Dalti

Zo word je NIS2-ready als ICT-leverancier in transport en logistiek

We ontkomen er niet meer aan: de NIS2-richtlijn. En die heeft veel impact op de transportbranche. Deze richtlijn verbetert de cyberbeveiliging van essentiële diensten in EU-lidstaten en stelt strengere beveiligingsnormen en meldingsvereisten voor incidenten vast. Maar weet jij hier als ICT-leverancier voldoende over om je hier goed op voor te bereiden? Wat moet je eigenlijk doen om ervoor te zorgen dat jouw software tot in de kern veilig is? En hoe zorg je ervoor dat je voldoet aan de NIS2-richtlijnen? 

Als iemand hier ons meer over kan vertellen zijn het wel Dennis de Geus en Matthijs van der wel – ter Weel, van Orange Cyberdefense. Zij zijn namelijk dé experts op het gebied van cybersecurity. Ze geven praktische tips over hoe jij je je cybersecurity op orde krijgt en daarmee tegelijkertijd goed voorbereidt bent op NIS2. Lees je mee? 

Cybersecurity: een belangrijk onderdeel van je strategie

Dennis, CEO, en Matthijs, strategisch adviseur, weten als geen ander waar je als ondernemer op moet letten als het gaat om cybersecurity. Matthijs: “Als ICT-leverancier doe je beloftes aan je klanten of afnemers, maar kun je die nog waarmaken als er een cyberincident is? Daar moet je tijdens de inrichting van software al bij stilstaan. Cybersecurity moet een belangrijk onderdeel zijn van je bedrijfsstrategie. Net zoals je IT-strategie en business-strategie. Die drie moeten echt gaan samenwerken. Het voldoen aan de richtlijnen van NIS2 is daar ook onderdeel van.”  

Dennis: “Transport en logistiek is door de NIS2 aangemerkt als vitale sector en staat daarmee onder toezicht. Er wordt gekeken of jouw organisatie aan alle richtlijnen voldoet. Door je vooraf goed in te lezen, bijvoorbeeld op de website van het NIS2 startpunt, zorg je ervoor dat je goed bent voorbereid. Je moet er niet te lang mee wachten om alles op orde te krijgen.” 

Goede cybersecurity draagt bij aan betrouwbaarheid

Maar wat zijn de gevolgen van de NIS2-richtlijn voor onze branche? En wat kun je zelf doen? Matthijs: “Het kan zijn dat je als ICT-leverancier zelf niet onder NIS2 valt. Maar als je oplossingen of diensten gaat leveren aan klanten of afnemers die dat wel zijn, dan kun je er maar beter voor zorgen dat je zelf ook NIS2-compliant bent. Meer informatie over de specifieke richtlijnen kun je vinden op de website van de overheid. 

Je bent onderdeel van een keten en je hebt daarin een bepaalde verantwoordelijkheid. Wanneer een afnemer kan kiezen tussen iemand die NIS2-compliant is en iemand die dat niet is, dan kiest hij natuurlijk voor die eerste. NIS2-compliant zijn draagt dus naast veiligheid, ook bij aan een betrouwbare uitstraling van je organisatie.” 

Als een vrachtwagen zonder gordels

Dat goede cybersecurity dus belangrijk is voor het leveren van veilige software én het voldoen aan de NIS2-richtlijn staat wel vast. Dennis: “De wereld om ons heen verandert continu en razendsnel. Alles gaat digitaal en dus is veilige software belangrijker dan ooit. Daarom zijn die richtlijnen er ook. Ik vergelijk het vaak met een vrachtwagen: die wordt standaard geleverd met veiligheidsgordels, airbags, ABS, TPMS en extra spiegels of camera’s om de dode hoek te beperken.  

Zonder al die veiligheidsmaatregelen wil je daar niet in rijden, want dat is onveilig. Zo werkt dat met software ook. Goede cybersecurity moet dus echt de norm worden, dat is misschien anders dan een paar jaar geleden. Helaas zien we nog te veel dat cybersecurity pas laat in de ontwikkeling van software wordt meegenomen.” 

Hoe hangt jouw security-vlag erbij?

Dankzij NIS2 word je als organisatie dus echt even aan het werk gezet om je cybersecurity flink op orde te krijgen. Een traditionele securitybenadering zoals het ‘kasteel met slotgracht’ is niet langer afdoende – en al helemaal niet om NIS2-compliant te worden. Dennis: “Met de komst van NIS2 zou ik nu alvast gaan nadenken: hoe hangt mijn security-vlag erbij? Waar sta ik op dit moment? Welke stappen moet ik precies ondernemen om straks NIS2-compliant te zijn? En wie heb ik nodig om me hierin te ondersteunen? Nu heb je daar nog voldoende tijd voor.  

Veel organisaties wachten af tot het moment dat de exacte vereisten die aan hun organisatie gesteld worden, bekend zijn. Maar wanneer iedereen straks tegelijk aan de slag gaat, kost dat enorm veel capaciteit. Wees de rest een stap voor, want als jij straks niet kunt aantonen dat jouw security op orde is, dan ben je echt te laat.” Matthijs vult aan: “Ook als kleinere organisatie kun je dit prima doen. Onderzoek wat jij nog nodig hebt om NIS2-ready te zijn en zorg ervoor dat je dat regelt. Zo kun jij laten zien wat je allemaal hebt gedaan en kun je ‘NIS2-compliant’ zelfs gebruiken als een USP naar afnemers.” 

