De stille vergeten laag onder NIS2 – en waarom organisaties sneller moeten gaan handelen dan ze denken.
Het begon met een op het eerste zicht onschuldige vraag in de bestuurskamer: “Kunnen we IT niet gewoon laten zorgen voor de NIS2-certificatie?” Wat volgde, was een stilte die langer duurde dan iemand lief was—tot de haastig aangestelde compliance-verantwoordelijke het zei zoals het was: “NIS2 is méér dan een IT-verhaal.”
Die ene zin echode door het hele bedrijf. Want sinds de invoering van de NIS2-richtlijn schuiven organisaties massaal richting compliance alsof het een louter administratieve oefening betreft. Policies worden herschreven, risicoanalyses geüpdatet en plots moet cybersecurity prominent op de managementagenda staan.
Maar onder die zichtbare laag ligt een realiteit die systematisch wordt vergeten:
Operational Technology (OT)—de motor achter productie, logistiek, machines en kritieke processen—wordt nog al te vaak gezien als “IT-light”, een technische voetnoot die vanzelf wel volgt.
Dat zou wel eens een heel dure vergissing kunnen worden.
NIS2 vereist aantoonbare maatregelen voor continuïteit, systeembeveiliging, incidentrespons, supply chain-beheersing en risicomanagement. Maar OT-systemen werken totaal anders dan traditionele IT. Waar IT draait om data, draait OT om fysieke processen: productie, energie, machineaansturing, veiligheid, kwaliteit.
En precies daarom geldt één harde waarheid:
NIS2-compliance zonder OT-focus is per definitie onvolledig en dus een buis voor de certificatie.
OT is geen IT: een cruciaal inzicht voor NIS2-beleid
De essentie van OT-security is eenvoudig, één kleine fout in OT kan leiden tot een grote fysieke impact.
Een verkeerde routine in een PLC.
Een gemanipuleerde HMI.
Een firewallregel die per ongeluk productie lamlegt.
Een leverancier die te brede rechten heeft.
Waar IT-fouten meestal digitaal blijven, raken OT-fouten mensen, machines, productie en veiligheid.
IT volgt het CIA-model (confidentiality, integrity, availability). OT draait dit model om: availability, integrity, confidentiality – omdat stilstand onmiddellijk kost én risico betekent.
ISO 27001 helpt organisaties de governance op te bouwen.
ISO 62443 duikt diep in zones, conduits, security levels, PLC-security, SCADA-architecturen en industriële risico’s.
Graag een context schetsing van de mogelijke gevolgen?
De farmaceutische producent waar één fout in een PLC een hele partij vernietigde
In een farmaceutische fabriek werd tijdens onderhoud een kleine wijziging doorgevoerd in de ladderlogica van een PLC.
Er was geen changeprocedure, geen peer review en geen logging.
De wijziging zorgde ervoor dat één parameter met een factor 10 verkeerd werd geïnterpreteerd.
De machines draaiden gewoon verder.
De kwaliteitsafdeling merkte dagen later dat een volledige productiebatch onbruikbaar was.
1,4 miljoen euro vernietigd.
En toen de fabrikant het incident moest melden, bleek dat er geen bewijs was wat er precies gewijzigd was of wanneer.
Wanneer de media lucht kregen van het incident, werd het bedrijf neergezet als “technologisch incompetent” — zonder dat er sprake was van cybercriminaliteit.
En precies hier wordt duidelijk:
NIS2 eist één geïntegreerde aanpak waar IT en OT geen eilanden meer mogen zijn.
De valkuilen die OT-omgevingen massaal onderuit halen
NIS2 legt het haarfijn bloot, auditors waarschuwen er al jaren voor en incidenten in de industrie bevestigen het telkens opnieuw: veel organisaties lopen rond met dezelfde structurele kwetsbaarheden in hun OT-omgeving, alsof ze in een parallel universum bestaan waar de tijd stilstaat en cyberrisico’s enkel een IT-probleem zijn.
