Cybersecurity in gebouwautomatisering
Naarmate gebouwsystemen meer verbonden raken met IT-netwerken en het internet, worden ze kwetsbaarder voor cyberaanvallen. Een gecompromitteerd BMS kan leiden tot klimaatuitval, ongeautoriseerde toegang of data-lekkage. Als FM-professional deelt u de verantwoordelijkheid voor cybersecurity met de IT-afdeling.
Nederlandse context
Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties over cybersecurity. De NIS2-richtlijn (EU) stelt vanaf 2024 eisen aan cybersecurity voor essentiële en belangrijke entiteiten, waaronder gebouwen met kritieke functies. Het NCSC heeft specifieke advisering uitgebracht over de beveiliging van operationele technologie (OT), waar gebouwautomatisering onder valt.
Kernbegrippen
- OT-security
- Beveiliging van Operationele Technologie: de systemen die fysieke processen aansturen (BMS, HVAC, toegangscontrole). Verschilt fundamenteel van IT-security.
- NIS2
- EU Network and Information Security Directive 2. Stelt cybersecurity-eisen aan essentiële en belangrijke entiteiten. Betreft ook organisaties die gebouwen met kritieke functies beheren.
- Netwerksegmentatie
- Het scheiden van het BMS-netwerk van het kantoor-IT-netwerk en het internet. Voorkomt dat een aanval op het kantoornetwerk het gebouwbeheersysteem bereikt.
- Default credentials
- Standaard gebruikersnamen en wachtwoorden die fabrikanten meegeven. Worden vaak niet gewijzigd en vormen een van de meest uitgebuite kwetsbaarheden in gebouwsystemen.
- Firmware-update
- Software-update voor de controller-hardware in het BMS. Bevat vaak beveiligingspatches. Wordt in gebouwautomatisering veel minder regelmatig uitgevoerd dan in IT.
Wat de wet vereist
De NIS2-richtlijn verplicht organisaties in aangewezen sectoren tot het nemen van passende cybersecuritymaatregelen. Voor gebouwen met kritieke functies (ziekenhuizen, energieinfrastructuur, overheidsgebouwen) geldt dat de gebouwautomatisering onder de scope kan vallen. De wet vereist risicomanagement, incidentmelding en supply chain security.
De AVG is relevant wanneer het BMS persoonsgegevens verwerkt: bezettingsdata, toegangslogboeken, camera-beelden. Een datalek in het gebouwsysteem is een datalek in de zin van de AVG, met meldplicht aan de Autoriteit Persoonsgegevens.
Uw verantwoordelijkheid als FM-professional: werk samen met IT om het BMS-netwerk te segmenteren, wijzig alle standaard wachtwoorden, beperk de toegang tot het BMS tot geautoriseerde gebruikers en zorg dat firmware-updates periodiek worden uitgevoerd. Neem cybersecurity op als eis in BMS-servicecontracten en bij de aanschaf van nieuwe IoT-sensoren. Een sensor zonder beveiligingsupdates is een open deur.
Verwante onderwerpen
Volg het laatste nieuws over dit onderwerp via Slimme gebouwen op FM Radar →