Neem contact op
OT security

OT-security in 2026: Van blinde vlek naar strategische prioriteit

Michel Adelaar
Placeholder for Michel AdelaarMichel Adelaar

Michel Adelaar , Solution lead , Nomios Nederland

6 min. leestijd
Placeholder for OT security in 2026OT security in 2026
Fortinet

Share

Veel organisaties hebben hun IT-security de afgelopen jaren flink verbeterd. Maar terwijl de aandacht daar naartoe ging, dreigt operationele technologie onderbelicht te raken: de systemen die fabrieken, energiecentrales en transportnetwerken draaiende houden. Die systemen zijn steeds vaker verbonden, en daardoor steeds vaker een mogelijk doelwit.

IT en OT groeien naar elkaar toe. Met alle gevolgen van dien

Van geïsoleerd naar verbonden

Operationele technologie (OT) werkt van oudsher volledig op zichzelf. Industriële besturingssystemen (ICS), SCADA-platformen en Programmable Logic Controllers (PLC’s) waren ontworpen voor betrouwbaarheid en continuïteit, niet voor beveiliging in een verbonden wereld.

Digitalisering doorbreekt de afscherming

De druk om efficiënter te werken, op afstand te onderhouden en monitoren en op basis van data beslissingen te nemen, heeft die isolatie doorbroken. PLC’s praten met cloudplatformen. Technici loggen vaak in via VPN, zonder enige vorm van controle. ERP-systemen wisselen gegevens uit met productievloeren.

Maar ook derden hebben vaak externe toegang tot OT-systemen voor onderhoud, patching en support. Het gevolg: OT-netwerken zijn steeds vaker bereikbaar via dezelfde aanvalsroutes als IT-omgevingen, zoals slecht beveiligde toegang op afstand en besturingssystemen zonder updates. Maar dan zonder de beveiligingslagen die IT de afgelopen decennia heeft opgebouwd.

Aanvallers profiteren

Landen als Rusland en China zetten hackergroepen in om kritieke infrastructuur te raken. Denk aan de aanvallen van groep Sandworm op Europese energiebedrijven en overheidsinstanties. Ook criminele groeperingen hebben OT-omgevingen ontdekt als aantrekkelijk doelwit. De impact van een aanval op een OT-omgeving heeft invloed op de continuïteit van bedrijfsprocessen en belangrijker, de veiligheid van mensen.

Waarom OT-security een andere aanpak vraagt

Als CISO of IT-directeur herken je de klassieke beveiligingsprincipes. Maar in OT-omgevingen gelden andere regels en wie dat onderschat, loopt vast. In IT draait beveiliging om vertrouwelijkheid, integriteit en beschikbaarheid. In OT is beschikbaarheid (en veiligheid) extra belangrijk. Een productielijn die stilvalt kost direct geld en kan gevaarlijke situaties opleveren. Dat betekent dat updaten, herstarten of isoleren van systemen vaak geen optie is. Je moet beveiligingsmaatregelen kiezen die daar rekening mee houden.

Oude systemen en weinig zicht op het eigen netwerk

Veel OT-omgevingen draaien op systemen die tientallen jaren oud zijn. Fabrikanten leveren geen updates meer, maar de systemen kunnen niet zomaar worden vervangen of stilgelegd. Ze blijven dus kwetsbaar, en ze vereisen daarom speciale voorzieningen zoals virtual patching. Het is belangrijk dat organisaties zich bewust zijn van hetgeen er in hun OT-omgeving draait. PLC’s, HMI’s, SCADA-systemen, sensoren: het zijn er vaak tientallen of honderden, zonder volledig overzicht. Dat is geen kleinigheid. Je kunt niet beschermen wat je niet kent.

Slechte afscherming en externe leveranciers

De scheiding tussen IT en OT is vaak niet goed geregeld. Zodra een aanvaller het IT-netwerk binnendringt, is de stap naar OT-systemen soms klein. Daar komt bij dat OT-omgevingen worden onderhouden door externe leveranciers met toegang op afstand. Die toegangspunten zijn vaak onvoldoende beveiligd, worden nauwelijks gemonitord of zijn soms zelfs niet bekend. Streven naar Zero Trust is hierbij noodzakelijk.

