De gewijzigde Europese Network and Information Security-richtlijn (NIS2) wordt momenteel omgezet in Nederlandse wetgeving. Daarvoor vindt er een update van de Nederlandse Wbni Wet Beveiliging Netwerk- en Informatiesystemen plaats. Dat betekent dat 10.000 Nederlandse bedrijven en instellingen uit vitale sectoren voor die tijd hun informatiebeveiliging op orde moeten brengen. Ook de meeste transportbedrijven zullen extra maatregelen moeten treffen.
De Europese Unie beschouwt transport als één van de vijftien vitale sectoren. Het vervoer van personen en goederen via lucht, water, spoor en weg is volgens de overheid in Brussel cruciaal om onze samenleving en economie draaiende houden. Dat betekent dat naast vliegvelden en zeehavens ook wegbeheerders als Rijkswaterstaat en exploitanten van intelligente verkeerssystemen zoals verkeerslichten onder NIS2 vallen.
De transportbedrijven die gebruik maken van deze infrastructuur worden niet expliciet genoemd in de nieuwe richtlijn, maar dat betekent niet dat ze aan NIS2 ontkomen. “De foodindustrie, zorgsector en chemie behoren eveneens tot de vitale sectoren. Daaronder valt niet alleen de productie van levensmiddelen, geneesmiddelen en chemicaliën, maar ook het vervoer ervan”, vertelt Marcel de Haan, security consultant bij Tesorion. “Dus als je als logistiek dienstverlener voor chemiebedrijven rijdt, krijg je met NIS2 te maken.”
Zwakste schakel
Dat informatiebeveiliging bij logistiek dienstverleners een cruciale rol speelt in de beschikbaarheid van levensmiddelen en andere vitale goederen, weten we sinds de kaas-hack bij Bakker Logistiek in het voorjaar van 2021. Een week lang kon de logistiek dienstverlener vanwege een aanval met gijzelsoftware niet leveren, waardoor veel winkels van Albert Heijn verstoken bleven van kaas. “Dit gebruiken we nog vaak als voorbeeld”, zegt Frans Dondorp, senior security & privacy consultant bij Tesorion. “Het is een van de zeldzame voorbeelden waarbij burgers direct werden geraakt. In dit geval gaat het om kaas, maar wat als het medicijnen of bloed betreft? Dan wordt een cyberaanval direct levensbedreigend.”
Ook als het om informatiebeveiliging gaat, is de logistieke keten dus zo sterk als de zwakste schakel. Beide consultants van Tesorion verwachten daarom dat bedrijven die direct onder NIS2 vallen, eisen zullen stellen aan de logistiek dienstverleners waarvan zij afhankelijk zijn. Dondorp: “De discussie over informatiebeveiliging zal vertaald worden in contractuele eisen. Logistiek dienstverleners zullen ervoor moeten tekenen dat ze hun informatiebeveiliging aantoonbaar op orde hebben, bijvoorbeeld aan de hand van het ISO 27001-certificaat. Misschien kun je als logistiek dienstverlener een cyberaanval nooit helemaal voorkomen, maar je moet wel alles doen om de kans daarop te beperken.”
Grote boetes
Voor alle duidelijkheid: NIS2 is een richtlijn, geen Europese wetgeving zoals de Algemene Verordening Persoonsgegevens (AVG) die sinds 2016 van kracht is. Maar er is wel degelijk wetgeving in aantocht, waarschuwt Dondorp. “Een richtlijn is in juridische zin een opdracht aan alle EU-lidstaten om nationale wetgeving te ontwikkelen. Uiterlijk 17 oktober 2024 moet de richtlijn in nationale wetgeving zijn omgezet en moeten alle vitale sectoren daaraan voldoen.”
NIS2 is een uitbreiding en aanscherping van NIS, de richtlijn die in 2018 heeft geleid tot de Wet Bescherming Netwerk & Infrastructuur (WBNI). Daarin is onder meer vastgelegd dat vitale organisaties cyberaanvallen en cyberdreigingen centraal moeten melden, zodat iedereen direct maatregelen kan treffen. In NIS2 is het aantal vitale sectoren uitgebreid, waardoor nu 10.000 in plaats van 400 bedrijven en instellingen direct onder de nieuwe richtlijn vallen. “En dan hebben we het nog niet over de toeleveranciers en andere ketenpartners die indirect te maken krijgen met de contractuele eisen van die 10.000 bedrijven”, verklaart De Haan.