Het begint vaak bij het meest fundamentele: men weet gewoon niet wat er allemaal draait. Een onvolledige OT-assetinventaris zorgt ervoor dat een bedrijf zijn eigen terrein niet kent. Je kunt niet beschermen wat je niet ziet. En in die blinde vlekken schuilen de grootste risico’s.
Daarbovenop hangt de schijnbaar onschuldige gewoonte om IT en OT met elkaar te verbinden zonder nadenken. Een platte koppeling, zonder DMZ, zonder filtering — een digitale snelweg van kantoor naar fabriek. Het is de reden waarom ransomware zo moeiteloos machines bereikt. Wanneer één laptop besmet raakt, wordt plots een hele productielijn gegijzeld.
Dan is er de achterdeur die iedereen vergeet: remote access. Leveranciers, technici, integrators — ze komen binnen, doen wat ze moeten doen… en vaak blijft hun toegang openstaan, zonder logging, zonder controle. In veel bedrijven is dat geen uitzondering, maar standaardpraktijk.
Wie vervolgens in de PLC-logic of SCADA-configuratie aanpassingen maakt “omdat het even nodig was”, doet dat vaak zonder documentatie, zonder review, zonder veiligheidstoetsing. De installatie blijft draaien, maar de traceerbaarheid is weg. Niemand weet nog wat werd gewijzigd, wanneer, of door wie.
En dan zijn er de beruchte legacy-systemen. Machines die al vijftien jaar loyaal draaien, maar nooit gepatcht kunnen worden omdat stilstand geen optie is. Het gevolg? Niet patchbaar wordt gelijkgesteld aan “we zien wel”. Niemand durft eraan te komen, en dus blijft een kwetsbaarheid jaren openstaan.
Voor monitoring is het niet anders: wat niet logt, bestaat niet. Veel OT-systemen produceren amper bruikbare logs, en wanneer ze dat wel doen, worden ze zelden geanalyseerd. Incidenten gebeuren in stilte en blijven soms maanden onopgemerkt. Cyberaanvallers houden van stilte — en OT geeft het ze vaak gratis.
Ook fysieke toegang wordt onderschat. Een openstaande schakelkast of onbeveiligde panelruimte lijkt onschuldig, maar geeft rechtstreeks toegang tot de ruggengraat van een productieproces. Eén persoon met slechte intenties — of gewoon een onoplettende technicus — kan met enkele klikken een complete lijn ontregelen.
Daarbovenop komt de afhankelijkheid van leveranciers. Machinebouwers en integrators leveren geweldige technologie, maar zelden cybersecurity. Contracten bevatten geen securityvoorwaarden, credentials worden hergebruikt, updates worden niet opgevolgd. NIS2 maakt hier nu wél harde eisen van, maar veel organisaties staan nog aan het begin van die bewustwording.
En wanneer een incident dan toch toeslaat, blijkt er vaak geen OT-specifiek incidentresponsplan te bestaan. Een ransomware-aanval op een HMI verloopt totaal anders dan op een kantoorlaptop — maar veel bedrijven proberen het hetzelfde te behandelen. Dat is alsof je een brand in de keuken probeert te blussen met het evacuatieplan van de parking.
Tot slot is er het gebrek aan herstelprocedures. Veel organisaties beseffen pas na een incident dat niemand precies weet hoe een PLC moet worden hersteld, hoe een productielijn opnieuw moet worden opgestart of wie daarover mag beslissen. Die onzekerheid doet meer schade dan de aanval zelf.
En zo vormen al deze zwaktes samen een perfect storm. Elke valkuil verergert de volgende, tot het moment waarop één kleine storing de hele fabriek stillegt. Pas dán ziet men de samenhang — vaak te laat.
“In OT is het nooit de eerste fout die de fabriek stillegt, maar de tien kleine fouten die niemand belangrijk genoeg vond.”
OT en IT moeten samen bewegen – gedwongen door NIS2
NIS2 brengt iets dat de industrie nog niet eerder meegemaakt heeft:
juridische verantwoordelijkheid op directieniveau voor cyberincidenten.
