{"id":2723,"date":"2024-06-21T08:49:08","date_gmt":"2024-06-21T06:49:08","guid":{"rendered":"https:\/\/sn-dev-site.local\/?p=2723"},"modified":"2024-06-21T16:01:15","modified_gmt":"2024-06-21T14:01:15","slug":"gebouwbeheersystemen-als-doelwit-van-cyberaanvallen-onder-nis2","status":"publish","type":"post","link":"https:\/\/sn-dev-site.local\/gebouwbeheersystemen-als-doelwit-van-cyberaanvallen-onder-nis2\/","title":{"rendered":"Kwetsbare Schakels: Gebouwbeheersystemen als Doelwit van Cyberaanvallen onder NIS2"},"content":{"rendered":"

Kwetsbare schakels: Gebouwbeheersystemen als doelwit van cyberaanvallen onder NIS2<\/span><\/b>\u00a0<\/span><\/h1>\n

`Stel je voor: een wereld waarin gebouwbeheersystemen, die cruciaal zijn voor het monitoren en reguleren van faciliteiten, plotseling dienen als springplank voor cyberaanvallen. Dit scenario werd scherp ge\u00efllustreerd door de beruchte hack van de Amerikaanse retailer Target in 2013, waarbij miljoenen creditcardgegevens en klantaccounts werden buitgemaakt, met een verwoestende kostenpost van meer dan 200 miljoen USD tot gevolg.<\/p>\n

In dit artikel duiken we dieper in de reikwijdte van de NIS2-richtlijnen, met bijzondere nadruk op de potenti\u00eble impact ervan op gebouwbeheersystemen. Hoewel vastgoedeigenaren niet direct onder NIS2 vallen, werpt deze wet wel een brede net over netwerk- en informatiesystemen, inclusief operationele technologie\u00ebn (OT) en industri\u00eble automatiserings- en controlesystemen (IACS), en zelfs meet- en regelsystemen. Wat betekent dit voor de beveiliging van gebouwbeheersystemen en hun gebruikers? Laten we samen de complexe ketenwerking en mogelijke juridische implicaties verkennen die deze nieuwe richtlijnen met zich meebrengen.<\/p>\n

Zoals inmiddels wel bekend is, is de NIS2 van toepassing op entiteiten (organisaties) vanaf een bepaalde omvang (ondergrens 50 FTE) binnen de in de wet genoemde sectoren. NIS2 is van toepassing op netwerk- en informatiesystemen. In de toelichting op de NIS2-implementatie (in Nederland bekend als de Cyberbeveiligingswet) wordt aangegeven dat netwerk- en informatiesystemen zo breed mogelijk ge\u00efnterpreteerd worden. Met name worden OT en IACS genoemd (operationele technologie; Industrial automation and control systems). Vervolgens spreekt men van meet- en regelsystemen. Daarmee vallen gebouwbeheersystemen naar mijn mening onder de scope van NIS2, omdat deze systemen meten en regelen.<\/p>\n

Eigenaren van vastgoed worden niet genoemd in de lijst met essenti\u00eble of belangrijke entiteiten. Ze zijn ook niet genoemd in de CER. Daarmee vallen vastgoedeigenaren als entiteit niet direct onder de scope van NIS2, voor zover het vastgoedeigenaren in de vastgoedbranche betreft. Als de vastgoedeigenaar echter een overheid is (met uitzondering van defensie-, openbare orde- of veiligheidsentiteiten), valt die entiteit onder de scope van NIS2 en daarmee dus ook de gebouwbeheersystemen. Hetzelfde geldt voor ziekenhuizen als entiteit onder NIS2, waarbij dus ook de gebouwbeheersystemen vallen<\/p>\n

Ketenwerking: hoe werkt dat?<\/strong><\/p>\n

Een ander aspect dat belicht moet worden, is de ketenwerking. Het kan voorkomen dat een vastgoedeigenaar niet onder de scope van NIS2 valt, maar dat een huurder van een (deel van een) gebouw dat wel doet. In dat geval kan (afhankelijk van de risico-inschatting van de huurder) de verhuurder onder de scope van NIS2 vallen. Daarom is het raadzaam voor alle vastgoedeigenaren om te onderzoeken welke huurders mogelijk als essenti\u00eble of belangrijke entiteit volgens NIS2 worden beschouwd. Daarnaast is het belangrijk om te overwegen hoe kwetsbaar de gebouwbeheersystemen kunnen zijn en hier noodzakelijke security controls voor in te stellen.<\/p>\n

