Dit hoofdstuk is genomen uit het Boek van Danny Zeegers en Harry van der Plas Compliance Experts en founders van de HarmonyQ methodology. Het boek : “Compliance als hefboom voor zakelijk succes.”
Het moment van de keuze
De vergaderzaal bij Symens Electronics is stil, maar niet rustig. Buiten draait de productie. Binnen schuift de agenda door: audits, deadlines, regelgeving. De woorden zijn vertrouwd, de toon ook. Nog een norm. Nog een verplichting. Nog een deadline die eigenlijk gisteren al voorbij was.
De realiteit is dat Symens vandaag niet verdrinkt door een gebrek aan inspanning, maar door te veel inspanning in de verkeerde richting. Er wordt gepompt. Hard. Compliance na compliance, norm na norm, checklist na checklist. En toch blijft het water stijgen. Altijd net tot aan de lippen.
De komende golf is geen verrassing. ISO/IEC 62443 is er al. De Cyber Resilience Act komt eraan. De EU Data Act hertekent eigenaarschap van data. De EU AI Act zet een kader rond systemen die vandaag al in ontwikkeling zijn. Dit is geen regenbui. Dit is een compliance-tsunami.
De vraag voor deze raad van bestuur is dus niet of Symens compliant wil zijn. Dat is geen keuze meer.
De echte vraag is ongemakkelijker: blijven we pompen, of bouwen we iets dat blijft drijven?
Pompen voelt veilig. Het is herkenbaar. Het geeft de illusie van controle. Maar pompen betekent ook dat elke nieuwe regel opnieuw paniek veroorzaakt. Dat elke audit voelt als een brand. Dat OT, IT en compliance elkaar blijven kruisen zonder samen te komen.
De andere optie vraagt moed. Bouwen aan een ARK. Niet als ontsnapping, maar als structuur. Met HarmonyQ als fundament: één samenhangend kader waarin regelgeving geen opeenstapeling meer is, maar een geïntegreerd geheel. Waar OT geen blinde vlek is, maar zichtbaar, bestuurbaar en voorspelbaar. Waar data niet meer weglekt, maar bewust stroomt. Waar aanvallen niet pas na schade worden gezien, maar vóór ze impact hebben.
Een ARK bouw je niet omdat het regent. Je bouwt ze omdat je weet wat eraan komt.
“Wie vandaag nog pompt, hoopt dat de zee stopt met stijgen.”
Voor Symens Electronics is dit het moment waarop strategie het overneemt van noodmaatregelen. Waar het bestuur kiest tussen blijven reageren, of eindelijk sturen.
Er is maar één keuze die deze organisatie door de komende jaren heen draagt.
En dat is niet blijven pompen.
OT en de nieuwe Compliance werkelijkheid
Operational Technology staat vandaag niet meer in de kelder van de organisatie. OT is de organisatie. Het is de productielijn, de dienstverlening, de uptime, de veiligheid en uiteindelijk de waardecreatie. Wie vandaag aan OT raakt, raakt rechtstreeks aan de kern van het bedrijf.
Tegelijk wordt die OT-omgeving overspoeld door een samenloop die we zelden eerder zagen: ISO/IEC 62443, de Cyber Resilience Act, de EU Data Act, de EU AI Act en daarbovenop de razendsnelle adoptie van AI in industriële processen. Elk afzonderlijk logisch. Samen verstikkend, als ze niet gestuurd worden.
De echte uitdaging is dan ook niet compliance. Compliance is het gevolg.
De kernvraag voor het management is fundamenteler: hoe behouden we controle, overzicht en wendbaarheid in een OT-omgeving die elke maand complexer wordt, zonder dat regelgeving innovatie en efficiëntie verlamt?
“Wie OT vandaag alleen technisch bekijkt, bestuurt morgen met een blinddoek.”
