12-06-2024
Lat voor cybersecurity gaat omhoog, ook in haven
LStrengere wetgeving vanuit Brussel
Ongeveer 150 bedrijven in de Rotterdamse haven moeten straks voldoen aan strengere wetgeving op het gebied van informatiebeveiliging. Dat betekent dat ook de toeleverketens van die bedrijven hun cybersecurity op orde moeten hebben.
Het begon overzichtelijk. Slechts één bedrijf in de Rotterdamse haven viel onder de Europese richtlijn die eisen stelt aan de weerbaarheid van digitale netwerk- en informatiesystemen. Dat was het Havenbedrijf Rotterdam zelf, of beter nog de divisie Havenmeester, die het scheepvaartverkeer in de haven regelt en beveiligt. Dit was voor de veiligheid van kritieke activiteiten voor Nederland. Die werden daarom opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni), in 2016 de omzetting van de Europese richtlijn in Nederlandse wetgeving.
Maar inmiddels is er een tweede Network and Information Security Directive, oftewel NIS2-richtlijn. Hierdoor is er een aanpassing van de Wbni in aantocht en wordt alles anders. Het grootste verschil van deze tweede richtlijn met de eerste: er vallen veel meer sectoren en dus ook bedrijven onder. De Europese Unie heeft achttien zogenoemde vitale sectoren aangewezen, waarvan transport er een is. Vervoer van personen en goederen over de weg, per spoor, door de lucht en over het water is dusdanig cruciaal voor de Europese economieën en samenlevingen dat dit optimale bescherming verdient tegen digitale aanvallen.
Aanzienlijke gevolgen
De reikwijdte van NIS2 is groot. Geschat wordt dat ongeveer tienduizend bedrijven en instellingen in Nederland hun informatiebeveiliging moeten opvoeren. Een groot deel van de logistieke sector krijgt ermee te maken, zo niet omdat ze zelf tot de sector vervoer behoren, dan toch omdat ze als opdrachtnemer voor andere vitale sectoren werken, zoals de chemie of de voedselindustrie.
Ook voor logistiek knooppunt Rotterdam zijn de gevolgen aanzienlijk. Waarschijnlijk zo’n 150 bedrijven in het haven- industrieelcomplex gaan onder de NIS2-richtlijn vallen, zegt Evelien Bras, directeur van FERM. Stichting FERM is de organisatie die zich inzet voor de cyberweerbaarheid van de Rotterdamse haven. Doel van de stichting is, zoals haar website het omschrijft, “het stimuleren van samenwerking tussen bedrijven in de Rotterdamse haven om het bewust- zijn bij bedrijven over cyberrisico’s te verhogen en de best digitaal beveiligde haven van de wereld te worden.”
NIS2 heeft betrekking op bedrijven met een omvang vanaf vijftig werknemers of waarvan de jaaromzet de tien miljoen euro overstijgt. Vandaar dat in de grootschalige Rotterdamse haven nogal wat ondernemingen ermee te maken krijgen. “Alle overslagterminals zullen eronder vallen en een groot deel van de logistiek dienstverleners”, zegt Bras. Die bedrijven krijgen vanuit de Europese richtlijn een aantal verplichtingen opgelegd, gericht op het beheersen van de risico’s bij het gebruik van informatiesystemen. Een van die verplichtingen is dat ze ook toezien op de beveiliging van de toeleveringsketen. Dat betekent dat kleinere ondernemingen, niet behorend tot een ‘vitale sector’, toch met extra eisen op het gebied van cybersecurity worden geconfronteerd. “Indirect krijgen veel meer bedrijven die met of via de Rotterdamse haven zakendoen met deze eisen te maken.”
Directeur Evelien Bras van FERM: “Alleen als je te vertrouwen bent, kun je op termijn in business blijven.”
Maatregelen nemen
Hoe de eisen er precies uitzien, is nog niet bekend. Dat komt doordat de uitwerking van de NIS2-richtlijn in Nederlandse wetgeving nog niet is afgerond. Eind januari liet demissionair minister Yesilgöz van Justitie en Veiligheid in een brief aan de Tweede Kamer weten dat de herziening van de Wbni op zich laat wachten. De wetsvoorstellen worden pas “in het najaar” verwacht, hetgeen betekent dat Nederland de oorspronkelijke Europese deadline van 17 oktober 2024 voor invoering zeker niet haalt.
