De komst van het CRA: een troef voor de OT-sector

De komst van het CRA: een troef voor de OT-sector

Voor het eerst een compleet OT-aanbod op de beurs Cybersec Europe. Een primeur in België

De CRA (Cyber Resilience Act) komt eraan. De wetgeving zal centraal staan op Cybersec Europe Brussels op 20 en 21 mei. Ze is vooral interessant voor spelers in de OT-sector (Operational Technology). Een overzicht van de uitdagingen met Agoria.

De CRA is de eerste Europese verordening inzake de cyberveiligheid van producten en richt zich op fabrikanten, importeurs en distributeurs van producten met digitale componenten. Kortom, alles wat software bevat of met een netwerk is verbonden.

Voor fabrikanten van machines, industriële apparatuur en verbonden producten introduceert deze verordening nieuwe verplichtingen die de ontwerp- en commercialiseringspraktijken ingrijpend veranderen. OT is hier bijzonder bij betrokken. Fabrikanten van besturingssystemen (SCADA, DCS, PLC), slimme sensoren en mens-machine-interfaces (HMI) moeten hun ontwikkelingsprocessen aanpassen.

De OT, een belangrijk doelwit

Het centrale doel van de CRA is het opleggen van een “security by design”-benadering voor alle digitale producten. Deze filosofie vereist dat cyberbeveiliging al in de eerste ontwikkelingsfasen wordt geïntegreerd, en niet achteraf als een extra laag wordt toegevoegd. Bovendien verplicht de CRA fabrikanten om gedurende de levensduur van het product updates te leveren.

Voor Gregorio Matias, CEO van MCG, is OT een voorkeursdoelwit, met een enorme toename van ransomware-aanvallen, waardoor actieve verdedigingsmaatregelen moeten worden genomen en oudere systemen die niet gemakkelijk kunnen worden gepatcht, moeten worden beveiligd. “IT en OT spreken niet dezelfde taal. En als niemand een brug tussen hen slaat, blijven deze twee werelden kwetsbaar”, meent de expert van Agoria. In die zin zal de CRA hen samenbrengen.

Te weinig aandacht voor de levenscyclus van een product

Er is haast bij. In 2026 is het niet langer de vraag of een fabriek het doelwit zal worden, maar hoe lang ze stand kan houden voordat ze gecompromitteerd wordt. Een van de grootste uitdagingen van 2026 ligt in de versnelde automatisering en robotisering van productielocaties. Moderne fabrieken maken tegenwoordig gebruik van collaboratieve robots (cobots), geautomatiseerde transportsystemen en reinigings- of inspectierobots, die zijn ontworpen om de productiviteit te verhogen en de kosten te verlagen.

Op het gebied van cyberbeveiliging is er nog veel werk aan de winkel. “Zelfs in de nieuwe productieomgevingen wordt er te weinig aandacht besteed aan de volledige levenscyclus, vaak onder druk van strakke deadlines”, constateert Erik De Nert, Head of OT bij Spotit. “Maar cyberbeveiliging houdt niet op bij de levering van een product!”

Naast robots blijven industriële omgevingen kampen met structurele kwetsbaarheden. In tegenstelling tot traditionele IT-omgevingen staan industriële organisaties voor complexe uitdagingen bij het beheersen van een heterogeen IT/OT-ecosysteem, terwijl ze tegelijkertijd de specifieke veiligheidsdoelstellingen, de vertrouwelijkheid en de beschikbaarheid van elke omgeving moeten waarborgen.

Een strak tijdschema

De volledige toepassing van de CRA is gepland voor 11 december 2027, maar een essentieel pakket verplichtingen treedt eerder in werking: vanaf 11 september 2026 moeten fabrikanten actief misbruikte kwetsbaarheden en ernstige beveiligingsincidenten melden.

Deze meldingsplicht vormt op operationeel vlak het meest cruciale onderdeel van de CRA. Het betrekt IT-beveiligingsteams rechtstreeks bij de regelgevingsprocessen en creëert een strakke koppeling tussen het beheer van kwetsbaarheden en de communicatie met de autoriteiten.

Concreet gezien kunnen de oude machines gewoon blijven worden gebruikt, verzekert Geoffroy Moens, Global Cybersecurity Architect bij Schneider Electric. „Het CRA richt zich op nieuwe producten. U beperkt zelf de risico’s van bestaande producten door middel van compenserende maatregelen, zoals netwerksegmentatie, het isoleren van kwetsbare systemen en gecontroleerde toegang. Met de CRA daarentegen zal het vervangen van bestaande producten door ‘secure-by-design’-producten het aanvalsoppervlak van industriële omgevingen verkleinen. En hoe eerder, hoe beter!”

Op CyberSec Europe 2026 zullen bezoekers voor het eerst een compleet OT-aanbod op de beurs ontdekken. Een primeur in België. Agoria nodigt kmo’s uit om de experts en leden van Cyber Made in Belgium te ontmoeten.