Daarnaast heeft de EU een grote boete ingesteld op het niet naleven van de richtlijn. “Een gebrekkige informatiebeveiliging was altijd al een operationeel risico, maar geen onderwerp dat besproken werd in de directiekamers van bedrijven. Nu die bedrijven kans lopen een grote boete te krijgen, is informatiebeveiliging ook een financieel risico geworden. Dat is de reden waarom NIS2 nu zoveel aandacht krijgt”, legt Dondorp uit.
Het nieuwe goud
Dat informatiebeveiliging onderwerp van gesprek binnen de directie wordt, is hoognodig. “Anders wordt er niets aan gedaan”, stelt Dondorp, die de vergelijking maakt met geld. Dat is essentieel voor een gezonde bedrijfsvoering. Daarom zit in de directie iemand die verantwoordelijk is voor geld en zicht heeft op alle geldstromen. Die controleert alle afdelingen, die verantwoordelijk zijn voor hun eigen budgetten. Wanneer iemand geld steelt, valt dat direct op en volgt een disciplinerende maatregel. “Als we stellen dat data het nieuwe goud is, moeten we die op dezelfde manier behandelen. Dat betekent dat we binnen de directie iemand voor alle datastromen verantwoordelijk moeten maken en dat elke afdeling verantwoordelijk is voor zijn eigen data. En als iemand data kwijtraakt, moet meteen actie worden ondernomen. Dat besef is er onvoldoende. Helaas kiest de EU voor een boetesysteem om informatiebeveiliging onder de aandacht te brengen, maar we hebben eerder gezien bij de AVG dat grote boetes wel werken.”
Nu is informatiebeveiliging vaak een taak van de ICT-afdeling. “Maar informatiebeveiliging gaat over veel meer dan alleen ICT”, stelt Dondorp. “Informatiebeveiliging gaat ook over houding en gedrag van medewerkers en screening van nieuwe medewerkers. Informatiebeveiliging kan betekenen dat je informatie niet mee naar huis neemt en niet onnodig uitprint. Kortom, het raakt alle processen en alle afdelingen van het bedrijf. Iedereen moet ervan doordrongen zijn dat informatie essentieel is voor het bedrijf.”
Niet afwachten
De deadline van 17 oktober 2024 klinkt nog ver weg. Omdat nog altijd niet vaststaat wat precies in de Nederlandse wetgeving komt te staan, is de verleiding groot om te wachten met maatregelen tot de overheid meer duidelijkheid schept. De Haan geeft echter het dringende advies om niet daarop te wachten en nu al in actie te komen. “Zeker als je nog helemaal geen aandacht hebt besteed aan informatiebeveiliging. Dan kost het een paar jaar om die volledig op orde te krijgen. Er zijn heel wat maatregelen die bedrijven nu al kunnen treffen zonder dat dat bakken met geld kost. Vaak gaat het om zaken die eigenlijk al geregeld hadden moeten zijn zoals netwerksegmentatie en tweestapsverificatie. En medewerkers ervan bewust maken dat ze niet op elke link moeten klikken, geen wachtwoorden moeten delen en geen wachtwoorden in hun browser moeten opslaan. Daarmee hoef je niet te wachten totdat er meer duidelijkheid is over de wetgeving.”
Wie de informatiebeveiliging structureel wil verbeteren, dient allereerst de organisatie op orde te brengen. Wie wordt verantwoordelijk voor informatiebeveiliging? Hoe gaan we daarover rapporteren? Vervolgens is het zaak om meerdere malen de plan-do-check-act-cyclus te doorlopen: maak een plan, voer dat uit, evalueer de resultaten en voer zo nodig aanpassingen door. “Om een plan te kunnen maken, zul je eerst moeten weten waar je staat. Haal iemand in huis die checkt in hoeverre de informatiebeveiliging op orde is. Daaruit volgt wat de risico’s en knelpunten zijn. Die moet je aanpakken in volgorde van belangrijkheid”, legt De Haan uit.
