Visie en Projectplan PROTECT. Visie & Projectplan Finale versie 2.0 d.d

Transcriptie

1 PROTECT Visie & Projectplan Finale versie 2.0 d.d Versie 2.0 d.d PROTECT consortium Pagina 1

2 Versies verstuurd als draft naar Transumo input TNO WP 3 verwerkt input TU Delft verwerkt, aanvullingen RSM op WP nav discussie met Transumo budget geschrapt en 1 pilot in Wp inbreng H de Vries in WP 2 certificering aangevuld aangepaste versie door Albert Veenstra Versie 2.0 d.d PROTECT consortium Pagina 2

3 Inhoudsopgave 1 Inleiding Visie op de ontwikkeling van supply chain security in de wereld en in Nederland Inleiding Dimensies in scenarios Scenario 1: Controle en gekoppelde systemen Scenario 2: Controle en beperkt gekoppelde systemen Scenario 3: Certificeren en gekoppelde systemen Scenario 4: certificering en beperkt gekoppelde systemen Kennisbehoefte en kennisvragen Kennisbehoeften en kennisvragen die vanuit PROTECT worden onderzocht Informatie-architectuur Supply chain certificering Supply chain security resilience management Kennisbehoeften en kennisvragen die buiten PROTECT moeten worden opgelost Beleidsonderzoek certificering Eindresultaten en deliverables PROTECT Aanpak binnen Protect Pilots en kennisprojecten Beoogde resultaten Internationalisering Transumo doelstellingen: People, Planet, Profit Transitie Onderzoeksactiviteiten, taken, verantwoordelijkheden en budgetten WP0: Projectmanagement WP1: Informatie-architectuur voor supply chain security WP2: Supply Chain Certificering WP3: Creating resilient supply chains WP4: Kennisdisseminatie en internationalisatie Bijlage A: - Budgetverdeling Versie 2.0 d.d PROTECT consortium Pagina 3

4 1 Inleiding Het Transumo-project PROTECT heeft tot doel het ontwikkelen van kennis op het gebied van supply chain security waarmee bedrijfsleven en overheid in staat worden gesteld om op kosten-efficiente wijze logistieke ketens te beveiligen tegen terrorisme en criminaliteit. Het uitgangspunt voor PROTECT is dat er een grote behoefte is aan maatschappelijke veiligheid en dat de meest effectieve aanpak in het streven naar maatschappelijk veiligheid bestaat uit het zo veel mogelijk creëren van additionele voordelen voor bedrijfsleven en overheid bij het invoeren van beveiligingsmaatregelen. PROTECT is gestart in 2005 en loopt tot en met Aan het einde van 2008 wordt de kennis in de vorm van rapportages, tools, demonstrators etc. overdragen aan het bedrijfsleven. In 2005 heeft de nadruk van PROTECT gelegen op het inventariseren van de ontwikkelingen en de beschikbare kennis en kunde in Nederland en in de wereld. Vanuit deze basis is in 2006 een begin gemaakt met de analyse en ontwikkeling van nieuwe technieken en tools op een aantal terreinen binnen het domein van supply chain security: informatiebehoefte en informatie-architectuur, data mining, 100% scanning en supply chain certificering. Deze onderzoeksactiviteiten zijn ondergebracht in de werkpakketten WP5, WP6 en WP7. Tijdens de stuurgroepvergadering in september 2006 jl. is vastgesteld dat er, naast het onderzoeksdeel, in PROTECT ook behoefte is aan strategieontwikkeling waarmee de stuurgroepleden zich in hun respectievelijke organisaties op de belangrijkste ontwikkelingen binnen en buiten PROTECT kunnen voorbereiden en prepareren. Bijgaande projectplan bestaat uit de volgende onderdelen: 1 Visie op de ontwikkeling van supply chain security in de wereld en in Nederland aan de hand van een viertal scenario s (hoofdstuk 2). Er is voor gekozen om 2 scenario s te positioneren in het mondiale container vervoer tussen de grote mainports. De ontwikkelingen worden gedreven door de Amerikaanse overheid, grote terminal operators, grote technologie aanbieders en WCO. De andere twee scenario s richten zich op het intra-europese goederenvervoer. De ontwikkelingen verlopen veel minder snel en de belangrijkste driver is hier de Europese Commissie. 2 Centrale kennisvragen die een belangrijke bijdrage leveren aan het realiseren van de geschetste scenario s (hoofdstuk 2). 3 Beoogde resultaten PROTECT eind Eind 2008 dient PROTECT een duidelijk herkenbare bijdrage te hebben geleverd aan de kennisinfrastructuur op het gebied van supply chain security. Dat betekent enerzijds praktische toepasbare resultaten waarmee bedrijfsleven en overheid een grote stap voorwaarts kan realiseren en anderzijds significante bijdragen aan de wetenschappelijke literatuur op dit gebied. Daarbij dient een keuze te worden gemaakt uit de eerder genoemde kennisvragen. Het zal niet mogelijk zijn om binnen PROTECT alle geïdentificeerde kennisvragen te beantwoorden. De PROTECT partners zullen de prioriteiten gezamenlijk vaststellen (hoofdstuk 3). 4 Uitwerking van de onderzoeksactiviteiten, taken en verantwoordelijkheden en budgetten voor (hoofdstuk 4). Versie 2.0 d.d PROTECT consortium Pagina 4

