Cybersecurity 

NS is continu bezig om de beveiliging van IT-systemen en van de operationele systemen te verbeteren. Redenen hiervoor zijn onder meer de toenemende cybercriminaliteit en de situatie in Oost-Europa met dreigingen die zowel fysiek als digitaal zijn. Enerzijds proberen we weerstand te bieden aan deze dreigingen. Anderzijds proberen we snel te herstellen als cyberaanvallen ons ondanks deze voorzorgsmaatregelen toch raken. We noemen dat ‘cyberweerbaarheid’ en streven ernaar die ieder jaar te verbeteren. 

We voerden hiertoe bedrijfsbrede risicoanalyses uit van onze processen en assets. Incidenten grijpen we aan om van te leren om ze vervolgens te kunnen voorkomen. Daarnaast ontwikkelden we een aanpak voor de implementatie van verschillende nieuwe wetten in het nieuwe NS Cybersecurity Control Framework. Aan de hand van onze cybersecurity-roadmap troffen we in 2024 verdere technologische maatregelen, waaronder aan de treinen. Ook investeerden we in bewustwording rondom cybersecurity via phishing-simulaties en campagnes. Een nieuw team is opgericht om de cyberrisico’s in de keten van leveranciers vast te stellen. De eerste batch daarvan is inmiddels beoordeeld. Een belangrijke mijlpaal was het ontwerp en de implementatie van een nieuw cybersecurity organisatiemodel. Hierdoor kunnen we adequater handelen en versterken de verschillende cybersecurity-afdelingen binnen de organisatie elkaar. 

Voldoen aan Wbni, NIS2, CER en AI Act 

NS is ‘aanbieder van essentiële diensten’, zoals bepaald in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Mede op basis van het cybersecuritymanagementsysteem (CSMS) geeft NS nu invulling aan de zorg- en meldplicht die de Wbni voorschrijft. Dit CSMS breidden we in 2024 uit om in 2025 aan de NIS2, de opvolger van de Wbni, te kunnen voldoen. Afgelopen jaar zijn we hiervoor een cybersecurity-programma Governance, Risk en Compliance gestart waarin we ook een andere nieuwe EU-richtlijn, de CER (Critical Entities Resilience directive) verwerken. Parallel hieraan zetten we de eerste stappen om ook AI-governance te borgen binnen cybersecurity. 

ISO27001-certificering 

NS heeft in 2024 opnieuw de ISO27001-cybercertificering ontvangen voor de dienstverleningsprocessen rondom de NS-Business Card. We hebben in 2024 verdere stappen gezet ten aanzien van SOC2 (Service Organization Control type 2) compliance. We zien dat klanten die gebruikmaken van diensten zoals de NS-Business Card steeds vaker deze cybercertificering en -assurance als harde eis stellen aan ons om de dienst te mogen leveren.

Sectorbreed informatie delen 

NS neemt deel aan nationale en internationale initiatieven om cybersecurity in de spoorsector en in de vitale infrastructuur in het algemeen te verbeteren. We droegen in 2024 onder meer actief bij aan het Nederlandse en Europese Spoor-ISAC (Information Sharing and Analysis Centre). Ook organiseerden we samen met ProRail een oefening rondom een cybersecurity-incident.