De aankomende tijd gaat er veel nieuwe EU wet- en regelgeving van kracht, en dit kan een hoop betekenen voor de tuinbouwsector. Om wat orde in de chaos te scheppen, hebben wij voor jou de belangrijkste wet- en regelgeving op een rijtje gezet en wat ze voor je kunnen gaan betekenen. De belangrijkste wet- en regelgeving die relevant is voor de tuinbouw zijn te verdelen in de categorieën cybersecurity, data(verwerking), digitale producten en overige regels.
Cybersecurity
Binnen het cybersecurity domein zijn er twee belangrijke wetgevingen die recent zijn geïntroduceerd: de NIS2 en de EU Cybersecurity Act. De NIS2 richtlijn is gericht op het verhogen van de digitale weerbaarheid van bedrijven en landen. De EU Cybersecurity Act is gericht op cyberbeveiligingscertificering.
Zoals eerder geschreven op onze website, is de NIS2 een richtlijn die gericht is op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten. In Nederland wordt deze wet geïmplementeerd in de vorm van de Cyberbeveiligingswet. Bedrijven die actief zijn in sectoren die als essentieel of belangrijk worden beschouwd, moeten voldoen aan deze wetgeving. Voor bedrijven die opereren in de tuinbouwsector kan dit ook het geval zijn, als je tuinbouwbedrijf bijvoorbeeld gebruik maakt van digitale systemen voor online verkoop, landbouwtechnologie (zoals sensoren en automatisering), of als je deel uitmaakt van een bredere toeleveringsketen die essentieel is voor de maatschappij.
Maatregelen kunnen bijvoorbeeld gaan om het verplicht stellen van extra beveiligingsmaatregelen voor sensoren en netwerken die een rol in de productieketen spelen. De Cyberbeveiligingswet verplicht bedrijven om zelf een risicoanalyse uit te voeren en aan de hand daarvan maatregelen te nemen. Als er toch incidenten zijn, zijn bedrijven verplicht dit te melden bij het Computer Security Incident Response Team (CSIRT) die waar nodig hulp kunnen verlenen. Het naleven van deze wetgeving is cruciaal voor bedrijven die afhankelijk zijn van digitale netwerken en die hun productieketen willen beschermen tegen operationele stilstand. Daarnaast moeten bedrijven die onder deze wet vallen zich registreren in het entiteitenregister en zich onderwerpen aan toezicht zodat er gecontroleerd kan worden of de verplichtingen worden nageleefd.
De Cybersecurity Act (CSA) is een Europees certificeringstelsel dat producten, diensten en processen op het gebied van cybersecurity certificeert. Het doel is om de beveiliging tegen cyberdreigingen te verbeteren en te zorgen dat fabrikanten niet voor elk land een apart certificaat hoeven te behalen. De certificering is voorlopig vrijwillig, maar toekomstige verplichtingen kunnen ontstaan, zoals het verplicht stellen van gecertificeerde producten binnen specifieke sectoren. De CSA kent drie beveiligingsniveaus (basis, substantieel, hoog), en de Nationale Cybersecurity Certificeringsautoriteit (NCCA) speelt een belangrijke rol in het toezicht en de certificering. In Nederland is de Rijksinspectie Digitale Infrastructuur (RDI) verantwoordelijk voor deze taken.
Voor meer informatie over de NIS2 en de EU Cybersecurity Act kun je de links volgen.
Data(verwerking)
Naast cybersecurity, is er ook Europese wetgeving over data(verwerking) ingevoerd: de Data Act en de General Data Protection Regulation (GDPR) (ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd). Voor tuinbouwbedrijven die gebruik maken van sensoren en slimme machines en daarbij gegevens verzamelen is deze wetgeving van groot belang. De Data Act heeft het doel bedrijven, burgers en overheden meer mogelijkheden te geven om gebruik te maken van data en deze te delen. De wet bevordert de mogelijkheid om gegevens te delen, verwerken en op te slaan. Hierdoor krijgen gebruikers inzicht in de gegevens van hun apparaten. In de tuinbouwsector betekent dit bijvoorbeeld dat bedrijven beter inzicht kunnen krijgen in de prestaties van hun apparatuur, wat gebruikt kan worden tot kostenbesparende optimalisaties. Daarnaast kan data beter gedeeld worden met derden, ter bevordering van gezamenlijke onderzoeken of prestaties van leveringsketens.
