Informatie over zendingen, klanten en prijzen die op straat komt te liggen. ICT-systemen waar je van het ene op het andere moment niet meer in kunt. En planningen die gemanipuleerd worden, waardoor je als transportbedrijf denkt dat je wagens in Helmond staan, maar ze in werkelijkheid in Nijmegen zijn. Het zijn maar enkele voorbeelden.
Hackers van over de hele wereld doen er alles aan om organisaties onder druk te zetten om losgeld te betalen. Soms ook gaat het hen niet eens om geld, maar botweg om het ontregelen en blokkeren van ketens, waar een bedrijf toevallig deel van uitmaakt. Alle reden om je als organisatie te wapenen tegen cybercriminaliteit. Letterlijk en figuurlijk alle poorten, ofwel alle voordeuren, achterdeuren, binnendeuren en tussendeuren in je netwerk stevig te beveiligen of op slot te gooien.
Anticiperen
Als Hoofd Toezicht Cybersecurity bij de Inspectie Leefomgeving en Transport weet Patrick Spelt, met vijftien jaar ervaring in de informatiebeveiliging, maar al te goed waar het mis kan gaan bij bedrijven. Hij is sinds oktober 2022 in dienst van ILT en druk met het opbouwen van een nieuwe afdeling cybersecurity. De inspectie is begonnen met vier inspecteurs en inmiddels zijn er dat veertien. Tot 2025 moet dat aantal nog verdubbelen tot 28. “Deze uitbreiding heeft alles te maken met de Europese NIS2-richtlijn die in 2025 zal zijn omgezet naar een nationale wetgeving cybersecurity.”
De afdeling cybersecurity is ontstaan nadat de Wet Beveiliging Netwerken en Informatiesystemen (Wbni) in Nederland in 2018 is ingevoerd. Deze wet komt voort uit de Europese NIS1-richtlijn. “Doel van de Wbni is voor ons als ILT om toezicht te houden op het naleven van deze wet bij zo’n 45 bedrijven die essentiële diensten leveren. Dat zijn aanbieders van essentiële diensten (AED’s) die vallen onder de verantwoordelijkheid van het ministerie van Infrastructuur en Waterstaat. Denk aan drinkwater-, luchtvaart-, rail- en havenbedrijven. Ook Rijkswaterstaat hoort daarbij als beheerder van het hoofdverkeersnetwerk. Het is immers essentieel dat de geautomatiseerde matrixborden blijven werken.”
Kleine ecosystemen
Maar met de komst van de NIS2 gaat het niet meer alleen om deze 45 grotere AED’s. In plaats van alleen een dienst, gaat het straks om het volledige bedrijf. Essentiële en belangrijke organisaties die aan de criteria voldoen, moeten zich aan de nieuwe wet gaan houden. Daarbij worden ook de kleinere en grote ondernemingen, meegenomen die met die essentiële bedrijven verbonden zijn. Om te voorkomen dat de operatie van essentiële bedrijven via hen plat komt te liggen, moeten ook zij goed beveiligd zijn. “Gezamenlijk vormen deze bedrijven kleine ecosystemen. En een keten is maar zo sterk als de zwakste schakel”, zegt Spelt.
Incidentgedreven inspecties
De NIS2-richtlijn betekent volgens hem een enorme uitbreiding van de scope voor ILT. “In plaats van het inspecteren van 45 bedrijven is de schatting dat we nu gaan uitkomen op circa 1.850 organisaties, waaronder ook de nodige bedrijven in de transport en logistiek. Die 45 bedrijven inspecteren we allemaal. Maar bij zo’n groot aantal is dat onmogelijk. Daarom komt een groot deel van hen onder proactief en een ander deel onder reactief toezicht. Reactief toezicht geldt voor bedrijven in specifieke sectoren, en zij worden incidentgedreven geïnspecteerd. Dus als er iets gebeurt en we krijgen daarvan een melding, dan komen we in actie.”
Belangrijke sectoren die er nu bij komen, zijn onder meer chemie, energie, transport, afvalstoffenbeheer en waterschappen. “Overigens is dit nog onder voorbehoud, want de discussie loopt nog over wat er precies in de Nederlandse wet op basis van NIS2 moet komen staan. Dus dat aantal van 1.850 kan ook nog wat hoger of lager uitvallen”, zegt Spelt.
