Organisaties investeren miljarden in cloud, AI en cybersecurity en laten ondertussen een van de grootste digitale risico’s links liggen. De verbinding tussen operationele technologie en traditionele IT groeit in hoog tempo, maar de governance om die verbinding te beheersen ontbreekt bij de meeste bestuurders nog volledig. Dat was de kern van de sessie die Martijn Janssen en Peter Spruijt verzorgden op het TFG Innovation Event 2026. Hun boodschap was helder en ongemakkelijk: IT/OT-convergentie is allang geen technisch vraagstuk meer. Het is een bestuursrisico.

Martijn IT
Foto: Martijn Janssen

Twee werelden die nooit bedoeld waren om samen te werken

IT en OT zijn van oorsprong gescheiden disciplines met tegengestelde prioriteiten. IT richt zich op doorontwikkeling, schaalbaarheid en digitale diensten. OT draait primair om het ononderbroken functioneren van fysieke processen. Denk aan productielijnen, energiebeheer, logistieke ketens.

Die spanning is geen cultureel misverstand. Het zit ingebakken in de architectuur. IT-systemen worden regelmatig gepatcht en vervangen. Industriële installaties draaien soms tientallen jaren op dezelfde software, omdat een update een productieproces kan stilleggen.

Zolang die werelden gescheiden bleven, was dat behapbaar. Maar, ze zijn niet meer gescheiden. Sensoren, edge computing, cloudkoppelingen en realtime data-uitwisseling hebben de grens opgelost. OT-omgevingen staan nu in directe verbinding met bedrijfsnetwerken en externe leveranciers en dat verandert het risicoprofiel van organisaties fundamenteel.

Een kwetsbaarheid in kantoorautomatisering kan een fabriek stilleggen

Cybercriminelen begrijpen de waarde van die verbinding. Een zwak punt in de IT-omgeving, een phishingmail, een slecht beveiligde leveranciersverbinding, een niet-gepatcht systeem, kan een ingang vormen naar operationele systemen. Wanneer OT-systemen worden geraakt, stokt meer dan alleen de dataverwerking. De gevolgen zijn direct zichtbaar: stilstaande machines, verstoorde leveringen, risico’s voor de fysieke veiligheid van mensen.

In sectoren als energie, logistiek, zorg, telecom en industrie is dit geen theoretische dreiging. Juist omdat IT-systemen sterk zijn verbonden met fysieke processen. Het is een operationeel risico dat bestuurders dagelijks zouden moeten meewegen.

Toch denken veel directies en raden van bestuur nog steeds dat cybersecurity de verantwoordelijkheid is van de CIO of CISO. Martijn en Peter stelden dat die aanpak in de hybride infrastructuren van tegenwoordig niet langer werkt. De impact van een incident overstijgt allang de IT-afdeling.

”Cybersecurity verandert van een technisch thema naar een direct bedrijfsrisico.”

NIS2 zet bestuurders onder druk en dat is terecht

De Europese regelgeving helpt mee om dat bewustzijn te stimuleren. NIS2 legt expliciet verantwoordelijkheid bij directies en raden van bestuur voor cybersecurity en digitale weerbaarheid. Niet als afvinkverplichting, maar als structureel onderdeel van governance.

Daarmee verschuift het debat. Cybersecurity is geen technisch budget meer dat de IT-afdeling beheert. Het is een strategische afweging die op de bestuurstafel hoort.

Daarbij is er sprake van een grote afhankelijkheid van externe leveranciers. Industriële leveranciers bieden steeds vaker diensten aan die continu verbonden zijn: beheer op afstand, automatische updates, cloudintegraties. Handig, maar elke verbinding neemt ruimte voor risico met zich mee.

Traditionele risicomodellen die gericht zijn op kosten, prestaties en contracten, zijn niet ingericht op die realiteit. Digitale weerbaarheid zit er zelden structureel in verankerd. Dat terwijl digitale weerbaarheid juist serieuzer genomen moet worden.

Het echte probleem is eigenaarschap, niet technologie

Martijn en Peter waren duidelijk over waar de echte bottleneck zit. Technisch gezien zijn de bouwstenen er allang. Wie door de organisatie loopt, ziet dat segmentatie, monitoring en detectie geen onbekende begrippen zijn.

