Supply chain security PROTECT WP4 eindrapport 2005 Deliverable 4.5

Transcriptie

1 Schoemakerstraat 97 Postbus JA Delft TNO-rapport Supply chain security PROTECT WP4 eindrapport 2005 Deliverable T F inro@inro.tno.nl Datum 23 december 2005 Auteur Bijdragen van Ir. J.F.F. Becker (TNO Mobiliteit en Logistiek) Dr. T.M. Verduijn (TNO Mobiliteit en Logistiek) Erasmus Universiteit Rotterdam Buck Consultants International NDL TLN EVO Douane/Belastingdienst Havenbedrijf Rotterdam NV Plaats Delft Aantal pagina s 94 Projectnaam Notitie nummer ISBN nummer PROTECT 05-7N Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd en/of openbaar gemaakt door middel van druk, foto-kopie, microfilm of op welke andere wijze dan ook, zonder voorafgaande toestemming van TNO TNO

2 PROTECT / 94 Voorwoord Het doel van het Transumo (Transition Sustainable Mobility)-project PROTECT is de ontwikkeling van strategieën voor logistieke beveiliging van internationale ketens waarin Nederlandse partijen een belangrijke rol spelen. Participanten in PROTECT zijn de Erasmus Universiteit Rotterdam (EUR), het Havenbedrijf Rotterdam NV, Buck Consultants International, de Douane, EVO, Nederland Distributieland (NDL), TLN en TNO. Dit rapport is de eindrapportage van de onderzoeksresultaten die in werkpakket 4 van PROTECT in 2005 behaald zijn. Het geeft een samenvatting van de resultaten van alle taken in dit werkpakket. Dit betekent dat alle consortiumpartners een substantiële bijdrage geleverd hebben aan de inhoud van dit rapport. Een gedetailleerde beschrijving van de resultaten van elke taak is te vinden in de afzonderlijke rapportage. Bijlage 3 geeft een overzicht van alle rapportages van dit werkpakket.

3 PROTECT / 94 Inhoudsopgave Voorwoord PROTECT eindresultaten: werkpakket Inleiding Structuur van werkpakket Structuur eindrapport WP Theorie: beveiliging in internationale goederenketens Behoefte aan beveiliging in de logistiek Mondiaal goederentransport Ketenstructuren Logistiek lagenmodel voor mondiaal transport Beveiliging als bedrijfsstrategie Logistieke risico s Definitie beveiligde logistieke keten Beveiligingsrisico s in de logistieke keten Verantwoordelijkheden in ketenbeveiliging Logistieke betrouwbaarheid centraal in ketenbeveiliging Vermindering van logistieke kwetsbaarheid: Extended failure mode approach Raamwerk voor logistieke beveiliging Marktontwikkeling: beveiliging door samenwerkingsprogramma s Behoefte aan overzicht over beveiligingsinitiatieven Relevante initiatieven en ontwikkelingen Beveiligingsmaatregelen in de keten Marktontwikkeling: beveiliging door IT tools Inleiding Toepassingsmogelijkheden IT in beveiliging Lokale beveiliging versus ketenbeveiliging Monitoring van ketenbeveiliging Beheersbaarheid dankzij control loops Overzicht van IT Integratie van technologieën in beveiligingsinitiatieven Ontwikkeling in IT voor supply chain security IT bijdrage aan efficiëntie Conclusie Praktijk: Wat verwacht Logistiek Nederland? Inleiding PROTECT Enquête Respondenten Terrorisme versus criminaliteit Is beveiliging een kritische concurrentiefactor? Beveiligingsmaatregelen Voor- en nadelen van beveiligingsmaatregelen Beveiligingskosten Discussiemiddag SCM Netwerkbijeenkomst Dhr. Noordegraaf (Shell) - Security in de Logistieke keten...47

4 PROTECT / Dhr. Clauwaert (ABX Logistics) - Passionate about logistics & security Algemene bevindingen van de discussiemiddag Case studies Introductie Zeecontainerexport van Europa naar de Verenigde Staten Actuele grondvorm Actuele security Security behoefte Beveiliging in de logistiek Intra-Europees Ro-Ro transport tussen Nederland en het Verenigd Koninkrijk Actuele grondvorm Actuele security Security behoefte Beveiliging in de logistiek Luchtcontainertransport van Europa naar de Verenigde Staten Actuele grondvorm Actuele security Security behoefte Beveiliging in de logistiek Lege containers Actuele security Security behoefte Conclusie en aanbevelingen Vraag en aanbod naar supply chain security Aanbodkant Komende wet- en regelgeving en standaarden Techniek ondersteunt beveiliging Vraagkant Beveiliging is een kwaliteitsaspect Visie ketenbeveiliging Beveiliging bestaat uit procedures Organisationele maturiteit bepaalt benodigde investeringen Stappenplan voor supply chain beveiliging Stap 1: Bewustwording Stap 2: Definitie beveiligingsmissie Stap 3: Afweging van maatregelen Stap 4: Opstellen bedrijfsbeveiligingplan Stap 5: Implementatie en evaluatie Tot slot Aanbevelingen voor onderzoek naar ketenbeveiliging in Referenties...88 Bijlage 1: Overzicht beveiligingsinitiatieven...90 Bijlage 2: Afkortingen...91 Bijlage 3: Deliverables werkpakket

5 PROTECT / 94 Bijlage 4: Publicaties werkpakket Bijlage 5: Legenda supply chain architecture...94

6 PROTECT / 94 1 PROTECT eindresultaten: werkpakket Inleiding Werkpakket 4 richt zich primair op de beveiliging van wereldwijde logistieke ketens ( global supply chains ) waarbij logistieke diensten (in de ruimste zin van het woord) ook op Nederlands grondgebied plaatsvinden. Doelstelling van werkpakket 4 is tweeledig. Enerzijds heeft werkpakket 4 tot doel om praktische instrumenten te ontwikkelen om middels samenwerking en IT de veiligheid in logistieke ketens te waarborgen. Anderzijds heeft dit werkpakket tot doel om een tool of methode te ontwikkelen om betrouwbaarheidsrisico s te minimaliseren in wereldwijde logistieke ketens. 1.2 Structuur van werkpakket 4 Werkpakket 4 is opgedeeld in 5 taken en is gericht op zowel de aanbodkant als de vraagkant van supply chain security. Dit geeft onderstaand figuur weer. Aanbod van supply chain security Vraag naar supply chain security Theorie Praktijk Figuur 1: Structuur van werkpakket 4 Het werkpakket start met een quick-scan (taak 4.1). Deze taak zet een raamwerk neer waarin wordt uitgewerkt hoe wereldwijde logistieke ketens in elkaar zitten, welke beveiligingsrisico s en preventieve maatregelen men waar in de keten kan nemen, en welke verbanden er tussen ketenstructuren en veiligheidsrisico s en maatregelen bestaan. Voorts onderzoekt een enquête (taak 4.3) bij ketenpartijen (d.w.z. verladers, logistieke dienstverleners, douane en anderen) welke vragen precies in het bedrijfsleven spelen op het gebied van security in wereldwijde logistieke ketens. Deze vraagarticulatie geeft de eerste aanzet voor het diepgaande vervolgonderzoek. Het overgrote deel van het onderzoek vindt plaats in taak 4.2. Deze taak bestaat uit twee delen. Dit betreft studie naar (1) de aanbodkant en (2) case studies die lering moeten trekking van ervaringen en de actuele situatie in logistieke ketens. Hiermee geven de case studies meer inzicht in de vraag naar en aanbod van logistieke security maatregelen. Vanuit de aanbodkant identificeert subtaak de verplichte en vrijwillige mogelijkheden voor samenwerking in de keten om de keten veiliger te maken.

