Two male engineers pinting at electrical pylon/transmission tower at sunglight

Wetgeving voor digitale en fysieke veiligheid

Organisaties krijgen te maken met uiteenlopende Europese en nationale wetgevingen op het gebied van cybersecurity, privacy, AI en fysieke weerbaarheid. Afhankelijk van sector en rol kunnen deze regels directe gevolgen hebben voor beleid, technologie en leveranciers. Hieronder lichten wij de belangrijkste wetgevingen kort toe en helpen wij je op weg met verdiepende informatie.

AXIS OS vulnerability mangeemnt

GDPR

De GDPR richt zich op de bescherming van persoonsgegevens en verschilt daarmee van NIS2 en DORA, die focussen op weerbaarheid en continuïteit. De verordening stelt regels voor rechtmatige verwerking, transparantie, beveiliging en datalekmeldingen. Axis houdt hier rekening mee door privacy-by-design en zorgvuldige dataverwerking te ondersteunen. Meer informatie over de GDPR is te vinden bij de Autoriteit Persoonsgegevens.

trust center

NIS2

NIS2 stelt eisen aan de cyberweerbaarheid van essentiële en belangrijke organisaties en hun toeleveringsketens. In tegenstelling tot GDPR gaat het niet om persoonsgegevens, maar om het voorkomen en beheersen van cyberincidenten. De richtlijn verplicht organisaties tot risicobeheersing, incidentmelding en bestuurlijke verantwoordelijkheid. Ter ondersteuning van technische beveiligingsmaatregelen, zoals vereist onder NIS2, biedt Axis een uitgebreide Hardening Guide. Meer informatie over de wetgeving vind je op de EU-pagina over NIS2.

CRA (Cyber Resilience Act)

De CRA verschuift de focus van organisatiebeveiliging naar product- en softwarebeveiliging. Waar NIS2 organisaties adresseert, legt CRA verplichtingen bij fabrikanten en softwareleveranciers. De wet introduceert eisen voor secure-by-design, kwetsbaarhedenbeheer en beveiligingsupdates gedurende de productlevenscyclus. Meer informatie is te vinden op de website van de Europese Commissie.

 

AI Act

De AI Act richt zich specifiek op het veilige en transparante gebruik van AI-systemen en staat los van generieke cyberwetgeving zoals NIS2. De wet hanteert een risicogebaseerde aanpak, met strengere eisen voor hoog-risico AI-toepassingen. Deze eisen omvatten onder meer datakwaliteit, documentatie, transparantie en menselijke controle. Meer informatie is beschikbaar via de Europese Unie.

 

WWKE (CER)

De WWKE richt zich op de fysieke en operationele weerbaarheid van kritieke entiteiten en vormt daarmee de fysieke tegenhanger van NIS2. De wet verplicht lidstaten en organisaties om essentiële diensten te beschermen tegen fysieke dreigingen zoals sabotage en natuurrampen. Op de pagina van de Rijksoverheid is meer informatie te vinden.

DORA

DORA bouwt voort op de principes van NIS2, maar vertaalt deze naar sectorspecifieke eisen voor de financiële sector. De verordening verplicht financiële instellingen tot streng ICT-risicobeheer, incidentrapportage en periodieke weerbaarheidstesten. Meer informatie via de AFM.

 

BIO

De BIO is het nationale kader voor informatiebeveiliging binnen de Nederlandse overheid en sluit inhoudelijk aan op NIS2, maar is normatief van aard. Het kader is gebaseerd op ISO 27001 en beschrijft concrete beveiligingsmaatregelen voor overheidssystemen en -processen. Meer informatie via de Rijksoverheid.

 

ABRO

ABRO richt zich op de fysieke beveiliging van rijksgebouwen en vormt een aanvulling op de BIO, die zich richt op informatiebeveiliging. De regeling beschrijft eisen voor toegangscontrole, zonering en bescherming van fysieke middelen. Meer informatie via de Rijksoverheid.

 

Onze Experts

Axis levert oplossingen voor toezicht, toegangsbeheer en beveiliging, waarmee wij bijdragen aan zichtbaarheid en bescherming van kritieke financiële omgevingen, overheden en kritieke infrastructuur. 

Neem contact op met onze experts als er vragen zijn over hoe Axis bijdraagt aan het compliant zijn aan deze wetgevingen.