De bottleneck ligt ergens anders: wie is er nu eigenlijk verantwoordelijk?

IT- en OT-teams werken in veel organisaties als losse eenheden langs elkaar heen. Verschillende leveranciers, andere standaarden, aparte rapportagelijnen. Er is geen gedeeld risicobeeld en niemand neemt eindverantwoordelijkheid voor het totale digitale landschap.

Dat is het governance-vraagstuk dat bestuurders moeten oplossen. Niet door IT en OT samen te voegen tot één afdeling, maar door een structuur te creëren waarin IT, OT en security gezamenlijk opereren en gezamenlijk rapporteren aan de top.

Dat vraagt ook om cultuurverandering. Bestuurders die OT behandelen als een verlengstuk van IT, miskennen wat OT is: een discipline met eigen levenscycli, veiligheidsnormen en continuïteitseisen die je niet kunt overrulen met een standaard IT-securitybeleid.

Digitale soevereiniteit gaat ook over fabrieksystemen

Binnen Europa staat digitale soevereiniteit hoog op de agenda. Martijn en Peter lieten zien dat de focus nu ook naar industriële technologie verschuift en terecht. Veel Europese organisaties draaien hun operationele systemen op hardware en software van internationale leveranciers. Dat beheer is uitbesteed aan partijen waarop beperkt zicht bestaat.

Dat schept een nieuwe categorie afhankelijkheid in vitale sectoren. De vraag welke partijen toegang hebben tot operationele systemen, welke data er gedeeld wordt en welke risico’s daarin schuilen, hebben gevolgen voor nationale veiligheid en economische weerbaarheid.

De groeiende aandacht voor federatieve infrastructuren, open standaarden en transparante ecosystemen is dit geval dus een strategische noodzaak.

Peter OT
Foto: Peter Spruijt

Leveranciers zijn onderdeel van je risicoprofiel

Een van de meest onderschatte dimensies van IT/OT-convergentie is leveranciersmanagement. Moderne industriële omgevingen draaien op een complex ecosysteem van softwareleveranciers, hardwareproducenten, cloudplatformen en managed service providers. Elk van die partijen is een potentieel toegangspunt.

Ketenveiligheid is daarmee een concrete verantwoordelijkheid geworden. Niet alleen voor de IT- of security-afdeling, maar voor de hele organisatie. Cybersecurity moet een integraal onderdeel zijn van inkoop, contractbeheer en strategische besluitvorming.

Dat vraagt om samenwerking tussen procurement, legal, IT, security en operations. En het vraagt om zichtbaarheid. Een hardnekkig probleem: veel organisaties hebben geen volledig beeld van welke systemen, koppelingen en externe software actief zijn in hun OT-omgeving. Wat je niet ziet, kun je niet beveiligen. Dat inzicht drijft de toenemende aandacht voor asset visibility en supply chain security. Niet omdat een auditor erom vraagt, maar omdat continuïteit ervan afhangt.

AI versnelt de complexiteit en het risico

De opkomst van AI en autonome systemen voegt een nieuwe laag toe aan het vraagstuk. Dat organisaties AI-modellen in productieprocessen integreren is tegenwoordig geen uitzondering meer. De voordelen zijn reëel: efficiëntere processen, voorspelbaardere storingen, snellere besluitvorming.

Maar, AI werkt op dataïntegratie, connectiviteit en realtime analyses. Elke nieuwe databron of cloudkoppeling vergroot het speelveld waarop aanvallers kunnen opereren. De infrastructuur wordt rijke en tegelijkertijd kwetsbaarder.

Bestuurders komen daardoor voor een dilemma te staan: enerzijds versnellen met AI, anderzijds de behoefte en noodzaak om controle en transparantie te waarborgen. Met als gevolg, wanneer dit dilemma genegeerd wordt dat innovatie sneller gaat dan het beheersingsvermogen wat risico’s en kwetsbaarheden met zich meebrengt.

Digitale governance is dus de voorwaarde waaronder innovatie verantwoord kan plaatsvinden.