7 PROTECT / 94 Aangezien IT tools een apart middel zijn om samenwerking te concretiseren, bestudeert subtaak dit onderwerp afzonderlijk. Case studies (subtaak 4.2.3) geven voor zowel de vraag- als aanbodkant de praktische kennis uit concrete logistieke ketens. Ten slotte voert subtaak onderzoek naar het gevolg van standaardisatie in logistieke beveiliging. Hiervoor zijn werkbijeenkomsten binnen ISO en CEN gevolgd en de resultaten ervan verspreid in het PROTECT consortium. Integratie van de resultaten van het onderzoek naar vraag en aanbod vindt plaats in subtaak 4.4. Dit wordt geconcretiseerd door een vertaling te maken naar de betrouwbaarheid van logistieke ketens (d.w.z. wat de gevoeligheid is voor onverwachte logistieke storingen in geval van bijvoorbeeld een aanslag). Deze vertaling levert een toevoeging van het theoretische raamwerk en een aanzet voor een methode. Deze methode die in 2006 nader uitgewerkt kan worden - kunnen bedrijven gebruiken om op basis van hun ketenstructuur en de hieraan gerelateerde security risico s te bepalen welke maatregelen gezamenlijk in de keten genomen kunnen worden om de keten (meer) betrouwbaar te maken. Ten slotte rond deze rapportage (subtaak 4.5) het werkpakket af. 1.3 Structuur eindrapport WP 4 Dit rapport geeft een samenvatting van meerdere eindresultaten van werkpakket 4. Bijlage 3 biedt een overzicht van alle rapportages binnen dit werkpakket. Voor een heldere structuur is gekozen om deze eindrapportage in verschillende delen op te splitsen: A. Theorie: Hoofdstuk 2: beveiliging in internationale goederenketens B. Marktontwikkeling: Hoofdstuk 3: Beveiliging door samenwerkingsprogramma s Hoofdstuk 4: Beveiliging door IT tools C. Praktijk: Hoofdstuk 5: Wat verwacht Logistiek Nederland? Hoofdstuk 6: Case studies D. Conclusies en aanbevelingen Hoofdstuk 9: Conclusies en aanbevelingen

8 PROTECT / 94 2 Theorie: beveiliging in internationale goederenketens 2.1 Behoefte aan beveiliging in de logistiek Al meer dan vier jaar is beveiliging in transport en logistiek een belangrijk thema voor overheden en bedrijfsleven in Nederland en buitenland. Met de aanslagen in New York, Madrid en Londen heeft men de afgelopen paar jaar kunnen constateren dat terrorisme een wereldwijd probleem is geworden. De aanslagen tonen dat onze maatschappij kwetsbaar is. Terrorisme richt zich vandaag de dag vooral op het creëren van zoveel mogelijk slachtoffers. Omdat de wapens hiervoor vervoerd moeten worden en zowel transportvoertuigen als lading ook een wapen kunnen zijn, is het nodig om transport te beveiligen. Voor personenvervoer heeft men daarom bagagecontroles verscherpt. Maar terroristen kunnen ook goederenketens misbruiken om wapens te smokkelen. Logistiek stuurt de goederenstromen aan en daarom is er een maatschappelijke behoefte aan logistieke beveiliging. Anderzijds is er een bedrijfskundig behoefte aan beveiliging in de logistiek. Transportbeveiliging is allereerst nodig vanwege criminaliteit. Maar in het kader van terrorisme ondervinden verladers en dienstverleners in hun transportactiviteiten ook dat de overheid extra beveiligingsmaatregelen neemt. Meer controleplaatsen en een hoger risico op controles per plaats leiden tot een lagere logistieke betrouwbaarheid. Daarnaast bestaat er het risico dat terroristen infrastructuur of goederenstromen materieel (voertuigen of ladingdragers) onderweg aanvallen of voor een aanval gebruiken. De kwetsbaarheid van de infrastructuur en van goederenstromen is gelegen in het feit dat deze openbaar gesitueerd en zeer dynamisch zijn, waardoor waterdichte beveiliging onmogelijk blijkt. Een aanval zal sterk het betrouwbare imago van een bedrijf beïnvloeden. Ten slotte kan de overheid transport na een aanslag stilleggen. Zo werd het luchtruim van de Verenigde Staten gesloten, waardoor leveringen minstens 3,5 dag niet meer konden plaatsvinden. Hierdoor moest Toyota bijvoorbeeld zijn fabrieken voor 4 dagen stilleggen omdat ze moesten wachten op Just-In-Time leveringen van sensoren uit Duitsland. Kortom, terrorisme heeft niet alleen invloed met een aantal slachtoffers en directe financiële schade, maar het leidt door overheidsmaatregelen (en na een aanslag) tot een lagere logistieke betrouwbaarheid. 2.2 Mondiaal goederentransport Onze transportsystemen zijn ontworpen om een markteconomie in een open maatschappij te ondersteunen. Als gevolg van de mondialisering van handel hebben deze transportsystemen een sterk internationaal karakter. Van de totale wereldhandel hebben de Verenigde Staten (VS) een aandeel van 21% in 2001, terwijl de Europese Unie (EU) een aandeel van 19% heeft (Eurostat, 2004). De EU handelt het meest met de VS: volgens Eurostat (2004) importeerde de EU in ,6 miljard ECU uit de VS (19% van de totale export), terwijl het 239,9 miljard