Back-up
De belangrijkste tip aan transportbedrijven: maak back-ups en bewaar die offline, zodat je bij problemen snel weer in de lucht kunt zijn. “Dat is iets wat vaak wordt vergeten of niet goed wordt georganiseerd. Dan wordt automatisch een back-up gemaakt die online wordt bewaard. Als dan een aanval met gijzelsoftware plaatsvindt, kun je niet meer bij die back-up”, legt De Haan uit. “En vergeet niet dat je ook bij gebruik van een cloudoplossing zelf verantwoordelijk blijft voor je data. Die verantwoordelijkheid kun je niet afschuiven naar de cloud-provider. Ook het maken van back-ups van data in de cloud blijft je eigen verantwoordelijkheid.”
Dondorp adviseert om eens te testen wat er gebeurt als een bepaald systeem uitvalt. “Wat kun je dan wel en wat niet? Hoe snel kun je de back-up terugzetten en weer in de lucht zijn? Net zoals je eens per jaar een brandoefening houdt, zou je ook eens per jaar een cyberaanval kunnen nabootsen. Het zou me niet verbazen als bedrijven in vitale sectoren dat gaan eisen van je logistiek dienstverlener. Misschien blijkt dan dat je beter twee logistiek dienstverleners kunt inschakelen, zodat je bij een cyberaanval op de ene kunt terugvallen op de andere dienstverlener.”
Penetratietesten
Grote logistiek dienstverleners doen wellicht al het nodige aan informatiebeveiliging. Als zij hun zaken op orde hebben, hebben zij minder te vrezen van NIS2. “Maar “zoals gezegd het draait allemaal om ketenverantwoordelijkheid”, stelt De Haan. “Als je een klein transportbedrijf met slechts vijf vrachtauto’s hebt en rijdt voor een groot bedrijf dat aan de NIS2 moet voldoen, zal ook jouw bedrijf contractueel verplicht kunnen worden om maatregelen te treffen. Check dus of je in een vitale sector opereert en wat je positie in de keten is. En neem dan passende maatregelen. Dat betekent misschien dat je niet meer het neefje van de directeur je website kunt laten bouwen.”
Dondorp spreekt over IT General Controls (ITCG): beheersmaatregelen die ervoor zorgen dat IT-systemen betrouwbaar en integer zijn. “Je moet kunnen garanderen dat je administratie veilig is. Dat betekent wellicht dat je eisen moet stellen aan je IT-leveranciers. En dat je penetratietesten laat uitvoeren, waarbij je gespecialiseerde, ethische hackers laat inbreken in je IT-systemen. Het gaat erom dat je als directie controle hebt over je informatiestromen. En die controle hebben veel bedrijven niet. Zeker niet als het gaat om bedrijven die draaien op IT-systemen van twintig jaar geleden.”
Data delen
Dondorp en De Haan roepen transportbedrijven op om werk te maken van informatiebeveiliging, maar benadrukken dat ze niet in een kramp moeten schieten. Ze wijzen op de toenemende vraag om het delen van data met ketenpartners. “Natuurlijk, als je een achterdeurtje opent zodat een ketenpartner data kan ophalen, kan een hacker dat achterdeurtje overbelasten met een DDoS-aanval en je systeem omver trekken. Het delen van data moet mogelijk zijn, maar regel dat goed in en zorg ervoor dat die data bij de juiste partner terecht komt”, legt Dondorp uit.
De Haan benadrukt dat niet alleen IT, maar ook OT (operationele technologie) risico’s oplevert. Steeds meer machines hebben een online connectie. “Leveranciers hebben online toegang nodig om bijvoorbeeld onderhoud te kunnen plegen en vragen om een account. Prima natuurlijk om ze toegang te geven, maar maak daarover afspraken en geef alleen toegang op het moment dat dat nodig is. Vermijd elk risico, want de medewerker die je vandaag toegang geeft, heeft morgen misschien een ander belang en kan dan zijn toegang misbruiken.”
Het bedrijfsproces staat voorop, stellen de consultants van Tesorion. Dat moet gewoon kunnen plaatsvinden, alleen dan op een veilige manier. Dondorp: “Niemand verwacht dat je op je fiets een slot hangt dat zwaarder is dan de fiets zelf, want daarvan ga je niet harder fietsen. Het proces moet leidend zijn, niet de beveiliging daarvan.”