RDI deelt inzichten uit inspecties: Asset Management in de energiesector kan nog sterker worden verankerd voor de OT-omgeving.
De Rijksinspectie Digitale Infrastructuur (RDI) heeft onlangs bij 21 aanbieders van essentiële diensten (AED’s) in de energie- en digitale infrastructuursector een thema-inspectie Asset Management uitgevoerd. De uitkomsten bieden waardevolle handvatten voor organisaties die werken aan het versterken van hun digitale weerbaarheid. De inspecties vonden plaats binnen het kader van de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Grip op kritieke assets essentieel voor continuïteit
Een betrouwbaar en actueel overzicht van alle kritieke assets is een onmisbare basis voor risicobeheersing en het waarborgen van de continuïteit van essentiële dienstverlening. Dat uitgangspunt stond centraal in de inspecties: heeft de organisatie passende technische én organisatorische maatregelen getroffen voor goed Asset Management gedurende de hele levenscyclus van die assets? Want ‘als je niet weet wat je hebt, kan je het ook niet beschermen’.
Zorgvuldige aanpak en leerzame inzichten
De RDI koos voor een benadering die begint bij de praktijk: vanuit de assets werd gekeken naar het bovenliggende proces. Door middel van locatiebezoeken, interviews en documentanalyse is een beeld ontstaan van hoe AED’s hun Asset Management beheersen.
De resultaten stemmen positief: er zijn geen overtredingen vastgesteld. Tegelijkertijd signaleerde de RDI wel concrete verbetermogelijkheden. Met name in de OT-omgeving (operationele technologie) liggen kansen voor verdere versterking.
Drie veelvoorkomende verbeterpunten
-
OT-assetregistratie verbeteren
Doordat de registratie van OT-asset (deels)handmatige plaatsvindt is de registratie bij enkele AED’s niet volledig of ontbreekt een classificatie. Automatisering kan in sommige situaties hier een verschil in maken. - Afspraken met leveranciers aanscherpen
In (verouderde) OT contracten ontbreken concrete security eisen danwel KPI’s waarop gemonitord kan worden. Onderzoek de mogelijkheid om contracten te vernieuwen of aan te vullen met een addendum. - Actief patch- en onderhoudsbeleid voor verouderde OT-systemen
Bij enkele AED’s onbreekt een concreet een OT patch-en onderhoudsbeleid.
IT registratie van assets vaak beter op orde dan OT-registratie van assets
Een belangrijk inzicht uit de inspecties is dat Asset Management in de IT-omgeving vaak verder gevorderd is dan in de OT-omgeving. Dat komt onder meer doordat diverse OT-assets zoals meet- en regelsystemen niet verbonden zijn met het OT-netwerk, en daardoor nog handmatig moeten worden geïnventariseerd.
Waardevolle praktijken en gedeelde ambitie
Veel organisaties bouwen voort op internationale standaarden zoals ISO27001/27002 en IEC62443. Daarmee wordt een solide basis gelegd. De inspecties laten zien dat er breed draagvlak is bij het verantwoordelijk management en dat er ook binnen de sector een gedeeld besef leeft over het belang van verdere professionalisering.
Samen werken aan weerbaarheid
De RDI roept bedrijven op om met de bevindingen aan de slag te gaan. De inzichten uit de inspecties zijn bedoeld om organisaties te helpen hun Asset Management verder te versterken – met oog voor de praktijk, proportionaliteit en haalbaarheid.
Een uitnodiging tot actie
Voor bestuurders en security officers die verantwoordelijkheid dragen voor essentiële diensten is dit hét moment om te investeren in beter inzicht, betere afspraken en betere borging. Niet uit noodzaak, maar vanuit ambitie: om samen te bouwen aan een toekomstbestendige, veerkrachtige digitale infrastructuur.
In een infographic staan de uitkomsten van de thema-inspecties bij aanbieders van essentiële diensten.