5 2 Visie op de ontwikkeling van supply chain security in de wereld en in Nederland. 2.1 Inleiding Security is in de laatste jaren een niet weg te denken thema geworden voor bedrijven, overheden en burgers. Met grote regelmaat worden bedrijven en burgers in Nederland geconfronteerd met de kwetsbaarheden in onze samenleving, en de noodzaak om op verantwoorde en duurzame wijze security maatregelen te nemen die tot een aantal jaren geleden nog ondenkbaar waren. Parallel aan deze ontwikkeling heeft ook de stand van de techniek niet stilgestaan, en is een veelheid van nieuwe technologie en nieuwe analyse-, opsporings-, beveiligings-, en monitoringtechnieken beschikbaar gekomen en zijn diverse certificeringssystemen gelanceerd om ook aan partners en collegabedrijven te kunnen signaleren dat beveiligingsmaatregelen zijn genomen. Voor veel belanghebbenden, vooral uit van de kant van het MKB, zien zo langzamerhand door de bomen het bos niet meer. In deze context is het noodzakelijk geworden om een duidelijk ontwikkelingsperspectief te laten zien dat de mogelijkheden laat zien voor verschillende soorten partijen in verschillende situaties. Met name bedrijven kunnen zich aan die ontwikkelingsperspectief spiegelen en hun eigen keuzes maken voor wat betreft beveiligingsmaatregelen, investeringen in fysieke oplossingen en organisatorische maatregelen. Omdat de toekomst niet vastligt is ervoor gekozen het ontwikkelingsperspectief onder te verdelen in een viertal scenario s. Deze scenario s worden hieronder gepresenteerd. Er zijn binnen PROTECT vier mogelijke toekomstscenario s uitgewerkt. Gericht op controle Focus toezichtho uden in de Gericht op certificering Uitgebreid Gekoppelde systemen Scenario 1 Scannen in herkomst Scenario 3 Toepassing van ICT Focus op directe partners, data mining Scenario 2 monitoring Scenario 4 certificering Global Supply Chains Beperkt gekoppeld Regionaal (her)scannen Audits hele keten, vaste partners 2.2 Dimensies in scenarios De twee dimensies die worden onderscheiden zijn enerzijds de focus van toezichthouders in de supply chain, en anderzijds de toepassing van ICT. Bij de focus van toezichthouders worden twee extremen onderscheiden: het houden van toezicht door een op controle gerichte aanpak, en het houden van Versie 2.0 d.d PROTECT consortium Pagina 5

6 toezicht door een op certificering van betrokken bedrijven gerichte aanpak. Deze twee aspecten zijn in veel opzichten elkaars tegengestelde: controle vindt bijvoorbeeld veelal achteraf plaats, terwijl certificering een activiteit is die aan de daadwerkelijke supply chain activiteiten vooraf gaat. Aan de andere kant zijn controle en certificering twee mogelijkheden uit een veelheid van opties. Binnen de dimensie toepassing van ICT wordt onderscheid gemaakt tussen koppeling van systemen en het ontbreken daarvan. Het gevolg van koppeling van systemen is dat veel informatie door de hele keten beschikbaar is, dus ook gegevens over certificering, en gegevens over controles. Dat houdt in dat bijvoorbeeld controles maar een keer hoeven plaats te vinden, en dat de uitkomsten van die controles door de hele supply chain meelopen met de productstroom. Bij niet-gekoppelde systemen is dat niet het geval, en zullen allerlei toezichthouders-processen zoals controles en audits steeds opnieuw moeten plaatsvinden Scenario 1: Controle en gekoppelde systemen 1. Overheid: Zowel de Amerikaanse overheid en de Europese Commissie zetten zwaar in op het scannen van containers. Alle containers worden in de haven van vertrek met gamma ray en x-ray gescreend. Tevens wordt van alle containers vooraf gedetailleerde informatie gevraagd over de lading en het gehele logistiek proces vanaf het moment van stuffing. Door middel van risico-analyses wordt bekeken of een container waarin men verdachte objecten heeft aangetroffen inderdaad opengemaakt dient te worden. Er is onvoldoende capaciteit bij de douane om alle containers met verdachte objecten open te maken. Containers dienen vanaf het point of stuffing met een seal te zijn uitgerust. In het ultime scenario wil de overheid de logistieke planning en realisatie van de gehele keten zien voordat een keten wordt ontvangen in een land. 2. Bedrijfsleven: Het bedrijfsleven neemt zijn eigen verantwoordelijkheid door electronic container seals aan te brengen die met RFID kunnen worden uitgelezen. Voor kostbare lading worden seals met satelliet communicatie uitgerust. Info over area access at point of stuffing Video of stuffing process Gate in/gate out info at DC s, terminals, etc.. eventueel continue tracking met satelliet Confrontatie van planning versus realisatie, analyseren van afwijkingen a. Tijd b. Gewicht c. Electronic Seal Bedrijven maken de afweging dat security een soort verzekeringspremie is. De kans dat er iets gebeurt is niet groot, maar als het gebeurt kan de schade enorm zijn. Met de premie die moet worden betaald voor security wordt wel getracht voordelen in de logistieke keten te behalen door betere logistieke beheersing of additionele diensten aan klanten. Bijvoorbeeld volledige tracking en tracing door de keten, extra informatie zoals temperatuur/conditionering van goederen of procesverbeteringen/betere benutting van middelen. 3. Technologie: in dit scenario leunt men zwaar op ICT en technologie. Alle containers worden uitgerust met electronic seals met RFID die door de terminals worden uitgelezen in de kraan en als de container de containerterminal verlaat. Er zijn ook readers opgesteld op inland terminals (spoor- en binnenvaart) en langs belangrijke doorgaande Europese hoofdaders (E-wegen. Bedrijven zoals IBM, Savy en Siemens bieden tracking en tracing diensten aan verladers en rederijen. De RFID tags van IBM, Savy en Siemens zijn universeel leesbaar, maar de informatiediensten van de aanbieders zijn mogelijk verschillend. De informatie blijft eigendom van de verlader die toestemming kan verlenen aan andere ketenpartijen om deze data te gebruiken. Readers kunnen ook op bedrijventerreinen worden geplaatst (zie dienstverlening BT). De integratie van IT systemen. Belangrijke data bronnen zijn Port community systemen, tracking & tracking systemen van Siemens, IBM, Savy, douane in verschillende Versie 2.0 d.d PROTECT consortium Pagina 6

