Wat is ISAE 3402 voor OT-omgevingen?
ISAE 3402 is een internationale standaard voor het aantoonbaar beheersen van uitbestede processen. Leveranciers die diensten uitvoeren die invloed hebben op de interne beheersing van een klant, zoals IT- of OT-dienstverleners, kunnen via een ISAE 3402-rapport aantonen dat zij betrouwbare processen en adequate beheersmaatregelen hanteren.
In een OT-context is ISAE 3402 een essentiële schakel in IT/OT-convergentie, omdat leveranciers vaak toegang hebben tot bedrijfskritische productiesystemen, wat directe risico’s met zich meebrengt.
🧠 Kernfuncties van ISAE 3402-rapportages
- Controleverklaring – Onafhankelijke auditor beoordeelt de opzet en werking van processen
- Type I vs Type II – Type I beschrijft opzet, Type II beschrijft opzet én werking in een periode
- SOC-rapportage – Wordt vaak gekoppeld aan SOC 1-rapportages voor financiële relevantie
- Beheersingsdoelstellingen – Bijvoorbeeld toegangscontrole, wijzigingsbeheer, incidentbeheer
- Assurance voor afnemers – Klanten kunnen vertrouwen op het risicobeheer van hun leveranciers
- Herhaalbaarheid – Jaarlijkse toetsing, meestal in lijn met ISO 27001 of andere frameworks
🔐 Relevantie voor OT en IT/OT-convergentie
| Risicogebied | Toepassing in OT-context |
|---|---|
| Leveranciersbeheersing | ISAE 3402 biedt onderbouwing dat een OT-dienstverlener controle heeft |
| Patchmanagement | Aantoonbaar proces voor veilige en gecontroleerde updates |
| Remote Access | Documentatie over beheerste externe toegang tot systemen |
| Incident Management | Inzicht in hoe een leverancier incidenten logt, classificeert en afhandelt |
| Change Management | Beschrijving van releasebeleid en wijzigingscontrole op OT-assets |
ISAE 3402 kan leveranciersdossiers verrijken in het kader van Third Party Risk Management en Supplier Security.
✅ Hoe Obsidian ISAE 3402 toepast
| Maatregel binnen Obsidian | Relevantie voor IT/OT-convergentie |
|---|---|
| Jump Server-architectuur | Aantoonbare controle op toegang tot OT-netwerken via logische scheiding |
| Access Control met logging | Wie, wanneer, waarom – volledige traceerbaarheid van gebruikersactiviteit |
| OT-patchproces met validatie | Geregisseerde updates op PLC’s, HMI’s en SCADA’s met rollback-optie |
| Monitoring & detectie | Continue monitoring van OT-infrastructuur voor afwijkend gedrag |
| Asset Inventory | Volledige registratie van kritieke OT-componenten incl. firmwareversies |
🔁 ISAE 3402 en andere standaarden
| Standaard | Koppeling aan ISAE 3402 voor OT |
|---|---|
| ISO 27001 | Vaak gebruikt als normenkader in ISAE 3402 Type II-rapportages |
| IEC 62443-2-4 | Leveranciersstandaard voor OT-security – logisch aanvullend |
| NIS2 | Verplichting tot leverancierscontrole – ISAE 3402 helpt aantonen |
| SOC 2 | Complementaire assurance voor privacy en informatiebeveiliging |
📦 IT/OT-ketencontrole via ISAE 3402
| IT-componenten | OT-componenten |
|---|---|
| Authenticatie, logging, cloudtoegang | PLC-updates, veldbuscommunicatie, fysieke toegang |
| Servicebeheer en CMDB | Firmwarebeheer, asset lifecycle |
| IAM en RBAC | HMI/SCADA-gebruikersbeheer en zonesegmentatie |
Door ISAE 3402 toe te passen op zowel IT- als OT-processen, ontstaat één integraal beeld van risicobeheersing in convergente omgevingen.
📌 Samengevat
ISAE 3402 is een krachtig hulpmiddel om leveranciersrisico’s in IT én OT beheersbaar te maken. In omgevingen waar productiecontinuïteit en Cybersecurity samenkomen, biedt ISAE 3402 aantoonbare zekerheid over processen zoals toegang, updates, incidentbeheer en integriteit van OT-Assets.