9 PROTECT / 94 ECU naar de VS exporteerde (24,3% van de totale export). Andere belangrijke handelspartners zijn Zwitserland, Japan, China en Rusland. Van deze externe handel van de EU vindt circa 90% (in tonkilometer) plaats via zeetransport (Europese Unie, 2001). Ongeveer 70% van de zeeschepen passeert regelmatig nauwe zeestraten die gevoelig (kunnen) zijn voor kapers (Ministerie van Verkeer en Waterstaat, 2005). 2.3 Ketenstructuren De logistieke keten bestaat uit talloze partijen die elk verschillende activiteiten en verantwoordelijkheden hebben. Men kan onder andere de volgende partijen onderscheiden: - Producenten / verladers - Transportaanbieders o Wegtransport o Luchttransport o Zeetransport o Binnenvaart o Spoortransport - Transport facilitoren o Cargadoor o Expediteur - Overslag o Stuwadoor o Overslagterminal - Logistieke dienstverleners o 3PL (logistics control) o Warehouse o Crossdock centrum - Handelsorganisatie o Importeur o Exporteur - Overheidsinstanties o Douane o Infrastructuuraanbieder o Overig (bv. Plantenziektekundige Dienst - Andere leveranciers o Investeerders o Verzekeraars o Olie-, gas- en electriciteitsbedrijf o Communicatieaanbieder o Softwareleverancier o ICT leverancier - Klanten Ketenstructuren kunnen op verschillende wijzen worden geklassificeerd. Ten eerste kan men distributiestructuren klassificeren naar de verschillende logistieke activiteiten die in een keten zijn opgenomen (Picard, 1982; NDL, 2002; Becker et al., 2004). Een structuur waarbij een producent op order aan een klant levert is beduidend anders dan een structuur met een Europees warehouse dat via regionale distributiecentra aan een klant levert. Deze klassificeringsmanier kan goed gebruikt worden om aan te geven waar (beveiligings-)maatregelen invloed hebben op logistieke activiteiten. Ten tweede kan men ketens onderscheiden naar de route van zendingen. Beveiligingsmaatregelen kunnen verschillen voor import- en exportstromen. In deze context is het relevant om na te gaan of goederen naar, via of vanaf Nederland worden vervoerd en wat de beveiligingseisen per richting zijn. Hiernaast is het tevens interessant om specifiek de stromen naar de Verenigde Staten te onderzoeken, omdat dit land zeer specifieke importeisen hanteert. Ten derde kan men ketenstructuren onderverdelen naar modaliteiten. Een bedrijf kan verschillende transportmodaliteiten inzetten in de keten. Elke modaliteit kent haar eigen karakteristieken en eigen beveiligingsbehoeftes.

10 PROTECT / 94 Ten vierde kunnen ketens gestructureerd worden naar goederenkarakteristieken. De (logistieke) eigenschappen bepalen op welke wijze goederen worden ingekocht en gedistribueerd. Dit is niet alleen belangrijk voor de logistieke organisatie maar ook voor de beveiliging van de goederenstromen. Goederen zijn immers sterk verschillend dat het risico voor misbruik of aanval sterk uiteenloopt. Preventieve beveiligingsmaatregelen zullen zich sterk focussen op goederen die een hoog risico met zich mee brengen. 2.4 Logistiek lagenmodel voor mondiaal transport RAND (2004) stelt dat de functionaliteit van de logistieke keten bestaat uit drie onafhankelijke en interacterende lagen. Dit betreft de volgende lagen: - De bovenste laag is de overkoepelende beheersingslaag. Deze geeft de beheersing weer waarin overheid en overkoepelende instanties wetgeving en standaarden vastleggen en controle uitvoeren voor de lagere lagen. - De middelste laag is de transactielaag waarin logistieke partijen informatie delen, waarin de logistieke planning en afstemming plaatsvindt en waarbinnen zich de handel en financiële stromen voltrekken. - De onderste laag stelt het fysieke logistieke systeem voor waarin goederen worden getransporteerd. Figuur 2 illustreert de interacties tussen deze lagen. De bovenste laag is enerzijds voorwaarde scheppend en ontwikkelt regels op basis van ervaringen en verwachtingen in de lagere lagen. Ook voert het controle uit op naleving van deze regels in de andere lagen. De spelers in de transactielaag voeren handel en stellen de grondvorm en tactische planning vast van de productie- en distributieketen. Hiermee bepaalt deze middelste laag de afhankelijkheden en invulling van de operationele activiteiten van het fysieke logistieke systeem. Beheersing EU WCO NL Douane US Customs Port Security Officer Ministerie van V&W IMO ICAO Transactie VERLADER EXPEDITEUR AGENT REDER RETAIL BANK VERZEKERAAR KLANT Logistiek SPOOR BINNENVAART TERMINAL SCHIP WEGTRANSPORT DISTRIBUTIE CENTRUM Figuur 2: Interacties tussen logistiek, transactie en (overheids)beheersing (RAND Corporation, 2004)

11 PROTECT / Beveiliging als bedrijfsstrategie Voor het bedrijfsleven is beveiliging een middel om risico s af te wenden. Vrijenhoek (2005) definieert bedrijfsstrategie als de doelen die als basis dienen voor beslissingen over het afstemmen van het vermogen en de middelen van een bedrijf op kansen en bedreigingen in de omgeving van dit bedrijf, waarbij ethiek en wet- en regelgeving in acht wordt genomen. Het management definieert deze doelen op vier niveaus. De missie geeft aan waar de kerncompetenties van een bedrijf liggen en welke doelen men heeft om een bepaalde doelgroep te bereiken. De strategie geeft aan op welke wijze de gestelde doelen bereikt moeten worden.. Dit wordt vervolgens vertaald in kritische succesfactoren die van directe invloed zijn op het behalen van de doelen. Ten slotte geven prestatie-indicatoren de stand van zaken en de vooruitgang voor het behalen van de doelen weer. Figuur 3: Beveiligingsstrategie werkt op alle managementniveaus Een beveiliging is een onderdeel van de bedrijfsstrategie. Een bedrijf moet in haar missie concretiseren welke doelen het heeft ten aanzien van beveiliging. Hierbij spelen vele factoren een rol, zoals de aard van de goederen of diensten en de hieraan verbonden gevoeligheid en risico s waarmee een bedrijf te maken heeft. Daarnaast kan beveiliging gezien worden als een concurrentievoordeel dat klanten binnen kan halen. In de missie bepaalt een bedrijf de mate waarop het zich gaat richten op beveiliging. Beveiligingsstrategie bestaat uit twee onderdelen. Allereerst moet een bedrijf voldoen aan verplichte wet- en regelgeving. Anderzijds kan het participeren in vrijwillige initiatieven. De gevolgde strategie en de keuze in de initiatieven is een afgeleide van de vooraf bepaalde missie van het bedrijf. Bij de uitvoering van de beveiligingsstrategie staan kritische succesfactoren centraal. Het niveau waarop deze behaald worden kan men via de prestatie-indicatoren meten. 2.6 Logistieke risico s Logistieke ketens zijn kwetsbaar gebleken voor onverwachte verstoringen in productie opslag en transport. Als een verstoring bij een bedrijf ontstaat, kan deze direct effect hebben op de toelevering aan afnemende partijen. Ook kunnen toeleveranciers plots te maken krijgen met spoedbestellingen. Verstoringen in productie- en toeleveringsketens hebben allereerst negatieve impact op de bedrijfsvoering van de getroffen ketenpartijen. Een logistieke verstoring leidt al snel tot extra kosten en lagere serviceniveaus. De concurrentiepositie van bedrijven - en uiteindelijk van een keten - lijdt daarom onder een hoge kwetsbaarheid.