7 landen, etc. Voor koppelingen zijn standaarden en protocollen nodig. Deze worden in ISO en industrieverband tot stand gebracht. 4. Certificering speelt wel een rol maar alleen bij stuffing van de container. Andere ketenpartners weten door de certificering dat de informatie omtrent het stuffing proces betrouwbaar is. Voor de rest gaat men er vanuit dat als de container eenmaal gesloten is dat met RFID en satelliet snel te traceren is of er een security breach is. De containers van een gecertificeerde verlader worden in de haven van vertrek wel gescand, maar krijgen een lagere risico-inschatting moet er op de scan toch iets opmerkelijks worden geregistreerd. Natuurlijk worden deze containers nog wel ad random geselecteerd voor visuele inspectie. 5. Om de problematiek van de binnenvaart op te lossen, heeft de douane samen met de douanes in Duitsland, België en Oostenrijk en Zwitserland een netwerk van regionale scan faciliteiten opgezet op binnenvaart terminals. De kleinere terminals in NL waarop geen scan apparatuur beschikbaar is worden in de zeehaven van vertrek aan een aparte kade gelost en direct door een scan gehaald Scenario 2: Controle en beperkt gekoppelde systemen 1. Overheid: Zowel de Amerikaanse overheid en de Europese Commissie zetten zwaar in op het scannen van containers en het gebruik van anti-tampering devices en seals. Echter, de informatie die door deze systemen gegenereerd wordt wordt niet met andere partijen gedeeld. Hierdoor worden op allerlei plekken in de keten leesapparatuur geplaatst om de verschillende devices steeds opnieuw uit te lezen. Overheden in verschillende landen hebben verschillende keuzes gemaakt voor standaarden en technologie. Alleen voor RFID tags en enkele andere veelgebruikte devices zijn ISO standaarden in ontwikkeling. Voor de meer geavanceerde devices zijn er geen standaarden, en dat maakt het delen van informatie ook steeds moeilijker. 2. Bedrijfsleven: Het bedrijfsleven neemt zijn eigen verantwoordelijkheid door te investeren in allerlei technische oplossingen. Aangezien verschillende toezichthouders verschillende eisen stellen zijn er soms dubbele of extra dure oplossingen nodig, zoals seals die op meer dan een frequentie kunnen zenden. Daarnaast zoeken bedrijven oplossingen om controle gegevens van een locatie met de container mee te nemen naar andere locaties, om het gebrek aan gekoppelde systemen op te vangen. 3. Technologie: in dit scenario leunt men zwaar op ICT en technologie. Alle containers worden uitgerust met electronic seals met RFID die door de terminals worden uitgelezen in de kraan en als de container de containerterminal verlaat. Er zijn ook readers opgesteld op inland terminals (spoor- en binnenvaart) en langs belangrijke doorgaande Europese hoofdaders (E-wegen. Bedrijven zoals IBM, Savy en Siemens bieden tracking en tracing diensten aan verladers en rederijen. De RFID tags van IBM, Savy en Siemens zijn universeel leesbaar, maar de informatiediensten van de aanbieders zijn mogelijk verschillend. De informatie blijft eigendom van de verlader die toestemming kan verlenen aan andere ketenpartijen om deze data te gebruiken. Readers kunnen ook op bedrijventerreinen worden geplaatst (zie dienstverlening BT). De integratie van IT systemen. Belangrijke data bronnen zijn Port community systemen, tracking & tracking systemen van Siemens, IBM, Savy, douane in verschillende landen, etc. Veel van deze systemen staan op zichzelf, omdat koppeling van systemen door overheden niet wordt voorgeschreven, of zelfs wordt tegengehouden. 4. Certificering speelt wel een rol maar alleen bij stuffing van de container. Andere ketenpartners weten door de certificering dat de informatie omtrent het stuffing proces betrouwbaar is. Voor de rest gaat men er vanuit dat als de container eenmaal gesloten is dat met RFID en satelliet snel te traceren is of er een security breach is. De containers van een gecertificeerde verlader worden in de haven van vertrek wel gescand, maar krijgen een lagere risico-inschatting moet er op de scan toch iets opmerkelijks worden geregistreerd. Natuurlijk worden deze containers nog wel ad random geselecteerd voor visuele inspectie. Versie 2.0 d.d PROTECT consortium Pagina 7

8 5. Om de problematiek van de binnenvaart op te lossen, heeft de douane in Nederland op een aantal belangrijke terminals regionale scan faciliteiten neergezet. In de rest van Europe is dat ook gedaan, maar gegevens over die scans worden niet doorgegeven. Daardoor is in de zeehaven een aparte scanfaciliteit ontwikkeld voor het selectief scannen van containers die van binnenvaartschepen worden overgeslagen Scenario 3: Certificeren en gekoppelde systemen 1. De overheid stelt zich terughoudend op. De wens van Amerika om alle containers in het land van herkomst met nucleaire detectie te scannen is onder druk van China en de Europese Commissie van de hand gewezen. Volgens Europa is het veel te complex en te duur en operationeel onmogelijk om alle containers te scannen. Ook het continu monitoren van de status van een container met e-seals en RFID vindt de sector veel te duur. De systemen van Savy en IBM komen niet commerciele wasdom. E seals worden wel gebruikt om intergriteit te bepalen. Als alternatief wordt daarom geëist dat verladers AEO gecertificeerd zijn, containers met e-seals en RFID worden uitgerust en dat alle partijen die de container in behandeling krijgen ook AEO gecertificeerd zijn. Daarmee worden in Europa alle partijen in het container vervoer gecertificeerd. 2. Door de koppeling van systemen is het alleen nodig om de directe partners in de keten te verifieren en te auditen. Door de beschikbaarheid van audit rapporten uit andere delen van de keten hoeft de verantwoordelijkheid voor security in de keten niet gecentraliseerd te worden. Partijen gebruiken de ruime informatiebeschikbaarheid om geavanceerde analyses los te laten op de databestanden om schending van verantwoordelijkheden en structurele problemen op te sporen en op te lossen. 3. Het AEO certificaat wordt verstrekt door commerciële partijen die zijn goedgekeurd door de douane en door de Amerikaanse overheid. Via certificeringsbureaus en accreditatieorganisaties wordt gegarandeerd dat de AEO status wereldwijd vergelijkbaar is. Overheden zijn instaat om voordelen in logistieke afhandeling te bieden voor AEO gecertificeerde bedrijven. 4. Voor verschillende type bedrijven (omvang, activiteiten, etc.) zijn standaard implementatie schema s en tools beschikbaar. Via een gestandaardiseerde aanpak kunnen bedrijven zelf al een scan uitvoeren. Deze scan methodiek wordt ondersteund met een tool waarvan de resultaten door de overheid verifieerbaar moeten zijn. Dit is mogelijk omdat de tool online wordt ondersteund. Als er wijzigingen zijn in risico niveaus wordt dit automatisch vertaald naar de risicoanalyse van de deelnemende bedrijven, zij krijgen een alert dat ze additionele maatregelen moeten nemen. Een belangrijk IT ontwikkeling is een internationale database met betrouwbare gegevens wie AEO is zodat ketenpartijen de status van elkaar kunnen verifieren. 5. Savy, Siemens en IBM zetten hun eigen netwerk op voor het tracken en tracen van containers met RFID en e-seals. De informatie in deze netwerken is uitwisselbaar. Elke terminals beschikt over meerdere readers. 6. Omdat er binnen de keten vooral geleund wordt op vertrouwen en certificering is er weinig behoefte aan het uitwisseling van additionele security informatie zoals gewicht, afmetingen, verblijftijd per schakel, etc.. De voornaamste uitwisseling van tracking en tracking informatie loopt via de genoemde IT-aanbieders en de port community systemen Scenario 4: certificering en beperkt gekoppelde systemen 1. De overheid vertrouwd op certificering van bedrijven. Echter, de vereisten in certificeringssystemen zoals AEO en C-TPAT om partners van de keten voor te schrijven dat zij hun partners ook moeten voorschrijven om te beschikken over bepaalde certificaten is niet verifieerbaar. De overheid ziet zich Versie 2.0 d.d PROTECT consortium Pagina 8

