De productiesector is al vijf jaar op rij de meest geviseerde sector voor cyberaanvallen, goed voor bijna 28% van alle incidenten die IBM X-Force in 2025 bijhield. Het probleem is niet bewustwording. De meeste productieteams weten dat ze risico lopen. Het probleem is de implementatie. PLC’s, HMI’s en industriële sensoren kunnen geen beveiligingsagenten uitvoeren. Ze werken op realtime besturingssystemen zonder ruimte voor endpointsoftware. Traditionele IT-beveiliging stopt bij de fabrieksdeur.
SASE-platforms met hardwaregebaseerde inline isolatie veranderen die vergelijking. Ze breiden Zero Trust controles uit naar de productievloer zonder de apparaten zelf aan te raken en zonder de activiteiten te verstoren. Deze gids legt uit wat productienetwerken anders maakt, hoe inline isolatie in de praktijk werkt en wat fabrikanten in het middensegment moeten evalueren voor hun CyFun-deadline in april 2026.
Hoe beveilig je een productienetwerk zonder de bedrijfsvoering te verstoren?
U plaatst hardware-gebaseerde inline isolatie tussen elk agentloos apparaat en het netwerk. De isolatie-appliance dwingt communicatiebeleidsregels per apparaat af, waardoor een PLC alleen zijn MES-server kan bereiken en al het andere wordt geblokkeerd. Er wordt geen software geïnstalleerd op het apparaat. Er is geen netwerkherontwerp nodig. De implementatie gebeurt apparaat voor apparaat tijdens geplande onderhoudsvensters en de productielijn blijft draaien.
Waarom productie het belangrijkste doelwit is (en waarom IT-beveiliging niet helpt)
Ransomware treft productiebedrijven harder dan welke andere sector dan ook om een eenvoudige reden: stilstand staat gelijk aan productieverlies en productieverlies betekent betaling. Volgens onderzoek van Siemens en Forrester kost niet geplande stilstand industriële bedrijven gemiddeld ongeveer 125.000 dollar per uur. In de automobielindustrie is dat meer dan 2 miljoen dollar per uur. Wanneer aanvallers productiesystemen versleutelen, is de druk om te betalen onmiddellijk en immens.
Het aanvalsoppervlak blijft groeien. IBM X-Force gegevens uit 2025 laten een toename zien van 44% in aanvallen waarbij misbruik wordt gemaakt van publiek toegankelijke applicaties, nu de belangrijkste aanvalsvector met 40% van alle productie-incidenten. Infostealers, AI-gegenereerde phishing-campagnes en aanvallen op de toeleveringsketen maken het dreigingslandschap compleet. Belgische fabrikanten hebben te maken met dezelfde groepen die actief zijn in de hele Benelux: Qilin, Akira en Clop hebben de leemte opgevuld die LockBit had achtergelaten.
Traditionele IT-beveiligingstools lossen dit niet op. Endpoint detection and response software vereist een agent op elk apparaat. Firewalls beschermen de perimeter, maar kunnen laterale bewegingen binnen het netwerk niet zien of tegenhouden. Antivirussoftware vangt bekende handtekeningen op, maar mist nieuwe aanvallen op industriële protocollen. Een PLC met VxWorks en 64 MB RAM kan geen van deze tools hosten.
Het antwoord is niet nog een monitoringtool die op het netwerk wordt geschroefd. Het is een platform dat elk apparaat isoleert op netwerkniveau, zonder agents, zonder verstoring van de productie.
Wat productienetwerken onderscheidt van IT-netwerken
IT-OT convergentie is geen toekomstig concept. Het gebeurt al op de meeste fabrieksvloeren in het middensegment van de markt. Productiegegevens stromen van PLC’s naar MES-systemen naar ERP-platforms. Onderhoudstechnici op afstand maken van thuis uit verbinding met HMI’s. Sensorgegevens voeden dashboards voor cloudanalyse. Elk van deze verbindingen creëert een pad dat een aanvaller kan volgen.
Het Purdue-model, dat IT en OT van oudsher scheidde in verschillende niveaus met een luchtspleet ertussen, is grotendeels ingestort. Niveau 3.5 (de gedemilitariseerde zone) was bedoeld als het enige kruispunt. In de praktijk zijn directe verbindingen tussen niveau 2 (besturingssystemen) en niveau 4 (bedrijfs-IT) gebruikelijk.