‘Zero Trust’

Maar hoe ziet een goede, toekomstbestendige cybersecurity-strategie eruit? En welke vragen moet je jezelf stellen? Orange Cyberdefense adviseert bedrijven hun securitystrategie te bouwen volgens het principe ‘Zero Trust’. Oftewel: never trust, always verify. Dit omvat een bepaalde manier van redeneren, ondersteund door technologie. Het toepassen van de ‘Zero Trust’ strategie bevat een aantal belangrijke designprincipes. Je identificeert de kritieke bedrijfsgegevens, bouwt verschillende lagen beveiliging, definieert de toegang en monitort al het netwerkverkeer.  

Om Zero Trust goed toe te passen in jouw cybersecurity-strategie, is het belangrijk om eerst eens de volgende vragen te stellen binnen jouw organisatie: 

  • Bepaal voor jouw organisatie waar de risico’s zitten, hoe groot deze zijn en welke problemen je eventueel kunt dragen wanneer er toch iets misgaat. Wat wil je echt verdedigen en wat is jouw risicobereidheid als het gaat om bijvoorbeeld het beveiligen van de eCMR?  
  • Krijg inzichtelijk wie toegang nodig heeft tot wat. Dat klinkt logisch, maar is het echt noodzakelijk dat alle medewerkers toegang hebben tot bijvoorbeeld de chauffeursplanning? Of kun je dat beperken tot een of twee bepaalde afdelingen? 
  • Vertrouw en controleer áltijd voordat je iemand toegang geeft tot bepaalde data, zoals de facturen. Dus hoe zorg je ervoor dat je de toegang tot bepaalde data zoveel mogelijk beperkt en hoe houd je inzichtelijk wie daar wel bij kan? 

Matthijs: “Door jezelf deze vragen te stellen, breng je in  in kaart welke mate van security voor jouw organisatie acceptabel is. En denk daarnaast ook goed na over andere praktische zaken, zoals wat je organisatie deelt aan informatie op LinkedIn of in vacatures. Al die informatie kan door hackers gebruikt worden voor een cyberaanval. Dus niet alleen voor NIS2 is goede cybersecurity van belang, maar ook voor je eigen veiligheid.” 

Toepassen van ‘Zero Trust’

Wanneer je alles duidelijk in kaart hebt, kun je ‘Zero Trust’ vervolgens toepassen in jouw cybersecurity-strategie. Houd daarbij rekening met alle digitale assets, zoals bijvoorbeeld: routeplanningssystemen, voertuigvolgsystemen, communicatie met klanten, digitale vrachtbrieven zoals eCMR en douanefaciliteiten.  

De ‘Zero Trust’ filosofie is gebaseerd op een aantal zogeheten designprincipes waarop de strategie wordt gebouwd. Het gaat om de volgende uitgangspunten: 

  1. Begin met identificeren van de kritieke onderdelen: zorg dat je als eerst de meest kritieke bedrijfsmiddelen en –gegevens identificeert. Denk bijvoorbeeld aan een server, een routeplanningsysteem of een voertuigvolgsysteem en kies vervolgens beveiligingsmaatregelen die gespecialiseerd zijn op dat specifieke onderdeel. Een routeplanningsysteem vereist een andere beveiliging dan bijvoorbeeld een voertuigvolgsysteem. 
  2. Design van binnen naar buiten: in plaats van te focussen op de netwerkperimeter, ontwerp je de beveiliging vanuit de kern van het netwerk naar buiten toe. Bescherm eerst de meest kritieke onderdelen, zoals je die in stap 1 hebt bepaald en bouw vervolgens lagen van beveiliging naar buiten toe. 
  3. Bepaal wie toegang nodig heeft: zorg dat je gebruikers, apparaten en applicaties identificeert en definieer wie toegang nodig heeft tot welke bron. De afdeling financiën hoeft bijvoorbeeld niet in het volgvoertuigsysteem te kunnen en chauffeurs hebben op hun beurt niets aan toegang tot de facturen. Zo beperk je de toegang tot degenen die het echt nodig hebben. 
  4. Monitor en registreer al het verkeer: gedetailleerde logs en monitoringgegevens zijn cruciaal voor een snelle incidentrespons en voor het verbeteren van de algehele beveiliging van de organisatie. Misschien gebruiken je chauffeurs wel de app van je TMS: ook dit moet je vastleggen. Ook wanneer klanten het TMS gebruiken is dit waardevol netwerkverkeer dat vastgelegd moet worden. 

Goede cybersecurity is een ‘licence to operate’

Cybersecurity niet of onvoldoende meenemen in je strategie is dus geen optie meer. De gevolgen zijn groot wanneer het misgaat of wanneer de boel stil komt te liggen. Dennis: “Transport zonder ICT gaat niet werken. Denk aan alle routeplanningssystemen, voertuigvolgsystemen, communicatie met klanten, vrachtbrieven of douanefaciliteiten. Stel dat, als gevolg van een cyberaanval, die ICT niet meer werkt – dan komt het vervoer in Nederland echt tot stilstand. Daar zijn al voorbeelden van, zoals de ‘kaas hack’ van een paar jaar geleden. Hierdoor kwam Albert Heijn te zitten met lege schappen, omdat de vervoerder de kaas niet kon leveren. 

Een goede cybersecurity-strategie is dus, in de ICT-transportbranche, steeds meer een ‘licence to operate’. Naar ICT en software wordt als eerste gekeken als het gaat om veiligheid. Zorg dus dat je dat goed op orde hebt. Niet alleen voor de NIS2-richtlijn en de betrouwbaarheid naar afnemers, maar ook voor de toekomst van jouw organisatie.” 

Meer weten?

Meer informatie over cybersecurity lees je op de website van Orange Cyberdefense. Benieuwd hoe wij je vanuit DALTI kunnen helpen? Neem dan contact met ons op. 

Andere DALTI nieuwsberichten