Westlandse bedrijven opgelet: NIS2-compliance raakt de kern van de voedsel- en transportsector
Door: Patrick Jordens
Op 17 oktober 2024 trad de NIS2-richtlijn in werking. Deze richtlijn verplicht Europese bedrijven in kritieke en essentiële sectoren om de weerbaarheid tegen cyberdreigingen te verhogen en de nodige cybersecurity maatregelen te treffen. Nederland moet deze richtlijn nog volledig omzetten in de nationale Cyberwet, die naar verwachting pas in het derde kwartaal van 2025 volledig van kracht wordt. Wat betekent deze overgangsperiode voor organisaties, en hoe kunnen zij zich optimaal voorbereiden om NIS2-compliant te worden? Het antwoord ligt in het ‘in control’ raken van hun cybersecurity. Dit heeft ook impact op een belangrijk deel van het Westlandse bedrijfsleven.
Wat betekent ‘in control’ zijn van cybersecurity?
In control zijn van cybersecurity betekent dat bedrijven grip moeten hebben op de beveiligingsrisico’s, zodat ze tijdig en effectief kunnen reageren op dreigingen en kwetsbaarheden. In de praktijk houdt dit in dat organisaties continu bezig zijn met een risico-inventarisatie en -evaluatie (RI&E) en een stevig risicomanagementproces. Dit gaat verder dan het hebben van enkele technische oplossingen; het vraagt om een strategische, integrale aanpak. Bedrijven moeten weten waar hun kwetsbaarheden liggen en hoe ze deze effectief kunnen mitigeren. Daarbij worden security officers en chief information security officers (CISO’s) onmisbaar om toezicht te houden op de implementatie van de juiste maatregelen.
CISO vs. ISO
Een belangrijk verschil tussen een CISO (Chief Information Security Officer) en een ISO (information security officer) is hun rol en focus binnen de organisatie. Een CISO is meestal een strategische functie, gericht op het ontwikkelen en implementeren van het cybersecuritybeleid op hoog niveau. De CISO werkt aan de lange termijn visie en zorgt dat de organisatiebrede cybersecuritystrategie aansluit bij de bedrijfsdoelen. De security officer, daarentegen, is meer operationeel gericht. Deze rol draait om de uitvoering en handhaving van de dagelijkse beveiligingsmaatregelen, zoals het monitoren van systemen, het uitvoeren van risicoanalyses en het aanpakken van incidenten. Voor het werk dat moet worden gedaan om NIS2-compliant te worden, zijn vooral doeners nodig—mensen die zich praktisch bezighouden met implementatie en directe actie ondernemen. Security officers vervullen deze cruciale hands-on rol en vormen daarmee de kern van de operationele weerbaarheid die NIS2 vraagt, terwijl een CISO meer een overkoepelende ondersteunende rol speelt.
Belangrijke stappen voor NIS2-compliance
- Uitvoeren van een Risico-inventarisatie en -Evaluatie (RI&E)
Het uitvoeren van een gedetailleerde RI&E is een fundamentele stap richting NIS2-compliance. Hiermee krijgen bedrijven inzicht in potentiële cyberrisico’s en kunnen ze vaststellen welke cybersecurity maatregelen prioriteit moeten krijgen. Dit helpt bij het bepalen van kwetsbare plekken en zorgt ervoor dat de juiste maatregelen worden ingezet waar ze het meest nodig zijn.
- Effectief Risico Management
Risicomanagement houdt in dat bedrijven een systematische aanpak hebben om risico’s te identificeren, evalueren en te beheersen. Dit proces omvat niet alleen technische aspecten maar richt zich ook op processen en procedures binnen de organisatie. Het doel is om een continu overzicht te hebben van waar de grootste risico’s liggen en deze aan te pakken, zodat de organisatie veerkrachtig blijft en sneller kan reageren op nieuwe bedreigingen.
- Optimaliseren van Incident Response
NIS2 stelt strenge eisen aan het beheer en de meldingsplicht van incidenten, vaak binnen 24 uur na ontdekking. Een goed doordacht incident response plan stelt bedrijven in staat om snel en adequaat te handelen bij cyberincidenten. Dit omvat duidelijk gedefinieerde procedures, toewijzing van verantwoordelijkheden en het vermogen om de impact van incidenten zo snel mogelijk te beperken.
