In 2022 is er vanuit Europa een nieuwe richtlijn op het gebied van digitale veiligheid aangekondigd: de NIS2. Deze richtlijn kent wettelijke verplichtingen. Voor een flink aantal bedrijven betekent dit dat zij verplicht maatregelen moeten nemen op het vlak van cybersecurity.
Wat is de NIS2-richtlijn?
De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. Deze is vastgesteld door de Europese Unie en bedoeld om de digitale en economische weerbaarheid van EU-lidstaten te verbeteren. De richtlijn stelt strengere beveiligingsnormen en meldingsvereisten voor incidenten. De richtlijn wordt momenteel in nationale wetgeving omgezet. Het voornemen van de overheid is om informatiebeveiligingseisen die bij verschillende Rijkswetten- en regels horen te harmoniseren. Dit moet voorkomen dat toezicht tot grote administratieve lasten leidt.
In het kort:
- Zorgplicht en meldplicht voor essentiële en belangrijke bedrijven, waaronder die in de voedingsmiddelensector.
- Focus op de volledige toeleveringsketen.
- Organisaties die onder de richtlijn vallen, komen ook onder toezicht te staan.
- Inwerkingtreding 17 oktober 2024.
Verplichtingen voor ‘essentiële’ en ‘belangrijke’ bedrijven
Een belangrijk verschil met de eerste NIS-richtlijn is dat
bedrijven uit de levensmiddelensector nu
automatisch onder de NIS2-richtlijn vallen en volgens enkele criteria
gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’
entiteit:
- Essentiële bedrijven – Grote organisaties, op basis van de volgende criteria:
- minimaal 250 werknemers of;
- een jaaromzet van € 50 miljoen of meer en een balanstotaal van € 43 miljoen of meer.
- Belangrijke bedrijven – Middelgrote organisaties, op basis van de volgende criteria:
- 50 of meer werknemers of;
- een jaaromzet en balanstotaal van €10 miljoen of meer.
Welke verplichtingen schrijft de NIS2-richtlijn voor?
- Zorgplicht – Bedrijven moeten zelf een risicobeoordeling uitvoeren en op basis daarvan passende maatregelen nemen om continuïteit van diensten te waarborgen en gebruikte informatie te beschermen.
- Registratieplicht – Bedrijven die vallen onder de NIS2-richtlijn zijn verplicht zich te registreren.
- Meldplicht – Bedrijven moeten incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren binnen 24 uur melden bij de toezichthouder.
- Toezicht – Bedrijven die onder de richtlijn vallen komen ook onder toezicht te staan. Hierbij wordt er gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
FNLI ondersteunt leden bij
digitale veiligheid via het platform Samen Digitaal Veilig
In 2023 heeft FNLI namens de voedingsmiddelenindustrie een
samenwerkingsovereenkomst ondertekend met MKB-Nederland en het instituut voor
Verenigingen, Branches en Beroepen (IVBB) om mkb-ondernemers in de
voedingsmiddelensector te helpen bij veilig digitaal ondernemen.
Dat gebeurt via het online platform Samen Digitaal Veilig. Dit platform helpt ondernemers middels materialen, trainingen, webinars en demo’s op een eenvoudige wijze bij het vergroten van de cyberweerbaarheid. FNLI-leden kunnen een gratis account aanmaken voor de basisversie van het programma om bijvoorbeeld de trainingen te doen. Het platform biedt ook ondersteuning aan bedrijven bij het behalen van het NIS2 Keurmerk.
NIS2 Keurmerk
Het NIS2-keurmerk is een kwaliteitskeurmerk voor cybersecurity.
Het is onderdeel van Samen Digitaal Veilig (licentiehouder) en vormt een
belangrijke schakel tussen bedrijven die samen streven naar betere
cyberveiligheid. Voor bedrijven die moeten voldoen aan de NIS2-wetgeving helpt
dit keurmerk om de eisen van de wet haalbaarder te maken voor leveranciers.
Leveranciers kunnen op hun beurt aan klanten laten zien dat ze veilige
werkmethodes hanteren en voldoen aan de gestelde voorwaarden.
Meer informatie over Samen Digitaal Veilig of direct een account aanmaken.
Willem-Jan Laan
wjlaan@fnli.nl