Wat is OT security?
OT security (voluit: operational technology security) is het beveiligen van de technologie die fysieke processen aanstuurt en bewaakt. Denk aan industriële besturingssystemen (ICS), SCADA-systemen, PLC's (programmable logic controllers), sensoren, aandrijvingen en de machines in fabrieken, raffinaderijen, energienetten, waterzuiveringen, ziekenhuizen en transportnetwerken. Waar IT draait om het verwerken van informatie, draait OT om het beheersen van de echte, fysieke wereld.
Lange tijd stonden die OT-omgevingen los van het internet: een gesloten eiland van eigen kabels en protocollen. Dat veranderde met digitalisering, Industrie 4.0 en de koppeling van fabrieksnetwerken aan kantoor-IT en de cloud. Diezelfde verbinding die data en efficiëntie oplevert, opent ook een deur voor aanvallers. Een gehackte productielijn betekent niet alleen datalek of imagoschade, maar potentieel een stilgelegde fabriek, een vervuilde drinkwatervoorziening of een onveilige situatie voor mens en omgeving. Dáár begint OT-security.
Het verschil tussen IT-security en OT-security
OT-security is geen IT-security met een ander logo. De twee werelden verschillen fundamenteel, en dat verklaart waarom er een apart vakgebied — met eigen rollen — omheen is ontstaan.
In de klassieke IT-security staat de zogeheten CIA-driehoek centraal, met confidentiality (vertrouwelijkheid) bovenaan: data mag niet uitlekken. In OT keert die volgorde om. Daar telt vooral beschikbaarheid en integriteit, met veiligheid (safety) als allerhoogste doel. Een productieproces mag niet stilvallen, en een instructie naar een klep of een ketel mag onder geen beding worden gemanipuleerd. Vakmensen spreken daarom over de omgekeerde driehoek: AIC in plaats van CIA.
Daar komt bij dat OT-systemen een heel ander karakter hebben dan IT-systemen:
- Lange levensduur. Een industriële installatie gaat tien, twintig of dertig jaar mee. Besturingssystemen die in de jaren negentig zijn neergezet, draaien vaak nog steeds — op verouderde software die niet meer wordt ondersteund.
- Patchen is lastig. Je kunt een fabriek of energiecentrale niet zomaar herstarten voor een update. Een patch installeren vraagt soms maanden planning en een geplande productiestop.
- Eigen protocollen. OT gebruikt specifieke industriële protocollen (zoals Modbus, PROFINET of OPC UA) die standaard IT-securitytools vaak niet herkennen.
- Fysieke gevolgen. Een verkeerde ingreep heeft direct gevolgen in de echte wereld — van een stilgevallen lopende band tot een veiligheidsrisico.
Het gevolg: je kunt IT-maatregelen niet één-op-één kopiëren naar OT. Een agressieve vulnerability scan die in een kantoornetwerk onschuldig is, kan een kwetsbare PLC laten crashen. Daarom vraagt OT-security om eigen kennis, eigen normen en — steeds vaker — eigen specialisten.
Het Purdue-model: de architectuur van een OT-omgeving
Wie OT-security wil begrijpen, komt al snel het Purdue-model tegen (formeel onderdeel van de ISA-95-standaard). Het model verdeelt een industriële omgeving in lagen, van de werkvloer tot de directiekamer:
- Level 0–1: de fysieke laag — sensoren, actuatoren en de PLC's die ze aansturen.
- Level 2: de bewaking en aansturing van het proces, zoals SCADA en HMI's (de schermen waarop operators meekijken).
- Level 3: de productiemanagementlaag (MES) die de werkvloer met de bedrijfsvoering verbindt.
- Level 4–5: de klassieke IT en de bedrijfssystemen (ERP, e-mail, internet).
De kern van de gedachte: tussen de fysieke proceslaag en de kantoor-IT hoort een strikte scheiding te zitten, met een gecontroleerde overgang (vaak een ‘industriële DMZ’). Een aanvaller die binnenkomt via een phishingmail op kantoor mag niet ongehinderd kunnen doorlopen tot aan de PLC die een turbine aanstuurt. Het ontwerpen en bewaken van die scheiding is een van de kerntaken in OT-security — en precies waar een security architect met OT-kennis het verschil maakt.
IEC 62443: het raamwerk voor industriële cybersecurity
Net zoals ISO 27001 de standaard is voor informatiebeveiliging in de IT-wereld, is IEC 62443 dé internationale normenreeks voor cybersecurity van industriële automatiserings- en besturingssystemen (IACS/OT). Het is geen enkele norm maar een hele familie van documenten, opgebouwd in vier lagen: algemene begrippen, beleid en processen, systeemeisen en componenteisen. Daardoor spreekt de norm zowel de asset owner als de systeemintegrator en de fabrikant aan.