12 PROTECT / 94 Belangrijke oorzaken voor kwetsbaarheid zijn een eenzijdige managementfocus op logistieke efficiëntie, een sterke afhankelijkheid tussen bedrijven in een keten en een complexe verwevenheid van ketens in netwerkvorm. Christopher (2003) concludeert dat verstoringen in een keten leiden tot een lagere handel, daarmee tot verlies van regionale werkgelegenheid en uiteindelijk tot een reductie van mondiale welvaart. Deze kwetsbaarheid leidt tot de behoefte aan het ontwerp van beveiligde en veerkrachtige ketens. Beveiliging ( security ) houdt in de logistiek in dat goederen beschermd zijn tegen misbruik, diefstal en beschadiging en dat (derde) partijen logistieke activiteiten niet kunnen inzetten voor ongewenste doelen. Veerkrachtige ( resilient ) ketens kunnen verstoringen opvangen en de ontstane maar ongewenste situatie herstellen in een (eventueel nieuw) economisch en logistiek evenwicht. Als de te garanderen prestaties zijn vastgesteld kan men onderzoeken welke risico s er bestaan die deze prestaties kunnen verstoren. Onverwachte verstoringen zijn gevaarlijker dan reeds gesignaleerde risico s. Gesignaleerde risico s kan een bedrijf immers adequaat aanpakken. In het algemeen kan men de volgende ketenrisico s onderscheiden (TNO & BCI, 2005): 1. Vertraging - Vertraging bij inkoop - Vertraging bij distributie 2. Te weinig voorraad - Onbenutte productiecapaciteit (bij inkoop) - Nee verkoop / uitverkocht 3. Te veel voorraad - Problemen bij houdbaarheid en (technische) veroudering 4. Ineffectieve benutting van middelen - Personeel (slachtoffers, angst, verlies van expertise, te weinig werk) - Transport vloot te klein of te groot - Dominante bottleneck in logistieke activiteiten (e.g.opslag, cross-docking, order-picking) 5. Klantenvraag wordt niet nagekomen - Omruil en/of claims door verkeerde specificaties of productiefouten - Niet complete zendingen a.g.v. ineffectieve order-picking 6. Te lage product- en servicekwaliteit - Defecte onderdelen, te korte levensduur - Ineffectieve en/of klantonvriendelijke service 7. Ineffectieve informatie uitwisseling - Ineffectieve planning door miscommunicatie 8. Niet nakomen van financiële verplichtingen - Debiteurenmanagement (uiteindelijke royering van debiteuren met lang lopende schuld) - Financiële en logistieke gevolgen van faillissement 2.7 Definitie beveiligde logistieke keten DG TREN (2004) definieert vanuit overheidsperspectief transportbeveiliging als de combinatie van preventieve maatregelen en personen en middelen om de transportinfrastructuur, voertuigen, systemen (inclusief systemen voor dataoverdracht), passagiers, lading, werknemers tegen opzettelijke onwettige daden te beschermen.

13 PROTECT / 94 Omdat deze definitie vooral impliceert dat beveiliging zowel een maatschappelijke als bedrijfsmatige kant heeft, stelt PROTECT een eigen definitie voor. Interne en externe functie van beveiliging De functie van beveiliging voor logistieke ketens kan vanuit een tweetal perspectieven bekeken worden. Logistieke beveiliging heeft een externe, maatschappelijke functie waarbij beveiliging zorgdraagt dat sociale structuren (b.v. slachtoffers, maatschappelijke polarisatie, milieu) en economische structuren (b.v. economische schade) in takt blijven. Dit houdt in dat logistieke beveiliging misbruik, verboden handelingen en ongewenste gebeurtenissen in de logistieke keten tracht te voorkomen. Hiermee kan sociale en economische schade voorkomen of geminimaliseerd worden. Logistieke beveiliging heeft hiernaast een interne functie waarbij beveiliging de leveringsbetrouwbaarheid garandeert voor ketenpartijen. Een betrouwbare logistieke keten waarborgt dat de eindgebruiker het juiste product in de juiste hoeveelheid op het juiste moment in de juiste conditie tegen de juiste kosten krijgt geleverd (Coyle, Bardi, Langley, 1996). Definitie Dit betekent dat een beveiligde logistieke keten: - bescherming biedt aan sociale en economische structuren en - waarborgt dat ketenpartijen op tijd kunnen blijven leveren aan hun klant - door het inzetten van beveiligingsmaatregelen - voor het voorkomen van misbruik, verboden handelingen en ongewenste gebeurtenissen in de logistieke keten. Afbakening Binnen de definitie van beveiliging van een logistieke keten valt: - zowel criminaliteitsbestrijding als terrorismebestrijding; - directe dreiging (b.v. diefstal, smokkel van wapens) als indirecte dreiging (b.v. voertuig als wapen); - het keten- en netwerkperspectief (b.v. interactie, afhankelijkheid, concurrentie, samenwerking, vertrouwen, individuele verantwoordelijkheid); - beveiliging van goederenstromen (zowel interne als externe functie); - logistieke informatiestromen. Transparantie is nodig om de juiste beveiligingskeuzes te kunnen nemen. Men moet weten waar er risico s zijn en hoe groot deze zijn. Ook kan men gebeurtenissen controleren wanneer voldoende informatie tussen partijen wordt gedeeld. De transparantie van een keten verbetert wanneer de ketenpartijen meer logistieke informatie uitwisselen. Er zijn drie types informatie relevant (PROTECT D1.2): 1. Ladinginformatie 2. Procesinformatie (tracking en tracing) 3. Informatie over de integriteit over goederen en transportvoertuig. De definitie van een beveiligde logistieke keten richt zich echter niet op: - negatieve externe effecten voor het milieu; - bescherming tegen milieurampen