Lees ook: NIS2-Quickscan gelanceerd: nu al voorbereiden op nieuwe cybersecuritywet
Extra inspecteurs
Wel is duidelijk dat de ILT al die bedrijven nooit met 28 inspecteurs kan controleren. “Want dat bezoeken en onderzoeken is mensenwerk en kost tijd.” Daarom heeft ILT voorgesteld om die inspecties één keer per drie tot vijf jaar te doen met een bepaalde hoeveelheid extra inspecteurs. “In dat traject zitten we nu. Overigens is het ook zo dat het ministerie van Economische Zaken met de RDI een inspectiedienst heeft, die de bedrijven die onder hen vallen op dezelfde wijze inspecteren als wij dat doen. Het spreekt voor zich dat we dat doen in nauw overleg, zodat we niet dubbelen.”
Het ministerie wijst die 1.850 bedrijven niet (via een brief) op het feit dat ze onder de richtlijn vallen. Zij moeten zelf kijken of ze met de wet te maken hebben, en zich dan registreren in het nieuwe portaal dat momenteel wordt ontwikkeld.
Quickscan
Om te checken of je als bedrijf onder die richtlijn valt, is online de NIS2-zelfevaluatie te vinden. Aan de hand van vragen doorloop je een stroomschema en kom je uit op ‘ja’ of ‘nee’. Vervolgens is er de quickscan, waarmee je kunt bepalen waaraan je moet voldoen om voldoende beveiligd te zijn. Dit helpt organisaties ook bij de voorbereiding op de nieuwe cyberwet.
De scan is vooral bedoeld voor de ICT- en cybersecurityspecialisten binnen een organisatie. Het beantwoorden van 40 vragen maakt hen bewust van de status van de digitale weerbaarheid van de organisatie. Ook worden er technische of organisatorische maatregelen voorgesteld, die hieraan kunnen bijdragen.
Het allerbelangrijkste is volgens Spelt dat ook organisaties die na het doorlopen van de zelfevaluatie een ‘nee’ te horen krijgen en dus niet onder de wet vallen, zich mogelijk toch aan de nieuwe wet moeten gaan houden. “Hun opdrachtgever kan dat namelijk eisen. Als zo’n opdrachtgever er wel onder valt, en deze het idee heeft dat een bedrijf dat voor hen werkt daar toch aan moet voldoen, dan ontkom je er niet aan. Een keten als die van bijvoorbeeld een grote chipfabrikant zou namelijk kunnen omvallen als trucks van een logistieke dienstverlener die voor hen rijdt vanwege een cyberaanval niet de weg op kunnen.”
Lees ook: De impact van NIS2 op de logistieke sector
Risicoanalyse
Met de nationale wetgeving in aantocht zijn organisaties die onder NIS2 vallen, verplicht voorbereidingen te treffen. “Hoe sneller ze starten om zich tegen cyberaanvallen te beschermen, hoe beter”, aldus Spelt.
De eerste maatregel die organisaties in het kader van de wet moeten nemen, is het maken van een risicoanalyse van de digitale dreiging die de belangrijkste dienstverlening van de organisatie kan verstoren, evenals de beveiliging van informatiesystemen.
“Kijk waar de te beschermen belangen, dreigingen en de huidige weerbaarheid van de organisatie zitten. Op basis hiervan kunnen weloverwogen keuzes worden gemaakt over hoe om te gaan met de gevonden risico’s. Belangrijke vraag daarbij is: wat zijn de kroonjuwelen, de te beschermen belangen van mijn organisatie? Daarom moet je die zaken in kaart brengen die cruciaal zijn voor organisatie en/of dienstverlening. Daarna is het afwegingen maken om de juiste maatregelen te treffen om deze te beschermen. Zo moet een transportbedrijf er bijvoorbeeld voor zorgen dat het planningssysteem en voertuigvolgsysteem altijd werkt.”
Stoppen en herstellen
Verder is het volgens Spelt een must om als bedrijf een noodplan te hebben als cybercriminelen toch binnen zijn weten te komen. “Hoe kun je ze stoppen en zaken herstellen? Bedenk ook wie je daarbij kan helpen. Bijvoorbeeld de leverancier van bepaalde software. En verder kijk je natuurlijk of je verzekerd bent, en of je back-upbeheer en noodvoorzieningsplannen hebt. Goed is ook om bedrijfscontinuïteitsplannen op cybersecuritygebied, zoals deze maatregelen ook wel worden genoemd, te testen in de praktijk. De NIS2-richtlijn schrijft 10 zorgplichtmaatregelen voor, waarvan bovengenoemde de belangrijkste zijn.” De overige maatregelen zijn te vinden op www.digitaltrustcenter.nl/nis2/startpunt.
