België keurde onlangs de NIS2-wet goed met als doel onze cyberveiligheid te versterken. De voedingssector wordt daarin gezien als een ‘kritieke’ sector en moet heel wat ondernemen rond cyberveiligheid. Bedrijfsleiders zullen niet alleen een cyberveiligheidsopleiding moeten volgen, maar zullen ook verantwoordelijk zijn voor de implementatie van de cyberstrategie. Reden te meer om je goed te informeren en aan de slag te gaan!
Op 19 april heeft het federaal parlement het Belgische NIS2-wetsontwerp als omzetting van de Europese NIS2-richtlijn goedgekeurd. De wet stelt een kader vast voor de cyberveiligheid van bedrijven in een groot aantal sectoren. Deze moeten nu ook verplicht incidenten melden. Het doel van de NIS2-wet? Bedrijven weerbaarder maken voor cyberaanvallen die al hun activiteiten zouden kunnen lamleggen. Met een geplande inwerkingtreding van de Belgische wet op 18 oktober 2024 is het hoog tijd om in actie te schieten!
Steeds meer bedrijven zetten in op digitalisatie, automatisatie en treden de Industrie 4.0 binnen. Maar deze medaille heeft een keerzijde. Zonder optimale cyberbeveiliging zet digitalisering de deur open voor hackers. In ons land werden al liefst 30.000 cyberaanvallen geregistreerd, ook bij kmo’s. Een aantal dat elk jaar met 20% toeneemt. Onlangs kwamen enkele voedingsbedrijven in het nieuws die het slachtoffer waren van cyberaanvallen. Dit toont aan dat voedingsbedrijven niet gespaard blijven! De financiële en reputatieschade van zo’n aanval kan flink oplopen.
De explosieve toename van het aantal cyberaanvallen en de impact van zulke incidenten op de samenleving tonen de noodzaak om de nodige aandacht te besteden aan cyberveiligheid, en om bedrijven te verplichten om veiligheidsmaatregelen te nemen en incidenten te melden.
Welke bedrijven moeten voldoen aan de verplichtingen?
De Belgische wet tot omzetting van de NIS2-richtlijn zal van toepassing zijn op in België gevestigde entiteiten en zal betrekking hebben op bedrijven die actief zijn in één van de 18 kritieke sectoren. De voedingsindustrie is daar één van.
Een entiteit die in de voedingssector actief is en (in haar laatste twee boekjaren) meer dan 50 werknemers of een jaaromzet van meer dan 10 miljoen euro had (d.w.z. grote of middelgrote ondernemingen), zal aan de voorschriften van de richtlijn moeten voldoen.
Welke maatregelen zullen de entiteiten moeten nemen?
Alle entiteiten zullen risicoanalyses moeten maken van het potentieel en de gevolgen van incidenten en vervolgens organisatorische en technische maatregelen moeten treffen die in verhouding staan tot dit risico.
De betrokken bedrijven zullen verschillende maatregelen moeten implementeren om de risico’s van cyberincidenten correct te analyseren en goed te beheren als ze zich voordoen. En dus ook maatregelen nemen om de cascade-effecten van dergelijke incidenten op de ontvangers van hun diensten en op andere diensten te elimineren of te verminderen. In de NIS2-richtlijn wordt bepaald dat entiteiten moeten beschikken over plannen voor incidentenbeheer, activiteitencontinuïteitsplannen en crisisbeheersplannen, beleidsmaatregelen en procedures om de doeltreffendheid van deze maatregelen te beoordelen, alsook beleidsmaatregelen inzake het gebruik van cryptografie, de beveiliging van personeel, het gebruik van passende authenticatiesystemen en het beheer van de bevoorradingsketen.
Een ander cruciaal element is dat de directie van de entiteiten al deze maatregelen uitdrukkelijk zal moeten goedkeuren en een basisopleiding cyberbeveiliging zal moeten volgen. Er moet een intern opleidingsprogramma voor cyberbeveiliging worden opgezet, te beginnen met opleiding voor de bestuurders.
Cyberveiligheid wordt met andere woorden ook een verkoopargument. Heb jij je zaak goed geregeld of kan je toch wel wat advies gebruiken? Bedrijven zullen een duidelijk zicht moeten hebben op de cybersecurity-risico’s waaraan ze blootgesteld worden via leveranciers.
Kan je wel wat extra ondersteuning gebruiken? Kom dan naar onze Masterclass 'Cybersecurity in de voeding' op 4 juni:
Neem deel aan onze masterclass cybersecurity waarin alle cruciale aspecten van cybersecurity, de potentiële risico's en praktische oplossingen aan bod zullen komen. De masterclass biedt jou de kennis en tools om proactief te handelen en je bedrijf te beschermen tegen digitale dreigingen. We geven ook inzicht waar je ondersteuning kunt krijgen, ook financieel.
Andere interessante links en initiatieven:
- Hoe kom ik die verplichtingen na? Het Belgische wetsvoorstel voorziet in twee opties om de richtlijn na te komen: certificering volgens de ISO 27001-norm of het CyberFundamentals Framework dat werd opgezet door het Centre for Cybersecurity Belgium (CCB). Meer info
- Schrijf je in voor Cyberstart.be - Blijf op de hoogte via het cyberstart programma, ontwikkeld in het kader van het industriepartnerschap. Cyberstart is een programma met wekelijkse e-mailtjes waarmee je cyber inzichten, tips, en opdrachten krijgt, zeg maar een soort “start-to-run” om de cyberveiligheid van je bedrijf te versterken. Meer info
- Buiten Flanders’ FOOD bieden ook andere partners van het industriepartnerschap masterclasses, lerende netwerken en thematische events aan. Agenda industriepartnerschap
- Simuleer een cyberhacking met Food Security - Foodsecurity biedt een simulatie hacking aan voor het crisisteam. Observeer hierbij alle onderdelen van je crisismanagement: business continuity, HR, security, contact met juiste partners en communicatie met verschillende stakeholders. Meer info