Overigens waarschuwt Yesilgöz in de brief dat het van belang blijft dat “bedrijven en organisaties niet afwachten totdat de nieuwe wet- en regelgeving volledig duidelijk is, maar nu al maatregelen nemen ter bescherming van de continuïteit van hun bedrijfsprocessen. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.” FERM-directeur Bras is het daarmee eens. “Hoewel de details nog niet bekend zijn, weten we al wat er in de richtlijn staat en dus in grote lijnen wat er op ons afkomt. We verwachten niet dat Nederland daar veel eisen aan toevoegt. Ik zou bedrijven dus adviseren om niet te wachten op de wet.”
Maar wat moeten ze dan doen? FERM krijgt veel vragen over de richtlijn. “De meest gestelde is: wat betekent het voor mijn bedrijf?”, zegt Bras. Daar is volgens haar geen eenduidig antwoord op te geven, omdat elk bedrijf verschillend is. Maar het begint met bewustzijn van en kennis over de materie. “Als je helemaal nog vanaf nul moet beginnen, zou ik zeggen: begin eens met een basiscursus cybersecurity. Zodat je in elk geval begrijpt wat er straks in de wet staat.”
Vertrouwensketen
De ogen sluiten is het minst verstandig. Want, los van de NIS2-richtlijn, cybersecurity staat al zo hoog op de agenda dat partijen in ketens eisen aan elkaar gaan stellen. Bras wijst op het voorbeeld van de Vertrouwensketen, waarbij de aangesloten partijen een digitaal en fysiek veilig afhaalproces van importcontainers in de haven van Rotterdam hebben gerealiseerd. Rederij (of cargadoor), terminal, expediteur, vervoerder, verlader: alle partijen zijn bekend en geautoriseerd en vormen samen een gesloten logistieke keten.
Al is de Vertrouwensketen gericht op een heel specifieke goederenstroom, het principe is breder toepasbaar en zal ook steeds meer ingang vinden, meent Bras. “Omdat partijen in de keten dat in contracten gaan afdwingen. Ook als kleine partij die af en toe zakendoet met de haven zul je het je niet meer kunnen permitteren om je niet te verdiepen in de beveiliging van je dataverkeer en van je systemen. Als jij de veiligheid van jezelf, maar ook van je klanten en toeleveranciers niet in de gaten houdt, wil op een gegeven moment niemand meer zaken met je doen. Als je niet te vertrouwen of een risico bent, word je hoe dan ook een keer uit de keten gestoten. Alleen als je te vertrouwen bent, kun je op termijn in business blijven.”
Sancties
Mocht het via eigenbelang niet goedschiks gaan, dan kan de overheid strengere normen voor cybersecurity desnoods kwaadschiks afdwingen. Bedrijven zullen zich uiteindelijk aan de wet moeten houden, al is nu nog onduidelijk wanneer die precies wordt ingevoerd. Het toezicht zal streng zijn, met name voor de ‘essentiële’ bedrijven. Maar ook de (andere) categorie ‘belangrijke’ bedrijven krijgt met toezicht te maken, zij het achteraf. Mocht er dan bij herhaling iets mis zijn met de beveiliging, dan kunnen er sancties volgen, uiteenlopend van boetes tot persoonlijke aansprakelijkheid. “Je moet het wel heel bont maken, maar het kan zo ver komen dat ze je via de rechter uit je functie ontheffen. Dan krijg je een Sanderinkje”, aldus Bras, met een verwijzing naar de uit zijn bedrijf gezette oud-Centric-topman Gerard Sanderink. Maar de intrinsieke reden om je cyberweerbaarheid te verhogen is natuurlijk niet om de toezichthouder te ontwijken of boetes te ontlopen. “Je doet het in de eerste plaats voor jezelf, voor je eigen bedrijf”, zegt Bras. “Daarom raad ik aan niet te wachten op de wet. Elk bedrijf heeft digitale middelen, een digitale infrastructuur of processen die deel uitmaken van een digitale omgeving. Begin er eens mee om hiervan de risico’s in kaart te brengen. Maak een inschatting en bekijk welke maatregelen je moet nemen. Dan laat je zien dat je het serieus neemt en is de kans groot dat je al voldoet aan de wet.”
Frank de Kruif
Getty Images