Moderne oorlogsvoering richt zich vooral op doelen die essentieel zijn voor het functioneren van een samenleving, zoals energiecentrales, banken en telecomvoorzieningen. Reden voor de EU om de Wet weerbaarheid kritieke entiteiten in te voeren. Deze verplicht beheerders van essentiële voorzieningen, maar ook hun toeleveranciers, om adequate beveiligingsmaatregelen te treffen. Wat dat inhoudt, werd toegelicht tijdens een door ASIS Benelux, BCI en VBN georganiseerde sessie bij Deloitte in Rotterdam.

Bij Deloitte houden inmiddels 45 medewerkers zich bezig met het adviseren van klanten op het gebied van security en safety. Sinds kort gaat het daarbij ook om ‘compliance’ met de nieuwe Wwke. Deze wet vloeit voort uit de in 2022 ingevoerde Critical Entities Resilience Directive (CER-richtlijn) en wordt nog aangevuld met de Network and Information Security Directive (NIS2-richtlijn), die in Nederland wordt omgezet in de nationale Cyberbeveiligingswet (Cbw). Voor bedrijven betekent dit dat serieus invulling gegeven moet worden aan het aspect business continuity. Voorzitter Jean-Pierre van Eekelen van de Nederlandse chapter van het Business Continuity Institute (BCI) lichtte toe wat dat inhoudt. Het is natuurlijk belangrijk dat bedrijven en instellingen weerbaar zijn tegen aanvallen, maar in deze tijden van hybride oorlogsvoering door statelijke actoren is het niet ondenkbaar dat een aanval ondanks alle maatregelen toch slaagt. Daarom is ook altijd een plan B vereist. Dit alles is echter pas mogelijk als er binnen de organisatie draagvlak is. En het is altijd een uitdaging om draagvlak te krijgen voor iets dat ervoor moet zorgen dat er niets gebeurt. Business continuity begint daarom met inspiratie en motivatie.

Afhankelijkheid
Samenwerking is essentieel om zakelijk te kunnen groeien, maar het kan ook kwetsbaar maken. Men is voor business continuity ook vrijwel altijd afhankelijk van derden, waarop men maar gering invloed heeft. Zo is de samenleving in sterke mate afhankelijk van Amerikaanse en Chinese producten, wat een probleem gaat vormen als er een conflict ontstaat met een van deze landen. Business continuity en resilience (veerkracht) zijn dus essentieel en voor wie dat niet beseft, komt de Wwke die slecht beveiligde bedrijven boetes tot 10 miljoen euro of 2 procent van de jaaromzet kan opleveren. Goede beveiliging begint met bewustwording en training van iedereen die bij de organisatie betrokken is, inclusief externe stakeholders. Er dient rekening gehouden te worden met terroristische aanvallen en sabotage, maar ook met de gevolgen van de klimaatverandering, zoals natuurrampen. Concreet betekent dit dat de weerbaarheid geborgd moet worden met passende beveiligingsmaatregelen, die elke vier jaar met een risicobeoordeling geupdated worden. Incidenten dienen binnen 24 uur gemeld te worden bij de autoriteiten, waarbij duidelijk moet zijn wat de impact van het incident voor derden kan zijn. Bedrijven dienen overigens zelf vast te stellen of zij een kritische entiteit zijn en dit te melden.

Tijdens de bijeenkomst was een groot aantal specialisten op het gebied van riskmanagement en business continuity aanwezig. Tijdens een interactieve workshop konden zij in kleine groepen inventariseren welke uitdagingen de Wwke, NIS2, DORA en Aanpak Vitaal voor hun organisaties meebrengen. Dat leverde flinke waslijsten op, zo bleek tijdens de korte presentaties. De komende jaren is er dus behoorlijk wat werk aan de winkel voor alle organisaties die als kritische entiteit beschouwd kunnen worden, maar ook voor bedrijven en instellingen waarvan deze kritische entiteiten in zekere zin afhankelijk zijn, waaronder beslist ook hun beveiligingsleveranciers.