Dat maakt OT-beveiliging geen technisch thema meer, maar een strategisch en bestuurlijk dossier.
NIS2 verplicht dat organisaties:
- kritieke processen kennen,
- risico’s formeel beheersen,
- incidenten binnen 24/72 uur melden,
- leveranciers controleren,
- herstelplannen klaar hebben,
- technische en organisatorische maatregelen aantoonbaar toepassen.
En precies dáár botst traditionele IT-compliance op industriële realiteit.
Machines stoppen niet voor audits. Legacy verdwijnt niet vanzelf. Veiligheid gaat vóór beschikbaarheid. Engineers werken anders dan IT.
De enige oplossing is een gecoördineerde IT/OT-integratie volgens ISO 27001 én ISO 62443.
Daarmee wordt de fabriek onderdeel van dezelfde cyberweerbaarheid als de IT-omgeving erboven.
Hoe een CATS Dirigent gevoedt door de juiste interne OT bevraging een ramp voorkomt.
Hoe CATS Dirigent de 1000-dagenregel inzet in een wereld waar quantumcomputers geen genade kennen
In een tijd waarin bedrijven denken dat ze alle tijd van de wereld hebben om hun beveiliging op orde te brengen, introduceert CATS Dirigent een regel die nuchterheid en urgentie combineert: de 1000-dagenregel. Een simpele waarheid: een robuust, aantoonbaar en toekomstbestendig NIS2-beveiligingsprogramma ontstaat niet in weken, maar in fases — van bewustwording, naar structuur, naar implementatie, naar volwassenheid.
En precies die 1000 dagen vallen samen met een andere realiteit die steeds dichterbij komt:
volwassen quantumcomputers.
Machines die in staat zullen zijn om de zwakke plekken van slecht cybersecuritybeleid genadeloos uit te buiten. Versleuteling die vandaag “veilig genoeg” lijkt, wordt morgen in seconden gekraakt. Sluimerende kwetsbaarheden die jaren onaangeroerd bleven, worden straks een open voordeur.
CATS Dirigent begeleidt bedrijven door die hele evolutie: van de eerste inventaris tot de laatste hardeningstap, van segmentatie tot quantum-resilience. Maar er is één cruciale factor die bepaalt of een organisatie die 1000 dagen benut… of verspilt: wanneer men expertise inschakelt.
Daar komt Harry Van Der Plas in beeld.
Een expert die de valkuilen van OT én de toekomst van cryptografie al jaren ziet aankomen. Zijn rol is als die van een gids: wanneer je hem op dag 1 betrekt, zet je de koers uit die nodig is voor cyberweerbaarheid op zowel klassieke als post-quantum schaal. Maar wanneer bedrijven wachten tot dag 900, wanneer de druk stijgt, audits naderen en quantumdreigingen de horizon verkleuren… dan is het kwaad al geschied.
Of zoals Harry het zelf ooit samenvatte in een vergaderruimte die opeens muisstil werd:
“Je kunt een schip in 1000 dagen naar veilig water sturen —
maar als je tot dag 900 wacht om te kijken waar de ijsbergen liggen,
is het kalf vaker verdronken dan gered.”
Met CATS Dirigent begint volwassenheid op dag 1.
Met Harry begint inzicht op dag 1.
Want dag 900… is te laat.
De 1000-dagen roadmap naar echte NIS2-weerbaarheid
Gebaseerd op tientallen audits, industriële best practices en ISO-kaders ontstaat een realistisch traject dat organisaties in staat stelt om van bewustwording naar aantoonbare compliance te evolueren.