De GDPR/AVG bevat gedetailleerde voorschriften voor bedrijven en organisaties over het verzamelen, opslaan en beheren van persoonsgegevens. Persoonsgegevens bevatten alle informatie over een persoon waarvan de identiteit bekend is of achterhaald kan worden en zijn onder andere namen, adressen, BSN, inkomens, en medische gegevens. In de tuinbouw gaat het hierbij om data die bijvoorbeeld via drones of sensoren verzameld wordt, of gegevens die verzameld worden in een sollicitatieprocedure. Deze wetgeving moet worden toegepast in bedrijven binnen de EU, ongeacht waar deze gegevens worden verwerkt.
Voor meer informatie over de Data Act en de AVG kun je de links volgen.
Digitale producten
De Cyber Resilience Act is een wetsvoorstel van de Europese Commissie, wat erop gericht is om de gehele cyberveiligheid in de EU te bevorderen. Deze wet richt zich specifiek op digitale diensten en producten, zoals software en IoT-apparaten die in veel tuinbouwbedrijven terug kunnen worden gevonden. De fabrikanten van deze producten zijn verantwoordelijk voor de veiligheid ervan, maar ook de gebruikers gaan gevolgen merken.
De CRA heeft namelijk verplichte cybersecurity eisen met betrekking tot de planning, ontwikkeling en onderhoud van digitale producten. Deze eisen moeten in elke stap van de productieketen geïmplementeerd zijn en dat kan veel invloed hebben op de processen binnen uw bedrijf. Alle producten die (in)direct gekoppeld zijn aan een ander product of netwerk moeten voldoen aan deze eisen. Dit vergroot de digitale bescherming van alle bedrijven in de keten tegen cyberaanvallen. Het is daarom belangrijk om met bedrijven in de keten in gesprek te gaan over de CRA, bijvoorbeeld met de leveranciers van klimaatcomputers.
Voor meer informatie over de CRA kun je de link volgen.
Overig
Binnen de EU zijn er ook nog twee wet- en regelgevingen die van toepassing kunnen zijn op je bedrijf: de Critical Entities Resilience Directive (CER) en de Digital Markets Act (DMA). De CER heeft als doel om de weerbaarheid van organisaties die essentiële diensten verlenen in Nederland te verhogen. Voor tuinbouwbedrijven die als essentieel worden beschouwd in de keten, is naleving van deze wetgeving van groot belang. Deze regelgeving is nauw verbonden met NIS2.
De DMA beschermt Europese consumenten en ondernemers en faciliteert meer concurrentie en gemak op digitale markten en regelt beter toezicht op onder andere fusies en overnames. Dit kan relevant zijn voor fabrikanten die digitale marktplaatsen gebruiken om hun producten te verkopen of die afhankelijk zijn van platformen voor het beheer van hun leveringsketen. Ook geeft de DMA meer mogelijkheden om data van het ene platform naar de andere mee te nemen en mogen platforms eigen diensten en producten niet bevoordelen.
Voor meer informatie over de CER en de DMA kun je de links volgen.
Kortom, veel wet- en regelgeving is recent ingegaan of wordt binnenkort geïmplementeerd en dat kan gevolgen hebben voor je bedrijf. Of het nu gaat om de beveiliging van sensoren en netwerken, het verwerken van data, of het voldoen aan producteisen: als bedrijfsleider in de tuinbouwsector is het cruciaal om goed voorbereid te zijn op de impact op jouw operationele processen. Blijf op de hoogte van de laatste ontwikkelingen en neem de nodige maatregelen om de continuïteit van jouw onderneming/bedrijf te waarborgen.