De Stichting Security Expert Register Nederland, SERN presenteerde tijdens de onlangs gehouden SERN dag (uitsluitend voor haar geregistreerde leden), 3 noviteiten, namelijk de stand van zaken over de Introductie van het Nationaal Physical Security Centrum, het Algemeen Beveiligingsvoorschrift Critical Entities Resilience (ABCER)© en het Register ABCER bedrijf©. “Actueel is dat NPSC© in samenwerking met SERN het Register ABCER Bedrijf© nu op de kaart zet”, aldus ing. H.C.A. (Bert) Duijndam MSec Vsec, één van de grondleggers van De Haagse Methodiek en bestuurslid van de Stichting SERN.
Tekst Marcel van Duijn
De jaarlijkse bijeenkomst had plaats in het interessante bezoekerscentrum van de kerncentrale EPZ te Borssele en werd afgetrapt door Bestuurslid ing. H.H.J.( Harm) van Dijk MBA MSec. De dag was gelardeerd met presentaties van EPZ over de veiligheid en beveiliging van de kerncentrale, de Algemene Inlichtingen- en Veiligheidsdienst, Binnenlandse Zaken en Koninkrijksrelaties ( AIVD), Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), Ministerie van Justitie & Veiligheid , Regionale Conflict en Crisisbeheersing (RCCB), de Safetech P&R Groep en de Veiligheidsregio Zeeland.
Doel
De stichting SERN heeft het doel de kwaliteit van de beveiliging (security) in Nederland te bevorderen. Zoekt een opdrachtgever iemand die gerechtigd is het keurmerk MSec (Manager of Security), RSE (Register Security Expert) of RMB (Register Middenmanager Beveiliging) te gebruiken of is een verificatie wenselijk of iemand staat ingeschreven, dan kan dat worden nagegaan in de SERN registers. Sinds januari 2021 is tevens het register Securityvalideur (Vsec) gepubliceerd. Hierin zijn degenen opgenomen die gerechtigd zijn een securityvalidatie uit te voeren. Door SERN uitgegeven certificaten van inschrijving zijn slechts geldig indien de naam van de houder van het certificaat tevens is vermeld in één van de registers op deze site. Indien onrechtmatig gebruik gemaakt wordt van één van de keurmerken, verneemt SERN dat graag zodat passende actie ondernomen kan worden. Het Bestuur zet zich geheel belangeloos in om de doelstellingen van de Stichting te behalen. Voor inlichtingen: secretaris@sern.nl
Nationaal Physical Security Centrum©
Duijndam, bestuurslid van het eerste uur gaf een uitleg over de stand van zaken over de Introductie van het Nationaal Physical Security Centrum©. “Met het (voor)traject van de internetconsultatie van NIS2 en CER bleek al snel dat Cyber Security vanuit onder andere het Nationaal Cyber Security Centrum (NCSC) meer aandacht kreeg dan Physical Security. Ook de coherente aanpak was ver te zoeken”, aldus Duijndam. Het was dan ook genoeg reden voor De Haagse Mannen (mr. R.C. (Rob) Ackx , oud bestuurslid en Duijndam) om het Nationaal Physical Security Centrum (NPSC)© op de kaart van Nederland te zetten. Al het gedachtengoed (zie dusecon.nl) van De Haagse Mannen, inclusief de daaruit ontsproten entiteiten, zullen nu worden ondergebracht in het NPSC©.
Duijndam verklaart: ,,Aansluitend hebben wij de handelsnaam Nationaal Physical Security Centrum (NPSC)© gevestigd en de domeinnaam npsc.nl geregistreerd. Over de organisatorische vorm waarin NPSC© het beste te gieten is, beraden wij ons nog.
