Cyberveiligheid voor elk voedingsbedrijf van belang

In 2024 ging de NIS 2 wetgeving in. De NIS 2 wetgeving die er gekomen is om te garanderen dat als een bedrijf het slachtoffer is van een cyberaanval, niet de hele keten errond of zelfs het hele land tot stilstand zou komen. Ook de voedingsindustrie valt onder de NIS 2-plichtige sectoren, het is door de overheid namelijk als kritieke sector aangeduid. Filip Van Himbeeck en Marleen Opsomer van DNV praten ons bij over de belangrijkste aandachtspunten.

“Cyberveiligheid is een probleem voor iedereen”, opent Van Himbeeck, lead auditor ISO/IEC 27001 bij DNV, stellig. “NIS staat voor Network & Information System. Het woord netwerk is precies het woord dat zo belangrijk is in het waarom achter deze wetgeving. Het is minder kritisch voor de overheid als slechts een enkel bedrijf stilvalt door een cyber­aanval. Het wordt wel menens als één aanval een kettingreactie door de hele sector veroorzaakt omdat bedrijven hun zaken niet op orde hebben.” Van Himbeeck geeft het voorbeeld van de cyberaanval die Brussels Airport lamlegde. “Ze waren via een kwetsbaarheid in de software van een leverancier binnen geraakt.” 

Ook leveranciers moeten aan NIS 2 voldoen

In principe zijn enkel bedrijven vanaf een bepaalde omvang (50 VTE, jaaromzet vanaf 10 miljoen euro, jaarlijks balanstotaal vanaf 10 miljoen euro) verplicht om aan alle eisen tegemoet te komen in NIS 2. Toch ziet Van Himbeeck het breder gaan. “Er zijn bijvoorbeeld retailketens die van hun leveranciers eisen dat ze zodanig georganiseerd zijn dat ze ongeacht welke problemen ze ondervinden, de leveringen gegarandeerd zijn. Dat wordt samengevat onder business continuity management (ISO22301) en gaat over alles wat er fout kan lopen in de volledige productieketting. Reken maar dat cyberveiligheid daar een belangrijk facet in is.”

Routes naar cyberveiligheid

Wat moeten voedingsbedrijven dan doen om NIS 2 conform te zijn? “Eigenlijk formuleert de regelgeving slechts tien stelregels (zie kaderstukje). Die zijn de ondergrens. Voedingsbedrijven vallen onder de categorie ‘belangrijk’. Dat houdt in dat ze de maatregelen moeten nemen, maar zich niet op voorhand hoeven te bewijzen. Slechts als er zich een incident voordoet, moet je aantonen dat je het nodige gedaan hebt, bijvoorbeeld door je processen te laten certificeren of verifiëren. Dan krijgen ze het vermoeden van onschuld”, gaat Van Himbeeck verder. Dat kan in België op twee manieren. Enerzijds kan je opteren voor ISO/IEC 27001-certificatie. Een alternatief is certificatie volgens de Cyberfundamentals route die het CCB (Center for Cybersecurity Belgium) heeft opgesteld. 

Cyberveiligheidscultuur

Voedingsbedrijven zullen dus maatregelen moeten nemen om zich te beschermen, want cyberveiligheid zomaar naast zich neerleggen, dat kan niet meer. Van Himbeeck: “Het CCB kan boetes opleggen of zelfs een bedrijf volledig stilleggen als er zich problemen blijven voortdoen die een risico voor anderen creëren. Belangrijk is dat het management persoonlijk verantwoordelijk kan worden gesteld.” De weg ernaartoe is echter niet evident. “Welke certificatieroute je ook kiest, het hele bedrijf moet mee zijn met het verhaal. Van het management dat het budget vrijmaakt, tot de operator die paswoorden op zijn machine moet instellen. Net zoals met voedselveiligheid, moet je een cyberveiligheidscultuur creëren”, weet Opsomer.

Rekenen op DNV

Maar voedingsbedrijven staan er gelukkig niet alleen voor. “In het voorbereidingstraject naar een certificatie biedt DNV een eigen ‘self-assessment tool’ aan voor ISO/IEC 27001. Zo kunnen bedrijven peilen hoever ze staan met hun voorbereiding. Verder biedt DNV ook de mogelijkheid om een soort pre-audit uit te voeren, zodat het bedrijf met een minimale kost al een analyse krijgt van de status van zijn voorbereiding. Daarnaast beschikt DNV over zeer ervaren mensen om de juiste trainingen in cyberveiligheid te geven”, vat Opsomer enkele van de troeven samen.