. Een OT-bewuste sensor die Modbus en S7 begrijpt — geen generieke IT-SIEM.
  5. Backup en recovery. Geteste restore van PLC-programma’s en SCADA-images — minimaal jaarlijks.
  6. Governance. Beleid documenteren, operators trainen, tabletop-oefeningen draaien met de productiemanager, niet enkel het IT-team.
  7. NIS2-rapportering. Definieer het 24u / 72u / 1-maand CCB-meldingspad vóór je het nodig hebt.

Niets hiervan is exotische technologie. Het is projectmanagement-discipline toegepast op een omgeving waar de kost van een fout in paletten en mensen wordt gemeten, niet in spreadsheets.

Klaar voor je IEC 62443-traject?

RGI bv begeleidt Vlaamse industriële KMO’s bij IEC 62443-implementatie en IACS security-assessments. Pragmatisch, hands-on, geen marketing-praat.

Plan een vrijblijvend gesprek →

FreelancePM levert ervaren projectmanagement voor IEC 62443-, NIS2- en ISO 27001-trajecten in heel België.

Gerelateerde artikels

19 mei 2026

OT Security Consultant: waarom industriële organisaties én een specialist én een project manager nodig hebben

15 mei 2025

Waarom een projectmanager IEC 62443 moet kennen

15 mei 2025

Waarom een projectmanager ISO 42001 moet overwegen

Weet waar je staat. Plan een gesprek.

Een gesprek van 30 minuten. Geen verplichting. We zeggen je eerlijk of we kunnen helpen.

Plan een vrijblijvend gesprek