Wat deze netwerken fundamenteel anders maakt dan IT-omgevingen:
| Aspect | IT-netwerk | Productienetwerk |
|---|---|---|
| Updatecyclus | Maandelijkse patches | Jaren tussen updates |
| Agent ondersteuning | Standaard op alle eindpunten | Zelden mogelijk |
| Tolerantie stilstand | Geplande onderhoudsvensters | Nagenoeg nultolerantie |
| Protocollen | TCP/IP, HTTPS | Modbus TCP, BACnet, EtherNet/IP, PROFINET |
| Prioriteit beveiliging | Vertrouwelijkheid | Beschikbaarheid |
| Beperkingen van leveranciers | Open ecosysteem | Gecertificeerde configuraties, garantie vervalt bij wijzigingen |
De protocolmix is belangrijker dan de meeste beveiligingsleveranciers erkennen. Modbus draait via TCP. BACnet werkt via UDP. EtherNet/IP gebruikt zowel TCP als UDP. PROFINET werkt op laag 2. Beveiligingstools die alleen TCP-verkeer inspecteren, missen een aanzienlijk deel van de OT-communicatie. De NIAC (Network Isolation Access Controller) van Jimber verwerkt zowel TCP- als UDP-verkeer vanuit één appliance, wat een concreet voordeel is ten opzichte van oplossingen die alleen TCP inspecteren, zoals gedocumenteerd in de vergelijking met FortiSASE.
Hoe inline isolatie apparaten beveiligt die zichzelf niet kunnen beschermen
Hier verschuift het gesprek van probleem naar oplossing. En de oplossing heeft een naam.
De NIAC van Jimber bevindt zich fysiek tussen het agentless apparaat en de rest van het netwerk. Het is een hardware-apparaat dat een communicatiebeleid per apparaat afdwingt op netwerkniveau. Een PLC mag alleen communiceren met zijn MES-server. Een HMI kan de historian database bereiken en verder niets. Elke andere verbindingspoging wordt geblokkeerd en gelogd.
De NIAC maakt gebruik van AI-gestuurde vingerafdrukken van apparaten om te identificeren wat elk apparaat is zonder handmatige configuratie. Het bouwt een profiel op van normale communicatiepatronen en dwingt vervolgens beleidsregels af op basis van dat profiel. Zowel TCP- als UDP-protocollen worden ondersteund. Dit alles wordt beheerd vanuit dezelfde cloudconsole die ZTNA, SWG, FWaaS en SD-WAN beheert, wat betekent dat het IT-team geen aparte tool of interface nodig heeft voor de beveiliging van het productienetwerk.
Dit is hoe het er in de praktijk uitziet.
Scenario 1: USB-stick op een gedeeld VLAN
Een onderhoudsmonteur steekt een USB-stick in een HMI om een receptbestand bij te werken. De USB-stick bevat malware die de HMI infecteert. In een traditioneel plat netwerk of gedeeld VLAN scant die malware naar andere apparaten en verspreidt zich binnen enkele minuten naar PLC’s, historians en technische werkstations.
Met Jimbers NIAC kan de geïnfecteerde HMI alleen communiceren met de specifieke systemen die het beleid toestaat. De netwerkscan van de malware levert niets op. Het compromis blijft beperkt tot één apparaat. Het beveiligingsteam krijgt een waarschuwing van de afwijkende verkeerspoging. De productie gaat door op elke andere lijn.
Scenario 2: Externe toegang voor leverancier via VPN
Een externe engineer moet een probleem met een PLC oplossen. De standaardaanpak is een VPN-verbinding die toegang verleent tot het volledige OT-netwerksegment. De leverancier ziet elk apparaat, elk protocol, elk systeem op dat segment.
Jimber vervangt dat brede VPN door ZTNA: tijdgebonden toegang per toepassing. De leverancier bereikt alleen de specifieke PLC die hij moet bedienen. De sessie wordt van begin tot eind gelogd. De toegang verloopt automatisch wanneer het onderhoudsvenster wordt gesloten. Er is geen zijwaartse beweging mogelijk omdat de leverancier nooit het bredere netwerk betreedt.
Scenario 3: Ransomware kruist van IT naar productie
Ransomware versleutelt bestandsservers op het IT-netwerk van het bedrijf. Het verspreidt zich via SMB-shares en beweegt zich via een gedeelde switch of router naar het productiesegment. In een traditioneel netwerk bereikt de ransomware PLC’s, HMI’s en historians binnen hetzelfde broadcastdomein.
Met inline isolatie zit elk productieapparaat achter een NIAC dat alleen de gedefinieerde communicatiepaden toestaat. De PLC communiceert met de MES-server en de updateserver. Al het andere wordt geblokkeerd. De laterale beweging van de ransomware stuit op een muur aan de grens van elk apparaat. IT herstelt van het ransomware-incident terwijl de productie nooit stopt.
Voor een gedetailleerde technische vergelijking van hoe dit contrasteert met OT-benaderingen die alleen de perimeter betreffen, zie de vergelijking van Cato Networks.
