Basis op orde in de zorg: navigeren door NIS2...
- 02-09-2024

Op 14 december 2022 heeft het Europees Parlement akkoord gegeven op de NIS2-richtlijn. In deze richtlijn is de foodsector als vitaal aangemerkt. De Europese Raad is van mening dat een cyberincident bij een aanbieder in de foodsector kan leiden tot een maatschappelijke en/of economische verstoring. Het is van cruciaal belang voor bedrijven die actief zijn in de foodsector om aantoonbaar te werken aan informatiebeveiliging, omdat ze in deze richtlijn als vitaal zijn bestempeld. Het naleven van strikte beveiligingsprotocollen is daarom niet alleen een verplichting, maar ook een noodzaak om de betrouwbaarheid en veiligheid van hun activiteiten te waarborgen. Nu is Nederland bezig om deze richtlijn te vertalen naar lokale wetgeving. Deze nieuwe wetgeving zal in oktober 2024 ingevoerd zijn. Voor deze richtlijn waren er nog geen wettelijke eisen of compliance verwachtingen rondom informatiebeveiliging voor de foodsector. Er was een voorganger van de NIS2, hierin was de foodsector niet opgenomen.
De NIS-richtlijn staat voor network- and informationsecurityrichtlijn. In het Nederlands NIB – Netwerk- en informatiebeveiliging. De introductie van de NIS-richtlijn vond plaats op 6 juli 2016. Deze richtlijn merkte bepaalde sectoren en aanbieders aan als vitaal. Deze huidige NIS-richtlijn heeft Nederland op 9 november 2018 geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (de Wbni). Wanneer bedrijven zijn aangemerkt als vitale aanbieder of dienstverlener, dienen zij aan deze wet te voldoen.
Door toenemende cyberdreigingen neemt de druk om extra maatregelen te treffen op het gebied van informatiebeveiliging toe. Deze toename komt onder andere door de digitalisering van de maatschappij en de professionalisering van de cybercriminaliteit. Volgens de Europese Raad en het Europees Parlement is de huidige NIS-richtlijn onvoldoende in staat om deze toenemende dreiging goed tegen te gaan. Dit komt doordat er tussen de lidstaten verschillen zitten qua regelgeving en er dus beperkingen zijn voor lidstaat overstijgende samenwerking.
Het implementeren van de nieuwe richtlijn met bijbehorende wettelijke vertaling brengt de nodige werkzaamheden met zich mee. Om deze reden is het noodzakelijk om op tijd te beginnen met het treffen van voorbereidingen om het proces soepel te laten verlopen. Bepaal jouw doelen als Managementteam en werk eventueel toe naar compliance of certificering aan een norm zoals de ISO27001. Voorbeelden van doelstellingen zijn: het beschermen van de informatiestromen binnen alle kritieke bedrijfsprocessen, het minimaliseren van informatiebeveiliginsrisicos, het adequaat reageren op incidenten, het bereiken van informatiebeveiligingsbewustzijn bij medewerkers, management, etc.
Daarnaast is het onderzoeken van het verschil tussen de gepubliceerde minimale maatregelen en bijbehorende overweging vanuit de richtlijn in relatie tot jouw organisatie een verstandige stap. Op basis van de GAP-analyse kun je de risico’s inventariseren op jouw netwerk- en informatiesystemen. De inventarisatie kun je gebruiken om prioriteiten te bepalen en maatregelen treffen, zoals het organiseren van de continuïteit en het invoeren van multifactorauthenticatie (MFA). Dit kan via jaarplannen en de opbouw van een Information Security Management System (ISMS). Mogelijk heb je al een basis gelegd met compliance aan de ISO22000, ISO9001 of ISO14001 en is er al een een bestaand Management Systeem.
Proximus NXT staat klaar om je te helpen met het uitvoeren van deze risico-inventarisatie met een assessment. We helpen jouw organisatie zo goed mogelijk en tijdig voorbereid te zijn op de komst van de nieuwe wetgeving!
Bronnen:
https://www.rijksoverheid.nl/onderwerpen/voeding/voedselveiligheid-in-nederland
https://www.bsigroup.com/nl-NL/sectoren/foodsector/normen-foodsector/
https://voedingnu.nl/artikelen/nen-normen-voor-voedingsmiddelen