Met de komst van de NIS2-richtlijn verschuift cybersecurity van een technische randvoorwaarde naar een kernverantwoordelijkheid voor bedrijven in de voedselketen. Wat lang werd gezien als een ICT-issue, raakt steeds nadrukkelijker aan leveringszekerheid, internationale handel en maatschappelijke stabiliteit. De reden daarvoor ligt volgens Richard van Buuren in een fundamenteel veranderd dreigingsbeeld. “Ontwrichting van de samenleving kan net zo makkelijk via de voedselketen plaatsvinden als via energie of telecom. De ontwrichter zoekt de zwakste schakel.''

De gevolgen daarvan zijn allesbehalve theoretisch. “Een cyberaanval kan fabrieken stilleggen, werknemers naar huis sturen en miljarden schade veroorzaken.” Dat blijkt uit een cyberaanval eind 2025 in de automobielindustrie, waarbij fabrieken van Jaguar Land Rover maandenlang stil kwamen te liggen en de verliezen opliepen tot bijna 2 miljard pond. De impact reikte verder dan één locatie: internationale productieketens werden geraakt in Europa, China, India en Brazilië, met verstrekkende (financiële en personele) gevolgen die het bedrijf nog jaren zal achtervolgen.

Versnipperd landschap

Nederland heeft ervoor gekozen (net als een aantal andere EU-landen) om het toezicht niet centraal te beleggen bij bijvoorbeeld het NCSC (Nationaal Cyber Security Centrum), maar onder te brengen bij de bestaande sectorale toezichthouders. Dat betekent dat de NVWA verantwoordelijk wordt voor de voedselzekerheidsketen, een domein waarin cybersecurity een nieuw werkveld is waarvoor ook nieuwe specialistische kennis nodig is, die moet worden geworven. Tegelijkertijd vraagt decentraal toezicht om intensieve samenwerking met andere toezichthouders, omdat bedrijven onder meerdere toezichthouders kunnen vallen. Dat betekent ook dat je als gezamenlijke toezichthouders intensief moet samenwerken op bijvoorbeeld het gebied van risicoprioritering, sectorale analyses, gemeenschappelijke inspecties, en het opstellen van een gemeenschappelijk interventiebeleid.

Ketenverantwoordelijkheid 

De impact van NIS2 reikt echter verder dan toezicht alleen. Volgens Richard ligt de grootste uitdaging bij bedrijven zelf. Bedrijven hebben een “zorgplicht en zijn daarmee verantwoordelijk voor de borging van hun hele ICT-keten. Dus niet alleen hun eigen systemen, maar ook voor de koppeling met de systemen van hun leveranciers – ook als zij in Brazilië of China zitten

Voor de levensmiddelensector, waaronder de importeurs van oliën, vetten en granen, met veel internationale en complexe vertakkingen, betekent de NIS2 een fundamentele verandering. Bedrijven moeten niet alleen hun eigen systemen op orde hebben, maar ook inzicht krijgen in de cyberbeveiliging van directe partners wereldwijd. Dat maakt de opgave niet alleen technisch, maar ook organisatorisch en strategisch aanzienlijk zwaarder.

Belangrijk óf essentieel

Niet alle bedrijven krijgen met hetzelfde toezicht te maken. Binnen NIS2 wordt onderscheid gemaakt tussen ‘belangrijke’ en ‘essentiële’ entiteiten. Voor het merendeel van de bedrijven (de belangrijke) geldt een reactieve benadering: toezicht vindt vooral plaats bij of na incidenten of indien er signalen zijn van verhoogd risico. Naast deze groep belangrijke bedrijven is er een kleinere groep bedrijven, die wordt aangewezen via de Wwke (de Nederlandse implementatie van de CER) door het ministerie (LVVN) middels een vitaalbeoordeling als ‘essentieel’. Deze essentiële bedrijven vallen onder proactief toezicht en worden actief geaudit op het voldoen aan NIS2 en CER (NL: Cbw en Wwke). Dit betekent dat zij naast voedselveiligheid (en alle daarbij behorende vereisten) ook op cyber- en fysieke weerbaarheid (voedselzekerheid) worden gecontroleerd. De bedrijven die als ‘essentieel’ worden aangewezen, krijgen na aanwijzing 10 maanden de tijd om de vereisten te implementeren.

