Uit onderzoek blijkt dat één op de vijf Nederlandse bedrijven in 2024 schade ondervond als gevolg van een cyberaanval. De totale schade in Nederland betrof 10 miljard euro. Omgerekend komt dit neer op 300k per incident. De sector Transport en logistiek blijkt hierbij een verhoogd risico te hebben. Met name kleinere bedrijven lopen een risico, omdat veel van hen hun cybersecurity nog niet op orde hebben. Toch lijken veel bedrijven nog niet (genoeg) voorbereid te zijn op een mogelijke aanval.

Tijdens de Chemie on Tour op 26 september – georganiseerd door branchevereniging voor de chemische logistiek VNCW – werd stilgestaan bij de cyberdreigingen binnen de chemische logistiek en wat je als bedrijf kunt doen om een hack voor te zijn.

Cyberbeveiligingswet

Als eerste spreker van de Tour licht Stefan Brandt, beleidsmedewerker milieu bij het ministerie van Infrastructuur en Waterstaat, toe hoe in Nederland maatregelen ten behoeve van cyberveiligheid vastgelegd zullen worden in nationale wetgeving. In januari 2023 werd door de Europese Unie de NIS2 gepubliceerd: de richtlijn voor netwerk- en informatiebeveiliging. In Nederland zal in 2026 de NIS2 geïmplementeerd worden door de Cyberbeveiligingswet (Cbw). Met deze wet voldoet Nederland aan de Europese verplichting om bedrijven de juiste maatregelen te laten nemen om zichzelf te beschermen tegen cyberdreigingen.

Het ministerie van I&W is bij de wetgeving betrokken vanuit de verantwoordelijkheid voor de chemie. Brandt: “Ik ga m’n best doen jullie zoveel mogelijk de gedachtenspinsels en overwegingen bij de totstandkoming van de Cyberbeveiligingswet mee te geven. Geef hier vooral je input, mening of kritiek op.” Dit was niet tegen dovemansoren gezegd: menig aanwezige stelde een kritische vraag over de praktische gevolgen van de wet. Zo verplicht de NIS2 bedrijven tot risicobeheersing, het melden van incidenten en ketenverantwoordelijkheid. Maar wat valt er exact onder de term ‘incident’? En hoe zit het met de aansprakelijkheid binnen het bedrijf? Met name de zogenaamde ‘zorgplicht’ van bedrijven, de drempelwaarden van de NIS2 en de manier van inspecteren leveren vragen vanuit het publiek op.

Brandt roept de aanwezigen vooral op om van zich te laten horen tijdens de internetconsultatie die dit najaar online zal komen te staan. Daarnaast adviseert hij organisaties om niet af te wachten tot de Cbw inwerking treedt, maar vroeg genoeg al in actie te komen.

Ketenverantwoordelijkheid NIS2 in de chemische logistiek

Ron Vermeulen van Samen Digitaal Veilig sluit hierop aan” “Uit cijfers blijkt dat 56% van de transportondernemingen niet bekend is met de verplichtingen die de NIS2 met zich meebrengt. Dit terwijl deze branche juist een verhoogd risico op cybercriminaliteit heeft.”

Ondernemers in de chemische logistiek zullen zowel direct als indirect te maken krijgen met de NIS2. Zo val je als bedrijf met minder dan 50 medewerkers niet direct onder de NIS2. Maar: heb je 49 medewerkers en ben je toeleverancier voor een NIS2-bedrijf? Dan zul je alsnog indirect met de NIS2 te maken krijgen wegens de zorgplicht van het bedrijf waaraan je levert. Vermeulen: “Naar verwachting zullen er zo’n 8.000 bedrijven direct onder de NIS2 vallen en tussen de 50.000 tot 100.000 toeleveranciers indirect.”

“Gekeken naar de toekomst van de chemische keten: digitale veiligheid zal een kernonderdeel van de risicobeoordeling worden, waarbij je als bedrijf aan moet kunnen tonen dat je je digitale veiligheid geborgd is. Certificering wordt een ‘license to operate’. Denk hierbij aan de ISO 27001 of het NIS2 Quality Mark. Daarnaast worden cyberverzekeringen strenger en legt de NIS2-wetgeving ketenverplichtingen op. Zo moeten grote organisaties hun toeleveranciers controleren op cybersecurity. Houd er rekening mee dat het voorbereiden op dit alles tijd gaat kosten”, aldus Vermeulen.

Deze versturen we 3-4x per jaar.