Hoe maak je cybersecurity – en vooral: cyberweerbaarheid – een integraal, structureel onderdeel van je bedrijfsvoering? Om die vraag te beantwoorden, organiseerden we op donderdag 1 juni jl. een bijeenkomst in de Maas Room van het World Port Center. Met uitzicht op de NIS2-richtlijn en de daaruit vloeiende nationale wetgeving hebben we ons met zo’n 50 bedrijven gericht tot het C-level van de Rotterdamse haven.

Samen met diverse sprekers hebben we vanuit verschillende perspectieven het onderwerp een spraakmakende invulling gegeven. Helaas moest Tweede Kamerlid Queeny Rajkowski omwille van verplichtingen in Den Haag verstek laten gaan, maar ijzersterke presentaties werden verzorgd door Lokke Moerel, Claudia de Andrade en onze eigen Evelien Bras. De volgende ochtend was er bovendien gelegenheid voor FERM-participanten om in gesprek te gaan met Bart Groothuis, Europarlementariër en voorheen hoofd van Bureau Cyber Security van het ministerie van Defensie, over de complexiteit van digitale weerbaarheid.

28 keer 12 miljoen containers

De bijeenkomst op donderdag werd, na een introductie door Evelien Bras, geopend door Claudia de Andrade, Director Digital & IT bij het Havenbedrijf, met een presentatie over de uitdagingen in het Haven Industrieel Complex (HIC). Ze schetste een algemeen beeld en vooral de behoeften van de Rotterdamse haven als geheel, om vervolgens op diverse detailniveaus in te zoomen. Het mag geen verrassing zijn, dat die situatie heel complex is – maar de variabelen in die complexiteit blijven toch tot de verbeelding spreken. De rol van het HIC in de Nederlandse economie bijvoorbeeld – inmiddels 8,2(!) procent van het BNP.

Of wat te denken van het aantal containers dat jaarlijks via de terminals van de grootste haven van het westelijk halfrond geleid worden: zo’n 12 miljoen.

Waar het echter vooral gaat duizelen, is bij het feit dat er per container zo’n 28 handelingen zijn – van de partijen in transport en logistiek (rederijen, loodswezen, Portbase, trein en vrachtwagen) tot Douane, de veiligheidsregio en de toezichthouders zoals DCMR en DHMR. De rol van digitalisering in dat totaalplaatje is uiteraard aanzienlijk, waarbij de noodzaak voor cybersecurity en een toenemend niveau van cyberweerbaarheid – bij organisaties en in de keten – vanzelfsprekend is.

Aansluitend was het woord aan prof. mr. Lokke Moerel voor een hele inzichtelijke presentatie in de wereld van cyber governance. Moerel, een collega van De Andrade vanuit hun rollen in de Cyber Security Raad (CSR), is een van ’s werelds bekendste privacy- en cyberadviseurs. Ze wordt dan ook regelmatig gevraagd door de meest complexe multinationale organisaties om hun wereldwijde privacy- en ethische uitdagingen aan te gaan bij het implementeren van nieuwe technologieën en digitale bedrijfsmodellen – maar ook om hen te helpen met hun wereldwijde respons op cyberbeveiligingsincidenten en onderzoeken naar regelgeving. Waarmee we de brug maken naar de NIS2 en de Wbni. 

Cyberweerbaarheid en NIS2-richtlijn

De NIS2-richtlijn en de aankomende vertaling naar Nederlandse wetgeving (Wbni) is tijdens een FERM themasessie afgelopen najaar uitgebreid aan bod gekomen. NIS staat voor netwerk- en informatiesystemen. In Europa is nu nog de ‘NIS1 directive’ van kracht, een wet specifiek voor essentiële bedrijven, zoals water- en telecombedrijven. Ook de afhandeling van het scheepvaartverkeer van Havenbedrijf Rotterdam valt binnen deze richtlijn. Medio 2024 zal de NIS2 verwerkt worden in de nationale wetgeving. Uiteraard wachten we dat niet zonder voorbereiding af! In oktober namen we participanten al mee in wat er gaat komen, en op deze pagina vind je een inzichtelijke samenvatting.

Wie een blik werkt op het cv van Moerel, begrijpt waarom ze uitgenodigd is om daar iets over te kunnen zeggen. Ze wordt algemeen erkend als de toonaangevende wereldwijde expert op het gebied van BCR (Binding Corporate Rules) en schreef daar tien jaar geleden een leerboek over dat nog steeds geldt als de standaard in het vakgebied. Ze is medevoorzitter van de Global Privacy Group (GPG), een werkgroep van chief privacy officers en bedrijfsjuristen van toonaangevende Europese multinationals. Hoogleraar Global ICT law aan de Universiteit van Tilburg, waar ze wereldwijde gegevensbescherming en nieuwe technologieën doceert. En in Rotterdam was ze afgelopen donderdag vooral aanwezig als Global Expert New Technologies & Cyber, waarbij ze vanuit haar rol bij Morrison Foerster inzoomde op de vraag: wat betekent dit voor bedrijven in de Rotterdamse haven?

