Skip to content

CYRA-OT Cyber Rating

Maak de digitale weerbaarheid van jouw OT-omgeving aantoonbaar

Met CYRA-OT krijg je helder inzicht in de digitale weerbaarheid van jouw operationele technologie. TÜV NORD beoordeelt onafhankelijk welke maatregelen zijn ingericht, waar risico’s zitten en welke stappen nodig zijn om OT-systemen, processen en continuïteit beter te beschermen.

Vraag een offerte aan
Hacker achter computerschermen

Voor wie is CYRA-OT bedoeld?

CYRA-OT is bedoeld voor organisaties die werken met operationele technologie en inzicht willen krijgen in de digitale weerbaarheid van hun OT-omgeving. Denk aan bedrijven waar systemen, installaties of netwerken fysieke processen aansturen, bewaken of automatiseren.

CYRA-OT is relevant voor onder andere productiebedrijven, industriële organisaties, logistieke omgevingen, energie- en waterbedrijven, technische dienstverleners en organisaties met kritische bedrijfsprocessen.

Voorbeelden van OT-systemen en omgevingen zijn:

  • PLC’s
  • SCADA-systemen
  • DCS-systemen
  • industriële netwerken
  • procesautomatisering
  • machinebesturingen
  • gebouwbeheersystemen
  • installaties met externe toegang voor leveranciers of onderhoudspartijen

Binnen organisaties is CYRA-OT vooral relevant voor directie, plant managers, OT-managers, CISO’s, IT- en securitymanagement, maintenance- en engineeringteams, QHSE-, risk- en compliancemanagers en verantwoordelijken voor bedrijfscontinuïteit.

Met CYRA-OT maak je inzichtelijk hoe digitale risico’s binnen OT worden beheerst. Dat is waardevol richting management, opdrachtgevers, ketenpartners, verzekeraars en andere belanghebbenden.

Wat houdt CYRA-OT in?

CYRA-OT is een beoordelingsmodel voor de digitale weerbaarheid van operationele technologie. Het maakt inzichtelijk hoe goed een organisatie digitale risico’s binnen de OT-omgeving beheerst en welke verbeterstappen nodig zijn.

Het model is onderdeel van het Cyber Rating-model van het CCV en is gebaseerd op onderdelen van de internationale IEC 62443-serie voor cybersecurity binnen industriële automatiserings- en besturingssystemen. Daarmee biedt CYRA-OT een praktische route voor organisaties die hun OT-cybersecurity gestructureerd willen versterken, zonder direct een volledig IEC 62443-traject te doorlopen.

De beoordeling richt zich onder andere op:

  • Organisatorische beveiligingsmaatregelen
  • Rollen en verantwoordelijkheden
  • Risicobeheersing binnen OT
  • Configuratiebeheer
  • Netwerksegmentatie
  • Beveiliging van componenten
  • Toegangsbeheer
  • Logging en incidentmanagement
  • Beschikbaarheid en herstel van OT-systemen

Na de beoordeling ontstaat een duidelijk beeld van het huidige weerbaarheidsniveau van de OT-omgeving én van de maatregelen die nodig zijn om deze verder te verbeteren.

 

Waarom vraagt OT om een andere aanpak dan IT?

OT-omgevingen werken anders dan reguliere IT-omgevingen. Waar IT vooral draait om informatie, applicaties en data, is operationele technologie direct verbonden met fysieke processen zoals productie, machines, installaties, transport of gebouwbeheer.

Een verstoring in OT kan daardoor directe gevolgen hebben voor de veiligheid, beschikbaarheid van installaties, productiecontinuïteit, leveringszekerheid en bedrijfscontinuïteit.

Daarnaast bestaan OT-omgevingen vaak uit systemen met een lange levensduur. Updates, patches of wijzigingen zijn niet altijd eenvoudig door te voeren, omdat processen moeten blijven draaien. Ook hebben leveranciers of onderhoudspartijen regelmatig externe toegang tot OT-systemen.

CYRA-OT helpt om deze risico’s gestructureerd in kaart te brengen. Niet alleen technisch, maar ook organisatorisch: wie is verantwoordelijk, welke toegang is toegestaan, hoe worden wijzigingen beheerd en hoe wordt gereageerd op incidenten?

De vier niveaus van CYRA

Het groeimodel van CYRA-OT: De vier niveaus van digitale weerbaarheid

CYRA-OT werkt met vier niveaus van digitale weerbaarheid. Elk niveau laat zien hoe ver een organisatie is in het herkennen, beheersen en verbeteren van digitale risico’s binnen de OT-omgeving. Zo ontstaat een praktisch groeipad: van eerste basismaatregelen tot een aantoonbaar geborgde aanpak voor OT-cybersecurity.

  1. Entry level 
    De organisatie heeft de eerste basismaatregelen ingericht om digitale risico’s binnen OT te herkennen en te beheersen. Denk aan basisinzicht in risico’s, rollen, netwerktoegang en essentiële beveiligingsmaatregelen.
     