14 PROTECT / Beveiligingsrisico s in de logistieke keten Beveiliging van de logistieke keten heeft zowel een maatschappelijke als een bedrijfskundige kant. Vanuit het logistiek lagenmodel kan men de bestaande beveiligingsrisico s in alle drie lagen identificeren. Onderstaand figuur geeft voorbeelden van deze risico s. Beheersing Aanval op maatschappij Aanval op economie Ineffectief crisismgt. Beschading infrastructuur Transactie Onbetrouwbaarheid Cyber-criminaliteit Ongewenste benutting van goederen Onduidelijke communicatie Fraude Logistiek Smokkel Aanval met voertuig Diefstal van voertuig Aanval op voertuig Diefstal van lading Sabotage Figuur 4: Beveiligingsrisico s in het logistiek lagenmodel Risico s in goederenstromen van en naar Europa Beveiligingsrisico s kunnen vervolgens worden gerelateerd aan goederenstromen. Dit kan op basis van geografie en bestaande regelgeving en initiatieven. Goederenstromen die reeds beveiligd worden zijn vooral goederenstromen die via zeehavens lopen. Importstromen via Europese zeehavens worden onderworpen door verschillende beveiligingsmaatregelen (zoals ISPS-code en 724/2004, CSI, etc.). Exportstromen naar de Verenigde Staten worden tevens grondig gecontroleerd door de Amerikaanse douane (bijvoorbeeld in het kader van Advanced Manifest Rule en C-TPAT). Beveiliging van goederenstromen naar Europa richt zich ook op luchttransport. Europese luchthavens en luchthavens worden steeds zwaarder beveiligd. De landgrensen van Europa krijgen momenteel relatief minder beveiligingsaandacht. Dit betreft met name de grensen met Rusland, Wit-Rusland, Oekraïne, Roemenie, Joegoslavië, Bosnië en Kroatië. Europees beleid zal de komende jaren aan beveiliging hiervan gaan werken.

15 PROTECT / Verantwoordelijkheden in ketenbeveiliging Elke partij in de internationale goederenketen heeft zijn eigen rol. Daarmee heeft elk ook een eigen verantwoordelijkheid ten aanzien van logistieke beveiliging. Men kan ten minste de volgende verantwoordelijkheden identificeren per partij: - Producenten / verladers - Beveiliging van goederen en middelen op terrein - Beveiliging van logistieke informatieverwerking - Handel met betrouwbare partijen waar nodig - Beveiligd laden van ladingdrager en voertuig - Verificatie van alle bezoekers - Verificatie van afgifte en ophalen zendingen - Real-time tracking van gevoelige zendingen - Transportaanbieders - Beveiliging van goederen en voertuig tijdens o Wegtransport transport o Luchttransport - Beveiliging van logistieke informatieverwerking o Zeetransport - Real-time tracking van gevoelige zendingen o Binnenvaart - Tracing van verdachte zendingen achteraf o Spoortransport - Transportfacilitatoren - Beveiliging van logistieke informatieverwerking o Cargadoor o Expediteur - Overslag - Beveiliging van goederen en middelen op terrein o Stuwadoor - Beveiliging van logistieke informatieverwerking o Overslagterminal - Logistieke dienstverleners o 3PL (aansturing) o Warehouse o Crossdock centrum - Handelsorganisatie o Importeur o Exporteur - Overheidsinstanties a. Douane b. Infrastructuuraanbieder c. Overig (bv. Plantenziektekundige Dienst) - Andere leveranciers a. Investeerders b. Verzekeraars c. Olie-, gas- en elektriciteitsbedrijf d. Communicatieaanbieder e. Softwareleverancier f. ICT leverancier - Beveiliging van goederen en middelen op terrein - Beveiliging van goederen en voertuig tijdens transport - Beveiliging van logistieke informatieverwerking - Real-time tracking van gevoelige zendingen - Tracing van verdachte zendingen achteraf - Handel met betrouwbare partijen waar nodig a. Verificatie van betrouwbaarheid van goederen bij grensoversteek b. Validatie van robuustheid van infrastructuur a. Handel met betrouwbare partijen waar nodig b. Eerlijke inschatting bedrijfsrisico in keten c. Validatie van robuustheid van infrastructuur d. Validatie van robuustheid van infrastructuur e. Validatie van robuustheid van infrastructuur f. Validatie van robuustheid van infrastructuur - Klanten - Handel met betrouwbare partijen waar nodig

16 PROTECT / Logistieke betrouwbaarheid centraal in ketenbeveiliging Logistieke kwetsbaarheid in de keten ( supply chain vulnerability ) is vanuit bedrijfsperspectief een van de belangrijkste drijfveren om rekening te houden met terroristische aanslagen. Bedrijven wensen dat logistieke activiteiten volgens planning verlopen. Elke verstoring hierin kan leiden tot ontregeling in de continuïteit, inefficiëntie, kostenverhoging, inflexibiliteit enzovoorts. Daarom richten logistieke managers zich op het voorkomen van verstoringen en op de minimalisatie van de gevolgen als er een verstoring plaatsvindt. Logistieke betrouwbaarheid geldt hierbij als hoofddoel. Om (logistieke) stoornissen in de keten te voorkomen heeft men een supply chain security strategy nodig (Vrijenhoek, 2005). Deze richt zich primair op de gebeurtenissen ( events ) en de consequentie die een dergelijke gebeurtenis voor het bedrijf heeft. Events SUPPLY CHAI N SECURI TY STRATEGY Disruptions Figuur 5: Afwegingselementen in de beveiligingsstrategie (Vtijenhoek, 2005) Voor het bepalen van de kritische succesfactoren specificeren Sheffi (2005) en Rice & Caniato (2003) een lijst met maatregelen die bedrijven kunnen inzetten om een effectieve beveiligingsstrategie te bepalen (zie ook Tabel 1 in paragraaf 3.3): fysieke beveiligingsmaatregelen, personeelsbeveiliging, informatiebeveiliging, bescherming van goederen, zendingen en personeel, het toewijzen van een beveiligingsmanager, en het ontwikkelen van een beveiligingsplan. ISO en ISO geven hiervoor een structurele aanpak om dit geheel adequaat en inzichtelijk op te zetten. Hoofdstuk 7.4 gaat nader op een vergelijkbaar stappenplan in. De supply chain security strategie kan volgens Vrijenhoek (2005) geconcretiseerd worden op basis van drie categorieën: (1) identificeren van risicobronnen, (2) omgaan met kwetsbaarheid en (3) daadwerkelijke verstoringen. Zoals onderstaand Figuur 6 weergeeft, staat (logistieke) kwetsbaarheid hierbij centraal. De kwetsbaarheid is een gegeven op basis van het ontwerp van de ketenstructuur, maar wordt sterk beïnvloed door interne en externe risicobronnen. Ketenpartijen kunnen vervolgens beveiligingsmaatregelen inzetten om de verstoringen ( disruptions ) te voorkomen of te minimaliseren.

