IEC 62443 — OT/IT-segmentatie in de praktijk

Klant in de energiesector, auditor voor de deur: "Hoe ver bent u met IEC 62443?" Klant antwoordt: "We hebben een firewall tussen kantoor en productie." Dat is geen IEC 62443. Dat is een aanname die bij de eerste penetration test sneuvelt. Dit artikel gaat over wat het werkelijk betekent IEC 62443-3-3 op een niveau te krijgen dat door audits komt en standhoudt bij een echte aanval.

Waarom nu — de NIS2-deadline

De NIS2-richtlijn (EU 2022/2555) is voor operators van essentiële diensten in NL bindend geworden via de Cyberbeveiligingswet (Cbw, gepubliceerd 2024). Voor **NIS2-operators (energie, water, transport, gezondheidszorg, productie kritisch voor de toeleveringsketen, digitale infrastructuur)** betekent dit verplicht:

Een risk management framework volgens een erkende standaard — IEC 62443 is de facto referentie voor OT.
Incident reporting binnen **24 uur** na detectie van een significant incident bij het Nationaal Cyber Security Centrum (NCSC).
Boetes tot **€ 10 miljoen of 2 % van de omzet**, afhankelijk van welke hoger is.

De NL-realiteit: de eerste NIS2-audit (najaar 2025) liet zien dat ~70 % van de operators van essentiële diensten geen Z/C-model (zones en conduits) heeft geïmplementeerd, laat staan netwerksegmentatie die overeenkomt met SL-1 (Security Level 1).

Z/C-model — de basis die als eerste getekend wordt

IEC 62443-3-2 introduceert het concept van **zones** en **conduits**. Zone = groep assets met dezelfde beveiligingseis. Conduit = gecontroleerd communicatiekanaal tussen zones.

Typisch Z/C-model voor een productiehal met ERP-koppeling

Z0 — Internet / Untrusted (Wild West). Z1 — Enterprise IT (kantoren, ERP, e-mail). Trust level Standard. Z2 — DMZ (web servers, VPN endpoint, jump servers). Trust level Stricter. Z3 — Operations Management / Historian / MES (Purdue Level 3). Trust level OT-Standard. Z4 — SCADA + HMI (Purdue Level 2). Trust level OT-Strict. Z5 — PLC + control devices (Purdue Level 1). Trust level OT-Critical. Z6 — Field instrumentation (Purdue Level 0). Trust level OT-Critical.

Conduits: C0↔1 — firewall + IDS. ALL deny by default, uitzonderingen voor HTTP/HTTPS outbound vanaf het VPN-endpoint. C1↔3 — OT-IT DMZ met reverse proxy. Historian-data read-only naar boven (Z3 → Z1). Geen commando's naar beneden. C3↔4 — diode of unidirectional gateway voor SCADA → MES-data. Geen control commands naar boven. C4↔5 — protocol-aware firewall (Tofino Xenon, Hirschmann Eagle One met DPI voor Modbus/TCP, EtherNet/IP, S7Comm).

Waar staat in de praktijk de OT-IT-firewall

Een typisch strijdpunt bij implementatie: **waar staat de OT-IT-firewall fysiek**. Drie varianten:

1. **Tussen Purdue L2 (SCADA) en L3 (Historian / MES)** — meest voorkomende oplossing. Hier wordt een hardware firewall met OT-specifieke signatures geïnstalleerd: Fortinet FortiGate 1000F/2000F met OT Threat Intelligence, Cisco Industrial Security Appliance ISA-3000, Hirschmann EAGLE40-7G, of Tofino Xenon (Belden) als "fail-secure" een vereiste is. 2. **Tussen L3 en L4 (Enterprise IT)** — sommige securityteams prefereren deze laag, omdat L3 al een OT-zone is. Werkt, maar L3-systemen (Historian) ademen dan onder IT-policies en duwen de aanval naar de basisdata. 3. **Beide (defense in depth)** — de beste keuze voor SL-2+. Twee firewall-lagen, verschillende vendors (Fortinet + Palo Alto is een veelvoorkomende mix), geen single point of failure.

Regel: **een conduit tussen zones met verschillende Trust-niveaus MOET een expliciet controlpoint hebben**. Een switch met VLAN's is geen conduit. Een switch is topologie. Een conduit vereist L3-L7-inspectie.

SL-1 vs SL-2 vs SL-3 — waar ligt de grens

IEC 62443-3-3 definieert 7 foundational requirements (FR), elk met 4 niveaus (SL-0 t/m SL-4). De grens in de praktijk:

SL-1 — protection against casual or coincidental violation

Het minimum dat ieder industrieel systeem vandaag moet hebben. Concreet:

Identificatie en authenticatie van gebruikers voor HMI/Engineering Workstation (wachtwoord, geen shared accounts).
Access-control-laag (RBAC op HMI-niveau — operator, monteur, engineer, admin).
Logging van wijzigingen (wie zich aanmeldde, wat veranderde, wanneer).
USB-verbod op engineering workstations (BIOS-level disable + GPO).
Antivirus / EDR op alle Windows-stations in OT-zones.

Kosten voor SL-1 bij een middelgrote productie (50-100 OT-stations): **€ 30-60 k** infrastructuur + **150-300 uur** engineering.

SL-2 — protection against intentional violation using simple means with low resources

Hier verandert de prijs radicaal. Concreet bovenop SL-1:

**MFA (multi-factor authentication)** voor privileged access. Meestal YubiKey 5 NFC (~€ 55/stuk × 30 mensen = € 1 650) of Duo Security (€ 8/user/maand).
**Anti-malware met OT-signatures** — Nozomi Networks Guardian, Claroty xDome, Dragos Platform, Forescout SilentDefense. Prijzen: **€ 25-80 k licentie/jaar** afhankelijk van het aantal monitored nodes.
**Netwerksegmentatie op VLAN+ACL+firewall**, niet alleen VLAN. Microsegmentatie in OT is relevant maar reken-intensief — meestal Cisco TrustSec of Forescout eyeSegment.
**Versleuteling van management-verkeer** (HTTPS in plaats van HTTP voor HMI web access, SSH in plaats van Telnet, geen SNMPv2c — alleen SNMPv3 met authPriv).
**Logging met SIEM-integratie** — alle firewall logs, IDS alerts, authenticatiegebeurtenissen gaan naar SIEM. Splunk Enterprise (€ 2-4/GB/dag), QRadar, Elastic Security, of open-source Wazuh + ELK bij krap budget.
**Backup / restore-procedures met offline kopieën.** Immutable copy, air gap, maandelijkse restoretests.

Kosten voor SL-2: **€ 120-280 k** infrastructuur + **500-1 000 uur** engineering, plus **15-25 % per jaar** voor onderhoud + threat intelligence subscription.

SL-3 — protection against intentional violation using sophisticated means with moderate resources

Hier komt bij:

**NIDS met deep packet inspection** voor OT-protocollen (Modbus TCP, EtherNet/IP, S7Comm, OPC UA, DNP3) — Nozomi of Claroty in advanced mode.
**Active hardening** — port disable op ongebruikte interfaces, certificate-based device authentication, application whitelisting (Microsoft AppLocker, Carbon Black Protection).
**Air-gapped engineering networks** — een engineering-laptop is nooit tegelijk verbonden met OT en IT.
**Quarterly red team exercises.**
**Gedetailleerd gevalideerd change management process** — geen PLC-firmware-wijziging zonder 3-staps approval (engineering, operations, security).

Kosten voor SL-3 zijn van een andere orde — **€ 500 k-1,5 M** infrastructuur + **2 000+ uur** engineering + een dedicated OT-securityteam (3-5 FTE). Dit niveau wordt vandaag vooral gehaald door energie (kernreactoren, transmissienetten), kritisch water en enkele grote chemiefabrieken.

NERC CIP — vergelijking voor energieklanten

Voor operators in de energiesector (vooral transmissienet, gasnet) is ook het Amerikaanse NERC CIP (Critical Infrastructure Protection) relevant. Verschil t.o.v. IEC 62443:

**NERC CIP-007** (System Security Management): vergelijkbaar met IEC 62443-3-3 FR3 + FR4.
**NERC CIP-005** (Electronic Security Perimeter): definieert een "Electronic Security Perimeter" (ESP) die strikter is dan een IEC 62443 zone — vereist **expliciete inventarisatie van ieder access point door de ESP** en jaarlijkse review.
**NERC CIP-010** (Configuration Change Management and Vulnerability Assessments): eist baseline configuration van elk control device, maandelijkse vulnerability assessment. IEC 62443 dekt dit in FR2.
**NERC CIP-008** (Incident Reporting): 1-uurs reporting window voor NERC vs. 24-uurs voor NIS2.

Klanten met zowel NERC CIP- als NIS2-blootstelling (meestal grote pan-Europese utilities) mappen beide normen op **één intern framework** dat de hoogste eis van beide invult.

Deep packet inspection Modbus TCP — wat het echt doet

Modbus TCP is een SCADA-protocol uit 1979 (Modbus RTU) met TCP-wrapper uit 1999. **Geen authenticatie, geen versleuteling.** Elk device op het netwerk dat poort 502 ziet kan Write Single Coil (function code 5) sturen en een uitgang omkeren.

Een deep packet inspection (DPI) firewall — zoals Tofino Xenon of Fortinet OT-aware — doet:

**Read-only vs Read-Write-onderscheid**: staat function code 1-4 (read coils, read registers) toe, blokkeert function code 5-6, 15-16 (write single/multiple coil/register) vanaf niet-geautoriseerde bronnen.
**Function code filtering**: bepaalde function codes (8 — diagnostic, 17 — report slave ID) worden volledig geblokkeerd buiten het onderhoudsvenster.
**Address whitelisting**: SCADA → PLC adressen 1-247 toegestaan, buiten bereik = drop + alert.
**Rate limiting**: > 10 write-operaties per seconde vanaf één IP = anomalie, alert.

Reële detectie van een Modbus TCP-aanval via DPI: gemiddeld **80-95 %** van basisaanvallen (replay, command injection, address scanning). Geavanceerde aanvallen (Stuxnet-like) vereisen **PLC-configuratie-integriteit** (HMI ziet dezelfde waarde als de PLC stuurt), wat een taak is voor NIDS (Nozomi of Claroty), niet voor de firewall zelf.

"Patches" in een OT-omgeving — geen maandelijkse Patch Tuesday

In IT is een maandelijkse patch-cyclus de norm. In OT is de norm **2-4 patch windows per jaar**, typisch:

**Voorjaarsonderhoud** (maart-april): geplande outage 5-10 dagen, volledige OS-patching, PLC-firmware-update, SCADA-server-upgrade.
**Najaarsonderhoud** (september-oktober): zelfde scope.
**Buitengewoon venster bij critical CVE** (CVSS 9+) op productief beschikbare services, met 24-72-uurs response.

Patch management in OT vereist:

**Test bed / digital twin** — patches worden eerst op duplicate hardware of een simulator (Mimic Simulation Software, Codesys SoftPLC) getest, nooit in live-productie.
**Compensating controls** tussen patches in — als een patch niet mogelijk is (vendor end-of-life, gevalideerd systeem), compenseren met firewall-regels, extra IDS-monitoring of netwerkisolatie.
**Approved baseline** — een patch wordt pas uitgerold na approval door de change management board.

Praktische stappen voor de eerste 90 dagen van een NIS2-plichtige operator

Bent u in een positie waar een audit binnen 6-12 maanden kan komen en IEC 62443 is alleen een term op PowerPoint:

1. **Inventarisatie van assets** (maand 1). Passieve scan van het OT-netwerk — Nozomi Guardian-trial, Claroty xDome PoC, of open-source GRASSMARLIN/Wireshark + custom scripts. Doel: lijst van iedere PLC, HMI, switch, aandrijver, drive, robot — IP, MAC, firmware-versie, vendor. 2. **Concept Z/C-model** (maand 1-2). Workshop met OT-engineers + IT-security + management. Output: één diagram op A1 dat op de wand van de serverruimte komt. 3. **Risk assessment volgens IEC 62443-3-2** (maand 2). Tabel: zone × threat × likelihood × consequence × SL-target. 4. **Prioritaire conduits voor implementatie** (maand 3). Doorgaans krijgt C3↔4 (SCADA-MES) en C1↔3 (IT-OT DMZ) de hoogste score. C5↔6 (PLC-field) het minst. 5. **Vendor-selectie + PoC** (maand 3). Drie vendors, twee weken elk in laboratoriumomgeving, keuze op basis van protocol-coverage + alerting-accuracy + prijs.

Na 90 dagen heeft u een audit-defensief documentatiepakket + roadmap voor een implementatie die nog 12-18 maanden duurt voor SL-2 / 24-36 maanden voor SL-3.

Meest voorkomende fouten in NL-implementaties

**"We hebben een firewall."** Vraag door: zit er een OT-aware signature in? Inspecteert hij Modbus/S7Comm? Gaan logs naar SIEM? Zo niet, dan hebt u een L3-pakketfilter, geen security boundary.
**"Met VLAN's hebben we alles gescheiden."** Een VLAN zonder ACL of zonder L3-firewall ertussen is alleen broadcast-separatie. Een aanvaller op dezelfde switch breekt met VLAN-hopping (DTP/802.1Q double tagging) binnen 30 seconden door.
**"PLC's hangen niet aan internet."** Na 6 maanden vinden we bij elke audit minstens één PLC dat via een ongedocumenteerd 4G-modem (rechtstreeks aan het paneel voor "snelle update van thuis") bereikbaar is via Shodan.
**"De vendor doet de update op afstand via TeamViewer."** TeamViewer/AnyDesk/VNC in OT-zones zonder jump host en MFA is een toegangspoort voor supply-chain attacks. Vervang door een bastion host met recording (Wallix, BeyondTrust, of open-source Apache Guacamole + audit log).
**"We hebben niets te beschermen, we zijn klein."** NIS2 geldt ook voor **medium entities** in de toeleveringsketen van essentiële diensten. Bent u leverancier voor een grote utility, dan komt hun audit ook bij u langs.

---

*We schrijven dit als technische partner die de afgelopen 8 jaar OT-segmentatie heeft geïmplementeerd in energie, water en productie. Hebt u een NIS2-audit of IEC 62443-implementatie voor de boeg, dan loopt het eerste consult (90 minuten) uw Z/C-model, huidige conduits en roadmap door, en geeft u een realistische schatting van CAPEX en engineeringuren voor SL-1 of SL-2 op basis van uw risicoprofiel.*

Waarom nu — de NIS2-deadline

Een risk management framework volgens een erkende standaard — IEC 62443 is de facto referentie voor OT.
Incident reporting binnen **24 uur** na detectie van een significant incident bij het Nationaal Cyber Security Centrum (NCSC).
Boetes tot **€ 10 miljoen of 2 % van de omzet**, afhankelijk van welke hoger is.

Z/C-model — de basis die als eerste getekend wordt

IEC 62443-3-2 introduceert het concept van **zones** en **conduits**. Zone = groep assets met dezelfde beveiligingseis. Conduit = gecontroleerd communicatiekanaal tussen zones.

Typisch Z/C-model voor een productiehal met ERP-koppeling

Waar staat in de praktijk de OT-IT-firewall

Een typisch strijdpunt bij implementatie: **waar staat de OT-IT-firewall fysiek**. Drie varianten:

SL-1 vs SL-2 vs SL-3 — waar ligt de grens

IEC 62443-3-3 definieert 7 foundational requirements (FR), elk met 4 niveaus (SL-0 t/m SL-4). De grens in de praktijk:

SL-1 — protection against casual or coincidental violation

Het minimum dat ieder industrieel systeem vandaag moet hebben. Concreet:

Identificatie en authenticatie van gebruikers voor HMI/Engineering Workstation (wachtwoord, geen shared accounts).
Access-control-laag (RBAC op HMI-niveau — operator, monteur, engineer, admin).
Logging van wijzigingen (wie zich aanmeldde, wat veranderde, wanneer).
USB-verbod op engineering workstations (BIOS-level disable + GPO).
Antivirus / EDR op alle Windows-stations in OT-zones.

Kosten voor SL-1 bij een middelgrote productie (50-100 OT-stations): **€ 30-60 k** infrastructuur + **150-300 uur** engineering.