9 daarom genoodzaakt om regelmatig audits uit te voeren om te checken of bedrijven hun certificaten nog wel waardig zijn. 2. De meeste bedrijven gaan hebben AEO omdat ze in een internationale keten zitten. Aangezien informatie over certificering beperkt beschikbaar is ontstaat er een behoefte om bij allerlei indirecte ketenpartners audits uit te voeren. Deze informatie wordt niet gedeeld met andere ketenpartijen en overheden, en daardoor worden veel spelers met audits van meerdere partijen in de keten geconfronteerd. Versie 2.0 d.d PROTECT consortium Pagina 9

10 3 Kennisbehoefte en kennisvragen 3.1 Kennisbehoeften en kennisvragen die vanuit PROTECT worden onderzocht Informatie-architectuur Voor security is betrouwbare informatie over lading en processen van essentieel belang. Aan de basis van supply chain security staat accurate en volledige informatie, zo vroeg mogelijk in het proces. Als deze informatie elektronisch bij verschillende partijen in de supply chain beschikbaar is kan dit leiden tot een hogere mate van supply chain security, en daarnaast tot allerlei zogenaamde collateral benefits leiden. 1. Op welke wijze kan informatie uit de supply chain worden gebruikt om ketens veilig te maken? Welke type informatie is meest effectief en welke informatieuitwisseling is daarvoor noodzakelijk? Uitdrukkelijk zullen hierin bilaterale, centrale en gedistribueerde vormen (b.v. SOA) van informatie-distributie worden onderzocht. Wat is de informatiebehoefte van de verschillende organisaties in de supply chain om de integriteit van lading, voertuigen en personeel in de supply chain te borgen en van welke factoren zijn deze informatiebehoefte afhankelijk? Welke scenario s zijn denkbaar in termen van security awareness en daadwerkelijke risico s? 2. Welke logistieke voordelen en nieuwe diensten kunnen worden gerealiseerd of gekoppeld aan de informatie die ten behoeve van security in supply chains wordt verzameld en uitgewisseld? Op welke wijze kunnen investeringen in informatietechnologie leiden tot netwerkeffecten omdat alle partijen gelijktijdig in deze technologie en systemen investeren? Kan de NL bv. een aantoonbaar competitief voordeel realiseren met security. 3. Aan welke eisen moet de IT-architectuur in supply chains voldoen om op betrouwbare en effectieve wijze security informatie tussen supply chain actoren te kunnen uitwisselen? Op welke aspecten wijkt deze ideale IT-arcitectuur af van de huidige architecturen en systemen die nu worden gebruikt. 4. Hoe kan de beschikbare informatie op effectieve en efficiënte wijze worden geanalyseerd om gevaarlijke en verdachte situaties vroegtijdig te herkennen? 5. Welke transities dienen te worden gemaakt binnen supply chains op organisatorisch en technisch gebied om supply chain security op basis van controle en monitoring te realiseren? In welke mate kan de transitie door de overheid worden beïnvloed? En zo ja, welke aspecten moeten door overheden worden geregisseerd om zowel security als de logistieke benefits te realiseren? 6. Welke technologieën bieden adequate oplossingen voor het registreren van events en het uitwisselen van informatie conform de IT-architectuur? Van deze kennisvragen is in 2005/2006 met name gekeken naar gecentraliseerde IT architectuur, informatiebehoefte, nieuwe technologien en datamining bij de overheid. In 2007 zal de aandacht uitgaan naar gedistribueerde IT architectuur, uitbreiding van het berichtenverkeer met security informatie, en het ontwikkelen van datamining toepassingen voor het bedrijfsleven Supply chain certificering Bij certificering worden individuele zendingen en lading niet gevolgd, maar toont een bedrijf aan hoe het zorg draagt voor een veilige keten. Dit kan natuurlijk de eerder genoemde informatiesystemen, maar Versie 2.0 d.d PROTECT consortium Pagina 10