Regelgeving maakt afwachten geen optie meer

Van vrijblijvend naar verplicht: bestuurders persoonlijk aansprakelijk

Beveiligingsstandaarden voor OT bestaan al langer. IEC 62443 biedt een goed kader voor industriële beveiliging, en de NIST-richtlijnen voor ICS zijn breed bekend. Maar lang was het vrijblijvend: organisaties kozen zelf of ze deze standaarden toepasten. Dat is nu voorbij. De NIS2-richtlijn stelt strengere eisen aan organisaties in sectoren zoals energie, water, transport en zorg. Bestuurders zijn persoonlijk aansprakelijk bij tekortkomingen. Incidenten moeten binnen 24 uur worden gemeld, gevolgd door een volledige melding binnen 72 uur en een eindrapport binnen een maand. Maatregelen voor risicobeheer zijn geen keuze meer, ook niet voor OT.

Daarnaast verplicht de Cyber Resilience Act fabrikanten van OT-onderdelen om hun producten aantoonbaar veilig te maken en te houden, gedurende de hele levensduur. Voor een CISO of IT-directeur betekent dit dat OT-security niet langer alleen een technische kwestie is. Het vraagt om betrokkenheid van het bestuur, duidelijke verantwoordelijkheden, aantoonbare keuzes rond risico’s en een goed ingericht proces voor als er toch iets misgaat.

Waar te beginnen? Een heldere volgorde van prioriteiten

De omvang van het vraagstuk kan groot aanvoelen. Toch is er een logische volgorde:

  1. Zorg voor overzicht. Weet wat er in je netwerk draait. Een actuele inventarisatie van alle apparaten is de basis van alles. Zonder dit overzicht zijn alle vervolgstappen gebouwd op drijfzand.
  2. Versterk de afscherming. Zorg voor een duidelijke scheiding tussen IT en OT, en beperk ook binnen het OT-netwerk hoe ver een aanvaller zich kan bewegen.
  3. Beveilig toegang op afstand. Zorg voor gecentraliseerde toegangscontrole tot kritieke systemen, waarbij wordt bepaald wie toegang krijgt en onder welke voorwaarden.
  4. Stel prioriteiten. Niet alles kan tegelijk worden aangepakt. Begin bij de systemen waar uitval of een aanval de grootste gevolgen heeft.
  5. Regel de verantwoordelijkheid. Zorg dat OT-security een vaste plek heeft in de boardroom, met duidelijk eigenaarschap en een bijpassend budget.
Placeholder for OT security for energy and utiltiesOT security for energy and utilties

Hoe Fortinet OT-omgevingen beschermt

Één platform voor IT en OT

Fortinet is een van de weinige leveranciers met een compleet en specifiek op OT gericht portfolio. Wat dat onderscheidend maakt: alle onderdelen werken samen via de Fortinet Security Fabric, waardoor IT en OT vanuit één platform beheerd en bewaakt worden. Dat voorkomt blinde vlekken die ontstaan als losse tools niet met elkaar communiceren.

Bescherming van de productievloer

De basis wordt gevormd door FortiGate Rugged, een breed portfolio aan industriële firewalls die bestand zijn tegen extreme omstandigheden op de productievloer en die industriële protocollen zoals Modbus en DNP3 diep kunnen inspecteren d.m.v. OT Security Services. Daaromheen biedt FortiGuard Labs voortdurend bijgewerkte dreigingsinformatie, specifiek gericht op kwetsbaarheden in PLC’s, HMI’s en SCADA-systemen. Met Fortinet Virtual Patching blijven ook systemen die niet gepatcht kunnen worden, toch beschermd.