SL-2 — protection against intentional violation using simple means with low resources

Hier verandert de prijs radicaal. Concreet bovenop SL-1:

**MFA (multi-factor authentication)** voor privileged access. Meestal YubiKey 5 NFC (~€ 55/stuk × 30 mensen = € 1 650) of Duo Security (€ 8/user/maand).
**Anti-malware met OT-signatures** — Nozomi Networks Guardian, Claroty xDome, Dragos Platform, Forescout SilentDefense. Prijzen: **€ 25-80 k licentie/jaar** afhankelijk van het aantal monitored nodes.
**Netwerksegmentatie op VLAN+ACL+firewall**, niet alleen VLAN. Microsegmentatie in OT is relevant maar reken-intensief — meestal Cisco TrustSec of Forescout eyeSegment.
**Versleuteling van management-verkeer** (HTTPS in plaats van HTTP voor HMI web access, SSH in plaats van Telnet, geen SNMPv2c — alleen SNMPv3 met authPriv).
**Logging met SIEM-integratie** — alle firewall logs, IDS alerts, authenticatiegebeurtenissen gaan naar SIEM. Splunk Enterprise (€ 2-4/GB/dag), QRadar, Elastic Security, of open-source Wazuh + ELK bij krap budget.
**Backup / restore-procedures met offline kopieën.** Immutable copy, air gap, maandelijkse restoretests.

Kosten voor SL-2: **€ 120-280 k** infrastructuur + **500-1 000 uur** engineering, plus **15-25 % per jaar** voor onderhoud + threat intelligence subscription.

SL-3 — protection against intentional violation using sophisticated means with moderate resources

Hier komt bij:

**NIDS met deep packet inspection** voor OT-protocollen (Modbus TCP, EtherNet/IP, S7Comm, OPC UA, DNP3) — Nozomi of Claroty in advanced mode.
**Active hardening** — port disable op ongebruikte interfaces, certificate-based device authentication, application whitelisting (Microsoft AppLocker, Carbon Black Protection).
**Air-gapped engineering networks** — een engineering-laptop is nooit tegelijk verbonden met OT en IT.
**Quarterly red team exercises.**
**Gedetailleerd gevalideerd change management process** — geen PLC-firmware-wijziging zonder 3-staps approval (engineering, operations, security).

NERC CIP — vergelijking voor energieklanten

Voor operators in de energiesector (vooral transmissienet, gasnet) is ook het Amerikaanse NERC CIP (Critical Infrastructure Protection) relevant. Verschil t.o.v. IEC 62443:

**NERC CIP-007** (System Security Management): vergelijkbaar met IEC 62443-3-3 FR3 + FR4.
**NERC CIP-005** (Electronic Security Perimeter): definieert een "Electronic Security Perimeter" (ESP) die strikter is dan een IEC 62443 zone — vereist **expliciete inventarisatie van ieder access point door de ESP** en jaarlijkse review.
**NERC CIP-010** (Configuration Change Management and Vulnerability Assessments): eist baseline configuration van elk control device, maandelijkse vulnerability assessment. IEC 62443 dekt dit in FR2.
**NERC CIP-008** (Incident Reporting): 1-uurs reporting window voor NERC vs. 24-uurs voor NIS2.

Klanten met zowel NERC CIP- als NIS2-blootstelling (meestal grote pan-Europese utilities) mappen beide normen op **één intern framework** dat de hoogste eis van beide invult.

Deep packet inspection Modbus TCP — wat het echt doet

Een deep packet inspection (DPI) firewall — zoals Tofino Xenon of Fortinet OT-aware — doet:

**Read-only vs Read-Write-onderscheid**: staat function code 1-4 (read coils, read registers) toe, blokkeert function code 5-6, 15-16 (write single/multiple coil/register) vanaf niet-geautoriseerde bronnen.
**Function code filtering**: bepaalde function codes (8 — diagnostic, 17 — report slave ID) worden volledig geblokkeerd buiten het onderhoudsvenster.
**Address whitelisting**: SCADA → PLC adressen 1-247 toegestaan, buiten bereik = drop + alert.
**Rate limiting**: > 10 write-operaties per seconde vanaf één IP = anomalie, alert.

"Patches" in een OT-omgeving — geen maandelijkse Patch Tuesday

In IT is een maandelijkse patch-cyclus de norm. In OT is de norm **2-4 patch windows per jaar**, typisch:

**Voorjaarsonderhoud** (maart-april): geplande outage 5-10 dagen, volledige OS-patching, PLC-firmware-update, SCADA-server-upgrade.
**Najaarsonderhoud** (september-oktober): zelfde scope.
**Buitengewoon venster bij critical CVE** (CVSS 9+) op productief beschikbare services, met 24-72-uurs response.

