Rijnland eerste waterschap met TÜV Nord Certificering Cybersecurity IEC 62443

Als eerste waterschap in Nederland heeft het hoogheemraadschap van Rijnland een aantal operationele systemen gecertificeerd conform de IEC 62443, dé internationale standaard voor cybersecurity binnen de operationele technologie. Voor Rijnland is dit een goede stap in de richting van het robuuster en digitaal weerbaarder maken van de procesautomatisering voor waterzuivering en watertransport.

Pieter van Dijk, teamleider Procesautomatisering bij Rijnland: “Natuurlijk ben ik enorm trots dat Rijnland de toets t.a.v. de conformiteit met IEC 62443 heeft behaald. Dit was niet mogelijk geweest zonder de inzet van het projectteam vitalisering PA, medewerkers van het team Procesautomatisering en de samenwerking met Hudson Cybertec.”

Rijnland is in 2013 gestart met de vernieuwing van de procesautomatisering voor de afvalwater zuiveringsinstallaties en afvalwater transportgemalen. Daarbij is toen de keuze gemaakt voor het één voor één vervangen van hardware. Ook werd besloten een gestandaardiseerde software bibliotheek te ontwikkelen en een software generator te bouwen voor de gemalen. Voor de besturing op afstand werd tot slot een centrale proceskamer ingericht op het hoofdkantoor (CPK). Dit project is nu afgerond, terwijl de laatste transportgemalen worden omgebouwd. Het projectteam kan nu tevreden terugzien hoe alle actiepunten binnen gestelde tijd en budget zijn gerealiseerd.

Het team

Medio 2017 werd duidelijk dat voor het beheren van de procesautomatisering een moderniserings-, en professionaliseringsslag gemaakt moest worden. Alle medewerkers die werkzaam waren in de procesautomatisering werden hiervoor in één team ondergebracht. Beheerprocessen (met ITIL als kapstok) werden beschreven en ingericht. Er kwam een OTA (Ontwikkel, Test en Acceptie) omgeving. Bovendien bleek een uitbreiding van het team noodzakelijk met niet alleen extra FTE maar ook de benodigde competenties.

De beveiliging

Verder kwam het inzicht dat de procesautomatisering niet een hulpmiddel is, maar ook een asset die onmisbaar is in de aansturing en bediening van het primaire proces. Daarbij kwam ook de kwetsbaarheid van deze werkwijze om de hoek kijken. Zonder een goedlopende procesautomatisering komt het primaire proces namelijk tot stilstand of zal het eindproduct al snel niet aan de kwaliteitseisen voldoen. Informatiebeveiliging (cybersecurity) moet hierbij uitkomst bieden. Bij Rijnland is het team daarom versterkt met een Adviseur Informatiebeveiliging Procesautomatisering in de persoon van Hans Smit in goede samenwerking met Hudson Cybertec. “Digitalisering heeft voor ons veel voordelen” vertelt Smit, “maar we realiseren ons ook dat uitval van digitale middelen ons kwetsbaar maakt. Niet alleen de uitval van hardware maar ook cyberrisico’s worden meer en meer meegenomen in ons beleid. De BIO geeft ons richting om maatregelen te nemen op het gebied van procesautomatisering. Voor deze procesautomatisering hebben wij gekozen ons te conformeren aan dé internationale standaard voor cybersecurity binnen de operationele technologie, de IEC 62443, omdat de BIO in de huidige vorm onvoldoende houvast biedt voor procesautomatisering”.

Hudson Cybertec

Rijnland is bijgestaan door Hudson Cybertec, beide organisaties werken dan ook al jaren samen om de cybersecurity van Rijnland naar een hoger plan te brengen. Als cybersecurity specialist op gebied van de industriële automatisering heeft Hudson Cybertec een uitstekende reputatie als internationaal subject matter expert voor de IEC 62443. Met deze kennis en ervaring heeft de organisatie Rijnland geadviseerd en begeleid in het proces om onbezorgd het certificeringsproces met TÜV te doorlopen.

Marcel Jutte, Managing Director van Hudson Cybertec: “Het adequaat inrichten van een Cyber Security Management Systeem (CSMS) is niet alleen van belang bij Rijnland, maar zeker ook voor alle organisaties in de vitale infrastructuur die te maken hebben of krijgen met de Wet Beveiliging Netwerk- en Informatiesystemen, afgekort Wbni. De certificering van Rijnland is een belangrijke mijlpaal voor alle betrokkenen en we zijn zeer verheugd met het behaalde resultaat.”

TÜV Nederland

Om onafhankelijk te toetsen of Rijnland voldoet aan de IEC 62443 heeft Rijnland aan TÜV Nederland gevraagd het Certificeringtraject uit te voeren. Hiervoor heeft TÜV Nederland eind februari een audit uitgevoerd die erop gericht was om te toetsen of Rijnland voldeed aan de eisen binnen de IEC 62443 deel 3-3 (Eisen voor systeembeveiliging en beveiligingsniveau).

De IEC 62443 norm bestaat al ruim 10 jaar, maar Certificering op deze IEC standaard is relatief nieuw, zeker in Nederland. TÜV Nederland heeft het standpunt dat audits en assessments waar mogelijk onder accreditatie uitgevoerd worden, zodat de klant daardoor het bewijs heeft dat deze conform internationale regels verloopt, wat de waarde van het certificaat uiteraard verder verhoogt.

“TÜV Nederland is onderdeel van TÜV Nord en heeft IEC accreditatie. Mede daardoor zijn wij een absolute voorloper waar het gaat over onafhankelijk certificeren conform deze norm. Onze auditor heeft gedurende een week twee locaties (één waterzuiveringsinstallatie en één watertransportlocatie) beoordeeld of deze voldeden aan de norm. Wij kunnen vaststellen dat zij aangetoond hebben te voldoen aan de norm en de vereisten behorende bij het gestelde security level waardoor wij hen het bijbehorende IEC Certificaat kunnen overhandigen” aldus Vincent Schijven, Innovatiemanager bij TÜV Nederland.

Rijnland is met het behalen van het IEC 62443 certificaat een voorloper, zowel binnen de Unie van Waterschappen als in Nederland in het algemeen. Met de certificering wil Rijnland aantonen dat dit mogelijk is voor meer installaties binnen het waterschap en mogelijk ook voor andere waterschappen.

De IEC 62443 is binnen veel organisaties bekend en is dé standaard binnen de Procesautomatisering. Binnen de Wbni moet men aantoonbaar maatregelen nemen tegen cybersecurity risico’s en dan is een onafhankelijk certificering door TÜV Nederland een logische stap. Wij verwachten dat binnen nu en een jaar de meeste organisaties binnen de kritische infrastructuur deze zelfde stap genomen hebben. “Namens TÜV Nederland kan ik melden dat we trots zijn dat wij deze audit hebben mogen uitvoeren en natuurlijk willen we Rijnland feliciteren met het behaalde resultaat”.

HUDSON CYBERTEC

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.