11 bedrijven hebben meer oplossingen beschikbaar. Er zijn meerdere certificeringssystemen (AEO, ISO, SO, CTPAT) met elk andere karakteristieken. De wijze waarop deze certificeringssystemen worden ingevoerd kan sterk verschillen. 1. Wat zijn de motieven en voordelen van supply chain certificering voor bedrijven in een supply chain? 2. Hoe kan supply chain security certificering worden gerealiseerd door de verschillende ketenpartijen (verladers, operators in de binnenvaart, spoor en het wegvervoer)? 3. In welke mate is de wijze waarop supply chain security wordt gerealiseerd verschillend afhankelijk van type en omvang? Welke factoren zijn bepalend voor de aanwezige security risico s, te nemen beveiligings en beheersmaatregelen? 4. Hoeveel tijd en inspanning kost een certificeringproject op kosten-effectieve wijze bij een ketenpartij welke factoren zijn daarvoor bepalend? 5. Is het mogelijk om voor deze type bedrijven een standaard certificeringtraject aan te bieden dat eenvoudig en snel te doorlopen is? Inclussief risk assessment, maatregelen selectie en continual improvement. 6. Wat zijn de verschillen tussen de verschillende certificeringregimes en hoeveel inspanning en moeite kost het een organisatie om een bestaande certificering uit breiden met een meeromvattend regime? 7. Welke drivers kunnen worden ingezet om de olievlekwerking van het invoeren van supply chain certificering op gang te brengen? Welke drivers liggen binnen het bedrijfsleven en welke drivers bij de overheid? In 2005/2006 is een overzicht gemaakt van certificeringssystemen, en is geparticipeerd in een aantal certificeringstrajecten (ISO, CEN). In 2007 zal aandacht worden besteed aan de praktische uitvoering van certificeringstrajecten Supply chain security resilience management Is voorkomen wel altijd beter dan genezen? 1. Hoe hebben bedrijven zich voorbereid op het zich herstellen nadat zich een verstoring heeft voorgedaan? Met andere woorden, beschikken bedrijven over een resilience strategie met contingency plans en welke risico s (alleen directe of ook indirecte verstoringen) proberen ze hiermee op welke manier af te dekken? 2. Welke maatregelen zijn mogelijk te nemen om de impact van mogelijke verstoringen tot een minimum te bepreken? Te denken valt aan redundancy, voorraadvorming, dual/triple sourcing, multimodaliteit, hybride netwerken, etc. 3. Hoe effectief lijken deze contingency plans? Met andere woorden, worden risico s werkelijk afgedekt of wordt een situatie van schijnzekerheid gecreëerd? 4. Wat zijn de kosten van deze maatregelen en van het hebben en onderhouden van contingency plans? 5. Hoe wegen bedrijven de kosten tussen maatregelen voor voorkomen en genezen tegen elkaar af? Beïnvloeden ze elkaar (zijn bedrijven minder bereid in security te investeren naar mate ze meer vertrouwen hebben in hun contingency plans)? Versie 2.0 d.d PROTECT consortium Pagina 11

12 3.2 Kennisbehoeften en kennisvragen die buiten PROTECT moeten worden opgelost Beleidsonderzoek certificering 1. Zijn er wel of geen natuurlijke voordelen voor bedrijven of moet overheid die creëren? Lukt het de overheid om deze te creëren via fiscale maatregelen of via versoepeld toezicht? 2. Als er geen natuurlijke voordelen zijn voor bedrijven om SO te worden, moet EC de SO dan verplicht stellen? Welke problemen en issues komen daar uit naar voren: kan EC dit handhaven? Is certificering door de markt een optie (via partijen zoals DNV etc.)? 3. Hoe garandeer je als EC een level playing field? Wordt de oplossing gezocht in certificering via ISO conform ideeën van DNV of schrijft EC uiteindelijk iets voor (harde security measures) of komt ze met een eigen controle dienst? Versie 2.0 d.d PROTECT consortium Pagina 12

13 4 Eindresultaten en deliverables PROTECT 4.1 Aanpak binnen Protect In 2005 heeft de nadruk gelegen op oriëntatie en verkenning. 2006/2007 staat in het teken van conceptontwikkeling. In 2007/2008 worden de concepten in pilots getoetst komt in het teken te staan van de transfer naar de kennistransfer aan het bedrijfsleven en overheid via de verschillende Protect partners. Inhoudelijk is PROTECT georganiseerd over drie deelthema s: Informatiebehoeften en architectuur ten behoeve van monitoring van goederenstromen Wetgeving en certificering van supply chain processen supply chain security resilience management / / Informatiebehoefte & Architectuur Certificering & Wetgeving Oriëntatie Visie en concepten Pilots Transfer Supply Chain Security Resilience Management Actualiteit nieuws, seminars, politiek Kennisontwikkeling wetenschap Kennisontwikkeling praktijk Scientific journals & conferences, Phds, Thesis Workshops, Handbooks, Demonstrators, Tools, Websites 4.2 Pilots en kennisprojecten In onderscheiden we binnen de drie deelthema s kennisprojecten en pilots. Het doel van de kennisprojecten is om nieuwe kennis, concepten en instrumenten te ontwikkelen die de veiligheid van supply chains vergroten. Daarnaast wordt gestreefd naar het uitvoeren van een of meerdere pilots. Deze pilots geven voeding vanuit de praktijk aan de kennisprojecten waarin de eerder genoemde kennisvragen worden beantwoord. Ook is een doel van het uitvoeren van pilots in Protect te laten zien hoe de ontwikkelde kennis in de praktijk kan worden toegepast, dus hoe met informatie-uitwisseling en/of certificering een keten veilig kan worden gemaakt. Om doostroming naar en toepassing van de kennis door overheid en bedrijfsleven te realiseren wordt er in Protect voor gekozen om de kennisontwikkelingsprojecten zoveel mogelijk te koppelen aan initiatieven en pilots nu die door publieke en private partijen (zowel door Protect partners als anderen) worden opgezet. Versie 2.0 d.d PROTECT consortium Pagina 13