Patch management in OT vereist:

**Test bed / digital twin** — patches worden eerst op duplicate hardware of een simulator (Mimic Simulation Software, Codesys SoftPLC) getest, nooit in live-productie.
**Compensating controls** tussen patches in — als een patch niet mogelijk is (vendor end-of-life, gevalideerd systeem), compenseren met firewall-regels, extra IDS-monitoring of netwerkisolatie.
**Approved baseline** — een patch wordt pas uitgerold na approval door de change management board.

Praktische stappen voor de eerste 90 dagen van een NIS2-plichtige operator

Bent u in een positie waar een audit binnen 6-12 maanden kan komen en IEC 62443 is alleen een term op PowerPoint:

Na 90 dagen heeft u een audit-defensief documentatiepakket + roadmap voor een implementatie die nog 12-18 maanden duurt voor SL-2 / 24-36 maanden voor SL-3.

Meest voorkomende fouten in NL-implementaties

**"We hebben een firewall."** Vraag door: zit er een OT-aware signature in? Inspecteert hij Modbus/S7Comm? Gaan logs naar SIEM? Zo niet, dan hebt u een L3-pakketfilter, geen security boundary.
**"Met VLAN's hebben we alles gescheiden."** Een VLAN zonder ACL of zonder L3-firewall ertussen is alleen broadcast-separatie. Een aanvaller op dezelfde switch breekt met VLAN-hopping (DTP/802.1Q double tagging) binnen 30 seconden door.
**"PLC's hangen niet aan internet."** Na 6 maanden vinden we bij elke audit minstens één PLC dat via een ongedocumenteerd 4G-modem (rechtstreeks aan het paneel voor "snelle update van thuis") bereikbaar is via Shodan.
**"De vendor doet de update op afstand via TeamViewer."** TeamViewer/AnyDesk/VNC in OT-zones zonder jump host en MFA is een toegangspoort voor supply-chain attacks. Vervang door een bastion host met recording (Wallix, BeyondTrust, of open-source Apache Guacamole + audit log).
**"We hebben niets te beschermen, we zijn klein."** NIS2 geldt ook voor **medium entities** in de toeleveringsketen van essentiële diensten. Bent u leverancier voor een grote utility, dan komt hun audit ook bij u langs.

---

Zes pijlers,één levering.

Industrie en engineering

Elektrische installaties en automatisering

Automatisering & Besturing

Datacenters en serverruimtes

Software, web en cloud

Smart home en IoT

IEC 62443 — OT/IT-segmentatie in de praktijk

Waarom nu — de NIS2-deadline

Z/C-model — de basis die als eerste getekend wordt

Typisch Z/C-model voor een productiehal met ERP-koppeling

Waar staat in de praktijk de OT-IT-firewall

SL-1 vs SL-2 vs SL-3 — waar ligt de grens

SL-1 — protection against casual or coincidental violation

SL-2 — protection against intentional violation using simple means with low resources

SL-3 — protection against intentional violation using sophisticated means with moderate resources

NERC CIP — vergelijking voor energieklanten

Deep packet inspection Modbus TCP — wat het echt doet

"Patches" in een OT-omgeving — geen maandelijkse Patch Tuesday

Praktische stappen voor de eerste 90 dagen van een NIS2-plichtige operator

Meest voorkomende fouten in NL-implementaties

IEC 62443 — OT/IT-segmentatie in de praktijk

Waarom nu — de NIS2-deadline

Z/C-model — de basis die als eerste getekend wordt

Typisch Z/C-model voor een productiehal met ERP-koppeling

Waar staat in de praktijk de OT-IT-firewall

SL-1 vs SL-2 vs SL-3 — waar ligt de grens

SL-1 — protection against casual or coincidental violation

SL-2 — protection against intentional violation using simple means with low resources

SL-3 — protection against intentional violation using sophisticated means with moderate resources

NERC CIP — vergelijking voor energieklanten

Deep packet inspection Modbus TCP — wat het echt doet

"Patches" in een OT-omgeving — geen maandelijkse Patch Tuesday

Praktische stappen voor de eerste 90 dagen van een NIS2-plichtige operator

Meest voorkomende fouten in NL-implementaties