17 PROTECT / 94 Figuur 6: Conceptueel raamwerk voor ketenbeveiliging (Vrijenhoek, 2005) 2.11 Vermindering van logistieke kwetsbaarheid: Extended failure mode approach Het verkrijgen van deze logistieke betrouwbaarheid kan volgens Rice en Caniato (2003) het beste volgens het zogenaamde Failure Mode concept. Hierbij kijkt de logistieke manager niet zo zeer naar de verschillende typen bedreigingen vanuit beveiligingsperspectief. De focus van dit concept is op de logistieke prestaties en welke failure modes (faalfactoren) een gevaar kunnen zijn voor het behalen van deze prestaties. De kracht van het gebruik van failure modes is dat er een beperkt aantal factoren is waarin logistieke prestaties onder druk komen te staan, terwijl het aantal bedreigingen als oorzaak van deze factoren bijzonder groot is. Rice en Caniato (2003) onderscheiden de volgende failure modes in logistieke ketens: 1. Supply vertraging of niet beschikbaarheid van materialen bij de inkoop en belevering; 2. Transport vertraging of niet beschikbaarheid van transportcapaciteit, noodzakelijke infrastructuur of modaliteiten; 3. Facilities Vertraging of niet beschikbaarheid van fabrieken, warehouses, kantoorgebouwen en andere gebouwen; 4. Communication Vertraging of niet beschikbaarheid van informatie en communicatie infrastructuur; 5. Human Resources Vertraging, verlies of niet beschikbaarheid van werknemers. In PROTECT (D4.1) is het Failure mode concept uitgebreid tot de Extended failure mode approach om de relaties tussen security en logistiek nog verder te verduidelijken. Onderstaand Figuur 7 toont alle onderdelen van deze benadering. De redenering is als volgt.

18 PROTECT / 94 Elke logistieke keten bestaat uit verschillende activiteiten die uitgevoerd moeten worden. Deze activiteiten hebben betrekking op de fysieke goederenstroom, logistieke informatiestroom met middelen en met werknemers. Elke keten heeft faalfactoren ( failure modes ), aangezien het mogelijk is dat de goederen- en/of informatiestroom, middelen of werknemers kunnen uitvallen. De failure mode approach geldt voor de faalfactoren waarover een bedrijf geen controle heeft en die nauwelijks te voorspellen zijn. Onder de failure modes vallen dan ook terroristische acties, criminaliteit en andere gebeurtenissen zoals natuurgeweld. De gevolgen van dergelijke failure modes kan worden geklassificeerd naar mate van impact en kans. Op basis van deze inschatting moeten er acties ondernomen worden. Dit betreft zowel preventieve maatregelen om het falen te voorkomen en reactieve maatregelen om de impact te beperken. Ten slotte kan elke maatregel ook zelf de logistieke prestaties beïnvloeden. Extra controles kunnen bijvoorbeeld extra tijd voor de goederenstroom en voor de werknemers vergen. In de afweging om een maatregel in te zetten zal het management van een bedrijf dus niet alleen kijken naar impact en kans van een failure mode, maar ook naar de mogelijke gevolgen van die maatregel op de logistieke prestaties. Failure modes Supply Causes Terrorist Criminal Other Failure modes are caused by different types of events Each cause has its own risk profile Impact High Medium Low High Medium Probability Low Actions / measures are defined based on the risk profiles Actions / Measures Preventive Reactive Supply chain impact of measures Each action / measure has advantages and disadvantages Advantages Disadvantages Figuur 7: Extended Failure mode approach 2.12 Raamwerk voor logistieke beveiliging Het raamwerk voor logistieke beveiliging geeft een overzicht van de rationaliteit waarom er een behoefte is om beveiligingsmaatregelen in een logistiek perspectief te plaatsen. Zoals het figuur beneden illustreert, bestaat het raamwerk uit vijf lagen: (1) de ketensituatie, (2) preventie en reactie, (3) kwetsbaarheid, (4) betrouwbaarheid, en (5) doelen.

19 PROTECT / 94 De ketensituatie betreft de actuele status van de supply chain: de structuur van toeleveranciers, producenten, logistieke dienstverleners en andere ketenpartijen. De ketenpartijen zijn van elkaar afhankelijk omdat ze met elkaar handeldrijven en goederen en/of informatie met elkaar delen en/of diensten aan elkaar leveren. Deze afhankelijkheid betekent dat als één ketenpartij financieel schade leidt of logistieke problemen ondervindt, zijn toeleveranciers en klanten hiervan de (logistieke) gevolgen van kunnen ondervinden. Criminaliteit en terrorisme kunnen hierdoor als beveiligingsissues het functioneren van de keten verslechteren. Daarom zijn beveiligingsmaatregelen sterk verweven met logistieke activiteiten. Preventie en reactie betreft het managen van de ketenafhankelijkheden en de beveiligingsissues. Supply chain management is het management van de inkoop en distributie van goederen en diensten in de groep van ketenpartijen die waarde toevoegen in de productstroom van grondstof tot eindproduct voor de uiteindelijke gebruiker (Cavinato, 1992). Hiermee maakt SCM afhankelijkheden hanteerbaar en exploiteerbaar. Daarnaast zetten bedrijven beveiligingsmaatregelen in om criminele acties en andere gevaren te voorkomen. Aangezien dergelijke bedreigingen over de hele keten bestaan, integreren bedrijven beveiliging waar nodig in hun logistieke strategieën. Vanuit bedrijfskundig perspectief zullen bedrijven hun beveiliging vooral op de grootste bedreigingen (qua frequentie, risico en impact) richten, zoals in de vorige paragraaf aan bod kwam. Ketensituatie Ketenstructuren & afhankelijkheden Beveiligingsissues Gemanaged door Preventie and Reactie Supply chain management Te managen met Betrouwbaarheid Failure modes & Beveiligings- Ketenbenadering maatregelen Om te realiseren Doelen Beveiligingsmaatregelen overlatend Kwetsbaarheid Supply chain risico s Beveiligingsrisico s Logistieke betrouwbaarheid Maatschappelijke bescherming Figuur 8: Raamwerk voor logistieke beveiliging

20 PROTECT / 94 SCM en traditionele bedrijfsbeveiliging van locaties kan niet voorkomen dat goederenstromen kwetsbaar zijn. SCM verbetert de planning van logistieke activiteiten in de keten, maar het richt zich nog nauwelijks op de risico s die als failure mode van buitenaf van invloed kunnen zijn op de keten. Bedrijfsbeveiliging richt zich in het algemeen op beveiliging van locaties, zoals fabrieken, warehouses en distributiecentra. De overgebleven kwetsbaarheid ligt dan ook op ketenniveau. Goederenstromen en informatiestromen zijn nog kwetsbaar voor verstoringen van buitenaf. Vanwege de ketenafhankelijkheid benadelen ze de logistieke prestaties. Om de keten betrouwbaarder te maken draagt het raamwerk de idee dat het logistiek management meer vanuit beveiliging en failure modes zou moeten denken. Een multiple-sourcingsstrategie kan bijvoorbeeld vanuit rationalisatieperspectief minder efficiënt zijn, maar van uit logistieke beveiliging een hogere betrouwbaarheid kunnen garanderen in het netwerk. Omgekeerd zou beveiligingsmanagement meer vanuit een ketenbenadering moeten functioneren. Beveiliging gaat immers niet alleen gebouwen, maar ook van zendingen en documenten. De beschreven extended failure mode approach kan hier een doeltreffend instrument voor zijn. Ten slotte hebben bedrijven en overheden overlappende doelen. Vanuit veiligheidsmaar ook economisch perspectief zijn maatregelen van bedrijfsleven en overheid erop gericht om te zorgen voor maatschappelijke bescherming en logistieke betrouwbaarheid.