NIS2 en IEC 62443: wat compliance vraagt van je productienetwerk
Productiebedrijven in België die zijn geclassificeerd als “belangrijke entiteiten” onder NIS2 krijgen te maken met een concrete deadline. Het CyberFundamentals (CyFun) kader, beheerd door het Centre for Cybersecurity Belgium (CCB), vereist een eerste conformiteitsverificatie tegen april 2026. De volledige certificering voor essentiële entiteiten volgt in april 2027.
CyFun brengt internationale raamwerken in kaart, waaronder NIST CSF 2.0 en ISO 27001, maar voegt controles toe die specifiek zijn voor België. Voor fabrikanten omvatten de relevante vereisten netwerksegmentatie en toegangscontrole voor productiesystemen, mogelijkheden voor incidentdetectie en logging, risicobeheer voor de toeleveringsketen (inclusief toegang van leveranciers tot OT-omgevingen) en verantwoordelijkheid op directieniveau voor cyberbeveiligingsmaatregelen.
IEC 62443, de internationale standaard voor beveiliging van industriële automatisering, vult NIS2 aan met zijn zone-en-doorvoermodel. Fabrikanten moeten beveiligingszones definiëren rond groepen bedrijfsmiddelen met vergelijkbare beveiligingseisen en alle communicatie controleren die de zonegrenzen overschrijdt via gedefinieerde leidingen.
Inline isolatie is direct gekoppeld aan beide frameworks. Elke NIAC creëert een beveiligingszone van één apparaat. Communicatiebeleidslijnen definiëren de kanalen. Elke toegangsbeslissing wordt vastgelegd.
De enkelvoudige beheerconsole van Jimber biedt de gecentraliseerde logging en audit trail die NIS2-beoordelaars verwachten. Elke toegangsbeslissing, elke apparaatcommunicatiestroom en elke beleidswijziging wordt op één plaats vastgelegd. Voor fabrikanten die als belangrijke entiteiten zijn geclassificeerd, genereert het Jimber-platform de bewijspakketten die CyFun-eisen voor conformiteitsbeoordelingen, zonder handmatige logboekassemblage vanuit vijf verschillende tools.
Raadpleeg de gekoppelde gidsen voor de volledige vereisten voor NIS2-compliance en een praktische checklist voor NIS2-compliance. De gids voor apparaatpostuurcontroles behandelt hoe beheerde apparaten in hetzelfde complianceplaatje passen.
Wat te evalueren bij het kiezen van beveiliging voor middelgrote productiebedrijven
Niet elk SASE platform is gebouwd voor productieomgevingen. Bij het evalueren van opties maken deze vijf criteria een onderscheid tussen oplossingen die op de fabrieksvloer werken en oplossingen die alleen in het datacenter werken.
1. Agentless apparaatondersteuning: inline isolatie vs. alleen monitoring
Passieve OT-monitoringprogramma’s zoals Claroty en Nozomi detecteren afwijkingen, maar blokkeren ze niet. Ze vertellen je dat er iets mis is gegaan. Inline isolatie voorkomt dat dit gebeurt. NIAC van Jimber biedt hardwarematige inline isolatie, geen passieve bewaking. Het dwingt beleidsregels in realtime af en blokkeert ongeautoriseerde communicatie voordat deze het doelapparaat bereikt.
2. Ondersteuning voor protocollen: TCP en UDP
Productieomgevingen maken gebruik van zowel op TCP gebaseerde protocollen (Modbus, EtherNet/IP CIP) als op UDP gebaseerde protocollen (BACnet, PROFINET). Een beveiligingsoplossing die alleen TCP-verkeer inspecteert, laat UDP-communicatie onbewaakt en ongecontroleerd. Jimber ondersteunt zowel TCP- als UDP-protocollen vanaf hetzelfde apparaat.
3. Eén console voor IT en OT
Het beheren van productiebeveiliging vanuit een aparte tool creëert blinde vlekken en verdubbelt de operationele belasting. Jimber beheert NIAC-beleid, ZTNA-toegangsregels, SWG-configuratie en SD-WAN-connectiviteit vanuit één interface. Het IT-team ziet het hele netwerk, IT en OT, in één dashboard.
4. NIS2 nalevingsrapportage
Het handmatig verzamelen van logbestanden uit meerdere tools is tijdrovend en foutgevoelig. Gecentraliseerde logging genereert het auditbewijs dat CyFun-beoordelaars nodig hebben. Jimber’s console legt elke beleidsbeslissing voor elk onderdeel vast in één doorzoekbaar logboek.
5. Implementatie zonder productieonderbreking
Elke oplossing waarbij het netwerk opnieuw moet worden ontworpen, VLAN’s moeten worden geherstructureerd of langdurige downtime nodig is, is onpraktisch voor een productieomgeving. NIAC past inline zonder de bestaande netwerkinfrastructuur opnieuw te configureren. Gefaseerde uitrol, apparaat voor apparaat, tijdens geplande onderhoudsvensters. Een typische productievloer in het middensegment met 20 tot 50 agentloze apparaten kan volledig worden gedekt in dagen, niet in maanden.
