Beveiliging supply chains actueler dan ooit: nieuwe NIS2 wet van kracht
Historisch gezien zijn toeleveringsketens altijd het doelwit geweest van aanvallen. Zeker sinds de covidcrisis en de oorlog is Oekraïne is de overheid zich bewust van de risico’s: verstoorde supply chains kunnen niet alleen bedrijven maar ook een hele maatschappij ontwrichten. Daarom is kort geleden nieuwe regelgeving in voege getreden, waarvan vooral de NIS2-richtlijn ingrijpende gevolgen zal hebben op de transport- en logistieke bedrijven.
De laatste jaren worden de supply chains inderdaad nog meer bedreigd dan vroeger. Deze bedreigingen zijn niet alleen fysiek (diefstal, natuurrampen… en sabotage) maar ook digitaal (cyberaanvallen). Een nieuw fenomeen is dat bedrijven – en infrastructuren – niet alleen het doelwit zijn van criminelen maar ook van terroristische of staatsvijandige aanvallen zijn. Sommige daarvan kwamen uitgebreid aan bod in de media, maar vaak werden ze (als het kon) niet aan de grote klok gehangen om reputatieschade te vermijden of te beperken. We zullen ons beperken tot drie reële voorbeelden om de risico’s te illustreren.
In 2017 was Maersk het doelwit van een cyberaanval met de NotPetya-ransomware. Die aanval legde wereldwijd hun IT-systemen plat, wat leidde tot grootschalige verstoringen in de supply chain. Het herstel duurde weken omdat alle servers en computers wereldwijd moesten worden vervangen. De totale schade voor Maersk werd geschat op minstens 300 miljoen dollar.
Twee jaar geleden werd de haven van Lissabon eveneens aangevallen door ransomware-criminelen, die de operaties van de haven ernstig verstoorden en dreigden gevoelige data vrij te geven. De overheid weigerde om losgeld te betalen, maar de aanval veroorzaakte een tijd lang aanzienlijke operationele problemen.
In juli van dit jaar vloog een pakket in brand bij DHL in Birmingham. Kort daarvoor gebeurde hetzelfde bij DHL in Leipzig. Omdat een vliegtuig vertraging had opgelopen, ontstond de brand net niet aan boord ervan. Britse en Duitse antiterreurspeurders vermoeden dat beide aanvallen het werk waren van een Russische geheime dienst. Volgens Ken McCallum, hoofd van de Britse geheime dienst MI5, zetten Russische GRU-agenten sinds de oorlog in Oekraïne acties op om chaos te veroorzaken in Europa.
Fysieke dreigingen in supply chains
Een belangrijk fysiek risico voor Europese supply chains is de dreiging van diefstal. Vooral goederen met een hoge waarde, zoals elektronica, medicijnen en luxeproducten, zijn een doelwit. Deze diefstallen vinden vaak plaats in havens, distributiecentra of tijdens transport. In sommige regio’s wordt logistiek zelfs bedreigd door georganiseerde misdaad die zich richt op vrachtwagens, containers of zelfs terminals. Naast directe financiële schade veroorzaakt dit ook verstoringen in de keten. En kan het vertrouwen tussen partijen geschaad worden.
Ook geopolitieke spanningen, zoals het conflict tussen Rusland en Oekraïne, laten zien hoe kwetsbaar supply chains zijn voor politieke instabiliteit. Dit conflict leidde tot verstoringen in de energievoorziening, wat de kosten voor bedrijven en consumenten door heel Europa opdreef.
Het risico op sabotage neemt eveneens toe, al bleef dit voorlopig wat onder de radar. Zo werden de incidenten met brandpakketten bij DHL in Birmingham pas maanden nadien door Britse en Duitse journalisten geopenbaard. Parallel groeit het besef dat transportinfrastructuur zoals havens en logistieke zones het doelwit kunnen zijn van sabotage.
Digitale dreigingen voor supply chains
De grootste dreiging is die van de cyberaanvallen. De digitalisering van supply chains maakte een hogere efficiëntie mogelijk, maar ze verhoogt ook de blootstelling aan cyberdreigingen. Cybercriminelen richten zich op kwetsbare schakels in de keten om gevoelige data te stelen of processen te saboteren.
Vooral ransomware-aanvallen kunnen grote schade aanrichten; bij een succesvolle aanval kunnen hele ketens stilgelegd worden, zoals de aanval op Maersk bewees. Europese bedrijven en hun medewerkers maken gebruik van zeer uiteenlopende geconnecteerde digitale middelen – niet alleen PC’s en laptops maar ook tablets en smartphones – of zelfs IoT-toestellen (Internet of Things), wat het aantal potentiële aanvalspunten vergroot. Hierdoor is digitale beveiliging van de supply chain essentieel geworden.
Daarbij komt nog dat supply chains veel gevoelige informatie, waaronder klantgegevens, financiële data en zelfs bedrijfsgeheimen verwerken. Het lekken of stelen van deze informatie kan ernstige gevolgen hebben voor bedrijven. Een enkele kwetsbaarheid bij een derde partij kan een heel netwerk van bedrijven in gevaar brengen.
Een dubbele uitdaging
Europese bedrijven staan dus voor de dubbele uitdaging van fysieke en digitale bedreigingen. Ze moeten dus zowel proactief ageren om zich te wapenen tegen beide bedreigingen (hun eigen beveiliging organiseren en veerkracht waarborgen) als maatregelen nemen om nieuwe regelgeving na te leven die bedoeld is om de toeleveringsketens te beschermen. De belangrijkste ervan is de NIS2-richtlijn.