Registratie is geen eindpunt

Met de invoering van NIS2 krijgen bedrijven in de eerste plaats te maken met een registratieplicht. Deze verplichting betekent echter niet dat een organisatie daarmee direct voldoet aan alle vereisten. Het is in essentie een eerste administratieve stap, bedoelt om kenbaar te maken dat je je als bedrijf realiseert dat je onder de Cbw valt. Deze registratie doe je bij het NCSC en via een koppeling met de NCSC krijgt de toezichthouder deze informatie ook.

Eerst helpen, dan handhaven

 Met de invoering van NIS2 krijgen bedrijven in de eerste plaats te maken met een registratieplicht. Deze verplichting betekent echter niet dat een organisatie daarmee direct voldoet aan alle vereisten. Het is in essentie een eerste administratieve stap, bedoelt om kenbaar te maken dat je je als bedrijf realiseert dat je onder de Cbw valt. Deze registratie doe je bij het NCSC en via een koppeling met de NCSC krijgt de toezichthouder deze informatie ook. 

Normen helpen maar bieden geen garantie

Veel bedrijven zoeken houvast in bestaande normen en certificeringen. Hoewel deze zeker kunnen helpen bij het structureren en borgen van processen, bieden ze volgens Richard nooit volledige zekerheid. “Je kunt in de regel alles certificeren. Maar als je proces slecht is, certificeer je een slecht proces.” Voldoen aan normen en certificering wordt zeker meegenomen bij het toezicht. Maar de uitvoering en werking in de dagelijkse praktijk wordt beoordeeld bij het toezicht.

Oude systemen, nieuwe risico’s

Een belangrijk deel van de risico’s zit volgens Richard niet in nieuwe technologie, maar juist in bestaande systemen. Veel systemen die in de afgelopen decennia zijn ingebouwd, zijn nu makkelijke potentiële ingangen voor hackers. Denk aan installaties die ooit ontworpen en versleuteld zijn voor bijvoorbeeld op afstand bestuurbaarheid, via simpele routers met simkaartjes, maar daardoor vandaag de dag onvoldoende beveiligd en relatief eenvoudig te hacken zijn.

Van verplichting naar weerbaarheid

NIS2 wordt vaak gezien als een nieuwe verplichting, maar de kern ligt volgens Richard ergens anders. Het doel is niet om bedrijven te bestraffen, maar om de digitale weerbaarheid van bedrijven of sectoren als geheel te versterken. Voor bedrijven in de voedselketen betekent dit dat cybersecurity een structureel onderdeel moet worden van de bedrijfsvoering. Niet als los ICT-thema, maar als integraal onderdeel van continuïteit, risicomanagement en strategische positionering.

Waar begin je als bedrijf?

Voor bedrijven die nog aan het begin staan, begint de eerste stap bij inzicht: weten welke systemen je gebruikt, waar de risico’s zitten en welke partijen onderdeel zijn van jouw (ICT) keten. Van daaruit kan worden opgebouwd, bijvoorbeeld met behulp van bestaande normen en richtlijnen. Publieke bronnen, zoals die van het Nationaal Cyber Security Centrum, bieden daarbij praktische handvatten. De invoering van NIS2 markeert daarmee geen eindpunt, maar het begin van een traject waarin cybersecurity een vast onderdeel wordt in de sector.

MVO zal haar leden daarbij actief ondersteunen. In samenwerking met de NVWA, middels bijdragen van het team cyber en fysieke weerbaarheid wordt een (online) bijeenkomst georganiseerd om bedrijven verder op weg te helpen met het voldoen aan NIS2/Cbw en om praktische handvatten te bieden voor de implementatie in de praktijk. Meer informatie over deze bijeenkomst volgt binnenkort.

Heeft u (specifieke) vragen of onderwerpen die u graag in deze bijeenkomst zou willen behandelen, laat dat dan weten aan Felix Puts.