14 Om te waarborgen dat Protect niet alleen bijdraagt aan de korte termijn doelstellingen van deze stakeholders, maar de kennisontwikkelingsdoelstellingen van Protect, wordt de bijdrage die door Protect wordt geleverd gepositioneerd in het binnen de scenario s die eerder zijn beschreven. De kennis en ervaringen uit de pilots wordt gegeneraliseerd zodat deze overgedragen kan worden naar andere bedrijven of ketens. Concreet betekent dit dat Protect zoveel mogelijk aansluiting zoekt bij security initiatieven die vanuit de publieke als private sector worden opgestart. Protect adopteert daarbij een deel van de uitwerking van de pilot. De kennis en ervaring uit de pilot stroomt door naar de kennisprojecten. 4.3 Beoogde resultaten Uiteindelijk zal PROTECT aan het einde van haar looptijd de volgende tastbare resultaten hebben opgeleverd : 1. Overzicht van de informatiebehoefte van de verschillende stakeholders ten behoeve van supply chain security nu en in de toekomst. Door het uitwisselen van informatie over de status van lading, voertuig en personeel kan de integriteit van de lading worden beoordeeld en gevolgd. Aan de hand van dreiging en risico s wordt in kaart gebracht hoe met security-informatie uit de supply chain adequate beveiligingsmaatregelen kunnen worden samengesteld door de verschillende stakeholders in de supply chain. Afhankelijk van de security awareness en maatschappelijke druk kunnen verschillen in informatiebehoeftes ontstaan. Deze worden in de vorm van scenario s beschreven. 2. Protect IT-architectuur; Een IT-architectuur voor security faciliteert ontwikkeling van interoperabele systemen. Om alle partijen in de keten met elkaar te kunnen laten communiceren is een ITarchitectuur nodig die beschrijft welke doelstellingen de verschillende partijen op het gebied van logistiek, handhaving en security willen bereiken, welke diensten zij wensen te ontwikkelen of gebruiken, welke data en data uitwisseling daar voor nodig is. Als deze inzichten helder zijn en kunnen worden gedeeld kan de IT-architectuur in termen van data model, functioneel ontwerp etc.. worden uitgewerkt. Ook het garanderen van de information security in termen van beschikbaarheid, integriteit, vertrouwelijkheid en onweerlegbaarheid van de uitgewisselde informatie wordt gezien als een integraal onderdeel van de op te leveren IT-architectuur. 3. Technieken voor datamining door douane en andere overheden. Naast de techniek van datamining wordt ook inzichtelijk gemaakt welke resultaten met deze technieken zijn geboekt pilot/demonstratie projecten waarin marktpartijen, overheid en Protect laten zien hoe security en de ontwikkeling van de IT-architectuur kan leiden tot toegevoegde waarde diensten voor de logistieke keten. 5. Uitwerking van supply chain certificering (ISO, AEO, SO) voor verschillende type bedrijven (verlader, transporteur, binnenvaart) 6. Guidelines voor implementatie van supply chain certificering bij verladers, transporteurs 7. Een framework voor supply chain resilience strategies obv case studies 4.4 Internationalisering De internationale context is voor Protect van groot belang. De ontwikkelingen op gebied van technologie, wetgeving en certficering op het gebied van Supply Chain Security worden grotendeels gedreven door ontwikkelingen in de Verenigde Staten en Europa. Daarnaast is het voor de internationale concurrentiepositie van het Nederlands bedrijfsleven en de mainports van groot belang om tijidig en Versie 2.0 d.d PROTECT consortium Pagina 14

15 adequaat in te spelen om deze ontwikkelingen en de kansen die security biedt voor het versterken van de concurrentie positie te verzilveren. Protect heeft zicht in de volgende doelen gesteld: Protect is goed geinformeerd over actuele internationale ontwikkelingen in supply chain security. De partners van Protect zijn zelf internationaal actief vanuit hun eigen rol binnen de supply chain. De actuele ontwikkelingen worden maandelijks besproken tijdens de Protectprojectteambijeenkomst. Tussentijds worden binnengekomen persberichten en rapporten uitgewisseld. Op deze manier houden de partners elkaar op de hoogte van actuele ontwikkelingen en worden de consequenties van deze ontwikkelingen voor het onderzoek besproken. Protect werkt samen met internationale onderzoekspartners. In wordt samenwerking gerealiseerd met het Zwitserse CrossBorder-initiatief. In de Cross-Border Research Association wordt door een aantal promovendi onderzoek uitgevoerd. Rond CrossBorder is ook een internationaal netwerk van universiteiten ontstaan die zich bezig houden met de verschillende aspecten van supply chain security. In 2006 heeft Protect een paper bijdrage geleverd aan het CrossBorder congres. De samenwerking zal worden gericht op het gezamenlijk schrijven van een wetenschappelijk paper op basis van pilot-resultaten die zijn verkregen uit onderzoek van CrossBorder en Protect. Onderzoek in Protect bouwt voort op de Intenationale State-of-the-Art. De internationale state-of-the-art op wetenschappelijk gebied wordt in kaart gebracht binnen de diverse werkpakketten van Protect. De onderzoekers nemen kennis van recente wetenschappelijke inzichten als basis voor hun onderzoek. Deze state-of-the-art zal in de diverse deelrapportages op beknopte wijze worden samengevat. Internationale kennisdisseminiatie. Protect zal (in beperkte mate) de kennis die is ontwikkeld presenteren tijdens internationale congressen. Voorbeelden zijn het CrossBorder seminar 2007, bijdrage aan PICARD (Douane conferentie, Brussel) en bijdrage aan International symposium on maritime safety, security and environmental protection (sept , Athens). De partners van Protect nemen gezamenlijk initiatief voor betrokkenheid in EU KP7. Begin 2007 gaat het nieuwe 7 e kader programma van EU van start. De partners van Protect bekijken gezamenlijk hoe activiteiten die in Protect zijn gestart een vervolg kunnen krijgen in Europese context. Bij succesvolle tendering zullen deze activiteiten van start gaan in januari Transumo doelstellingen: People, Planet, Profit De resultaten van Protect leveren een directe bijdrage aan de doelstellingen van Transumo op People, Planet en Profit. Er wordt binnen PROTECT getracht een transitie te bewerkstelligen, waarmee het aanwezige kennispotentieel en de huidige sterke positie van Nederland in Mondiale en Europese netwerken wordt aangewend om de huidige logistieke netwerken verder te verbeteren en om te vormen tot economisch, ecologisch en sociaal duurzame netwerken. Het praktische gebruik van deze verbeterde netwerken zal moeten leiden tot positieve effecten voor: het Nederlandse bedrijfsleven (lagere kosten en hogere service, verbeterde concurrentiepositie), dus een bijdrage aan de PROFIT-doelstelling. Nederlandse bedrijfsleven kunnen zich onderscheiden van internationale concurrenten door hogere veiligheid en grotere betrouwbaarheid van hun logistieke keten. Het Nederlandse bedrijfsleven beschikt over aantoonbare beveiliging en beheersing van de logistieke processen. de Nederlandse burgers (in termen van een beter beschikbaarheid van goederen, betere bereikbaarheid, hogere leefbaarheid), dus een bijdrage aan de PEOPLE-doelstelling. Door supply chain security nemen het risico en de impacts van terroristische aanslagen en criminaliteit af. de Nederlandse samenleving (minder geluids- en emissie-overlast wegvervoer, spaarzamer gebruik niet-hernieuwbare brandstoffen), bijdrage aan de PLANET-doelstelling. Door een betere beheersing van de logistieke keten (door continue monitoring van processen) kan logistiek en transport ook duurzamer worden ingericht. Versie 2.0 d.d PROTECT consortium Pagina 15

