Cybersecurity
Cybersecurity-wetgeving op een rij
De glastuinbouw digitaliseert in hoog tempo. Computersystemen voor de klimaatregeling, geautomatiseerde druppelsystemen, diverse sensoren, logistieke software en bijvoorbeeld gedigitaliseerd energiemanagement zijn gemeengoed op de meeste glastuinbouwbedrijven. Zulke digitale systemen bieden veel voordelen, maar maken bedrijven ook kwetsbaarder voor digitale verstoringen en cyberincidenten.
Om sectoren met een grote maatschappelijke en economische impact beter te beschermen tegen dit soort risico’s, heeft de Europese Unie wet- en regelgeving opgesteld. Voor de glastuinbouw zijn relevant:
- Network and Information Security Directive (NIS2), een EU-richtlijn die moet zorgen voor meer digitale weerbaarheid bij organisaties die een essentiële rol in samenleving en economie vervullen. Een deel van de tuinbouwketen valt onder NIS2 en krijgt daar naar verwachting medio 2026 mee te maken via de Cyberbeveiligingswet (Cbw).
- Cyber Resilience Act (CRA), een EU-verordening die naar verwachting eind 2027 van kracht wordt en focust op producten met digitale componenten. Als gebruiker van dit soort producten krijgt ook de glastuinbouw met de CRA te maken.
NIS2 en de glastuinbouw
Wat is NIS2?
De Network and Information Security Directive (NIS2) is de Europese richtlijn voor netwerk- en informatiebeveiliging. Het doel van deze richtlijn is het verhogen van de cyberweerbaarheid in sectoren die van cruciaal belang zijn voor de samenleving en economie. EU-lidstaten moeten hiervoor nationale wetgeving invoeren. In Nederland gebeurt dat naar verwachting halverwege 2026 via het van kracht worden van de Cyberbeveiligingswet (Cbw).
NIS2 stelt eisen aan risicobeheer, monitoring, beveiligingsmaatregelen, incidentmelding en bestuurdersverantwoordelijkheid. NIS2 vervangt de eerdere NIS‑richtlijn, waarbij zowel het aantal sectoren als het aantal verplichtingen aanzienlijk worden uitgebreid.
Wie vallen er onder NIS2?
NIS2 richt zich op twee soorten organisaties:
- Essentiële entiteiten (EE’s)
Organisaties uit zeer kritieke sectoren zoals energie, drinkwater, digitale infrastructuur en overheid. - Belangrijke entiteiten (BE’s)
Organisaties uit andere kritieke sectoren, waaronder productie, verwerking en distributie van levensmiddelen.
Of een organisatie onder NIS2 en daarmee de Cbw valt, hangt af van meerdere factoren, zoals de sector en de omvang van de organisatie. Voor de glastuinbouw betekent dit dat onder andere voedselproducenten, maar ook bedrijven die als nevenactiviteit energie leveren of bijdragen aan het verminderen van netcongestie via noodvermogen, mogelijk als belangrijke of essentiële entiteit worden aangemerkt. Glastuinbouwbedrijven die groenten en fruit telen en/of WKK-stroom aan het net leveren, worden dus mogelijk aangemerkt als belangrijke of essentiële entiteit.
Daarnaast kun je als (toe)leverancier en/of klant indirect met NIS2‑verplichtingen te maken krijgen, doordat ketenpartners strengere eisen stellen aan hun cyberbeveiliging. Cybersecurity wordt daarmee een gedeelde verantwoordelijkheid binnen de hele keten.
Waarom is NIS2 relevant voor de glastuinbouw?
De glastuinbouw is sterk afhankelijk van digitale systemen en apparatuur. Een cyberincident — zoals een gehackte klimaatcomputer, stilstaande WKK of uitval van irrigatie — heeft direct gevolgen voor de teelt, voedselproductie en energielevering. De sector is daardoor extra kwetsbaar voor digitale verstoringen.
Daarnaast kan NIS2 betekenen dat bedrijven aanvullende maatregelen moeten nemen om hun digitale basis op orde te brengen. Hoewel niet álle glastuinbouwbedrijven direct onder de richtlijn vallen, krijgt een belangrijk deel van de sector er wel mee te maken: direct of indirect via ketenverantwoordelijkheid.
CRA en de glastuinbouw
Wat houdt de CRA in?
Naast de NIS2‑wetgeving krijgt de glastuinbouw ook te maken met de Cyber Resilience Act (CRA). Deze Europese verordening wordt naar verwachting eind 2027 van kracht. In tegenstelling tot NIS2 dat zich richt op organisaties en hun processen, focust de CRA op producten met digitale componenten. Denk aan apparaten en software die verbonden zijn met het internet of digitale data verwerken. Deze producten moeten veilig zijn vóórdat ze op de markt komen. De CRA schrijft ‘security‑by‑design’ voor: producten moeten al vanaf het ontwerp veilig zijn en gedurende hun hele levensduur veilig blijven.
Voor welke producten geldt de CRA?
Onder de CRA vallen onder andere: klimaatcomputers, sensoren, ‘internet-of-things‑apparatuur’ en teeltsoftware. Zowel fabrikanten, importeurs, distributeurs als eindgebruikers (telers) moeten kunnen aantonen dat de producten die zij ontwikkelen, inkopen, doorverkopen of gebruiken voldoen aan de cybersecurity‑eisen van de CRA.
Wat betekent de CRA in de praktijk?
- Voor telers: Bij de inkoop moeten telers gaan letten op een CE‑markering, die onder de CRA fungeert als bewijs dat een product voldoet aan de cybersecurity‑vereisten.
- Voor leveranciers: Leveranciers moeten hun producten én processen aanpassen aan de nieuwe eisen: van ontwerp en ontwikkeling tot monitoring en onderhoud. Cybersecurity wordt daarmee een integraal onderdeel van de productlevenscyclus.
- Voor de hele keten: De CRA versterkt ook het zogeheten ‘third‑party risk management’: partijen moeten beter letten op de betrouwbaarheid van producten die zij zelf inkopen of doorverkopen.
Waarom is de CRA relevant voor de glastuinbouw?
De glastuinbouw digitaliseert in hoog tempo. Processen zoals logistiek, verkoop, teeltoptimalisatie en kasautomatisering worden steeds afhankelijker van digitale systemen. Hierdoor kan één kwetsbaar of onbeveiligd onderdeel leiden tot verstoringen verderop in de keten. Dat kan gevolgen hebben voor onder andere: oogst en teeltplanning, bedrijfscontinuïteit en de reputatie van een bedrijf bij zijn klanten en ketenpartners. Beveiliging vanaf het begin meenemen is niet alleen effectiever en goedkoper dan achteraf problemen herstellen, het vergroot ook het vertrouwen binnen de keten.
