Waarom is CYRA-OT ontwikkeld?

Operationele technologie, zoals industriële besturingssystemen, procesautomatisering en technische installaties, wordt steeds meer gekoppeld aan IT-omgevingen. Hierdoor nemen ook de digitale risico’s toe. 

Een incident in een OT-omgeving kan leiden tot: 

• Verstoring van productieprocessen
• Uitval van installaties of infrastructuur
• Veiligheidsrisico’s voor medewerkers of omgeving
• Langdurige stilstand met grote financiële gevolgen. 

Tegelijkertijd nemen de eisen aan digitale weerbaarheid toe, onder meer door wet- en regelgeving zoals de Cyberbeveiligingswet. Organisaties moeten aantoonbaar grip hebben op digitale risico’s binnen hun gehele leveranciersketen, inclusief OT-omgevingen. 

CYRA-OT helpt organisaties om structureel grip te krijgen op deze risico’s, passend bij hun rol, omvang en risicoprofiel. 

Gebaseerd op IEC 62443 

CYRA-OT is gebaseerd op de uitgangspunten van de IEC 62443, de internationale standaard voor beveiliging van Industrial Automation and Control Systems (IACS). Daarbij sluit CYRA-OT specifiek aan op de onderdelen IEC 62443-2-2 (beheersmaatregelen op organisatieniveau) en IEC 62443-3-1 (systeembeveiliging en risicoanalyse).  

De CYRA-OT module is een praktische vragenlijst, gebaseerd op IEC 62443, die bestaat uit vier CYRA-niveaus met elk drie volwassenheidslevels. CYRA-OT helpt organisaties om verantwoordelijkheden, risicobeheersing en besluitvorming rondom OT-systemen structureel te organiseren. De focus ligt hierbij nadrukkelijk op de organisatorische inrichting en beheersing van OT-omgevingen, en niet op de beveiliging van individuele producten of diensten. Hierdoor wordt de norm toegankelijk voor organisaties met een OT-omgeving, die: 

• Willen starten met het organiseren van hun digitale weerbaarheid, met expliciete aandacht voor operationele technologie
• Gestructureerd willen groeien richting een hoger niveau van digitale weerbaarheid
• Hun digitale weerbaarheid aantoonbaar willen maken zonder direct de volledige norm te implementeren. 

CYRA-OT is geen vervanging van IEC 62443-norm, maar dient als instap- en groeimodel voor deze norm. Het ondersteunt organisaties bij het aantoonbaar maken van hun digitale weerbaarheid in omgevingen waar OT een rol speelt. 

Wat is het verschil tussen CYRA-OT, CSIR en BIACS? 

BIACS, CSIR en CYRA-OT zijn alle drie gebaseerd op de internationale norm IEC 62443, maar verschillen in diepgang en toepassing. BIACS kan worden gezien als een laagdrempelige instap (‘CSIR-light’) voor organisaties die beginnen met cybersecurity. CSIR vertaalt de norm vrijwel volledig naar specifieke, toetsbare maatregelen voor systemen en projecten. 

CYRA-OT richt zich vooral op het inrichten, beoordelen en borgen van cybersecurity op organisatieniveau, met aandacht voor governance, verantwoordelijkheden en processen. Daarbij richt CYRA-OT zich specifiek op OT-omgevingen (en niet op producten of diensten) en sluit het specifiek aan op IEC 62443-2-2 en 3-1. CYRA-OT heeft als enige raamwerk verschillende niveaus en volwassenheidslevels, waardoor het een groeimodel is dat past bij de risico’s van jouw organisatie. 

Eén CYRA-tool, meerdere modules  

CYRA-OT is een van de modules binnen de CYRA-methode (Cyber Rating) en gebaseerd op IEC 62443. Via de CYRA-tool kunnen organisaties de CYRA-OT module aanschaffen en de online vragenlijst invullen op het gewenste niveau (Entry, Basic, Intermediate of Advanced). Elk niveau bestaat uit drie volwassenheidslevels. Zo zie je precies waar je staat met je digitale weerbaarheid en wat je groeimogelijkheden zijn. CYRA-OT biedt daarmee een praktisch groeipad voor het verhogen van je digitale weerbaarheid.  
 
Na afronding van een CYRA-niveau kan een organisatie: 

• Een zelfverklaring downloaden vanuit de tool
• Kiezen voor onafhankelijke beoordeling door een geaccrediteerde certificatie-instelling. 

Meer weten over CYRA? 

Heb je vragen of wil je meer informatie? Bekijk de pagina over de CYRA-methode of mail naar cyra@hetccv.nl.