16 4.6 Transitie De doelstelling van Transumo is niet alleen om kennis te ontwikkelen, maar ook om door middel van de kennis een beweging op gang te brengen naar duurzame mobiliteit. Om deze beweging te realiseren is het van belang dat alle stakeholders de nut en noodzaak van duurzame mobiliteit onderkennen en daarnaar gaan handelen. In Protect zijn de belangrijkste stakeholders in de tripartiete samenwerking in supply chain security vertegenwoordigd: het logistiek bedrijfsleven via EVO, TLN en NDL/HIDC, de dienstverlenende sector door middel van Buck Consultants en DNV, de overheid via de Douane, Havenbedrijf Rotterdam en het Ministerie van Verkeer en Waterstaat en de kennisinfrastructuur via TNO, Erasmus Universiteit en de TU Delft. De beweging naar duurzame mobiliteit wordt via de volgende mechanismen in Protect ingezet: Uitwisseling van kennis en inzichten via projectteambijeenkomsten, overleggen, columns en het protect seminar. Betrokkenheid van de stakeholders in het onderzoek via direct participatie of toetsing via workshops. Toepassen van de ontwikkelde kennis in pilots bij belangrijke stakeholders Versie 2.0 d.d PROTECT consortium Pagina 16

17 5 Onderzoeksactiviteiten, taken, verantwoordelijkheden en budgetten Hieronder worden de deelactiviteiten uitgewerkt voor 2007 en De trekker van iedere taak is onderstreept. 5.1 WP0: Projectmanagement Deelnemers: EUR WP0.1 Projectmanagement penvoerder Het projectmanagement bestaat uit de volgende activiteiten - leiding geven aan het project - sturen op kwaliteit resultaten, voortgang en budget - problemen signaleren en oplossen - PMT en stuurgroep voorzitten - PROTECT vertegenwoordigen naar de buitenwereld (o.a. media e.d.) - Visie ontwikkelen en uitdragen WP0.2 Penvoerderschap richting Transumo Het penvoerderschap bestaat uit de volgende activiteiten - Dossiervorming en up to date houden - Uren administreren en rapporteren - Kosten boeken - Contracten opstellen en tekenen - Rapportages opstellen - Accountantsverklaring regelen - Getekend contract - Tussenrapportages (financieel) - Jaarrapportage (inhoudelijk en financieel) - Accountantsverklaring (jaarlijks) WP0.3 secretariaat en Projectteam overleg Het projectteam bestaande uit vertegenwoordigers van alle participanten komt elke maand bijeen om de voortgang van de werkpakketten te bespreken en nieuws uit te wisselen. Twee keer per jaar vind er een stuurgroepvergadering plaats. De leden van de stuurgroep zijn NDL, EVO, TLN, Erasmus Universiteit, Douane en het Ministerie van Verkeer en Waterstaat. - Notulen PMTs (twee)maandelijks - Verslag Stuurgroepvergaderingen 5.2 WP1: Informatie-architectuur voor supply chain security WP1.0 Uitwerking projectplan Deelnemers: EUR, HbR/PiL, TU Delft Dit werkpakket richt zich op het uitwerken van het detailplan voor WP 1 en het zoeken van geschikte pilots en pilotpartners voor het beantwoorden van de kennisvragen van Protect. Activiteiten zijn het benaderen Versie 2.0 d.d PROTECT consortium Pagina 17

18 van interessante organisaties (technologie-aanbieders, Douane, Havenbedrijf Rotterdam, ECT, PortInfoLink, etc.), het verkennen van de mogelijkheden om samen een pilot te doen, het opstellen van een pilotplan en werkafspraken. D1.1 Werkplan WP 1 WP1.1 Ontwikkeling en toepassen van datamining technieken voor security Deelnemers: EUR, Douane, TU Delft In dit werkpakket wordt de ontwikkeling van datamining technieken voor security voortgezet. In 2007/2008 zullen nieuwe technieken worden ontwikkeld en toegepast op de data van Sagitta Binnenbrengen van de Douane. Daarnaast zullen de belangrijkste uitdagingen op dataming gebied middels workshops met experts worden onderzocht en geïdentificeerd. D1.2: Nieuwe of verbeterde dataminingtechnieken D1.3: Rapportage met beschrijving en analyse van datamining technieken WP1.2 Business Intelligence Port of Rotterdam Deelnemers: EUR, HbR/PiL, TU Delft, Douane Aanleiding voor dit onderzoek: Binnen PROTECT zijn in 2006 de informatiebehoeften voor SC security in kaart gebracht en zijn er studies verricht naar mogelijke andere vormen van en datamining door de Douane. Aangezien veel van de informatie binnen PCS en CIS systemen beschikbaar is lijken dit belangrijke platforms om tot haalbare praktische/oplossingen te komen. Aangezien de data binnen deze platforms van de dataleveranciers is (lees bedrijfsleven) dient het bedrijfsleven goedkeuring te verlenen om hier gebruik van te maken voor het verhogen van SC security en datamining toepassingen. Het voordeel van het bedrijfsleven dient hiervoor goed in kaart te worden gebracht. Vanuit de kant van Business Intelligence zal het bedrijfsleven erg geïnteresseerd zijn in het delen van metadata. Voor sommige partijen zal BI informatie ten behoeve van SC security ook een issue zijn. Aangezien de Douane een klant van het PCS is heeft ook de Douane behoefte aan BI informatie. Wanneer de behoeften aan BI informatie van alle partijen duidelijk is kan bepaald worden welke voordelen elk van de partijen hebben om data van de eigen processen te delen met andere in de keten. (dus ook data levering aan Douane om processen te verbeteren) Doel: In kaart brengen van behoefte van de verschillende ketenspelers aan BI informatie (waaronder op het gebied van SC security) waarna de technische en functionele haalbaarheid binnen bestaande PCS en CSI kan worden bepaald. Opzet: Versie 2.0 d.d PROTECT consortium Pagina 18