  2. Basic level
    De belangrijkste maatregelen zijn verder ingericht. Er is meer aandacht voor assetregistratie, fysieke toegang, netwerksegmentatie, logging, back-ups en beheersing van externe toegang.
     
  3. Intermediate level
    OT-beveiliging is structureler ingericht. Maatregelen rond detectie, incidentrespons, malwarebescherming, gebruikersbeheer, beschikbaarheid en scheiding van taken worden breder toegepast en beter geborgd.
     
  4. Advanced level
    Digitale weerbaarheid is verankerd in de OT-organisatie. Beveiligingsmaatregelen zijn aantoonbaar ingericht, worden beheerd en continu verbeterd. De organisatie heeft meer grip op configuraties, netwerkverbindingen en veilige inrichting.

Elk niveau kent daarnaast drie volwassenheidslevels: Ad Hoc, Best Effort en Defined. Hierdoor wordt niet alleen zichtbaar welk niveau is bereikt, maar ook hoe goed maatregelen zijn vastgelegd, toegepast en geborgd.

Hoe werkt CYRA-OT?

Een CYRA-OT-traject start met een zelfbeoordeling in het online CYRA-platform. Daarin bepaalt de organisatie het gewenste niveau en geeft zij aan welke maatregelen binnen de OT-omgeving al zijn ingericht.

Daarna toetst TÜV NORD de zelfbeoordeling onafhankelijk. De beoordeling richt zich op de afgesproken scope, zoals de locatie, bedrijfsactiviteiten, processen en OT-systemen waarop de verklaring betrekking heeft.

Het traject bestaat meestal uit vijf stappen:

1. Zelfbeoordeling in het CYRA-platform
De organisatie vult het online beoordelingsinstrument in en kiest het gewenste niveau van digitale weerbaarheid.

2. Scope en planning bepalen
Samen wordt vastgesteld welke locatie, processen, systemen en activiteiten binnen de beoordeling vallen.

3. Onafhankelijke beoordeling door TÜV NORD
De auditor beoordeelt of de zelfbeoordeling overeenkomt met de eisen van het gekozen niveau en volwassenheidslevel.

4. Herstellen van eventuele afwijkingen
Wanneer nog niet aan alle eisen wordt voldaan, kunnen afwijkingen binnen de geldende voorwaarden worden hersteld.

5. Certificering
Als aan de eisen wordt voldaan, ontvangt de organisatie een CYRA-OT-certificaat. Dit certificaat is twee jaar geldig.

Zo maakt CYRA-OT stap voor stap zichtbaar waar de organisatie staat, welke maatregelen aantoonbaar zijn ingericht en welke verbeterpunten nog aandacht vragen.

 

Wat betekent CYRA-OT voor jouw organisatie?

CYRA-OT helpt organisaties om digitale weerbaarheid binnen OT gestructureerd inzichtelijk te maken, te verbeteren en aantoonbaar te maken. Je ziet waar de OT-omgeving nu staat, welke maatregelen al zijn ingericht en welke verbeterpunten prioriteit hebben.

  • Inzicht in de huidige situatie
    Je krijgt een duidelijk beeld van de digitale weerbaarheid van jouw OT-omgeving. Dit maakt zichtbaar welke maatregelen aanwezig zijn en waar risico’s of verbeterpunten zitten.
     
  • Duidelijke prioriteiten
    CYRA-OT helpt om focus aan te brengen. Het groeimodel laat zien welke stappen logisch zijn voor het gekozen niveau, zodat niet alles tegelijk hoeft.
  • Aantoonbaarheid richting opdrachtgevers en ketenpartners
    Steeds vaker vragen opdrachtgevers, ketenpartners of verzekeraars hoe digitale risico’s worden beheerst. Met CYRA-OT kun je aantonen dat jouw OT-weerbaarheid onafhankelijk is beoordeeld.
     
  • Betere samenwerking tussen IT en OT
    Digitale weerbaarheid van OT vraagt samenwerking tussen IT, OT, operations, maintenance en management. CYRA-OT maakt verantwoordelijkheden, maatregelen en verbeterpunten bespreekbaar.
     
  • Praktisch groeipad richting IEC 62443
    Voor organisaties waarvoor een volledig IEC 62443-traject nog te groot is, biedt CYRA-OT een gestructureerde tussenstap. Zo werk je stap voor stap aan een hoger niveau van OT-cybersecurity.
     
  • Meer grip op continuïteit
    Door risico’s, toegang, configuraties, segmentatie en incidentrespons beter te beheersen, verklein je de kans op verstoringen en vergroot je de beheersbaarheid van incidenten.

Afsluitend zou je eventueel nog één krachtige zin kunnen toevoegen:

Zo helpt CYRA-OT jouw organisatie om OT-risico’s beter te beheersen, verbeterstappen te prioriteren en digitale weerbaarheid aantoonbaar te maken.

 

Wanneer kies je voor CYRA-OT?

