Nieuwe cybersecurity NIS2-richtlijn, nu ook voor de foodsector

In Europa is sinds 14 december 2022 een nieuwe cyberrichtlijn van kracht. De NIS2-richtlijn (Network and Information Systems Security Directive) is bedoeld om de uitvoering van het bestaande cybersecurity kader uit te breiden, te versterken en te harmoniseren.

De NIS2-richtlijn wordt op dit moment omgezet in Nederlandse wetgeving. Na vaststelling van Nederlandse wetgeving wordt deze zelfevaluatie daarop aangepast. Een richtlijn, zoals hier de NIS2-richtlijn, bevat een resultaatverplichting en is verbindend voor de lidstaten. Zij dienen hun nationale wetgeving aan te passen om het doel van de richtlijn te realiseren.

Voor welke bedrijven geldt de NISZ-richtlijn?

Organisaties en bedrijven in 18 sectoren (waaronder de foodsector) met een omzet van >10 miljoen of meer dan 50 medewerkers zijn aangewezen door de overheid. Zij zijn verplicht om zichzelf zeer goed te beveiligen en cyberincidenten te voorkomen. Op de website van de overheid kan je checken of je onder de NISZ valt.

Maar let op, de ketenzorgplicht houdt ook in dat je als essentieel of belangrijk bedrijf verantwoordelijk en verplicht bent om ervoor te zorgen dat je ketenleveranciers (bedrijven die aan jou leveren) ook passende cybersecurity maatregelen implementeren. Directe toeleveranciers (mkb-bedrijven) van NIS2 bedrijven moeten dus ook meewerken aan beveiliging van de toeleveringsketen door samenwerking met hun grote klanten.

Welke verplichtingen worden voorgeschreven?

– Zorgplicht – De richtlijn bevat een zorgplicht die bedrijven verplicht om zelf een risicobeoordeling uit te voeren. Op basis daarvan kunnen zij passende maatregelen nemen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Zie onder andere Art 20, Art 21.

– Meldplicht – De richtlijn schrijft voor dat bedrijven incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand levert. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

– Toezicht – Organisaties die onder de richtlijn vallen komen automatisch onder toezicht te staan. Hierbij wordt er gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Essentiële entiteiten (Art 3, Art 32) vallen onder een intensiever regime van toezicht; zowel vooraf (ex-ante) als achteraf wordt er toezicht gehouden op de naleving van de verplichtingen. Voor belangrijke bedrijven (Art 3, Art 33) geldt een lichtere vorm van toezicht dat alleen achteraf (ex-post) plaatsvindt. Bijvoorbeeld als er aanwijzingen zijn voor het niet naleven van de wet of als een incident heeft plaatsgevonden.

Bron: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/