Met NIS2 en andere cyberwetgeving in aantocht zijn we allen gebaat bij een collectieve aanpak om met elkaar in de nauw verweven fysieke én digitale ketens de cyberbasis op orde te hebben en de gezamenlijke cyberweerbaarheid te verhogen. Het cliché ‘het is niet de vraag óf je door een cyberincident of -aanval getroffen wordt, maar wannéér’ is honderd procent waar, en dat wordt ook langzaam maar zeker hoe de verantwoordelijkheid benaderd gaat worden. Dat laatste onderschrijft ook Moerel, die vanuit de praktijk laat zien dat er heel wat staat te veranderen in wet- en regelgeving, en dat afwachten daarin geen optie is.

    Hulp nodig bij het aankaarten van cyberrisico’s bij de board…?

Cyber is een verantwoordelijkheid van de boards, van managementteams. Waar het onderwerp voorheen vooral gezien werd als een speelveld op technisch vlak, zijn er net zo veel menselijke en sociale aspecten relevant. Misschien zelfs wel meer dan technisch en is het daarmee al multidisciplinair geworden. Het vakgebied groeit nu en de komende jaren sterk met ook contractuele en wettelijke aspecten. De verschillende rechtszaken welke naar aanleiding van schade tussen leveranciers en klanten die momenteel worden gevoerd zijn hier illustratief. De komende jaren gaan we aanscherping vanuit de wetgever zien, die zowel Nederland als Europa digitaal veiliger zullen maken en houden. Tijdige informatievoorziening en ketenverantwoordelijkheid zal hier een rol spelen. Of, om met de woorden van Joris den Bruinen, directeur Security Delta (HSD) te eindigen: sluit je aan bij FERM!

“Bij cyberdreigingen op industriële schaal horen ook maatregelen op industriële schaal”

– Bart Groothuis, Europarlementariër

Cyber Governance Model

Ter ondersteuning van beleid en aanpak is er vanuit FERM een Cyber Governance Model beschikbaar gesteld om organisaties inzicht te geven in behoeften en processen. De verantwoordelijkheid van management en de boards beginnen vanuit de business: wat zijn je key-assets, je contractuele en wettelijke verplichtingen (gevolgen) en door welke externe en interne dreigingen worden ze bedreigd (oorzaken)? Bekijk die business op zichzelf, maar ook ‘ingebed’ in haar ecosysteem, de keten waar we gezamenlijk deel van uitmaken. Deze long-list is vervolgens uit te zetten in een matrix met oorzaak en gevolg als variabelen op de assen. Aan de hand daarvan bepaal je op basis van de ‘risk appetite’ van je organisatie – het totaal aan risico, op een breed niveau, dat je bereid bent te accepteren bij het nastreven van de strategische doelstellingen – welke scenario’s je wel en welke je niet acceptabel vindt.

Op basis van deze scenario’s maak je plannen voor identificatie, detectie en protectie en – in een incident responsplan – ook respons en recovery. Vervolgens: oefen! Afhankelijk van de findings, vertaal je dat weer door naar een investeringsplan, te herhalen zoals passend binnen de managementcyclus. Je vindt het FERM Cyber Governance Model hier, of klik op de afbeelding rechts.

Q&A met Europarlementariër Bart Groothuis

De ochtend na het C-level event organiseerden we direct een tweede bijeenkomst, waarbij participanten uit diverse sectoren van het Haven Industrieel Complex in gesprek konden met Europarlementariër Bart Groothuis, die op onze uitnodiging een sessie leidde over de kwetsbaarheid en noodzakelijke groei in digitale weerbaarheid van het complex en de richtlijnen die vanuit Europa worden opgelegd aan de nationale overheden. “Bij cyberdreigingen op industriële schaal horen ook maatregelen op industriële schaal”, zo stelde hij.

Bij Groothuis, voorheen hoofd van het Bureau Cyber Security van het ministerie van Defensie, konden deelnemende organisaties terecht voor vragen over de achtergrond van de NIS-2 richtlijn en hoe die over de landen in Europa uitgerold wordt.

“Cyberdreigingen gaan niet alleen over digitale systemen”, vulde Arjen Littooij aan, algemeen directeur van onze partner Veiligheidsregio Rotterdam-Rijnmond. “Effecten zijn mogelijk merkbaar op de kade of aan de poort en op snelwegen, zoals we al in 2017 hebben gezien. Vanuit de veiligheidsregio begrijpen we het belang van de wetgeving zoals volgt uit de NIS-2 richtlijn. We willen Bart bedanken voor zijn toelichting.”

Zoals de sprekers tijdens twee waardevolle bijeenkomsten hebben benadrukt, verandert cyber van enkel technische relevantie naar een steeds socialer en menselijker domein. We kijken ernaar uit om met jullie samen te blijven bouwen aan een steeds cyberveiliger Haven Industrieel Complex van Rotterdam. De omgeving verandert snel, en steeds sneller. Wordt steeds complexer. Niemand kan het meer alleen.
Samen staan we FERM.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode verbonden.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht