De brug tussen machineveiligheid en industrial security

Pilz staat al decennialang bekend als expert in machineveiligheid. Met hun missie ‘Spirit of Safety’ helpt het bedrijf organisaties wereldwijd om machines veilig te ontwerpen, te bouwen en te gebruiken. Maar waar veiligheid vroeger vooral draaide om het beschermen van mensen tegen machines, is de digitale realiteit niet meer weg te denken uit de industrie. 

Tekst: Jeanette van Swaal

“Vandaag de dag moeten we óók de machine beschermen tegen de mens”, zegt Mark Luchs, industrial security consultant bij Pilz Nederland. “Want zonder security, is er geen safety.”

Veiligheid in een digitale wereld

Door de toenemende digitalisering zijn machines en fabrieken steeds vaker verbonden met elkaar, en het internet. Dat biedt voordelen: data-analyse, remote service, voorspellend onderhoud, maar ook nieuwe risico’s. “Veel systemen zijn oorspronkelijk niet ontworpen met internetblootstelling in gedachten”, legt Luchs uit. “Toch worden ze nu wel zo gebruikt. Daardoor kunnen cyberincidenten directe fysieke gevolgen hebben. Denk aan bruggen die niet sluiten, of kranen in de haven die plots uitvallen. De impact beperkt zich niet tot één organisatie, maar raakt hele ketens.”

Dat de industrie inmiddels wakker wordt, komt mede door nieuwe wetgeving. Met de NIS2-richtlijn, de Cyber Resilience Act (CRA) en de nieuwe Machineverordening worden bedrijven verplicht hun digitale weerbaarheid aantoonbaar op orde te hebben. Luchs: “Waar Pilz eerder nog aan de kar moest trekken, zien we nu dat de markt zelf in beweging komt. We gaan van push naar pull.”

Drie wetten, één boodschap

De drie nieuwe Europese richtlijnen grijpen nauw in elkaar. “De NIS2 richt zich op organisaties en stelt eisen aan hun cyberweerbaarheid: van risicomanagement en incidentrespons tot weerbaarheid in de supply chain”, zegt Luchs. “De CRA en de Machineverordening kijken juist naar producten. Een machine met een digitale component mag straks niet meer op de Europese markt komen zonder CE-markering op basis van cyberveiligheid.”

Dat betekent dat machinebouwers én eindgebruikers hun keten moeten doorlichten. “Een voedingsmiddelenproducent die onder de NIS2 valt, zal aan zijn leveranciers gaan vragen: zijn jullie machines cyberweerbaar, voldoen ze aan de nieuwe regels? Daarmee ontstaat een financiële prikkel om het goed te regelen. Cyberweerbaarheid wordt een license to operate.”

‘Wat kán het systeem doen?’

Volgens Luchs vraagt industrial security niet alleen om technologie, maar vooral om een andere manier van denken. “In de industrie kijken we traditioneel of een systeem doet wat het moet doen. Maar je moet ook nadenken over wat het kán doen, vooral als iemand met kwade bedoelingen het overneemt.”

Een bekend praktijkvoorbeeld is de Maroochy Shire-case in Australië. “Daar wist een oud-medewerker van een onderhoudsbedrijf nog toegang te krijgen tot een rioolzuivering. Pompen vielen uit, alarmen werkten niet meer, en uiteindelijk stroomde 750.000 liter rioolwater de omgeving in. Dit gebeurde al twintig jaar geleden, maar nog steeds zijn er organisaties die vergeten oude accounts te verwijderen.”

Integratie van safety en security

Pilz wil bedrijven helpen veiligheid en security structureel te integreren: van ontwerp tot onderhoud. Dat doet het bedrijf via twee sporen: diensten en systemen. Aan de servicekant biedt Pilz trainingen, consultancy en engineering. Aan de productkant levert het onder meer veiligheids-PLC’s, lichtschermen en, steeds vaker, oplossingen voor Identification & Access Management.

“De kern is kennisopbouw”, zegt Luchs. “Security is geen eenmalig project, maar een doorlopend proces. Je moet blijven leren, meten en verbeteren. Compliance betekent niet automatisch dat je weerbaar bént of blijft.”

Opleiden, adviseren, begeleiden

Om organisaties te helpen hun kennis op te bouwen, ontwikkelde Pilz twee nieuwe trainingen: Fundamentals of Industrial Security (FIS): een basistraining die inzicht geeft in wetgeving, risico’s en terminologie. En Certified Expert for Security in Automation (CESA) – een verdiepende cursus met TÜV-certificering, gebaseerd op de internationale norm IEC 62443.

Daarnaast begeleidt Pilz bedrijven bij cyber risk assessments voor machines en OT-omgevingen. “We kijken eerst of de basis op orde is”, zegt Luchs. “Zijn netwerken gesegmenteerd, heb je inzicht in je assets, weet je wie toegang heeft, en oefen je je incidentplan? Dat lijken eenvoudige vragen, maar de basis op orde houden is al een uitdaging.”

Samen bouwen 

Samenwerking en vertrouwen staan centraal bij Pilz. “We beginnen klein, met een training of risk assessment, en groeien stap voor stap naar een structurele aanpak waarin ‘security by design’ is verankerd in elke fase van het machineleven”, zegt Luchs. Daarbij blijft de balans tussen weerbaarheid, continuïteit en investeringen leidend.

Pilz ziet zichzelf als bruggenbouwer tussen de fysieke en digitale wereld. Met zijn jarenlange ervaring in machineveiligheid helpt het bedrijf organisaties in de maakindustrie en andere NIS2-sectoren om niet alleen te voldoen aan regels, maar écht weerbaar te worden. “Samen werken we aan de spirit of safety én security.”