Passport photo of a man on a light background
Erik Baeten ondersteunt architecten en ingenieurs bij de ontwikkeling van slimme beveiliging.
Passport photo of a man on a light background
Key Account Manager Epko van Nisselrooij garandeert succes met diepgaand begrip en maatwerkoplossingen.

Handige bronnen

FAQ

Welke specifieke aanvalsvectoren zijn vooral relevant voor videobeveiligingssystemen in kritische-infrastructuren, en hoe kunnen beheerders hier effectief tegen optreden?

Videobeveiligingssystemen in kritische entiteiten zoals genoemd in de NIS2 staan bloot aan uiteenlopende bedreigingen – van fysieke manipulatie tot complexe cyberaanvallen. De volgende aanvalsvectoren zijn bijzonder relevant:

Onbeveiligde camera’s en NVR’s: Zwakke of niet-gewijzigde standaardwachtwoorden, foutieve configuraties en niet-gepatchte firmware vormen eenvoudige toegangspunten.

Netwerkkwetsbaarheden: Onversleutelde datatransmissie, ontbrekende netwerksegmentatie of onveilige protocollen maken afluisteren, manipulatie of het insluizen van malware mogelijk.

Manipulatie van videodata: Het vervalsen, verwijderen of verhinderen van opnamen om incidenten te verhullen of de situatie verkeerd weer te geven.

Denial-of-Service (DoS)-aanvallen: Overbelasting van camera’s, NVR’s of video-managementsystemen (VMS) om de bewakingsfunctie doelgericht buiten werking te stellen.

Maatregelen ter bescherming:

Systeemhardening: Gebruik van sterke, unieke wachtwoorden, uitschakelen van niet-benodigde diensten, regelmatige firmware-updates en versleuteling van de communicatie (bijv. HTTPS, SRTP).

Netwerksegmentatie: Isolatie van het videobeveiligingsnetwerk van productie- en IT-systemen om het aanvalsoppervlak te verkleinen.

End-to-end-versleuteling: Doorlopende versleuteling van videostreams van camera tot opslag en weergave.

Integriteitscontrole: Inzet van digitale handtekeningen of blockchain-gebaseerde hashes om de authenticiteit en onvervalsbaarheid van videobewijsmateriaal betrouwbaar aan te tonen.

Wat is het belang van auditlogs voor videosystemen in kritische-omgevingen en hoe dragen zij bij aan weerbaarheid? Welke informatie is daarbij vooral relevant?

Auditlogs zijn een essentieel onderdeel van videosystemen, omdat zij als een soort “sensor” alle relevante gebeurtenissen vastleggen. Hierdoor ontstaat traceerbaarheid en worden forensische analyses mogelijk. Auditlogs versterken de weerbaarheid doordat zij:

Afwijkingen zichtbaar maken: Ongebruikelijke toegang, configuratiewijzigingen of mislukte inlogpogingen kunnen vroegtijdig wijzen op aanvallen of storingen.

Compliance ondersteunen: Ze tonen aan dat beveiligingsprocessen zijn nageleefd, zoals het vier-ogen-principe bij exports.

Incidentrespons verbeteren: Ze maken snelle identificatie van oorzaak en impact van een beveiligingsincident mogelijk.

Bijzonder relevante informatie in auditlogs:

Toegang: Vastlegging van wie, wanneer en tot welke camera of opname (live of archief) toegang heeft gehad.

Configuratiewijzigingen: Tijdstip en verantwoordelijke personen voor wijzigingen aan VMS of camera’s.

Systeemgebeurtenissen: Starten en stoppen van diensten, opslagfouten, netwerkstoringen en hardwaredefecten.

Exporthandelingen: Bewijs van welke videosequenties door wie en wanneer zijn geëxporteerd.

Authenticatie: Succesvolle en mislukte inlogpogingen.

Waarom is een doordachte Long-Term Support (LTS)-strategie onmisbaar voor videobeveiligingssystemen in kritsiche-infrastructuren, en welke uitdagingen ontstaan wanneer deze ontbreekt? Houd daarbij ook rekening met het TCO-aspect.

Een LTS-strategie is in kritische-omgevingen cruciaal, omdat videobeveiligingssystemen vaak vele jaren of zelfs decennia in gebruik zijn. LTS waarborgt:

Continue beveiliging: Regelmatige beveiligingsupdates en patches dichten nieuw ontdekte kwetsbaarheden. Zonder LTS blijven systemen permanent kwetsbaar.