Focus op gezamenlijk leiderschap

De conclusie die Martijn en Peter trokken in hun sessie is tegelijkertijd simpel en veeleisend. De technologie om IT/OT-convergentie veilig te maken bestaat. De kennis om het goed in te richten ook.

Wat ontbreekt is regie aan de top. Bestuurders die begrijpen dat operationele technologie inmiddels een kernonderdeel is van de digitale strategie. Die leveranciersmanagement koppelen aan risicomanagement. Die IT, OT en security niet als drie aparte werelden behandelen maar als één bestuursverantwoordelijkheid. Succesvolle weerbaarheid draait daarbij om samenwerking, governance en strategische regie.

”Opnieuw organiseren binnen een steeds complexer digitaal ecosysteem, dat is de uitdaging.”

De echte uitdaging? Niet in de technologie zelf, maar in Hoe organisaties grip houden op verantwoordelijkheid, controle en samenwerking naarmate het digitale ecosysteem complexer wordt.

Meer verhalen over het Innovation Event 2026?

Voor IT-professionals die dagelijks werken in omgevingen waar IT en OT elkaar raken, is de boodschap van Martijn en Peter geen toekomstvisie. Het is een opgave voor nu: stop met IT en OT als gescheiden werelden te behandelen en begin met bouwen aan gedeelde regie. Benieuwd naar de andere sessies tijdens het Innovation Event 2026? Lees dan het artikel van Cor en Peter over hoe architectuur bijdraagt aan scherpere besluitvorming, snellere verandering en betere samenwerking of het artikel van Kaspar over impact maken met leiderschap met AI.

Ontdek meer interessante artikelen

Marco1
IT-vakinhoudelijk,
AI vervangt geen mensen, maar wat mensen doen

Marco van Hurne (ASML) over hoe de realiteit van AI verschilt van de situatie die techgiganten schetsen.

Jaap en Dean
IT-vakinhoudelijk,
Van pilot naar praktijk: zo werkt AI-transformatie echt

Jaap en Dean (Maxeda) over een realistische AI-transformatie: minder experimenteren, meer daadwerkelijk transformeren.

IT-vakinhoudelijk,
Veiliger risicomanagement door minder te doen

Minder systemen, betere beveiliging. Richard en Chris (Skunk Team BV) over risicomanagement dat écht werkt.

Cor-Architectuur
IT-vakinhoudelijk,
Met betere besluiten maakt architectuur meer impact

Cor en Peter (Cito) vertellen in hun sessie tijdens het Innovation Event over wat architectuur wél laat landen.

IT-vakinhoudelijk,
Digitalisering start bij een goed fundament

Goede tools, maar geen richting. Bharet (ANWB Energie) legde op het Innovation Event uit wat digitalisering echt vraagt

Kaspar over AI
IT-vakinhoudelijk,
AI-impact begint niet bij de technologie, maar bij jou

AI-tools zijn er genoeg. Wat ontbreekt? Kaspar van Hulst en Patrick van Stockem gaven antwoord op het TFG Innovation Event 2026.

Innovation Event Paneldiscussie
IT-vakinhoudelijk,
Leiderschap bepaalt of IT-keuzes falen of slagen

IT faalt niet door techniek, maar door gedrag. Lees hier de inzichten van de paneldiscussie tijdens het Innovation Event.

IT-vakinhoudelijk,
De rol van de architect in big data projecten

Hoe de rol van de architect verandert in big data projecten en hoe je met een flexibele aanpak toch structuur behoudt.

IT-vakinhoudelijk,
Raspberry Pi 4 development environment setup

Complete Raspberry Pi 4 setup met netwerkboot, NFS en cross compiling voor snellere en stabiele ontwikkeling.

security beleid
IT-vakinhoudelijk,
Security beleid en procedures: van complex naar overzicht

Hoe je security beleid en procedures vertaalt naar een samenhangend en praktisch toepasbaar geheel binnen je organisatie.

Neem contact op

Heb je een vraag of wil je de route naar één van onze kantoren inplannen? Via onderstaande button vind je al onze contactgegevens!