- Investeren in Cyber Resilience
Cyber resilience, oftewel cyberweerbaarheid, houdt in dat bedrijven niet alleen voorbereid zijn op cyberaanvallen, maar ook snel kunnen herstellen na een incident. Dit vraagt om robuuste beveiligingssystemen, regelmatige updates van software en een strategie om het bedrijf na een incident zo snel mogelijk weer operationeel te krijgen. Trainingen voor medewerkers en awareness-programma’s vormen hier een belangrijk onderdeel van, zodat iedereen in de organisatie alert blijft en meehelpt aan een veilige digitale omgeving.
- Continu Monitoring en Audits
Voor een blijvende NIS2-compliance is het cruciaal om de effectiviteit van de genomen maatregelen regelmatig te evalueren. Dit kan door middel van audits en monitoring, die inzicht geven in de werking van beveiligingsmaatregelen en het succes van het risicomanagement. Security officers en CISO’s spelen hier een centrale rol in, door te waarborgen dat het beveiligingsbeleid up-to-date blijft en in lijn is met de eisen van de Cyberwet.
Westlandse bedrijven moeten ook aan NIS2 gaan voldoen
Westlandse bedrijven, waaronder die in de levensmiddelensector en transportsector, zullen waarschijnlijk ook moeten voldoen aan NIS2-compliance. De richtlijn stelt specifieke eisen voor sectoren die als essentieel worden beschouwd voor de economie en samenleving. Voor Westland betekent dit dat niet alleen producenten en distributeurs in de levensmiddelen- en transportsector, maar ook organisaties in de energievoorziening, waterbeheer en chemische industrie mogelijk onder de NIS2-richtlijn vallen. Binnen de levensmiddelensector vallen diverse typen organisaties, waaronder tuinbouwbedrijven (producenten van groenten, fruit en bloemen), verpakkingsbedrijven, distributiecentra voor opslag en transport, logistieke dienstverleners (inclusief gekoeld transport), en agro-technologische bedrijven die technologieën voor productie en verwerking leveren. Deze organisaties spelen een cruciale rol in de voedselketen, en een verstoring zou ernstige gevolgen kunnen hebben voor de bevoorrading, volksgezondheid en het milieu. De criteria om NIS2-plichtig te worden zijn onder meer afhankelijk van het aantal werknemers, de jaaromzet en het belang van de sector voor de keten waarin zij opereren. Organisaties die niet direct onder NIS2 vallen, maar onderdeel uitmaken van deze ketens, doen er goed aan zich voor te bereiden op toenemende eisen vanuit hun klanten en leveranciers, die zelf al aan NIS2-compliance moeten voldoen.
Strikte bestuurdersaansprakelijkheid onder NIS2: Cybersecurity is geen vrijblijvende keuze meer
Onder NIS2 wordt bestuurdersaansprakelijkheid geïntroduceerd, wat betekent dat bestuurders persoonlijk verantwoordelijk kunnen worden gehouden voor het niet naleven van de vereiste cybersecuritymaatregelen. Wanneer een organisatie haar NIS2-verplichtingen verwaarloost—zoals het niet implementeren van risicomanagement, incident response of het waarborgen van cyber resilience—kunnen bestuurders worden aangesproken voor de gevolgen hiervan. Dit gaat verder dan een waarschuwing; bestuurders lopen het risico op hoge boetes, reputatieschade en zelfs juridische vervolging. In ernstige gevallen kan nalatigheid ertoe leiden dat een bestuurder wordt uitgesloten van toekomstige bestuurs- of toezichtposities.
Voor de organisatie zelf zijn de gevolgen eveneens aanzienlijk: nalatigheid kan leiden tot extra toezicht, verscherpte audits en de verplichting tot het nemen van specifieke herstelmaatregelen. Deze strenge maatregelen onderstrepen het belang voor bestuurders om cybersecurity niet langer als vrijblijvend te zien, maar als een essentiële verantwoordelijkheid die actief toezicht en investeringen vereist. NIS2 legt daarmee een stevige plicht op het bestuur om een veilige digitale omgeving te waarborgen, waarmee de vrijblijvendheid rondom cybersecurity voorgoed verdwijnt.
Klaar voor een weerbare toekomst
Met de Cyberwet op komst en de NIS2-richtlijn al in werking ligt de bal bij de organisaties. NIS2 benadrukt dat cybersecurity geen kwestie is van enkel technische oplossingen, maar een organisatiebrede verantwoordelijkheid. Bedrijven die nu al in control raken, investeren in hun cyber resilience en werken aan hun compliance, lopen straks voorop. Hiermee beschermen zij niet alleen zichzelf, maar ook hun klanten in een digitale wereld waarin cyberdreigingen steeds geavanceerder worden.
Door deze stappen serieus te nemen, staan organisaties sterker in een toekomst waarin weerbaarheid en vertrouwen essentieel zijn.