Twee concepten uit IEC 62443 vormen het hart van het vak:
1. Security levels (SL1 t/m SL4). De norm kent vier beveiligingsniveaus, gekoppeld aan het soort aanvaller waartegen je je wilt wapenen:
- SL1 — bescherming tegen toevallige of onbedoelde schending.
- SL2 — bescherming tegen een opzettelijke aanval met eenvoudige middelen.
- SL3 — bescherming tegen een geavanceerde aanval met gemiddelde middelen.
- SL4 — bescherming tegen een geavanceerde aanval met uitgebreide middelen (denk aan statelijke actoren).
2. Zones en conduits. Een zone is een groep assets met dezelfde beveiligingseisen; een conduit is het gecontroleerde communicatiekanaal tussen zones. Door een netwerk zo te segmenteren, kan een aanval in één deel zich niet vrij verspreiden, en kun je de zwaarste bescherming reserveren voor de meest kritische assets.
De technische eisen zelf zijn geordend in zeven Foundational Requirements (FR): identificatie en authenticatie (FR1), gebruikscontrole (FR2), systeemintegriteit (FR3), vertrouwelijkheid van data (FR4), beperkte dataflow (FR5), tijdige reactie op gebeurtenissen (FR6) en beschikbaarheid van middelen (FR7). Per zone bepaal je voor elk van die zeven eisen welk security level nodig is — een aanpak die veel verfijnder is dan één generiek beveiligingsstempel.
Op zoek naar een rol in OT- of IT-security?
Van OT Security Engineer en ICS Security Specialist tot CISO en IT-auditor met OT-scope: op IT Compliance Jobs vind je de nieuwste vacatures bij industriële bedrijven, netbeheerders, de vitale sector en toonaangevende adviesbureaus.
Bekijk alle vacaturesWaarom OT-security nú urgent is: NIS2 en de Cyberbeveiligingswet
De aandacht voor OT-security is niet uit de lucht komen vallen. Er is een duidelijke aanjager: Europese wetgeving. De NIS2-richtlijn verbreedt de groep organisaties die aantoonbaar hun cyberweerbaarheid op orde moeten hebben fors — en juist veel van die sectoren (energie, water, transport, gezondheidszorg, voedsel, chemie en industrie) draaien op OT.
In Nederland krijgt NIS2 vorm via de Cyberbeveiligingswet (Cbw), die naar verwachting in de tweede helft van 2026 in werking treedt en de huidige Wbni vervangt. De wet stelt eisen aan risicomanagement en aan technische én organisatorische maatregelen, kent een meldplicht voor incidenten (een eerste melding binnen 24 uur, een uitgebreidere melding binnen 72 uur en een eindrapport binnen een maand) en legt de eindverantwoordelijkheid nadrukkelijk bij het bestuur, dat persoonlijk aansprakelijk kan zijn. Daar bovenop komt de Cyber Resilience Act, die eisen stelt aan de beveiliging van producten met digitale elementen — inclusief veel industriële componenten.
Het mooie is dat deze wetten en de bestaande normen elkaar versterken. NIS2 zegt wat je moet bereiken; IEC 62443 (vaak in combinatie met het NIST Cybersecurity Framework en ISO 27001) levert het concrete gereedschap om dat in een OT-omgeving te realiseren. Voor organisaties betekent dit een flinke klus — en dus een groeiende vraag naar mensen die OT en security beheersen.
De nieuwe rollen: van OT Security Engineer tot OT-auditor
OT-security is bij uitstek een vakgebied waarin techniek, veiligheid, governance en compliance samenkomen. Dat zie je terug in de breedte aan functies die ontstaan. Hieronder de belangrijkste rollen die in de vacatures opduiken.
OT Security Engineer
De handen-uit-de-mouwen-rol. De OT Security Engineer implementeert en beheert de beveiliging van de industriële omgeving: netwerksegmentatie volgens het Purdue-model, monitoring van OT-verkeer, hardening van systemen en het opzetten van veilige remote access. Deze engineer spreekt zowel de taal van de IT-securityafdeling als die van de operators op de werkvloer — en begrijpt dat een maatregel nooit de continuïteit of veiligheid van het proces in gevaar mag brengen.
ICS Security Specialist & OT Security Architect
Waar de engineer uitvoert, ontwerpt de OT Security Architect of ICS Security Specialist het grotere plaatje: de zone- en conduit-indeling, de security levels per zone, de referentiearchitectuur en de standaarden waarmee een hele organisatie haar fabrieken beveiligt. Dit is een natuurlijke verbreding voor een ervaren security architect die zich verdiept in IEC 62443 en industriële protocollen.
OT Security Officer / Manager
De governance-kant. De OT Security Officer of Manager OT Security vertaalt wet- en regelgeving naar beleid, stelt het OT-securityprogramma op, bewaakt de risico's en is gesprekspartner voor het bestuur. Deze rol ligt dicht tegen die van de Information Security Officer aan, maar dan toegespitst op de industriële omgeving — en vaak in nauwe samenwerking met de afdelingen veiligheid (HSE) en assetmanagement.