Voor een bredere kijk op hoe de SASE architectuur deze componenten samenbrengt en hoe microsegmentatie werkt op identiteitsniveau, gaan de gekoppelde gidsen dieper in op elk onderwerp. De gids voor netwerksegmentatie behandelt de evolutie van VLAN’s naar isolatie op basis van identiteit.
Wat is OT-beveiliging en hoe verschilt het van IT-beveiliging?
OT-beveiliging richt zich op het beschermen van de systemen die fysieke processen besturen: PLC’s, HMI’s, SCADA-systemen, sensoren en actuatoren. De prioriteit ligt bij beschikbaarheid en veiligheid, niet bij vertrouwelijkheid. Patching is zeldzaam omdat updates de productie kunnen verstoren. Apparaten gaan tientallen jaren mee. Protocollen hebben geen ingebouwde authenticatie. IT-beveiliging gaat ervan uit dat je agents kunt installeren, maandelijks patches kunt pushen en korte onderbrekingen voor onderhoud kunt tolereren. Geen van deze aannames gaat op voor de fabrieksvloer.
Kan ik PLC’s beveiligen zonder er software op te installeren?
Ja. Inline isolatiehardware zoals NIAC van Jimber bevindt zich tussen het apparaat en het netwerk en dwingt het communicatiebeleid per apparaat af zonder software op de PLC zelf. De NIAC identificeert het apparaat via ’traffic fingerprinting’, leert zijn normale communicatiepatronen en blokkeert alles wat buiten die basislijn valt. De PLC weet niet dat de NIAC er is.
Is NIS2 van toepassing op productiebedrijven?
Ja. Industrie wordt expliciet genoemd als een sector onder NIS2. Bedrijven in de categorieën Bijlage I en Bijlage II, waaronder fabrikanten van medische apparatuur, elektronica, machines en transportmiddelen, worden geclassificeerd als belangrijke of essentiële entiteiten, afhankelijk van hun omvang en maatschappelijke impact. In België gebruikt het CCB het CyFun-raamwerk voor nalevingscontrole. De eerste deadline is april 2026. Zie de volledige NIS2-nalevingschecklist voor meer informatie.
Waarin verschilt SASE van speciale OT-monitoringprogramma’s zoals Claroty of Nozomi?
OT-monitoringprogramma’s geven inzicht in het industriële netwerkverkeer en detecteren afwijkingen. Ze zijn waardevol om te begrijpen wat er op je productienetwerk gebeurt. Maar ze handhaven geen beleid of blokkeren ongeautoriseerde communicatie in realtime. SASE met inline isolatie, zoals Jimber biedt via NIAC, combineert detectie met handhaving. Het vertelt je niet alleen dat een PLC een onbevoegd commando heeft ontvangen. Het voorkomt ook dat het commando de PLC bereikt.
Wat is IEC 62443 en heb ik het nodig?
IEC 62443 is de internationale norm voor beveiliging in industriële automatiserings- en besturingssystemen. Het definieert een zone-en-doorgangsmodel waarbij activa worden gegroepeerd in beveiligingszones en alle zone-overschrijdende communicatie via gecontroleerde doorgangen verloopt. Hoewel het niet wettelijk verplicht is in België, verwijst CyFun naar de principes en veel fabrikanten in gereguleerde sectoren (farma, voeding, energie) gebruiken het als hun basis. Inline isolatie sluit op natuurlijke wijze aan bij IEC 62443 omdat elk apparaat achter een NIAC in feite zijn eigen zone wordt.
Hoe lang duurt het om inline isolatie op een productievloer te implementeren?
Jimber’s NIAC kan apparaat voor apparaat worden ingezet tijdens geplande onderhoudsvensters. Er is geen herontwerp van het netwerk nodig. Het apparaat wordt inline geplaatst, leert normale verkeerspatronen in de bewakingsmodus en schakelt vervolgens over naar de handhavingsmodus zodra de basislijn is vastgesteld. Een typische productievloer in het middensegment met 20 tot 50 kritieke apparaten kan volledig worden gedekt in dagen, niet in maanden. De uitrol is gefaseerd zodat de productie nooit stopt.
Het SASE-platform van Jimber brengt dezelfde Zero Trust-controles die je IT-netwerk al gebruikt naar de productievloer. Geen agents op PLC’s. Geen downtime tijdens implementatie. Eén console voor alles. Als je CyFun-deadline nadert en je productieapparaten nog steeds onbeschermd zijn, is dit het moment om dat gat te dichten. Bekijk de use case voor industriële OT-beveiliging voor meer informatie over de implementatie, of boek een demo om inline isolatie aan het werk te zien op echte industriële protocollen.
