Bedrijven met gevaarlijke stoffen staan stil bij cyberveiligheid

Tijdens de Chemie on Tour op 26 september – georganiseerd door branchevereniging voor de chemische logistiek VNCW – werd stilgestaan bij de cyberdreigingen binnen de chemische logistiek en wat je als bedrijf kunt doen om een hack voor te zijn.

Cyberbeveiligingswet

Als eerste spreker van de Tour licht Stefan Brandt, beleidsmedewerker milieu bij het ministerie van Infrastructuur en Waterstaat, toe hoe in Nederland maatregelen ten behoeve van cyberveiligheid vastgelegd zullen worden in nationale wetgeving. In januari 2023 werd door de Europese Unie de NIS2 gepubliceerd: de richtlijn voor netwerk- en informatiebeveiliging. In Nederland zal in 2026 de NIS2 geïmplementeerd worden door de Cyberbeveiligingswet (Cbw). Met deze wet voldoet Nederland aan de Europese verplichting om bedrijven de juiste maatregelen te laten nemen om zichzelf te beschermen tegen cyberdreigingen.

Het ministerie van I&W is bij de wetgeving betrokken vanuit de verantwoordelijkheid voor de chemie. Brandt: “Ik ga m’n best doen jullie zoveel mogelijk de gedachtenspinsels en overwegingen bij de totstandkoming van de Cyberbeveiligingswet mee te geven. Geef hier vooral je input, mening of kritiek op.” Dit was niet tegen dovemansoren gezegd: menig aanwezige stelde een kritische vraag over de praktische gevolgen van de wet. Zo verplicht de NIS2 bedrijven tot risicobeheersing, het melden van incidenten en ketenverantwoordelijkheid. Maar wat valt er exact onder de term ‘incident’? En hoe zit het met de aansprakelijkheid binnen het bedrijf? Met name de zogenaamde ‘zorgplicht’ van bedrijven, de drempelwaarden van de NIS2 en de manier van inspecteren leveren vragen vanuit het publiek op.

Brandt roept de aanwezigen vooral op om van zich te laten horen tijdens de internetconsultatie die dit najaar online zal komen te staan. Daarnaast adviseert hij organisaties om niet af te wachten tot de Cbw inwerking treedt, maar vroeg genoeg al in actie te komen.

Ketenverantwoordelijkheid NIS2 in de chemische logistiek

Ron Vermeulen van Samen Digitaal Veilig sluit hierop aan” “Uit cijfers blijkt dat 56% van de transportondernemingen niet bekend is met de verplichtingen die de NIS2 met zich meebrengt. Dit terwijl deze branche juist een verhoogd risico op cybercriminaliteit heeft.”

Ondernemers in de chemische logistiek zullen zowel direct als indirect te maken krijgen met de NIS2. Zo val je als bedrijf met minder dan 50 medewerkers niet direct onder de NIS2. Maar: heb je 49 medewerkers en ben je toeleverancier voor een NIS2-bedrijf? Dan zul je alsnog indirect met de NIS2 te maken krijgen wegens de zorgplicht van het bedrijf waaraan je levert. Vermeulen: “Naar verwachting zullen er zo’n 8.000 bedrijven direct onder de NIS2 vallen en tussen de 50.000 tot 100.000 toeleveranciers indirect.”

“Gekeken naar de toekomst van de chemische keten: digitale veiligheid zal een kernonderdeel van de risicobeoordeling worden, waarbij je als bedrijf aan moet kunnen tonen dat je je digitale veiligheid geborgd is. Certificering wordt een ‘license to operate’. Denk hierbij aan de ISO 27001 of het NIS2 Quality Mark. Daarnaast worden cyberverzekeringen strenger en legt de NIS2-wetgeving ketenverplichtingen op. Zo moeten grote organisaties hun toeleveranciers controleren op cybersecurity. Houd er rekening mee dat het voorbereiden op dit alles tijd gaat kosten”, aldus Vermeulen.

De wereld van cybercrime

“Die NIS-wetgeving is allemaal mooi en vervelend, maar het is ook echt wel nodig. Ik was dan ook heel erg blij toen mijn aanbevelingen door Bart Groothuis van het Europees Parlement overgenomen werden. Eindelijk. Bedrijven komen namelijk niet in beweging totdat het misgaat.” Aan het woord is ethisch hacker Peter Lahousse (CCInfo). In het dagelijks leven monitort hij continu wat er zich afspeelt in de digitale wereld en geeft hij op basis van zijn inzichten dreigingsrapportages af aan diverse diensten in binnen- en buitenland. Om de risico’s van cybercrime toe te spitsen op de chemische logistiek heeft Lahousse in opdracht van branchevereniging IFCL drie bedrijven gescreend op hun digitale veiligheid. De aanbevelingen op basis van de screening bij bedrijven die gevaarlijke stoffen opslaan en transporteren delen hij en zijn medepresentator Jonathan van Eerd (Digiweerbaar) graag met de aanwezigen. In de december-editie van het vakblad Chemische Logistiek Magazine zal er dieper ingegaan worden op de resultaten uit het IFCL-onderzoek naar cybersecurity in vervoer en opslag.

Input op de Cbw

Dit najaar kan er via internetconsultatie input gegeven worden op de Cyberbeveiligingswet. Chemische Logistiek Magazine brengt u op de hoogte wanneer de exacte datum hiervan bekend is.