Havenbedrijf Rotterdam (HbR) maakt zich grote zorgen over de cyberveiligheid van de Rotterdamse haven. De kwetsbaarheid is het gevolg van de digitale onderlinge verbondenheid van en tussen bedrijven en de toenemende dreiging van een cyberaanval.
Volgende week dinsdag zal het havenbedrijf zijn zorgen toelichten tijdens een rondetafelsessie in de Tweede Kamer over digitale weerbaarheid. Van de drieduizend bedrijven in de Rotterdamse haven zijn er slechts een aantal aangemerkt als vitaal. Ofwel, andere partijen die wel een essentieel onderdeel vormen van de haven, vallen niet binnen de scope van de huidige Wet Beveiliging Netwerk- en Informatiesystemen (WBNI). Deze wet regelt een meldplicht van incidenten en een zorgplicht (treffen van beveiligingsmaatregelen).
Deze niet-vitale havenbedrijven staan niet onder een vorm van cybertoezicht. Ze hebben dan ook geen toegang tot de dreigingsinformatie die in het Nationaal Detectie Netwerk (NDN) vanuit de overheid wordt uitgewisseld. Volgens HbR werkt dit in de hand dat partijen niet weten waar zij aan moeten voldoen om hun digitale weerbaarheid op orde te hebben. Ander gevolg is dat de weerbaarheid vaak te laag op de agenda staat. Bovendien kunnen niet of lastig acteren op actuele dreigingsinformatie. Door de komst van het Europese NIS2 Directive wordt de scope van de WBNI wel verbreed, maar loopt deze (logischerwijs) achter op de actualiteit.
Toezichthouders
De beperkte reikwijdte van de huidige WBNI is niet het enige probleem waarmee HbR worstelt. Voor de bedrijven in de haven geldt dat zij nu al te maken hebben met toezichthouders die ieder voor zich met beperkte kennis van zaken (onderdelen) van cyber onderzoeken. Ook komt er voor de toezichthouders een grote hoeveelheid bedrijven bij naast hun huidige werkzaamheden. HbR is voorstander van het organiseren van een samenhangende vorm van cybertoezicht. Hierdoor kan de kwaliteit van het cybertoezicht worden verhoogd en zijn de (administratieve) lasten voor bedrijven te verlagen. Een onderdeel hiervan is het opstellen van een gemeenschappelijk normenkader door toezichthouders.
HbR heeft ook zorgen over het beperkte cyberspecialisme bij een grootschalige calamiteit. Veel van de expertise en kennis zit bij commerciële bedrijven. HbR vraagt zich af hoe de overheid daarover kan beschikken wanneer het echt nodig is en welke organisatie de inzet hiervan coördineert tijdens een crisis. Een dergelijk scenario is wel aanwezig bij de huidige watercrisis waar het Managementteam Watertekorten de verdeling van water onder sectoren/gebruikers landelijk coördineert.