Met SERN als stakeholder van NPSC© gaan De Haagse Mannen met de voorzitter van SERN de verdere invulling en rechtsvorm effectueren. Daarna worden andere partijen / stakeholders (Kerngroep DHM docenten, SOBA Security Academy, en anderen) de mogelijkheid geboden zich bij NPSC© aan te sluiten. Duijndam: “Let wel, op termijn zullen De Haagse Mannen terugtreden, zodra het doel en de NPSC© continuïteit met het gedachtengoed is gewaarborgd. Voor het voorjaar 2025 staat bij NPSC© de eerste post HBO cursus ABCER Securityvalideur © gepland. Hierna zullen er meerdere post HBO cursussen volgen, met de focus op het SERN register Physical Security Degree (PSD).”
> LEES OOK: SERN dag in teken van concept CER 2024 (Critical Entities Resilience Directive)
Algemeen Beveiligingsvoorschrift Critical Entities Resilience (ABCER)©
Duijndam over ABCER: ,,De Rijksoverheid neemt pas in het najaar 2025 haar systeemverantwoordelijkheid inzake CER richtlijn naar de Wet weerbaarheid kritieke entiteiten (Wwke), in plaats van 17 oktober 2024.” Onder systeemverantwoordelijkheid wordt verstaan het inrichten van het stelsel van wet –en regelgeving, inclusief het toezicht op de naleving ervan. Hij legt uit: “Voor kritieke entiteiten die nu al hun CER basisniveau op orde willen hebben én beschikken over DHM gebruikerslicentie én een SERN geregistreerde securityprofessional is er door NPSC© de Handreiking Algemeen Beveiligingsvoorschrift Critical Entities Resilience (ABCER)© gemaakt. In de praktijk wordt gebruik gemaakt van het Beveiligingsvoorschrift tegen gaan onbevoegde Beïnvloeding (BEVOB)®. In het BEVOB® zijn beveiligingsmaatregelen opgenomen dat een bedrijf gaat treffen om aantoonbaar te maken haar verantwoordelijkheid te nemen inzake de beveiliging en datgene te doen wat redelijkerwijs noodzakelijk is te achten.”
Om, voor wat betreft beveiliging, te kunnen voldoen aan de verplichtingen uit de EU CER richtlijn en het concept wetsvoorstel Wet Weerbaarheid Kritieke Entiteiten (WWKE), is er door NPSC© voor gekozen CER beveiligingsvoorschriften op te nemen in het Algemeen Beveiligingsvoorschrift Critical Entities Resilience (ABCER) ©.
Inmiddels is het common sense bij veel Nederlandse bedrijven:
- het Beveiligingsvoorschrift tegengaan onbevoegde beïnvloeding (BEVOB)®
- het Security Beleid Plan (SBP)®
- het Basis Security Plan (BSP)®
- het Bewakingsplan (BWP)®
- het Plan Interne Beveiliging Organisatie (Plan IBO)®
- het Plan Externe Beveiliging Organisatie (Plan EBO)®
- het format van de Interne Security Audit ® en
- het Periodiek Inspectie Programma (PIP)®
Duijndam: “Derhalve zijn veel BEVOB® formats en planvormen, om redenen van eenduidigheid en van een systematische / gestructureerde aanpak van de beveiliging, in grote lijnen in het ABCER opgenomen.”
Ter beeldvorming de ABCER© organogrammen:
Register ABCER bedrijf ©
Voor entiteiteten die hun CER basisniveau beveiliging aantoonbaar op orde willen hebben, gaat het NPSC© in samenwerking met haar stakeholder SERN het Register ABCER Bedrijf© op de kaart van Nederland zetten. Het ABCER-bedrijf © dat aantoonbaar haar CER- basisniveau beveiliging op orde heeft, kan zich in het SERN register ABCER-bedrijf© laten opnemen.
“Aantoonbaarheid van het ‘CER-basisniveau beveiliging’ wordt gemaakt door de validatie te laten uitvoeren op de door security expert van het bedrijf verrichtte Pré CER Securityvalidatie (Interne Security Audit met de ABCER© als grondslag). Een hele mond vol maar dit geschiedt onder auspiciën van het Nederlands Securityvalidatie Instituut (NSVI)© , door een gecertificeerd SERN Securityvalideur (Vsec) ®”, verduidelijkt Duijndam.