De NIS2-richtlijn
De Europese NIS2-richtlijn is in oktober jl. in voege getreden. Het is de verderzetting van de NIS-wetgeving die al bestond maar een beperktere impact had. Met de NIS2 verplicht de Europese overheid een hele reeks bedrijven in verschillende sectoren om cybersecurity-maatregelen te nemen. Deze bedrijven worden beschouwd als van groot maatschappelijk belang omdat, indien ze zouden stilvallen bij een cyberaanval, de economie en bij uitbreiding de maatschappij ernstige schade zouden lijden.
Daarbij maakt de wetgever het onderscheid tussen ‘zeer kritieke’ en ‘kritieke’ sectoren (ook ‘essentiële’ en’ belangrijke entiteiten’ genoemd).
Er zijn 11 zeer kritieke sectoren, waaronder energie, banken, digitale infrastructuur, drinkwater, overheidsadministraties en transport (lucht, spoor, water, weg). Dit betekent dat alle organisaties die transportinfrastructuur uitbaten – zoals havens, luchthavens, spoorwegen en waterwegen – onder de NIS2 ‘zeer kritieke’ sector vallen (maar niet elke transporteur of logistiek bedrijf die er actief is). Die organisaties staan onder strikter toezicht en moeten strengere beveiligingsmaatregelen implementeren. Ze worden vaker aan audits onderworpen. Dit betekent meer frequente rapportages, verplichte risicoanalyses en verplichte implementatie van beveiligingsstandaarden.
De ‘kritieke sectoren’ zijn iets talrijker: het zijn er 18. Hieronder vallen onder meer ruimtevaart en de digitale infrastructuurdiensten, maar ook de post- en koerierdiensten; de productie, verwerking en distributie van levensmiddelen; én de productie en distributie van chemische stoffen die essentieel zijn voor andere industrieën. Bedrijven in deze sectoren zijn ook onderworpen aan nalevingseisen, maar deze zijn vaak minder streng. Ook is het toezicht doorgaans minder intensief.
Impact op de logistiek door uitdeinend effect
De transport- en logistiekbedrijven worden dus niet expliciet vernoemd als kritieke bedrijven (buiten de post- en koeriersbedrijven). Maar de distributie van levensmiddelen en chemicaliën worden wel vernoemd. Dit betekent dat bedrijven met een aanzienlijke logistieke rol in de distributie van deze producten waarschijnlijk wél onder NIS2 vallen.
Er wordt immers verwacht dat de NIS2-maatregelen een uitdeinend effect zullen hebben en dat ook leveranciers van en dienstverleners aan kritieke sectoren eveneens aan strenge cybersecurity-eisen zullen worden onderworpen. Met andere woorden: bedrijven die aan NIS2 onderhevig zijn, zullen van hun (diensten)leveranciers eisen dat ze aantonen dat ze hun digitale beveiliging op orde hebben, conform de NIS2-regels.
Bedrijven en organisaties hebben tot 18 maart 2025 om (zelf!) aan te geven of ze tot de categorie van de kritieke sectoren behoren. Belgische bedrijven moeten zich aanmelden op het portaal op atwork.safeonweb.be.
België zet de standaard voor NIS2
Voor een keer is België op tijd met zijn huiswerk voor de implementatie van de NIS2-richtlijn. Ons land is inderdaad de eerste Europese lidstaat die de nieuwe NIS2-wetgeving volledig uitvoert. De uitrol ervan is toevertrouwd aan het Centrum voor Cybersecurity België (CCB).
Volgens het CCB zijn er naar schatting minstens 2.500 Belgische bedrijven en organisaties die verplicht zijn om beveiligingsmaatregelen te nemen en zich te registreren op de eerder vermelde website. “Momenteel zijn er al een 200-tal organisaties bij ons geregistreerd, maar we verwachten dat dit de komende weken sterk zal stijgen”, zegt Miguel De Bruycker, directeur-generaal van het CCB.
Bedrijven die onder NIS2 vallen zullen moeten aantonen dat zij hun verantwoordelijkheden betreffende cyberveiligheid genomen hebben. Hiervoor zullen ze regelmatig een audit ondergaan, gebaseerd ofwel op de ISO 27001-norm, ofwel op de zogenaamde ‘CyberFundamentals’. Het CyberFundamentals framework werd door het CCB zelf ontworpen. Dit kader bevat, per veiligheidsniveau, stapsgewijs bijkomende maatregelen, gebaseerd op internationale cybersecuritynormen en inzichten gebaseerd op de analyse van duizenden incidenten.
Welke certificatiemethode kiezen? Heeft uw bedrijf een louter Belgische activiteit, dan kunt u kiezen voor de Belgische CyberFundamentals-norm. Indien het internationaal actief is, kiest u beter voor een ISO 27001-certificatie.
Om te weten of uw bedrijf onder de NIS2-regels valt of niet, kunt u contact opnemen met het CCB.
Wilt u meer vernemen over het fysiek en digitaal beveiligen van uw transport- en logistieke operaties? Tot 19 december organiseert Log!Ville een thema tour rond Supply Chain Security. Tijdens deze interactieve tour ontdekt u de nieuwste technologieën die de beveiliging van uw processen kunnen verhogen. Meer info en inschrijven? Klik hier.