Internal Auditor Operational Technology / OT-auditor
En dan de derde lijn. Steeds meer organisaties zoeken een Internal Auditor Operational Technology: een IT-auditor die zich specialiseert in OT en toetst of de beheersmaatregelen in de fabriek daadwerkelijk werken. Deze OT-auditor combineert auditmethodiek en frameworks (IEC 62443, NIS2, ISO 27001) met begrip van industriële processen — een schaarse en daardoor gewilde combinatie. In het Three Lines Model vult deze rol de onafhankelijke derde lijn voor de OT-omgeving in.
Daarnaast verbreden bestaande rollen hun scope. Een CISO is in een industrieel bedrijf allang niet meer alleen verantwoordelijk voor de kantoor-IT, maar ook voor de OT. En een IT Risk Officer moet OT-risico's net zo goed kunnen wegen als clouddreigingen. OT-security is daarmee geen niche meer, maar een dimensie die door het hele security- en compliancevak heen loopt.
Wat verdient een OT-securityprofessional in Nederland?
Omdat de combinatie van OT-kennis en securityexpertise schaars is, betalen werkgevers er goed voor. De exacte beloning hangt af van rol, ervaring en sector — in de energie-, chemie- en vitale sector liggen de bedragen gemiddeld hoger. Onderstaande tabel geeft een realistische indicatie van de brutosalarissen in Nederland in 2026.
| Functie | Niveau | Indicatie bruto jaarsalaris |
|---|---|---|
| OT Security Engineer | Medior | €55.000 – €75.000 |
| ICS Security Specialist / OT Security Architect | Senior | €75.000 – €110.000 |
| OT Security Officer / Manager | Leidinggevend | €90.000 – €125.000 |
| Internal Auditor Operational Technology | Medior / senior | €65.000 – €95.000 |
Marktbronnen noemen voor een OT Security Engineer een brutomaandsalaris tussen de €4.000 en €6.000, wat goed aansluit bij de bandbreedtes hierboven. Freelance en interim OT-securityspecialisten rekenen doorgaans een dagtarief tussen de €800 en €1.400, afhankelijk van senioriteit en sector. Wil je meer weten over beloning in het vakgebied, lees dan onze salaristrends voor 2026.
Certificeringen en skills voor OT-security
OT-security vraagt om een bijzondere mix: je moet zowel het securitydenken als de industriële realiteit begrijpen. De volgende certificeringen en kennisgebieden geven een duidelijke voorsprong:
- IEC 62443 / ISA-certificeringen — de ISA/IEC 62443-trajecten (Fundamentals, Risk Assessment, Design, Maintenance) zijn de meest gerichte papieren voor dit vakgebied.
- GICSP (Global Industrial Cyber Security Professional) — een brede, gewaardeerde OT-certificering van GIAC die juist de brug tussen IT, OT en engineering legt.
- CISSP en CISM — sterke securityfundamenten die goed combineren met OT-specialisatie, vooral voor architect- en managementrollen.
- CISA — onmisbaar voor wie de auditkant op wil en OT-beheersmaatregelen wil toetsen.
- Kennis van frameworks — NIST CSF, ISO 27001 en uiteraard de NIS2-/Cyberbeveiligingswet-eisen.
Minstens zo belangrijk als certificaten is de juiste houding. De beste OT-securityprofessionals zijn nieuwsgierig naar de techniek op de werkvloer, hebben respect voor de prioriteit van veiligheid en continuïteit, en kunnen schakelen tussen de operator, de IT-afdeling en het bestuur. Het is een vak waarin je leert van zowel een PLC-handleiding als een directieoverleg.
Past een carrière in OT-security bij jou?
OT-security past goed bij mensen die zich thuis voelen op het snijvlak van techniek, veiligheid en compliance — en die het leuk vinden om in twee werelden tegelijk te opereren. Kom je uit de IT-security en wil je dichter bij de fysieke wereld komen? Dan is de stap naar OT verrassend logisch. Kom je juist uit de techniek of automatisering (denk aan een achtergrond als procesengineer of automatiseringsspecialist) en trekt cybersecurity je? Dan heb je een voorsprong die veel IT'ers missen: je begrijpt het proces.
Het vakgebied staat nog aan het begin van een lange groeicurve. Met NIS2, de Cyberbeveiligingswet en de Cyber Resilience Act die organisaties dwingen hun OT op orde te brengen, is de vraag naar OT Security Engineers, ICS Specialisten, OT Security Officers en OT-auditors de komende jaren alleen maar groter. Wil je weten hoe deze rollen zich verhouden tot de rest van het vakgebied? Lees dan onze gids over het verschil tussen CISO, ISO, BISO en TISO en over het Three Lines Model. En ben je klaar voor de volgende stap? Bekijk de actuele vacatures in IT- en OT-security en vind de organisatie die bij je past.