Er zijn ook scenario’s denkbaar waarin het eigendom van het vastgoed en het gebruik daarvan meer losgekoppeld zijn van elkaar. Hierbij kunnen complexere situaties ontstaan waarover de komende jaren waarschijnlijk jurisprudentie wordt opgebouwd.<\/p>\n

In sommige gevallen zijn gebouwbeheersystemen niet eigendom van de gebouweigenaar, maar worden ze bijvoorbeeld geleased. In dergelijke situaties is NIS2 van toepassing op de fabrikant. Bij ondersteuningscontracten kan worden betoogd dat er onderhoudsdiensten worden geleverd aan een netwerk- en informatiesysteem, wat ook onder de NIS2 valt. De jurisprudentie (of een dikke hack) zal dit in de komende jaren verder verhelderen.
\nOp installatiebedrijven kan dezelfde logica toegepast worden. Het is mogelijk om te betogen dat een gebouwbeheersysteem volgens de definitie van NIS2 een netwerk- en informatiesysteem is. De installatie en integratie van een dergelijk systeem kan dus worden beschouwd als een dienst, waardoor een ICT-dienstverlener onder NIS2 valt.<\/p>\n

De urgentie van bescherming<\/strong><\/p>\n

In een tijd waarin digitale systemen steeds meer verweven raken met ons dagelijks leven en bedrijfsvoering, is de noodzaak om gebouwbeheersystemen te beschermen tegen cyberdreigingen nog nooit zo urgent geweest. De beruchte hack van Target in 2013 dient als een onheilspellend voorbeeld van wat er kan gebeuren als deze systemen kwetsbaar blijken. Hoewel vastgoedeigenaren niet direct onder de NIS2-richtlijnen vallen, is het duidelijk dat hun verbondenheid met essenti\u00eble entiteiten zoals ziekenhuizen of overheidsinstellingen hun systemen binnen het bereik van NIS2 kunnen brengen.<\/p>\n

De complexe interacties tussen vastgoedeigenaren, huurders en dienstverleners vragen om een grondige evaluatie van potenti\u00eble risico’s en de implementatie van robuuste beveiligingsmaatregelen. De komende jaren zullen ongetwijfeld verduidelijken hoe wetgeving en jurisprudentie zich ontwikkelen in het beschermen van deze vitale infrastructuren. Voor nu is het cruciaal dat alle betrokken partijen zich bewust worden van hun rol en verantwoordelijkheid in het veiligstellen van gebouwbeheersystemen onder de steeds striktere NIS2-richtlijnen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Kwetsbare schakels: Gebouwbeheersystemen als doelwit van cyberaanvallen onder NIS2\u00a0 `Stel je voor: een wereld waarin gebouwbeheersystemen, die cruciaal zijn voor het monitoren en reguleren van faciliteiten, plotseling dienen als springplank […]<\/p>\n","protected":false},"author":20,"featured_media":2726,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-2723","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"acf":[],"_links":{"self":[{"href":"https:\/\/sn-dev-site.local\/wp-json\/wp\/v2\/posts\/2723"}],"collection":[{"href":"https:\/\/sn-dev-site.local\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sn-dev-site.local\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sn-dev-site.local\/wp-json\/wp\/v2\/users\/20"}],"replies":[{"embeddable":true,"href":"https:\/\/sn-dev-site.local\/wp-json\/wp\/v2\/comments?post=2723"}],"version-history":[{"count":3,"href":"https:\/\/sn-dev-site.local\/wp-json\/wp\/v2\/posts\/2723\/revisions"}],"predecessor-version":[{"id":2747,"href":"https:\/\/sn-dev-site.local\/wp-json\/wp\/v2\/posts\/2723\/revisions\/2747"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sn-dev-site.local\/wp-json\/wp\/v2\/media\/2726"}],"wp:attachment":[{"href":"https:\/\/sn-dev-site.local\/wp-json\/wp\/v2\/media?parent=2723"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sn-dev-site.local\/wp-json\/wp\/v2\/categories?post=2723"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sn-dev-site.local\/wp-json\/wp\/v2\/tags?post=2723"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}