21 PROTECT / 94 3 Marktontwikkeling: beveiliging door samenwerkingsprogramma s 3.1 Behoefte aan overzicht over beveiligingsinitiatieven De sterke belangstelling van de overheden voor security is op gericht op bescherming van de samenleving. Dit heeft met name betrekking op bescherming van dichtbevolkte gebieden en plaatsen waar veel mensen samenkomen. Overheidsbescherming van goederenstromen richt zich in de persoon van douane en marechaussee in het kader van terrorisme voornamelijk op het voorkomen van wapensmokkel. De zakenwereld probeert met name in de pas te blijven lopen met de wetgeving. Zo voert men beveiligingsmaatregelen door om te voldoen aan strikte eisen. Deze maatregelen kosten geld, terwijl vaak niet duidelijk is wat de effecten hiervan zijn. Werkpakket 3 heeft daarom de kosten en baten van logistieke beveiliging onderzocht. Ook nemen overheid en bedrijfsleven zelf beveiligingsinitiatieven waar logistieke ketenpartijen vrijwillig aan kan deelnemen. Participatie hierin zou moeten leiden tot een kleinere kans op inspecties door douanes, verbetering van het kwaliteitsmanagementsysteem voor de bedrijfsbeveiliging en/of hogere logistieke efficiëntie dankzij toepassing van beveiligingsinformatietechnologie in goederenstromen. Dit hoofdstuk geeft een overzicht van de relevante initiatieven en ontwikkelingen op het gebied van logistieke beveiliging van goederenstromen, 3.2 Relevante initiatieven en ontwikkelingen De afgelopen jaren is een groot aantal nieuwe beveiligingsinitiatieven geïntroduceerd. Een aantal daarvan is ingevoerd, maar een ander deel zit nog in de pijplijn. Tabel 1 geeft een overzicht van de belangrijkste initiatieven waar Nederlandse bedrijven, actief in internationaal transport en logistiek, mee te maken hebben en krijgen. Niet alle initiatieven zullen voor uw bedrijf relevant zijn. In de tabellen die hierop volgen, zal aangegeven worden wat de reikwijdte van de verschillend initiatieven is. Sommige initiatieven bestonden al lang, maar hebben nu een security paragraaf (bijvoorbeeld ADR/ADNR). Tenslotte, deze lijst is niet uitputtend, maar bedoeld om de reikwijdte van de huidige initiatieven te schetsen. Tabel 1 maakt onderscheid tussen wetgeving en overheidscertificering, private certificering, nationale programma s en technische initiatieven. De afkortingen van de verschillende initiatieven zijn te vinden in Bijlage 2.

22 PROTECT / 94 Tabel 1: Belangrijkste beveiligingsinitiatieven Wetgeving en overheidscertificering Private certificering Actueel 1. ISPS Code 8. TAPA FSR 2. ADR/ ADNR 9. Eurowatch 3. Adv.Manifest Rule (VS)/24 hour Rule 10. ACN security certificaat 4. Air transport security In ontwikkeling 5. Authorized Economic Operator 11. TAPA TSR (security) 6. Adv. Manifest Rule (EU) 12. TAPA Airfreight 7. Security Management System (EU) 13. ISO Security Management System standard Nationale programma s Technische initiatieven Actueel 14. C-TPAT (VS) 19. Smart and secure tradelanes 15. BASC (Zuid Amerika) 20. VACIS /BAWS/Zoca/ PIP (Canada) 21. Operation Safe Commerce 17. Stairsec (Zweden) 22. Portkey 18. Frontline (Australië) 23. ACN pas Zie bijlage 1 en 2 voor afkortingen en internetreferentie Initiatieven vanuit wetgeving en/of gericht op overheidscertificering zijn initiatieven die wettelijk verplicht zijn of zullen worden. Daarbij zijn het vooral de initiatieven die nog in ontwikkeling zijn die voor belangrijke veranderingen zullen zorgen. Met name de Europese ketenverordening, die maatregelen 6 advanced manifest rule en 7 security management system omvat, zal gevolgen hebben voor Nederlandse transport en logistieke bedrijven. Met de term air transport security wordt een pakket aan maatregelen aangeduid dat grotendeels via de International Civil Aviation Organisation geïnitieerd is. De invoering van de authorized economic operator (security) zal ook belangrijke gevolgen hebben, onder andere, omdat de meeste voordelen vanuit de douane (in de sfeer van afhandeling) aan dit concept gekoppeld zullen worden. Hier zijn voorstellen voor gedaan in het recente security initiatief van de Wereld Douane Organisatie (WCO). Initiatieven gericht op private certificering zijn initiatieven die door bedrijven worden genomen om hun eigen goederenstroom te beveiligen. Deze initiatieven kenmerken zich door een kwaliteitsbenadering ten behoeve van de dienstverleners, die gecertificeerd kan worden door een onafhankelijke instantie of ge-audit door het bedrijf zelf. Deze maatregelen zijn in zoverre vrijwillig dat zij gevraagd kunnen worden tijdens contractonderhandelingen. Bedrijven die de gewenste maatregelen niet kunnen nemen lopen de kans van verdere dienstverlening uitgesloten te worden. In PROTECT is gebleken dat vrij veel logistieke bedrijven met name door klanten worden geconfronteerd met beveiligingseisen. De nationale programma s zijn unilaterale programma s die door één land of een groep landen zijn geïnitieerd om de inkomende of uitgaande goederenstroom te beveiligen. BASC, bijvoorbeeld, is een programma van een aantal Zuid-Amerikaanse landen dat beoogt de exportstroom uit die landen te beveiligen. Het Amerikaanse C-TPAT is waarschijnlijk het belangrijkste en bekendste voorbeeld. Dit programma beoogt de inkomende goederenstroom naar de Verenigde Staten te beveiligen. Als tegenprestatie