Systeemstabiliteit en compatibiliteit: Borging van de compatibiliteit tussen hardware, software en besturingssystemen over lange perioden.

Planningszekerheid en investeringsbescherming: Beheerders kunnen de levenscyclus van hun systemen betrouwbaar plannen en onverwachte herinvesteringen vermijden.

TCO-aspect (Total Cost of Ownership): Een strategische LTS-aanpak verlaagt de totale eigendomskosten (TCO) aanzienlijk over de volledige levenscyclus van het systeem. Planbare updates, support en een langere gebruiksduur voorkomen kostbare ad-hocmigraties of voortijdige vervanging. LTS maakt efficiënt resourcebeheer mogelijk door het risico op onverwachte uitgaven voor reparaties of beveiligingsincidenten te verkleinen en een nauwkeurige budgetplanning te ondersteunen.

Uitdagingen zonder LTS (en de impact op de TCO):

Verhoogd beveiligingsrisico: Verouderde software zonder beveiligingsupdates vormt een gemakkelijk doelwit voor cyberaanvallen. De kosten voor het afhandelen van een beveiligingsincident (schadevergoeding, boetes, reputatieschade en herstel) kunnen de TCO sterk verhogen.

Operationele instabiliteit: Incompatibiliteiten en het ontbreken van bugfixes leiden tot systeemstoringen, waarvan het herstel hoge personeels- en herstelkosten met zich meebrengt.

Problemen bij onderhoud en onderdelenvoorziening: Moeilijkheden bij het verkrijgen van reserveonderdelen of technische ondersteuning resulteren in langere uitvaltijden en hogere kosten voor gespecialiseerde dienstverleners.

Hoge, ongeplande migratiekosten: Plotselinge, ongeplande vervanging van systemen door veroudering is vaak aanzienlijk duurder en complexer dan geplande migraties. Dit vereist extra budgetten en veroorzaakt bijkomende kosten voor personeel, implementatie en mogelijke operationele onderbrekingen – met grote gevolgen voor de TCO.

Welke aspecten zijn tijdens de gebruiksfase van videobeveiligingssystemen in kritische-omgevingen doorslaggevend om de praktische veerkracht te waarborgen en te behouden?

De gebruiksfase is de langste en tegelijkertijd meest kritieke fase in de levenscyclus van een videobeveiligingssysteem. De praktische veerkracht wordt in deze fase geborgd door de volgende maatregelen:

Regelmatig onderhoud en monitoring: Proactieve controle van de systeemfunctionaliteit, opslagcapaciteit en netwerkverbindingen.

Patch- en updatebeheer: Consistente implementatie van beveiligings- en functionele updates om bekende kwetsbaarheden te dichten en de systeemprestaties te optimaliseren.

Back-up- en herstelstrategieën: Regelmatige back-ups van configuraties en VMS-databases, evenals geteste herstelplannen voor het geval van een storing.

Opleiding en bewustwording van personeel: Doorlopende training en scholing van bedienend personeel met betrekking tot actuele dreigingen, correcte systeembediening en incidentresponsprocessen.

Proactieve analyse van auditlogs: Niet alleen het verzamelen, maar ook het actief analyseren en evalueren van loggegevens helpt om afwijkingen in een vroeg stadium te signaleren.

Noodplannen: Duidelijke procedures voor het omgaan met systeemuitval, dataverlies of cyberaanvallen, inclusief alternatieve mogelijkheden voor toezicht en bewaking.

Hoe integreren videobeveiligingssystemen zich in een convergent beveiligingsconcept voor kritische-infrastructuren, en welke voordelen levert dit op in termen van praktische veerkracht?

Verbeterd situationeel bewustzijn: Een integraal beeld van veiligheidsincidenten door het koppelen van verschillende sensordata.

Efficiëntere incidentrespons: Geautomatiseerde reacties en snelle beschikbaarheid van relevante visuele informatie maken een nauwkeurigere en snellere besluitvorming mogelijk.

Vermindering van valse alarmen: Visuele verificatie voorkomt onnodige inzetten en bespaart middelen.

Optimalisatie van werkprocessen: Gecentraliseerde monitoring en aansturing van alle beveiligingssystemen.

Verhoogde aantoonbaarheid: Video-opnamen in combinatie met andere data leveren een sterkere bewijslast.

Proactieve beveiliging: Intelligente datakoppeling maakt patroonherkenning en vroegtijdige identificatie van potentiële dreigingen mogelijk.