Presentaties*
Jetze Visser van EPZ meldde in zijn lezing dat de kerncentrale in Borsele tot een van de veiligste kerncentrales ter wereld behoort. “De veiligheid van de kerncentrale wordt in stand gehouden door meerdere veiligheidsfuncties. Hiervoor beschikt de kerncentrale over een veelheid aan systemen. Daarbij wordt de veiligheidscultuur onderhouden met behulp van externe deskundigen en toezichthouders. Met de beoordelingen door de toezichthouders en door de deelname aan internationale kennisdeling en ervaringsuitwisseling blijft EPZ veilig tot 2034 het jaar waarin de centrale uit bedrijf gaat. Belangrijk voor een ieder die hier werkzaam is dat je je aan de veiligheidsregels houdt en dat je elkaar daarop zowel in- als extern op aanspreekt om scherp te blijven.”
Giliam van der Weide MSec I RPP, senior consultant Security & Safety bij Safetech P&R Groep, onderdeel van SESA Groep ging in op het PALLAS Security Team dat is opgezet voor de voorbereiding en bouw van de nieuwe kernreactor ter productie van medische isotopen in Petten. Van der Weide: “We willen een integraal design, waar security een belangrijk onderdeel van uitmaakt en waarbij ‘need to know’ een cruciaal basisprincipe is. Het ontwerp gaat uit van functionele eisen, die de ontwerpende partij moet verwerken en die PALLAS daarna kan verifiëren en valideren. Daarbij is ook een ‘nice to know’ werkwijze nodig, zodat mensen informeel op hoofdlijnen op de hoogte zijn van het reactorontwerp, om vervolgens hun eigen ontwerp te kunnen inpassen in het integrale design, zonder te worden geconfronteerd met spanningsvelden op het gebied van vertrouwelijkheid.”
Liesbeth van de AIVD gaf kort uitleg over de AIVD kernactiviteiten spionage, ondermijning, screenen en informatiebeveiliging. De AIVD is een Nederlandse geheime dienst die zich onder verantwoordelijkheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties bezighoudt met de binnenlandse veiligheid en inlichtingen op civiel gebied uit het buitenland verzamelt. De AIVD ontstond in 2002 uit de vroegere Binnenlandse Veiligheidsdienst (BVD) en is sinds 2007 gevestigd in Zoetermeer.
De militaire tegenhanger van de AIVD is de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). “Het gaat bij de AIVD over bescherming van de Rijksoverheid, vitale sectoren als kerncentrales, kerninstellingen, universiteiten en topsectoren bedrijfsleven (denk aan ASML) en start-ups. Concreet gaat het over dreigingsinschattingen, risicoanalyses, cyberadviezen, presentaties en workshops, mondelinge toelichtingen, adviestrajecten en bijdragen van experts”, aldus Liesbeth.
Majoor Arjan van Geel en Overste Jacco Harinck van de Veiligheidsregio Zeeland verzorgden een duo presentatie over de mogelijke militaire bijstand en dienstverlening van Defensie bij crises in het algemeen en bij een calamiteit bij de kerncentrale in het bijzonder. Zo worden er bewakingsoefeningen gehouden als ‘wake-up-calls’. Defensie heeft als primaire taak het beschermen van eigen grondgebied en de gebieden van de NAVO bondgenoten. Daarbij kan Defensie bij dreigingen civiele autoriteiten ondersteunen. ,,De schaalgrootte en complexiteit van rampen en crises neemt allengs toe. Daardoor is een multidisciplinaire aanpak vereist en vraagt een actieve betrokkenheid van de Veiligheidsregio Zeeland. We werken dan ook nauw samen met de Nationale politie en de Koninklijke Marechaussee voor optimale afstemming”, aldus Van Geel.
* Over de presentaties mag in verband met de nationale veiligheid slechts beperkt worden gepubliceerd en zijn de namen van de sprekers van de kerncentrale derhalve niet volledig genoemd of gefingeerd.
Volg Security Management op LinkedIn
;