Dag 1–30: Bewustwording & Scope
- OT officieel in ISMS-scope
- Eerste risicoanalyse
- Management alignment
- Basis-inventaris
Dag 30–90: Structuur & Mapping
- Gap-analyse (NIS2/ISO 27001/ISO 62443)
- Zone & conduit-model
- Beleidskaders
Dag 90–180: Governance & Procedures
- OT-change management
- Remote access governance
- Leveranciersbeheer
- BCM/DR voor OT
Dag 180–365: Technische hardening (ISO 62443)
- Segmentatie (DMZ, firewallzones)
- Hardening PLC/HMI
- Patchstrategie
- OT-logging & detectie
Dag 365–600: Integratie & Training
- OT-incidentrespons
- Oefenscenario’s
- 24/7 monitoring
- Leveranciersaudits
Dag 600–1000: Certificatie & Optimalisatie
- ISO 27001 certificatie
- 62443 readiness assessment
- Continue verbetering
Dit traject creëert daadwerkelijke NIS2-compliance, niet enkel documentatie.
De extra dimensie: wanneer AI het OT-domein binnenstapt
Jarenlang leefden OT-omgevingen in een soort technologische luwte. De machines deden wat ze moesten doen, de PLC’s tikten onverstoorbaar hun cycli af en de HMI’s reageerden traag maar trouw op elke operatorhand. Maar in de afgelopen twee jaar is er een nieuwe speler het domein binnengestapt — eentje die niet wacht, niet stilvalt en geen onderhoudsstop kent: AI.
Waar klassieke OT-systemen voorspelbaar zijn, leest AI tussen de regels.
Het observeert, herkent patronen en ziet afwijkingen lang voor een mens ze zou opmerken. Het kijkt niet alleen naar de lijn, maar door de lijn heen. En precies daar ontstaat een extradimensie waarin OT niet langer een passieve omgeving is, maar een levend ecosysteem dat kan leren, voorspellen en anticiperen.
In sommige bedrijven betekent dat ongeziene vooruitgang.
In andere betekent het dat kwetsbaarheden sneller worden ontdekt… maar ook sneller worden uitgebuit.
Want AI is een dubbele kracht: een schild én een kans voor aanvallers.
En dat is precies waarom CATS Dirigent een nieuwe rol heeft geïntroduceerd:
The Sentinel.
De Sentinel is geen persoon, geen proces en geen beleidsdocument.
Het is een AI-gedreven OT-observator die continu de zenuwbanen van een fabriek scant: van PLC-wijzigingen tot onverwachte datastromen, van misbruik van remote access tot subtiele afwijkingen in machinegedrag. Het is de digitale tegenhanger van de ervaren ingenieur die elk geluid, elke trilling en elke vertraging herkent — maar dan met een reikwijdte die geen mens kan evenaren.
Harry Van Der Plas en Danny Zeegers sturen met hun metaframework de koers, The Sentinel bewaakt het terrein.
Samen vormen ze de twee pijlers van een nieuwe OT-realiteit:
menselijke expertise op dag 1, AI-waakzaamheid op elke seconde daarna.
In een wereld waar quantumcomputers de muren van klassieke beveiliging afbreken en OT-infrastructuren steeds slimmer maar ook kwetsbaarder worden, is deze samenwerking geen luxe. Het is het verschil tussen een fabriek die wankelt… en een fabriek die vooruitkijkt.
Want één ding is zeker:
in de nieuwe dimensie van OT-beveiliging is AI niet langer de toekomst —
het is de medespeler die vandaag al beslist of een bedrijf morgen nog draait.
Conclusie: NIS2-certificatie krijgt een extra dimensie – en OT is de sleutel
Veel organisaties denken dat ze klaar zijn zodra hun IT-documentatie staat.
Maar auditors, toezichthouders én verzekeraars kijken intussen naar één kernvraag:
“Hoe borgt u de veiligheid en continuïteit van uw OT-omgeving?”
En dat is exact waar NIS2 het verschil maakt.
IT-beveiliging alleen is niet meer voldoende.
OT is geen IT.
OT is kritieke infrastructuur.
NIS2 dwingt organisaties om die realiteit eindelijk te erkennen – en ernaar te handelen.
Wie vandaag start, bouwt in drie jaar echte cyberweerbaarheid op.
Wie wacht, werkt onbewust aan zijn eigen incident-rapport.
