Hvad betyder ny cyberlovgivning for fødevareerhvervet?

NIS2 er en opdatering af NIS-direktivet fra 2016 og udvider rækkevidden af de sektorer, der er omfattet, herunder fødevaresektoren. Direktivet træder i kraft i oktober 2024 i EU, men implementeringen i Danmark er forsinket til juli af 2025.

NIS2-direktivet er målrettet mod mellemstore og store virksomheder der som udgangspunkt beskæftiger mindst 50 personer og har en årlige omsætning eller en samlet årlig balance på over 10 mio. euro.

Det er dog værd at bemærke at direktivet, som noget nyt, inddrager de omfattede virksomheders forsyningskæder. Det kan indirekte betyde, at mindre virksomheder, der leverer til NIS2-omfattede virksomheder som de større andelsselskaber, vil opleve stigende krav om at forbedre deres cybersikkerhed fra deres samarbejdspartner.

Kravene i NIS2:

Ledelse: Ledelsen skal være bekendte med kravene i direktivet og risikostyringsindsatsen. Ledelsen skal godkende og føre tilsyn med implementering af foranstaltninger og tilbyde nødvendig uddannelse til medarbejderne. 

Risikostyring: Der er øgede krav til risikostyring, både for forebyggende og begrænsende foranstaltninger, som grundlæggende cyberhygiejne og hvordan hackerangreb håndteres.

Forretningskontinuitet: Med direktivet skal virksomheden forholde sig til hvad man gør for at sikre sig fortsat drift, i fald virksomheden rammes af en større cyberhændelse. Fx procedure for genopretning af systemer og nødprocedure mv.

Hændelsesrapportering: Direktivet stiller krav om rapportering af væsentlige hændelser til rette myndigheder, fx at større hændelser rapporteres inden for 24 timer.