Je kiest voor CYRA-OT wanneer je meer grip wilt krijgen op digitale risico’s binnen jouw OT-omgeving. Bijvoorbeeld omdat OT-systemen vaker verbonden zijn met IT-netwerken, leveranciers op afstand toegang hebben of opdrachtgevers vragen om aantoonbare digitale weerbaarheid.

CYRA-OT is relevant wanneer:

  • OT-systemen gekoppeld zijn aan IT-netwerken of externe systemen
  • Leveranciers of onderhoudspartijen toegang op afstand hebben
  • Opdrachtgevers, ketenpartners of verzekeraars vragen stellen over digitale weerbaarheid
  • Je inzicht wilt in risico’s, maatregelen en verantwoordelijkheden binnen OT
  • Je wilt doorgroeien richting IEC 62443
  • Productiecontinuïteit, veiligheid of beschikbaarheid beter geborgd moet worden
  • Bestuur of management meer inzicht wil in OT-cybersecurity
  • Je je wilt voorbereiden op audits, klantvragen of keteneisen

Met CYRA-OT breng je structuur aan in OT-cybersecurity en wordt duidelijk welke verbeterstappen nodig zijn om digitale weerbaarheid aantoonbaar te maken.

Waarom kiezen voor TÜV NORD?

Digitale weerbaarheid van OT vraagt om een onafhankelijke en gestructureerde beoordeling. TÜV NORD kijkt niet alleen naar techniek, maar ook naar processen, verantwoordelijkheden, risicobeheersing en aantoonbaarheid.

  • Onafhankelijke beoordeling
    Objectieve toetsing of jouw OT-weerbaarheid voldoet aan de eisen van het gekozen CYRA-OT-niveau.
  • Kennis van normen en certificering
    Auditoren met ervaring in normenkaders, toetsingscriteria en certificeringsprocessen.
  • Begrip van technische OT-omgevingen
    Praktische beoordeling van installaties, processen, beschikbaarheid en continuïteit.
  • Duidelijk en voorspelbaar traject
    Heldere afspraken over scope, planning, werkwijze en beoordelingscriteria.
  • Praktisch inzicht in verbeterpunten
    Een duidelijk beeld van waar jouw organisatie staat en welke stappen nodig zijn om verder te groeien in digitale weerbaarheid.

Veelgestelde vragen

Antwoorden op veelgestelde vragen

CYRA-OT is een Cyber Rating-model voor de digitale weerbaarheid van operationele technologie. Het helpt organisaties om inzicht te krijgen in de beveiliging van OT-systemen en stap voor stap verbeteringen door te voeren.

CYRA-OT is geschikt voor organisaties die werken met operationele technologie, zoals productiebedrijven, industriële organisaties, logistieke omgevingen, energie- en waterbedrijven, technische dienstverleners en organisaties met kritische bedrijfsprocessen.

Operationele technologie, vaak afgekort als OT, bestaat uit systemen die fysieke of industriële processen aansturen, bewaken of automatiseren. Denk aan PLC’s, SCADA-systemen, DCS-systemen, industriële netwerken, machinebesturingen en gebouwbeheersystemen.

OT-systemen zijn vaak direct verbonden met productie, installaties, machines of gebouwbeheer. Een digitale verstoring kan gevolgen hebben voor veiligheid, beschikbaarheid, productiecontinuïteit, leveringszekerheid en bedrijfscontinuïteit.

Nee. CYRA-OT is gebaseerd op onderdelen van IEC 62443, maar is geen volledige IEC 62443-certificering. Het model biedt een praktische route voor organisaties die hun OT-cybersecurity gestructureerd willen versterken.

TÜV NORD voert de onafhankelijke beoordeling uit. Daarbij toetsen onze auditoren of de zelfbeoordeling overeenkomt met de eisen van het gekozen CYRA-OT-niveau en volwassenheidslevel.

Nee. CYRA-OT is juist bedoeld om inzicht te krijgen in de huidige situatie. Organisaties kunnen starten op een niveau dat past bij hun huidige volwassenheid en daarna doorgroeien naar een hoger niveau van digitale weerbaarheid.

De organisatie start met een zelfbeoordeling in het online CYRA-platform. Daarna beoordeelt TÜV NORD onafhankelijk of de zelfbeoordeling overeenkomt met de eisen van het gekozen niveau en volwassenheidslevel.

Een CYRA-OT-certificaat is twee jaar geldig. Na afloop kan een organisatie opnieuw een aanvraag indienen om de certificering voort te zetten.

CYRA-OT geeft inzicht in de huidige digitale weerbaarheid van de OT-omgeving, maakt verbeterpunten zichtbaar en helpt om digitale risico’s aantoonbaar te beheersen richting management, opdrachtgevers, ketenpartners en andere belanghebbenden.

Medewerker van TÜV NORD zit klaar om contactvragen te beantwoorden.

Heb je een vraag over CYRA-OT?

Wil je weten welk niveau past bij jouw OT-omgeving en hoe je digitale weerbaarheid aantoonbaar maakt? Stel je vraag via het formulier. Wij reageren snel en duidelijk.

Stel je vraag