NIS2 voor de food sector

Blog

NIS2 voor de foodsector

Verandering voor de foodsector op het gebied van informatiebeveiliging

Op 14 december 2022 heeft het Europees Parlement akkoord gegeven op de NIS2-richtlijn. In deze richtlijn is de foodsector als vitaal aangemerkt. De Europese Raad is van mening dat een cyberincident bij een aanbieder in de foodsector kan leiden tot een maatschappelijke en/of economische verstoring. Het is van cruciaal belang voor bedrijven die actief zijn in de foodsector om aantoonbaar te werken aan informatiebeveiliging, omdat ze in deze richtlijn als vitaal zijn bestempeld. Het naleven van strikte beveiligingsprotocollen is daarom niet alleen een verplichting, maar ook een noodzaak om de betrouwbaarheid en veiligheid van hun activiteiten te waarborgen. Nu is Nederland bezig om deze richtlijn te vertalen naar lokale wetgeving. Deze nieuwe wetgeving zal in oktober 2024 ingevoerd zijn. Voor deze richtlijn waren er nog geen wettelijke eisen of compliance verwachtingen rondom informatiebeveiliging voor de foodsector. Er was een voorganger van de NIS2, hierin was de foodsector niet opgenomen.

Wat was de voorganger van de NIS2 en waarom een nieuwe versie van de NIS?

De NIS-richtlijn staat voor network- and informationsecurityrichtlijn. In het Nederlands NIB – Netwerk- en informatiebeveiliging. De introductie van de NIS-richtlijn vond plaats op 6 juli 2016. Deze richtlijn merkte bepaalde sectoren en aanbieders aan als vitaal. Deze huidige NIS-richtlijn heeft Nederland op 9 november 2018 geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (de Wbni). Wanneer bedrijven zijn aangemerkt als vitale aanbieder of dienstverlener, dienen zij aan deze wet te voldoen.

Door toenemende cyberdreigingen neemt de druk om extra maatregelen te treffen op het gebied van informatiebeveiliging toe. Deze toename komt onder andere door de digitalisering van de maatschappij en de professionalisering van de cybercriminaliteit. Volgens de Europese Raad en het Europees Parlement is de huidige NIS-richtlijn onvoldoende in staat om deze toenemende dreiging goed tegen te gaan. Dit komt doordat er tussen de lidstaten verschillen zitten qua regelgeving en er dus beperkingen zijn voor lidstaat overstijgende samenwerking.

Wat is de impact voor de foodsector?

Met de komst van de NIS2-richtlijn zullen bedrijven in de foodsector als vitaal worden aangemerkt en moeten voldoen aan nieuwe wetgeving. Minimaal zullen middelgrote en grote organisaties als vitaal worden aangemerkt samen met bedrijven met een sleutelrol in de sector. Nederland zal nog definitief gaan bepalen welke bedrijven een sleutelrol vervullen en dus als kritiek aangemerkt worden.

De komende periode dient de foodsector klaar te zijn om te voldoen aan de additionele capaciteitsvraag die nodig is om aan deze nieuwe wetgeving te implementeren. CEO’s worden verantwoordelijk gesteld en er kunnen boetes worden uitgedeeld bij nalatigheid of het niet acteren op waarschuwingen. Deze boetes zullen naar alle waarschijnlijkheid vergelijkbaar zijn met de boetes die uitgedeeld worden bij het overtreden van de AVG (Algemene verordening gegevensbescherming), omdat de uitgangspunten van de richtlijnen hetzelfde zijn. De exacte hoogte van de boetes gaat de Nederlandse staat nog bepalen. Met de komst van de NIS2-richtlijn zullen er ook meer bevoegdheden komen voor de nationale controlerende instanties zoals het NCSC of het DTC. Naast bevoegdheden is het doel ook om deze instanties kennisdeling in de sector te laten bevorderen.

Wat kun je als foodsector organisatie nu al doen?

Het implementeren van de nieuwe richtlijn met bijbehorende wettelijke vertaling brengt de nodige werkzaamheden met zich mee. Om deze reden is het noodzakelijk om op tijd te beginnen met het treffen van voorbereidingen om het proces soepel te laten verlopen. Bepaal jouw doelen als Managementteam en werk eventueel toe naar compliance of certificering aan een norm zoals de ISO27001. Voorbeelden van doelstellingen zijn: het beschermen van de informatiestromen binnen alle kritieke bedrijfsprocessen, het minimaliseren van informatiebeveiliginsrisicos, het adequaat reageren op incidenten, het bereiken van informatiebeveiligingsbewustzijn bij medewerkers, management, etc.

Daarnaast is het onderzoeken van het verschil tussen de gepubliceerde minimale maatregelen en bijbehorende overweging vanuit de richtlijn in relatie tot jouw organisatie een verstandige stap. Op basis van de GAP-analyse kun je de risico’s inventariseren op jouw netwerk- en informatiesystemen. De inventarisatie kun je gebruiken om prioriteiten te bepalen en maatregelen treffen, zoals het organiseren van de continuïteit en het invoeren van multifactorauthenticatie (MFA). Dit kan via jaarplannen en de opbouw van een Information Security Management System (ISMS). Mogelijk heb je al een basis gelegd met compliance aan de ISO22000, ISO9001 of ISO14001 en is er al een een bestaand Management Systeem.

Telindus staat klaar om je te helpen met het uitvoeren van deze risico-inventarisatie met een assessment. We helpen jouw organisatie zo goed mogelijk en tijdig voorbereid te zijn op de komst van de nieuwe wetgeving!

Bronnen:
https://www.rijksoverheid.nl/onderwerpen/voeding/voedselveiligheid-in-nederland
https://www.bsigroup.com/nl-NL/sectoren/foodsector/normen-foodsector/
https://voedingnu.nl/artikelen/nen-normen-voor-voedingsmiddelen

Blijf up to date! Meld je aan voor onze nieuwsbrief.
Blijf up to date! Meld je aan voor onze nieuwsbrief.