Dat is de belangrijkste tip die Corinne Verstoep, COO van Waalhaven Group, heeft voor andere havenbedrijven die zich nog moeten voorbereiden op de NIS2-richtlijn. Want de nieuwe Europese cybersecuritywetgeving komt eraan, en bedrijven die er dit najaar niet klaar voor zijn, kunnen flinke problemen krijgen. Waalhaven Group – een grote speler in de Rotterdamse haven met verschillende logistieke en maritieme werkmaatschappijen – heeft de uitdaging serieus opgepakt. Maar makkelijk? Dat is het zeker niet.
Van wake-up call naar actie
Het besef dat cyberveiligheid topprioriteit moest worden, kwam niet zomaar. “We kregen vijf jaar geleden te maken met een phishing aanval”, vertelt Corinne. “Gelukkig waren we er snel bij, maar we kregen valse facturen binnen en er werden zelfs namens ons facturen naar een klant gestuurd met een ander rekeningnummer. Dat was een wake-up call. We zijn er toen gelukkig goed mee weggekomen.”
Sindsdien heeft Waalhaven Group flinke stappen gezet. Two-factor authentication, een Security Operations Center, risicoanalyses en bewustwordingscampagnes voor medewerkers – de lijst met maatregelen is lang. “We een kwaliteitsmanagementsysteem aangeschaft en een cyberverzekering afgesloten. Want weet gewoon nooit wat er kan gebeuren.”
NIS2: nieuwe verplichtingen
Toen duidelijk werd dat de NIS2-richtlijn eraan kwam, was het voor Corinne snel schakelen. “Ik hoorde er via FERM over.” FERM, het cybersecurityplatform voor de Nederlandse havens, speelt een belangrijke rol in kennisdeling en samenwerking tussen bedrijven. “Ik ben me erin gaan verdiepen: moeten wij hieraan voldoen? Kunnen we er misschien onderuit? Maar nee, we moeten echt aan de bak.”
En dat is makkelijker gezegd dan gedaan. “Het is niet alleen IT,” legt Corinne uit. “Er zitten ook juridische, organisatorische en administratieve verplichtingen aan vast. Je moet documenteren wie je stakeholders zijn, processen vastleggen, procedures opschrijven. En dat moet je niet eenmalig doen, maar continu blijven checken en aanpassen.”
Om grip te krijgen op alle eisen, heeft Waalhaven Group een kwaliteitsmanagementsysteem aangeschaft. “Alles moet vastgelegd worden. Niet alleen voor onszelf, maar ook voor audits en bewijslast. Want uiteindelijk wordt er gezegd: ik geloof je wel, maar bewijs ook maar dat je dit goed hebt geregeld.”
Leveranciers onder de loep
Een ander groot aandachtspunt: de toeleveringsketen. “Onze terminal operating systemen zijn onze kroonjuwelen. Daar moeten we zeker van weten dat ze goed beveiligd zijn.” Daarom ging ze in gesprek met leveranciers. “Twee jaar geleden kreeg ik nog vaak te horen: ‘Certificering? Nee, daar doen we niet aan.’ Nu hoor ik steeds vaker: ‘We werken aan ISO 27001.’ De hele sector professionaliseert zich.”
Medewerkers als zwakke schakel?
Technologie is één ding, maar mensen blijven een risicofactor. “We hebben awareness-trainingen ingevoerd. Maar de eerste mailtjes daarover klikten medewerkers gewoon weg. Tja, gedrag veranderen is lastig.”
Om cyberbewustzijn te vergroten, gebruikt Waalhaven Group nu een slim dashboard. “We laten bijvoorbeeld op schermen in het bedrijf zien hoe onze ‘behavioral risk score’ ervoor staat. Dan zeggen we: ‘Jongens, hij is nu 25, dat moet 35 zijn. Help mee om dit te verbeteren!’ En het werkt, want nu krijg ik vaker de vraag: ‘Is dit een phishing mail?’”
Geen overbodige luxe
Corinne ziet dat veel bedrijven nog worstelen met NIS2. “Mijn advies? Begin op tijd. En zorg dat je niet verzandt in alle regels en procedures.” FERM speelt hierin een belangrijke rol. “Zij helpen met updates, templates, incident response-plannen. Dat scheelt enorm.”
Maar uiteindelijk moet elk bedrijf zelf de eerste stap zetten. “Cybersecurity voelt soms als een administratieve last”, zegt Corinne. “Maar het dwingt ons ook om beter te worden. En in een sector waar digitale dreigingen dagelijks groter worden, is dat geen overbodige luxe.”
Tijd voor actie!
Ben jij actief in de haven en nog niet bezig met NIS2? Tijd om in actie te komen! Sluit je aan bij FERM, praat met je IT-leveranciers en begin met bewustwording in je organisatie. Want cybercriminelen wachten niet – en de nieuwe wetgeving ook niet. De verwachting is dat de Cyberbeveiligingswet in het derde kwartaal van 2025 in werking treedt.
STREAMER:
“Onze terminal operating systemen zijn onze kroonjuwelen. Daar moeten we zeker van weten dat ze goed beveiligd zijn.”
—
Dit is een artikel uit Rotterdam Insight #16. Het volledige magazine is hier te lezen.
