De NIS2-richtlijn is een feit. En als je slimme apparaten ontwikkelt, bouwt of beheert, is deze Europese wetgeving ook op jouw organisatie van toepassing. De richtlijn draait om cybersecurity en risicobeheersing, en heeft gevolgen voor zowel de techniek als de processen binnen bedrijven die met embedded software werken.
In dit artikel lees je wat NIS2 precies inhoudt, voor wie het relevant is en waarom het belangrijk is om je ontwikkelproces hierop voor te bereiden.
Van NIS naar NIS2: wat is er veranderd?
De oorspronkelijke NIS-richtlijn uit 2016 richtte zich met name op vitale infrastructuren: energie, telecom, drinkwater en transport. Met NIS2 wordt de scope aanzienlijk verbreed. Ook fabrikanten van slimme apparaten en software die wordt toegepast in cruciale processen of ketens vallen nu onder de richtlijn. Dat geldt met name voor organisaties met meer dan 50 medewerkers of meer dan 10 miljoen euro omzet, maar ook kleinere bedrijven kunnen onder de richtlijn vallen als zij een kritieke rol spelen in een keten.
Wat is er veranderd? Kort samengevat vraagt NIS2 om structurele aandacht voor cybersecurity in de hele levenscyclus van een product: van ontwerp tot gebruik en onderhoud. Organisaties moeten risico’s kunnen identificeren, mitigeren en melden. En dat heeft directe implicaties voor ontwikkelteams.
Waarom is dit relevant voor ontwikkelaars van embedded systemen?
Slimme apparaten zijn verbonden. Ze communiceren met cloudplatforms, krijgen software-updates, ontvangen data van gebruikers of sensoren, en beïnvloeden fysieke processen. Die verbondenheid is wat ze krachtig maakt – maar ook kwetsbaar.
De NIS2-richtlijn erkent dit. Je hoeft geen infrastructuurbeheerder te zijn om onder de regels te vallen. Als jouw product bijvoorbeeld een sensorplatform levert aan een waterbedrijf, of je firmware draait in een apparaat binnen de zorg, dan kún je onder NIS2 vallen. En zelfs als dat niet direct zo is, stellen steeds meer klanten eisen aan leveranciers op basis van deze richtlijn.
Wat je ontwikkelt en hoe je dat doet, komt daarmee in een ander licht te staan. Security wordt niet langer een optionele module, maar een integraal onderdeel van kwaliteit.
Wat betekent dit voor je ontwikkelproces?
Een van de kernprincipes van NIS2 is het toepassen van security by design en security by default. Dit betekent dat beveiliging een rol moet spelen vanaf het eerste moment dat je een systeem ontwerpt – niet pas als je product bijna klaar is.
Dat vraagt om een aantal fundamentele veranderingen in aanpak. Zo wordt threat modeling een standaardstap in het ontwerp. Je kijkt daarbij kritisch naar mogelijke kwetsbaarheden in de architectuur en hoe die misbruikt zouden kunnen worden. Het gebruik van veilige communicatieprotocollen zoals TLS of SSH wordt vanzelfsprekend. Inputvalidatie, foutafhandeling en versleutelde opslag zijn geen extra’s meer, maar basiseisen.
Minstens zo belangrijk is het updatemechanisme. Slimme apparaten moeten op een veilige manier kunnen worden bijgewerkt – bij voorkeur over-the-air (OTA). Als dat niet kan, moet er in elk geval een procedure zijn voor veilige onderhoudsaccess. Zonder mogelijkheid tot patching is je product kwetsbaar vanaf het moment dat een nieuw lek wordt ontdekt.
Daarnaast vraagt NIS2 om inzicht in wat er gebeurt op je systeem. Je moet kunnen loggen, monitoren en reageren op afwijkend gedrag of beveiligingsincidenten. Dat betekent dat logging een structureel onderdeel van je software wordt – mét timestamps, context en bewaarbeleid. Incidenten moeten binnen 24 uur worden gemeld bij de bevoegde instanties. Zonder goede logs is dat simpelweg niet mogelijk.
Tot slot speelt de ketenverantwoordelijkheid een grote rol. Je bent niet alleen verantwoordelijk voor je eigen code, maar ook voor de onderdelen die je integreert. Gebruik je externe libraries? Dan moet je weten welke versies je hebt gebruikt, of er bekende kwetsbaarheden zijn, en hoe je updates regelt. Werk je met toeleveranciers? Dan moet je inzichtelijk maken hoe zij met beveiliging omgaan.
Wat kun je vandaag al doen?
Veel maatregelen die NIS2 vraagt zijn geen raketwetenschap – het zijn eigenlijk gewoon best practices. Toch worden ze in de praktijk vaak uitgesteld of versnipperd opgepakt. Wie nu al begint met een gestructureerde aanpak, voorkomt last-minute stress en verhoogt direct de kwaliteit van zijn producten.
Een goede eerste stap is het integreren van beveiliging in je bestaande processen. Start met het in kaart brengen van kwetsbaarheden in je huidige architectuur en kijk waar je afhankelijk bent van externe software of leveranciers. Zorg ervoor dat je updateproces robuust is en test of je logs voldoende zijn om incidenten te reconstrueren. En misschien wel het belangrijkste: neem het onderwerp structureel mee in overleggen tussen ontwikkelaars, product owners en management.
Hieronder vind je een aantal concrete acties die je vandaag al kunt nemen:
- Neem security op in je requirements en designprocessen
- Implementeer of verbeter je OTA-updatevoorziening
- Zorg voor volledige en bewaarbare logdata
- Controleer je afhankelijkheden en open-source libraries op kwetsbaarheden
- Documenteer je incidentprocedure en test je respons daarop
Tot slot: NIS2 als kans
NIS2 vraagt om volwassenheid – technisch, organisatorisch en strategisch. Het is geen checklist die je even afvinkt, maar een cultuurverandering waarin beveiliging geen sluitpost meer is.
Voor ontwikkelteams die embedded systemen of slimme apparaten bouwen, betekent het vooral één ding: security hoort er voortaan gewoon bij. Net als betrouwbaarheid, performance en testbaarheid.
En dat is eigenlijk goed nieuws. Want wie het serieus aanpakt, verhoogt niet alleen de weerbaarheid van zijn producten, maar ook het vertrouwen van klanten en eindgebruikers.
_
Over Ndus3
De consultants van Ndus3 bewegen op het snijvlak van engineering en software. Ze ondersteunen bedrijven in de maakindustrie op projectbasis met oplossingen, advies en begeleiding. Vanuit een drietal vestigingen in Nederland kunnen engineers op een breed scala van vakgebieden ingezet worden bij klanten in de sectoren Manufacturing, Energy, Life-Science en Mobility. Op die manier bedient Ndus3 zijn klanten met lokale aanwezigheid en landelijke slagkracht!
Weten over deze case of wat we als Ndus3 voor jouw organisatie kunnen betekenen? Mail dan Gerben van Manen via gerben@ndus3.com of neem contact op via ons contactformulier.
