Wat is Compliance?
Compliance betekent het naleven van wettelijke, normatieve en contractuele verplichtingen op het gebied van informatiebeveiliging, privacy en operationele veiligheid. In OT/ICS-omgevingen omvat compliance zowel technische maatregelen als procesmatige en organisatorische eisen.
Het doel van compliance is risico’s beheersbaar maken, aantoonbare beveiliging realiseren en voldoen aan relevante regelgeving zoals NIS2, AVG, FISMA of IEC 62443.
🧠 Wat valt onder compliance?
1. Wetgeving
- NIS2 (Netwerk- en Informatiebeveiliging)
- AVG / GDPR (privacy)
- FISMA (VS, overheidsveiligheid)
- Cyberbeveiligingswet (EU)
2. Normen en standaarden
- ISO 27001 – ISMS voor informatiebeveiliging
- IEC 62443 – Cybersecurity voor industriële systemen
- NIST CSF / NIST SP 800-53 – Amerikaanse richtlijnen
- COBIT – Governance van IT-processen
3. Contractuele verplichtingen
- Leveranciersvoorwaarden (bijv. MSSP, hostingpartners)
- SLA’s m.b.t. beveiligingsmaatregelen of auditverplichtingen
🔐 Compliance in OT-omgevingen
| Component | Voorbeeld compliance-eis |
|---|---|
| SCADA-systeem | Documentatie van toegangsrechten, patchstatus en logging (bijv. ISO 27001 A.9) |
| Remote Access | Gebruik van MFA, Jump Server, Monitoring voor traceerbaarheid |
| PLC-netwerk | Netwerksegmentatie volgens IEC 62443-3-3 – Restricted Data Flow |
| Backup-procedures | Vastgelegde en geteste herstelplannen (ISO 27001 A.17 / NIS2) |
| Incident Response | Formele meldprocedure en registratie volgens wetgeving |
In OT is compliance vaak niet enkel IT-gedreven, maar ook onderdeel van operationele en productiegerelateerde verantwoordelijkheden.
✅ Voordelen van compliance
- Vermindering van juridische risico’s en boetes
- Betere samenwerking met leveranciers door aantoonbare beveiliging
- Structuur en herhaalbaarheid in processen en beleid
- Vertrouwen van klanten, partners en toezichthouders
⚠️ Risico’s bij non-compliance
- Juridische boetes (bijv. AVG)
- Verlies van certificering (ISO, GxP, etc.)
- Uitsluiting bij aanbestedingen of contracten
- Onopgemerkte kwetsbaarheden door ontbrekend beleid of controle
🔄 Compliancecyclus
Gebaseerd op de PDCA-benadering:
- Plan – Beleid, scope, risicobeoordeling
- Do – Implementatie van maatregelen
- Check – Interne audits, logging, rapportage
- Act – Corrigerende acties, continue verbetering
📌 Samengevat
Compliance betekent aantoonbaar voldoen aan wet- en regelgeving, normen en contractuele eisen op het gebied van informatiebeveiliging en OT-beheer. Het is een integraal onderdeel van goed Risicomanagement en Cybersecurity Governance.