NIS2 nadert: Wat de Asahi-aanval leert over bedrijfscontinuïteit
Met de deadline voor de NIS2-richtlijn in zicht worden de strategische gevolgen van een cyberaanval steeds duidelijker. De ransomware-aanval op brouwerijgroep Asahi is geen geïsoleerd technisch probleem, maar een casestudy in bedrijfsrisico. De aanval legde niet alleen IT-systemen plat, maar stopte ook de bierproductie in Italië, wat direct de operationele continuïteit en omzet raakte. Dit praktijkvoorbeeld onderstreept de urgentie voor Europese directiekamers om cybersecurity als een bedrijfskritisch thema te behandelen.
Luister naar dit artikel:
Van productie tot logistiek: Ransomware raakt de operationele kern
Het risico beperkt zich niet tot de maakindustrie. De verstoringen bij Europese logistieke knooppunten, zoals de havens van Antwerpen en Rotterdam, tonen een vergelijkbaar patroon. De kern van het probleem is de toenemende integratie van informatietechnologie (IT) en operationele technologie (OT). Simpel gezegd: de systemen die e-mails en data beheren (IT) zijn direct verbonden met de systemen die fysieke processen aansturen (OT). Een digitale inbraak kan daardoor direct leiden tot een fysieke productiestop.
Voorbij de techniek: Concrete stappen voor strategische weerbaarheid
Een effectieve voorbereiding op incidenten zoals bij Asahi vraagt om meer dan technische maatregelen. IT-beslissers moeten de regie nemen met een strategisch plan. Overweeg de volgende acties: 1. Voer een geïntegreerde risicoanalyse uit voor zowel IT- als OT-omgevingen. 2. Test het incident response-plan met realistische scenario's die ook de directie betrekken. 3. Zorg voor duidelijke segmentatie tussen IT- en OT-netwerken om verspreiding te beperken. 4. Bouw een cultuur waarin operationele teams en IT-security structureel samenwerken.
De CISO als strategisch partner: Bent u echt voorbereid?
De lessen uit de Asahi-zaak benadrukken de veranderende rol van de CISO en IT-manager. Zij zijn niet langer enkel technisch verantwoordelijk, maar fungeren als strategische adviseurs die cyberrisico's vertalen naar concrete bedrijfsimpact. Het is hun taak om het bestuur te informeren over de gevaren van een productiestop of datalek in de context van NIS2-compliance en merkschade. De centrale vraag voor elke organisatie is dan ook niet óf men geraakt wordt, maar hoe veerkrachtig men is. Wat betekent een productiestop van twee weken voor uw organisatie?