23 PROTECT / 94 belooft de Amerikaanse douane onder andere een meer soepele afhandeling van de goederen bij binnenkomst. Dit wordt ook wel het green lane concept genoemd. Veel aandacht gaat in diverse media uit naar de technische initiatieven. Dit zijn vaak proef-trajecten waarbij een bepaalde beveiligingstechnologie, zoals RFID-tags of elektronische sloten, wordt uitgeprobeerd. Regelmatig nemen verladers, ook in Europa, aan dit soort projecten deel. De Portkey is een persoonsidentificatie-initiatief in de Haven van Rotterdam. Tabel 2: Beveiligingsinitiatieven in de keten Verlader Weg-transporteur Distributie-centrum Stuwadoor Rederij Expediteur Binnenvaart/ spoor ISPS Code ADR/ADNR Adv. Manifest Rule (VS) Air transport security AEO Adv. Manifest Rule (EU) Security Management System (EU) TAPA FSR Eurowatch ACN security certificate TAPA TSR TAPA Airfreight ISO Security Management Syst C-TPAT BASC PIP Stairsec Frontline Smart & Secure Tradelanes VACIS /BAWS/ZOCA/... Operation Safe Commerce Portkey ACN pas De focus in deze tabel is vanuit het standpunt van Europese/Nederlandse bedrijven. Zie bijlage 1 en 2 voor afkortingen en internetreferentie Afhandelaar (luchtvracht) Luchttransport Een van de belangrijkste aspecten van de bovenstaande initiatieven is de vraag welke partij in de keten met welk initiatief te maken krijgt. Dit kan direct of indirect, via een ketenpartner, zijn. Hierin zijn grote verschillen per initiatief. Tabel 2 geeft de werking van de verschillende initiatieven voor diverse ketenpartners weer. Initiatieven kunnen ook worden ingedeeld op basis van hun geografische reikwijdte. De indeling die hieronder is weergegeven, geeft aan of een maatregel wereldwijd geldt, of regionaal.

24 PROTECT / 94 Tabel 3: Geografische reikwijdte van initiatieven Initiatief Geografische reikwijdte Wereldwijd Regionaal 1. ISPS-code IMO EU 725/ ADR/ADNR UN-ECE EU 3. Adv. Manifest Rule (VS) VS 4. Air transport security ICAO ATSA (VS) 2320/2002 (EU) 5. AEO 648/2005 EU 6. Adv. Manifest Rule (EU) EU Ketenverordening 7. Security Management System EU Ketenverordening (EU) 8. TAPA FSR TAPA 9. Eurowatch Pan-Europees (incl. Rusland) 10. ACN security certificate Nederland (Schiphol) 11. TAPA TSR TAPA 12. TAPA Airfreight TAPA 13. ISO Security Management ISO System standard 14. C-TPAT VS 15. BASC Zuid-Amerika 16. PIP Canada 17. Stairsec Zweden 18. Frontline Australië 19. Smart & Secure Tradelanes Privaat initiatief 20. VACIS /BAWS/Zoca Privaat initiatief 21. Operation Safe Commerce VS 22. Portkey Nederland (Haven van Rotterdam) 23. ACN pas Nederland (Schiphol) De cursief gedrukte initiatieven zijn nog in ontwikkeling. Zie bijlage 1 en 2 voor afkortingen en internetreferentie

25 PROTECT / 94 Ten slotte kunnen maatregelen worden ingedeeld naar functionele doelstelling: beveiliging tegen diefstal beveiliging tegen smokkelen terrorismepreventie Deze indeling is weergegeven in Tabel 4. Tabel 4: Doelstelling per initiatief Initiatief: Preventie doel: Diefstal van goederen Smokkel Terrorisme ISPS ADR/ADNR Adv. Manifest Rule (VS) Air transport security AEO Adv. Manifest rule (EU) Security Management System (EU) TAPA - FSR Eurowatch ACN security certificate TAPA TSR TAPA Airfreight ISO Security Management System standard C-TPAT BASC PIP Stairsec Frontline Smart & Secure Tradelanes VACIS /BAWS/Zoca/... Operation Safe Commerce Portkey ACN pas De afkortingen zijn achterin deze brochure terug te vinden. De cursief gedrukte initiatieven zijn nog in ontwikkeling. 3.3 Beveiligingsmaatregelen in de keten De vorige paragraaf behandelt een groot aantal initiatieven dat door bedrijven geadopteerd en ingevoerd kan worden. Deze initiatieven bestaan allemaal uit een verzameling maatregelen die voor een deel technisch van aard zijn, en voor een deel organisatorisch. Dit hoofdstuk geeft een overzicht van de meest voorkomende concrete maatregelen.

26 PROTECT / 94 In Amerikaans onderzoek (Rice & Caniato, 2003) werd recent het volgende overzicht gegeven van maatregelen: Tabel 5: Maatregelen-structuur Niveau 1: basis maatregelen Fysieke beveiliging Personele beveiliging Standaard risicoanalyse Basis informatiebeveiliging Opstellen continuïteitsplan Goederenstroombeveiliging Niveau 2: reactieve maatregelen Inrichten beveiligings-, risico-management of bedrijfscontinuïteitsorganisatie C-TPAT compliance Analyse van toeleveranciers Continuïteitsplan toeleveranciers Beperkte beveiligingstraining Niveau 3: preventieve maatregelen Beveiligingsportefeuille in management team Nieuwe vaardigheden ontwikkelen Gestructureerde risicoanalyse Geavanceerde informatiebeveiliging Strategische focus op bedrijfszekerheid Samenwerken in beveiliging Niveau 4: geavanceerde initiatieven Ketensamenwerking Leren van incidenten Formele beveiligingsstrategie (kpi s) Ketenbeveiligingsoefeningen, simulaties, tests Meldkamer voor incidenten Kosten/baten afwegingen Bron: Rice & Caniato (2003) Belangrijke voorbeelden van maatregelen op niveau 1 zijn: cameratoezicht, hekwerken plaatsen, persoonscontrole aan de poort, clean-desk beleid, gestandaardiseerde laad- en losprocedures, extra sloten op deuren, autorisaties voor bepaalde handelingen (afsluiten van containers), wachtwoorden op de computer, enzovoort. Uit internationaal vergelijkend onderzoek naar de inhoud van een aantal van de in het vorige hoofdstuk genoemde initiatieven, blijkt dat veel van die initiatieven inhoud geven aan maatregelen in niveau 1, en soms niveau 2 en 3. Er is heel weinig aandacht voor de geavanceerde initiatieven, terwijl daar nu juist de meeste mogelijkheden liggen voor het creëren van (efficiency) winst uit beveiligingsmaatregelen. Onderzoek in het kader van PROTECT bevestigt dat veel bedrijven al bezig zijn met sommige van de hierboven genoemde maatregelen, en dat dat met name maatregelen uit niveau 1 en 2 zijn. Er zijn echter ook voorbeelden van partijen die met het oog op security de relatie met hun ketenpartners anders inrichten. Dit doen zij door bijvoorbeeld het aantal toegestane subcontrators te beperken, specifieke operationele zaken (technologie, routes, partners) voor te schrijven, en het recht op beveiligingsaudits te claimen. Voor wat betreft de voordelen die gerealiseerd zouden kunnen worden met ketenbeveiliging wijst de PROTECT enquête (zie paragraaf 5.2)onder verladers en logistieke dienstverleners uit dat bedrijven die maatregelen aan het invoeren zijn daar wel voordelen mee associëren. Die voordelen zijn nog niet heel precies te kwantificeren, maar omvatten: beter imago, betere relaties in de keten en met de overheid, zekere doorlooptijden, en minder diefstal van lading. Of de kosten van die