Van versnipperde verplichtingen naar één bestuurbaar kader
In veel organisaties groeit OT-beveiliging historisch en reactief. Een norm wordt toegevoegd wanneer ze verplicht wordt. Een audit volgt wanneer iemand erom vraagt. Een technische maatregel wordt genomen omdat een leverancier het adviseert. Het resultaat is een lappendeken van goede intenties zonder samenhang.
Dat leidt niet alleen tot audit-moeheid, maar tot iets gevaarlijkers: verlies aan overzicht en eigenaarschap. Niemand ziet nog het geheel, maar iedereen verdedigt zijn stukje.
Het vertrekpunt dat hier tegenover staat, is een Holistic Security Management System. Geen extra laag, geen nieuwe bureaucratie, maar één bestuurbaar kader waarin alle verplichte regelgeving — van ISO 62443 tot CRA, Data Act en AI Act — samenkomt. Niet als losse controles, maar als één set duidelijke clausules en 21 universele policies die het OT-beleid dragen.
Het effect daarvan is niet theoretisch. Wanneer regels samenvallen in één structuur, verdwijnt dubbel werk. Verantwoordelijkheden worden expliciet. En vooral: er komt tijd vrij. Tijd die vandaag verloren gaat aan het managen van verplichtingen, en die morgen kan worden ingezet voor inhoudelijke interne audits die echt iets zeggen over risico, veerkracht en maturiteit.
“Governance die tijd kost, faalt. Governance die tijd oplevert, werkt.”
Inzicht als hefboom: de digitale hartslag van de organisatie
Vrijwel elke OT-regelgeving vertrekt vanuit één stille veronderstelling: dat een organisatie weet wat ze heeft. In de praktijk is dat zelden het geval. Net OT-omgevingen zijn gegroeid over jaren, soms decennia, met machines, upgrades, workarounds en tijdelijke oplossingen die permanent zijn geworden.
Daarom pleit HarmonyQ niet voor een klassieke inventaris, maar voor een evenwichtige assetbeschrijving. Geen eindeloze spreadsheets, wel een realistisch beeld van welke OT-hardware aanwezig is, welke software en firmware eraan vasthangt, hoe afhankelijkheden lopen en welke rol elk element speelt in kritieke processen.
Samen vormen die elementen de digitale hartslag van het bedrijf. Wie die hartslag kent, voelt onmiddellijk wanneer iets afwijkt. Wie ze niet kent, reageert pas wanneer het te laat is.
Dat inzicht is geen administratieve luxe. Het is een strategische hefboom. Het maakt risicogedreven beslissingen mogelijk, vereenvoudigt audits en rapportering en vormt de noodzakelijke basis voor AI-toepassingen die betrouwbaar, verklaarbaar en compliant moeten zijn.
“Je kan geen AI vertrouwen in een omgeving die je zelf niet begrijpt.”
OT, data-lekken en het nieuwe spel van vertrouwen
De grootste OT-risico’s kondigen zich zelden luid aan. Ze sluimeren. In chipsets die meer communiceren dan verwacht. In software die data deelt zonder dat iemand expliciet heeft beslist dat die gedeeld mocht worden. In protocollen die ontworpen zijn om te werken, niet om te zwijgen.
Data verlaat zo het bedrijf via wat je kan omschrijven als een digitaal gevangentransport zonder bewakers. Geen sloten. Geen toezicht. Geen alarmsysteem. Voor data-vissers is dit geen aanval, maar een uitnodiging.
Tot voor kort werd dit gezien als een technisch probleem. Met de komst van de EU Data Act verschuift dat radicaal. Wat vroeger een IT- of OT-kwestie was, wordt nu een bestuurlijke verantwoordelijkheid.
“Data die vanzelf vertrekt, keert nooit vanzelf terug.”
De EU Data Act: recht op data, plicht tot beheersing
De EU Data Act verandert het speelveld fundamenteel. Klanten en partners krijgen expliciete rechten op data die gegenereerd wordt door machines, systemen en OT-omgevingen. Data delen wordt geen gunst meer, maar een verplichting.