Toetsen
De ILT checkt altijd als eerste drie zaken bij bedrijven. Is er een goede risicoanalyse gedaan? Weten de betrokkenen wat ze moeten beveiligen? Zien ze het belang ervan in? Vervolgens kijken de inspecteurs naar wat een organisatie aan beveiligingen heeft en wat er vervolgens mee is gedaan.
Spelt: “We toetsen zoals wij dat noemen opzet en bestaan. Dat komt erop neer dat we in een audit kijken naar wat er op papier staat voor de risico’s die er zijn, en wat ertegen te doen. Zo kan de conclusie zijn dat er een firewall nodig is. Vervolgens controleren we: is er een firewall aanwezig? Derde punt dat we checken, is de werking. Je constateert: ze hebben een firewall, maar je wilt ook weten of ze die ook gebruiken, goed instellen en regelmatig updaten.”
Inspecties
Overigens kan de ILT de nieuwe aanwas van bedrijven pas onder de loep gaan nemen als de nieuwe nationale wet in werking is. “We voeren in eerste instantie een verkennende inspectie uit. Dan leggen we in een inspectierapport vast wat voor bedrijf het is, welke diensten worden geleverd, welke verantwoordelijke rollen in het bedrijf erbij betrokken zijn, wie de ICT- beveiliging doet. Kortom, hoe zit alles in elkaar? Aan de hand van de wetsartikelen toetsen we of voldaan wordt aan de Wbni en straks aan de nieuwe wetgeving.”
Na de verkennende inspectie volgt op een later moment een verdiepende ronde. “Daarbij nemen we meer inhoud en praktijk onder de loep. Er staat bijvoorbeeld veel op papier, dus laat maar zien hoe het in de praktijk werkt. Daarbij kunnen we meekijken op de ICT-afdeling, maar we praten eveneens met de ICT-beheerder en de directie. Cybersecurity moet immers ook in de directiekamer worden gedragen om te kunnen investeren en borgen.”
Mount Everest
Belangrijk boodschap van Spelt is dat ondernemingen vooral moeten beginnen met het nemen van de juiste maatregelen. “Bedrijven kijken er soms tegenop als tegen het beklimmen van de Mount Everest. Maar ik zeg dan: vertrek alvast naar het eerste basiskamp. Doe de risicoanalyse, kijk naar wat er nodig is en pak dat aan. Gewoon beginnen, zodat je weet waar je het over hebt. En gebruik vooral de hulpmiddelen die er al zijn. Neem een framework als ISO, BIO of NIST. Werk ook systematisch, want dan start je met de juiste dingen.”
Dat de nationale wet er nog niet helemaal is, is voor Spelt geen excuus om nog niet aan de slag te gaan. “Veel staat al op internet, en inmiddels is bekend waaraan je moet voldoen. Zo ben je klaar of in ieder geval een heel eind op weg voordat de wet echt in werking treedt in 2025.”
Zware sancties
Overigens mogen de ILT-inspecteurs bedrijven geen advies geven over mogelijke oplossingen, diensten of producten in het kader van cybersecurity. “Wij kijken tijdens de inspecties, even kort door de bocht, alleen naar wat je doet aan security en hoe dat loopt. En de conclusie is dan: je voldoet wel of niet aan de wet. Heeft een bedrijf bijvoorbeeld geen risicoanalyse gedaan, dan is dat voor ons een rode vlag. Dan weet je volgens ons als ondernemer niet waar je het over hebt en heb je niet door hoe belangrijk cybersecurity is. Gelukkig komt dat niet heel vaak voor”, aldus Spelt.
Voldoet een bedrijf niet aan de wet, dan vraagt de inspecteur om een verbeterplan. Binnen een samen vastgestelde periode heeft het bedrijf de tijd om alsnog maatregelen te treffen. Spelt: “Bij een volgende inspectie is het dan negen van de tien keer wel oké. En dat is belangrijk, want met de NIS2 kunnen we als ILT vergaande sancties opleggen als bedrijven niet meewerken. In uiterste gevallen kunnen we met deze wet zelfs een bestuur hoofdelijk aansprakelijk stellen, of een forse boete opleggen. Voor bedrijven die als essentieel zijn aangemerkt, kan een geldboete oplopen tot 10 miljoen euro of 2% van de totale jaaromzet. Voor bedrijven die als belangrijk worden beschouwd, kan de boete oplopen tot 7 miljoen euro of 4% van de totale jaaromzet. Dat wil je niet. Dan heb je allebei gefaald, het bedrijf en de ILT. Voor dat geld kun je als bedrijf echt beter kiezen voor goede beveiligingsmaatregelen.”