Detectie en reactie

Voor zichtbaarheid en detectie zorgen FortiAnalyzer en FortiNDR: samen brengen ze de hele omgeving in kaart, herkennen ze afwijkend gedrag via AI en kunnen ze automatisch ingrijpen. En mocht een aanvaller toch binnenkomen, dan helpen FortiSOAR en FortiDeceptor bij snelle detectie en respons. FortiDeceptor lokt aanvallers naar nep-systemen, zodat echte systemen buiten schot blijven.

De rol van Nomios: kennis boven verkoop

Technologie is pas het halve werk

Technologie is één ding. De vraag is hoe je die technologie goed inzet in een omgeving waar operationele continuïteit en veiligheid voorop staan, waar legacy-systemen de norm zijn en waar de druk vanuit regelgeving toeneemt. We beginnen altijd met inzicht: wat draait er, hoe is het verbonden en waar zitten de echte risico’s? Daarna helpen we bij het ontwerp en de uitrol van een beveiligingsarchitectuur (segmentatie), met als uitgangspunt IEC 62443 en gebruikmakend van de Fortinet Security Fabric.

Wat we in de praktijk zien

Nomios werkt al jarenlang met Fortinet om OT-omgevingen te beveiligen. De grootste risico’s zitten zelden in het ontbreken van technologie, maar in hoe die technologie is ingericht. Een firewall die OT-protocollen niet begrijpt. Segmentatie die op papier klopt maar in de praktijk lek is. Monitoring die wel data verzamelt, maar waarbij niemand er actief naar kijkt. Veel organisaties stappen af van een volledig geïsoleerde (air-gapped) omgeving en brengen IT en OT dichter bij elkaar. Precies op dat moment is de beveiliging het meest kwetsbaar en dus het belangrijkst.

OT-security begint vandaag

OT-security is geen technisch niche-onderwerp meer. Het raakt de continuïteit van je organisatie, de veiligheid van mensen en, zeker met NIS2 in het achterhoofd, de persoonlijke verantwoordelijkheid van bestuurders. De organisaties die nu investeren in overzicht, goede afscherming en duidelijke verantwoordelijkheden, bouwen aan een omgeving die ook morgen standhoudt. Wie wacht, riskeert dat een incident hen dwingt tot veel duurdere maatregelen op het slechtst mogelijke moment.

Wil je weten waar de blinde vlekken in jouw OT-omgeving zitten? Nomios doet een gerichte OT-security quickscan en geeft je binnen korte tijd een helder beeld van de risico’s én de stappen die ertoe doen.

Neem contact op met onze experts

Ons team staat voor je klaar

Geef ons een belletje of laat een bericht achter. We zijn benieuwd naar jouw security project, netwerk uitdagingen of andere vragen.

Nu bellen
Artikelen

Meer updates

Placeholder for Nomios Cybersecurity portfolio 2026Nomios Cybersecurity portfolio 2026

Portfolio

Nomios Circle of Trust: één cybersecurity portfolio, zes expertise domeinen

Nomios heeft zijn cybersecurity portfolio vernieuwd rond een architectuur in plaats van individuele producten - iets dat je grip geeft in een dynamische markt, van strategie en ontwerp tot implementatie en operaties.

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman

4 min. leestijd
Placeholder for Tsunami vulnerability ai cybersecurityTsunami vulnerability ai cybersecurity

Artificial Intelligence

De aankomende patch-tsunami: hoe AI het vulnerability landschap herschrijft

AI-systemen vinden kwetsbaarheden. Niet incidenteel, maar op een schaal en in een tempo die de traditionele kwetsbaarhedenketen onder druk zet.

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman

2 min. leestijd
Placeholder for Accelerate25 blog heroAccelerate25 blog hero
Fortinet

SASE

FortiOS 8.0: veilig netwerken in het AI-tijdperk

Tijdens Fortinet Accelerate 2026 in Las Vegas introduceerde Fortinet FortiOS 8.0, de nieuwste versie van het besturingssysteem dat de Fortinet Security Fabric aandrijft.

Michel Adelaar
Placeholder for Michel AdelaarMichel Adelaar

Michel Adelaar

2 min. leestijd
 Alle artikelen