Wat zijn de NIS2 richtlijnen
De aanpassing van de Cyberbeveiligingswet aan de Europese richtlijn NIS2 dwingt voor de Europese economie essentiële bedrijven en diensten – waaronder de logistiek – om hun netwerk- en informatiesystemen beter te beschermen tegen criminaliteit.
Deze NIS2-richtlijn (Network Information Security) is de opvolger van de oude Europese richtlijn en is opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze maatregel wordt naar verwachting in het najaar van 2025 van kracht en bepaalt aan welke minimale eisen (logistieke) bedrijven moeten voldoen om zich te wapenen tegen inbreuken van buitenaf. Denk aan hacks, het installeren van gijzelsoftware of DNS-kaping, waardoor een of meerdere onderdelen van de logistieke keten kunnen worden lamgelegd.
“Goede beveiliging van systemen en data is daarom urgent en relevant voor alle logistieke bedrijven, zelfs voor de kleinere vervoerders omdat zij als charters of onderaannemers deel uitmaken van de gehele vervoersketen”, zegt Johan Hemmen, manager Preventie en Risicobeheer.
“Grote opdrachtgevers zoals grootwinkelbedrijven eisen dat de gehele vervoersketen goed beveiligd is om de kans op inbreuken zo veel mogelijk te verkleinen.”
Cybersecurity
De richtlijn NIS2 legt minimale beveiligingsmaatregelen vast voor kritieke organisaties. Uit onderzoek van TVM, blijkt dat transportbedrijven cyberaanvallen rekenen tot hun drie grootste bedreigingen. Bijna een derde van de bedrijven heeft al eens te maken gehad met cybercriminaliteit.
Desondanks geeft iets minder dan de helft van de ondervraagde logistieke bedrijven (48 procent) aan zich daarop goed voorbereid te voelen. Een (kleine) meerderheid dus niet. En slechts 27 procent van de bedrijven heeft een eventuele cyberaanval opgenomen in een calamiteitenplan.
“Bedrijven hebben straks zowel een meld- als een zorgplicht. Je moet dus niet alleen melding maken van het incident, maar ook zorgen dat de noodzakelijke beveiligingsmaatregelen worden genomen om de digitale veiligheid en de continuïteit van de dienstverlening te waarborgen”, aldus Johan.
Hij geeft de volgende tips:
- Bereid je goed voor op een systeemincident. Zorg dat er een calamiteitenplan (op papier en met telefoonnummers, dus niet digitaal opgeslagen!) is, waarin beschreven staat hoe je in geval van nood operationeel kunt blijven.
- Zorg ervoor dat de systemen regelmatig worden getest op kwetsbaarheden en dat beveiligingspatches meteen worden doorgevoerd.
- Stel vanuit de directiekamer de juiste vragen aan de verantwoordelijken voor de IT-systemen, maar wees ook kritisch op je partners in de logistieke keten. Als zij het niet goed hebben geregeld, lopen andere partners in de keten besmettingsgevaar.
- Meld incidenten, ondanks de vrees voor reputatieschade. Het is ten eerste wettelijk verplicht en het vergroot de bewustwording over gevaren en methodes. Het is een belangrijk leermoment. Een cyberaanval kan namelijk iedereen overkomen.
- Zorg periodiek binnen de organisatie voor awareness op cyberrisico’s en hoe deze kunnen worden voorkomen.