19 Douane Vervoerder Agent Terminal Verlader 1 Identificatie Business Intelligence (BI) doelen SC security Controle.... Optimalisatie turn around tijd Proces optimalisatie Proces optimalisatie Kostenreductie Flexibiliteit. Proces optimalisatie Bezettingsgraad SC security. Proces optimalisatie Kostenreductie SC security. 2 Analyse reeds beschikbare BI informatie en identificatie behoeften 3 Analyse mogelijkheden PCS & technische uitwerking Datamining Electronic bold seal D1.4: Rapportage Business Intelligence Port of Rotterdam WP1.3 IT-architectuur: gedistribueerde architecturen in vergelijking tot bilaterale en centrale architecturen Deelnemers: TU Delft, Douane, HbR/PIL, EUR De aanzet tot de IT-architectuur die in 2006 is gemaakt zal in 2007 verder worden uitgewerkt. Nieuwe stakeholders moeten gemakkelijk kunnen worden aangesloten en de veiligheid van de uitgewisselde informatie in termen van beschikbaarheid, vertrouwelijkheid, integriteit en onweerlegbaarheid moet worden gegarandeerd. Uitdrukkelijk zal hierin de mogelijkheden voor meer gedistribueerde vormen (b.v. S.O.A.) worden vergeleken ten opzichte van of ter aanvulling op gecentraliseerde vormen en de rol van information brokers (zoals lokale PCS). D1.5: Rapportage vergelijking IT architecturen WP1.4 Logistieke keteneffecten van supply chain visibility en kosten-batenanalyses Deelnemers: EUR, HBR/PIL, TU Delft, NDL Op basis van de ervaringen in security pilots wordt een analyse gemaakt van de collatoral benefits van het uitwisselen van security information. Belangrijke stappen zijn het in kaart brengen van mogelijke voordelen, de factoren die bepalen hoe groot de voordelen zijn, de randvoorwaarden waaronder ze kunnen worden gerealiseerd en het inschatten van de omvang van de voordelen. Het resultaat is een eenvoudige tool die de kosten-baten voor een bedrijf of keten kan berekenen. D1.6: Tool voor kosten-baten analyse D1.7: Verslaglegging kosten-baten analyse supply chain visibility Versie 2.0 d.d PROTECT consortium Pagina 19

20 5.3 WP2: Supply Chain Certificering WP2.0 Voorbereiden pilots Deelnemers: DNV, TLN, EVO, NDL Dit werkpakket richt zich op het zoeken van geschikte pilots en pilotpartners voor het beantwoorden van de kennisvragen van Protect. Activiteiten zijn het benaderen van interessante organisaties (verladers en vervoerders in verschillende modaliteiten), het verkennen van de mogelijkheden om samen een pilot te doen, het opstellen van een pilotplan en werkafspraken. D2.1: Detaillering uitwerking pilots WP2.1 Pilot Kanshebber in de Keten Deelnemers: DNV, EUR, Douane In de pilot Kanshebber in de Keten wordt onderzocht hoe een concrete binnenvaartketen kan worden gecertificeerd. Het gaat om een logistieke keten vanaf enkele verladers in Brabant die export en importcontainers die in Rotterdam aankomen of vertrekken laten afhandelen via de binnenvaart. Het resultaat van de pilot is een proefcertificering. Een proefcertificering geeft aan aan welke eisen de binnenvaartterminals en binnenvaartschepen moeten voldoen om gecertificeerd te worden en welke aspecten nog opgepakt moeten worden om aan deze eisen te voldoen. D2.2: Verslaglegging certificering in Pilot Kanshebber in de Keten WP2.2 Proefcertificering Logistiek Dienstverlener Deelnemers: Buck, TLN, EVO, Douane TLN is verantwoordelijk voor het vinden een logistiek dienstverlener die zich wil laten proefcertificeren. Wanneer gekozen wordt voor een AEO aanpak zal de Douane actief betrokken zijn. Voor het succesvol uitvoeren van een pilot is een goede begeleiding essentieel. Het gaat daarbij o.a. om het vastleggen van de baseline (wat was de situatie voor uitvoering van de pilot), procesbegeleiding om de voortgang gaande te houden en een goede verslaglegging (kwantitatief en kwalitatief) van de resultaten van de pilot D2.3: Verslaglegging certificering in Pilot Logistieke Dienstverlener WP2.3 Proefcertificering Verlader Deelnemers: DNV, EUR, EVO, Douane EVO is verantwoordelijk voor het vinden een verlader die zich wil laten proefcertificeren. Wanneer gekozen wordt voor een AEO aanpak zal de Douane actief betrokken zijn. Voor het succesvol uitvoeren van een pilot is een goede begeleiding essentieel. Het gaat daarbij o.a. om het vastleggen van de baseline (wat was de situatie voor uitvoering van de pilot), procesbegeleiding om de voortgang gaande te houden en een goede verslaglegging (kwantitatief en kwalitatief) van de resultaten van de pilot D2.4: Verslaglegging certificering in Pilot Verlader Versie 2.0 d.d PROTECT consortium Pagina 20