Nederlandse rederijen, havens en logistieke bedrijven zetten cybersecurity breder neer dan alleen techniek. Organisaties richten zich nu ook op gedrag, processen en bestuur, omdat aanvallen sneller evolueren met AI. Dit gebeurt in heel Europa nu NIS2 geldt en de Europese AI-verordening gevolgen heeft voor overheid en kritieke infrastructuur. Doel is minder verstoringen van de keten en snellere herstelprocedures.
Menskant is grootste kwetsbaarheid
De meeste digitale incidenten beginnen bij mensen, niet bij machines. Phishing, de truc waarbij criminelen valse berichten sturen om inloggegevens te stelen, blijft de populairste ingang. Generatieve systemen zoals OpenAI’s GPT-4 en Google Gemini maken die berichten geloofwaardiger en in meerdere talen. Daarom verschuift de aandacht naar training, duidelijke meldprocedures en oefening.
Bedrijven voeren vaker phishing-simulaties en crisisoefeningen uit. Zo leert personeel verdachte bijlagen te herkennen en incidenten direct te melden. Ook basismaatregelen als multifactorauthenticatie en streng wachtwoordbeheer krijgen prioriteit.
Bestuurders worden nadrukkelijker verantwoordelijk voor cyberhygiëne. Het helpt als zij meetbare doelen stellen, zoals deelname aan trainingen en tijdige updates. Zo wordt veiligheid onderdeel van het dagelijkse werk, niet alleen van de IT-afdeling.
NIS2 verhoogt druk op sector
De EU-richtlijn NIS2 is nu van kracht en vergroot de verplichtingen voor middelgrote en grote organisaties. Dat geldt ook voor transport en logistiek, inclusief havens en rederijen met vitale diensten. Bestuurders moeten aantoonbaar sturen op risico’s, leveranciers toetsen en ernstige incidenten snel melden. In Nederland houden het NCSC en de Rijksinspectie Digitale Infrastructuur organisaties daarbij op koers met advies en toezicht.
“NIS2 verplicht organisaties tot risicobeheer, ketenbeveiliging en snelle incidentmelding (binnen 24–72 uur), met bestuurlijke aansprakelijkheid bij nalatigheid.”
Concreet vraagt NIS2 om inventarisatie van kroonjuwelen, heldere responsplannen en versleuteling van gevoelige data. Ook moeten logs van systemen worden bewaard voor onderzoek na een incident. Wie afhankelijk is van leveranciers, legt veiligheidsafspraken contractueel vast en controleert naleving.
Deze verplichtingen raken de hele keten. Denk aan terminals, scheepsagenten en IT-dienstverleners die aan één logistiek proces bijdragen. Eén zwakke schakel kan het hele netwerk raken, wat NIS2 nadrukkelijk wil voorkomen.
AI vergroot én voorkomt risico’s
Kunstmatige intelligentie versnelt zowel aanvallen als verdediging. Criminelen gebruiken taalmodellen om spearphishing en deepfake-audio te maken, bedoeld om betalingen of inlogcodes los te krijgen. Tegelijk zetten securityteams algoritmen in om afwijkend netwerkgedrag te detecteren. Zulke systemen zoeken bijvoorbeeld naar ongebruikelijke aanmeldingen of dataverkeer.
Wie AI inzet voor monitoring of besluitvorming in kritieke processen, valt onder de Europese AI-verordening. Hoogrisico-toepassingen moeten een risicobeheerproces hebben, datasets documenteren en beslissingen kunnen worden uitgelegd. Dat is relevant voor rederijen en havens die AI gebruiken voor planning, toegang of bewaking.
Privacyregels uit de AVG blijven gelden, zeker bij personeelsmonitoring en cameratoezicht. Dataminimalisatie en heldere doelen zijn vereist, net als bewaartermijnen en toegangscontrole. Transparantie richting werknemers en partners voorkomt discussies achteraf en verkleint juridische risico’s.
OT-systemen vragen ander beleid
Operationele technologie (OT) aan boord en in terminals, zoals motorbesturing, kranen en ECDIS-kaartsystemen, kan vaak niet zomaar worden gepatcht. Beschikbaarheid en veiligheid gaan hier voor op snelheid. Daarom ligt de focus op netwerksegmentatie, strikte toegangsrechten en toestemmingslijsten voor software en USB-media. Externe toegang voor leveranciers wordt beperkt en gelogd.
IT- en OT-teams werken nauwer samen om onderhoudsvensters te plannen. Vulnerability-scans gebeuren afgestemd op de operatie, zodat systemen niet uitvallen. Back-ups worden offline bewaard en regelmatig getest op herstelbaarheid.
Ook fysieke beveiliging telt: afgesloten ruimtes, badge-toegang en toezicht op kasten met netwerkapparatuur. Een simpele onbevoegde laptop kan anders alsnog de digitale muren omzeilen. OT-security begint dus bij duidelijke procedures op de werkvloer.
Ketenafspraken zijn doorslaggevend
Logistieke processen hangen aan veel leveranciers: van satellietcommunicatie tot cloudplatforms en port community systemen zoals Portbase. Inkoopteams vragen daarom om een software bill of materials (SBOM), patchtermijnen en duidelijke incidentmeldplichten. Zo wordt zichtbaar waar kwetsbaarheden kunnen zitten en wie wat moet doen bij een lek.
Zero trust-principes winnen terrein: standaard geen toegang, tenzij strikt nodig en tijdelijk. Service-accounts krijgen minimale rechten en worden periodiek herzien. Certificaten en sleutels worden centraal beheerd en vervangen bij twijfel.
Audits en pentests bij kritieke partners zijn geen luxe meer, maar eis. Resultaten worden gedeeld tot op procesniveau, niet alleen als samenvatting. Dat maakt verbeteringen concreet en toetsbaar.
Nederland intensiveert samenwerking
Havengemeenschappen versterken hun gezamenlijke verdediging met informatie-uitwisseling en oefeningen. In Rotterdam helpt het FERM-programma bedrijven met praktische stappen, van bewustwording tot incidentrespons. Ook sectorale ISAC’s delen dreigingsinformatie, zodat organisaties sneller kunnen reageren.
Publiek-private samenwerking groeit. Het Digital Trust Center ondersteunt niet-vitale bedrijven met basismaatregelen en dreigingsalerts. Voor vitale processen bieden NCSC-richtlijnen en ENISA-handreikingen houvast voor het inrichten van beleid.
De inzet is duidelijk: techniek blijft belangrijk, maar mens, proces en governance maken het verschil. Met NIS2 en de AI-verordening als kader kunnen bedrijven keuzes beter onderbouwen. Wie nu investeert in cultuur en ketenafspraken, verkleint de kans op uitval merkbaar.