De cruciale vraag is niet of data gedeeld moet worden, maar via welk pad. Wie data blijft aanleveren via historisch gegroeide OT-kanalen, via transportmechanismen zonder beveiligingslogica en zonder zicht op wie meeleest, neemt geen strategische beslissing. Die accepteert een aansprakelijkheidsrisico.
De Data Act dwingt organisaties om grip te krijgen op datastromen. Niet om méér data te delen, maar om bewust data te delen: traceerbaar, bestuurbaar en auditeerbaar. Dat vraagt keuzes. En keuzes vragen governance.
“Data delen zonder controle is geen transparantie, het is nalatigheid.”
Van naïeve veiligheid naar intentionele onveiligheid
Klassieke OT-beveiliging vertrekt vanuit één reflex: afsluiten, verbergen, isoleren. Maar die reflex faalt zodra een aanvaller zich ongemerkt over de hoofdstraat van de OT-omgeving kan bewegen. Wat je niet ziet, kan je niet stoppen.
Daarom kiest HarmonyQ bewust voor een andere benadering: intentionele onveiligheid, gecontroleerd en doelgericht ingezet. Het digitale mijnenveld.
In de OT-omgeving worden bewust onveilige machines geplaatst — fysiek of gesimuleerd, vaak in een compacte NUC-opstelling — die zich bevinden in strikt gesegmenteerde doodlopende straten. Ze hebben geen operationele functie. Ze mogen bestaan. Ze mogen benaderd worden.
Maar slechts één keer.
Op het moment dat iemand — intern of extern — deze machine of simulatie aanraakt, wordt beweging zichtbaar die anders verborgen blijft. Alarmen gaan af. Patronen worden blootgelegd. Het bedrijf ziet wat het anders pas na schade zou ontdekken.
Dit is geen val. Dit is situational awareness op bestuursniveau.
“Wie geen lokmiddel heeft, leert pas na de inbraak.”
Bestuurlijke waarde: zien vóór je moet reageren
Wanneer een HSMS, duidelijke OT-governance en een digitaal mijnenveld samenkomen, verandert OT-security van karakter. Het wordt voorspellend in plaats van reactief. Bestuurbaar in plaats van technisch. Risicogedreven in plaats van incidentgedreven.
Het maakt beweging zichtbaar voordat die impact heeft. Het dwingt aanvallers om fouten te maken. En het geeft het bestuur iets wat vandaag zeldzaam is in OT-context: vroegtijdige zekerheid.
In een wereld waarin regelgeving data-deling verplicht, maar aansprakelijkheid niet opheft, is dat geen luxe. Het is strategische zelfbescherming.
Besluit: deadlines, aansprakelijkheid en de rol van het bestuur
De komende jaren zijn geen overgangsfase, maar een afrekening met uitstelgedrag. De Cyber Resilience Act, de EU Data Act en de EU AI Act kennen harde deadlines, expliciete verantwoordelijkheden en een duidelijke verschuiving richting bestuursaansprakelijkheid. “We waren nog bezig” wordt geen verdedigingslijn meer.
Besturen kunnen OT niet langer delegeren als een technisch dossier. OT is een governance-vraagstuk geworden, met juridische, financiële en reputatie-impact. Wie vandaag geen samenhangend kader opzet, geen grip krijgt op assets en datastromen, en geen zicht heeft op wat zich écht beweegt in de OT-omgeving, bestuurt achter de feiten aan.
“Regelgeving wacht niet tot je er klaar voor bent.”
De keuze is helder: ofwel bouwt men vandaag aan inzicht, controle en voorspelbaarheid, ofwel leert men die lessen onder druk — na incidenten, audits of sancties.
Voor bestuurders is dat geen technische afweging meer. Het is een kwestie van verantwoordelijkheid.
