De aankomende tijd gaat er veel nieuwe EU wet- en regelgeving van kracht, en dit kan een hoop betekenen voor jouw bedrijf. Om wat orde in de chaos te scheppen, hebben wij voor de belangrijkste wet- en regelgeving op een rijtje gezet en wat ze voor jouw bedrijfsvoering kunnen gaan betekenen. De belangrijkste wet- en regelgeving zijn te verdelen in de categorieën cybersecurity, data(verwerking), producten, en overige regels.
Cybersecurity
Binnen het cybersecurity domein zijn er twee belangrijke wetgevingen die recent zijn geïntroduceerd: de NIS2 en de EU Cybersecurity Act. De NIS2 richtlijn is gericht op het verhogen van de digitale weerbaarheid van bedrijven en landen. De EU Cybersecurity Act is gericht op cyberbeveiligingscertificering.
Zoals eerder beschreven op onze website, is de NIS2 een richtlijn die gericht is op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten en het wordt in Nederland geïmplementeerd in de vorm van de Cyberbeveiligingswet. Bedrijven die actief zijn in essentiële sectoren, moeten voldoen aan deze wetgeving. Bedrijven die opereren in de maakindustrie, waar productieprocessen sterk afhankelijk zijn van netwerken en geautomatiseerde systemen, moeten voldoen aan deze wetgeving als ze onder de aangewezen essentiële sectoren vallen. Dit kan bijvoorbeeld gaan om het verplicht stellen van extra beveiligingsmaatregelen voor industriële robots, sensoren en de netwerken die een rol in de productieketen spelen. De Cyberbeveiligingswet verplicht bedrijven om zelf een risicoanalyse uit te voeren en aan de hand daarvan maatregelen te nemen. Als er toch incidenten zijn, zijn bedrijven verplicht dit te melden bij het Computer Security Incident Response Team (CSIRT) die waar nodig hulp kunnen verlenen. Het naleven van deze wetgeving is cruciaal voor bedrijven die afhankelijk zijn van digitale netwerken en die hun productieketen willen beschermen tegen operationele stilstand. Daarnaast moeten bedrijven die onder deze wet vallen zich registreren in het entiteitenregister en zich onderwerpen aan toezicht zodat er gecontroleerd kan worden of de verplichtingen worden nageleefd.
De Cybersecurity Act (CSA) is een Europees certificeringstelsel dat producten, diensten en processen op het gebied van cybersecurity certificeert. Het doel is om de beveiliging tegen cyberdreigingen te verbeteren en te zorgen dat fabrikanten niet voor elk land een apart certificaat hoeven te behalen. De certificering is voorlopig vrijwillig, maar toekomstige verplichtingen kunnen ontstaan, zoals het verplicht stellen van gecertificeerde producten binnen specifieke sectoren. De CSA kent drie beveiligingsniveaus (basis, substantieel, hoog), en de Nationale Cybersecurity Certificeringsautoriteit (NCCA) speelt een belangrijke rol in het toezicht en de certificering. In Nederland is de Rijksinspectie Digitale Infrastructuur (RDI) verantwoordelijk voor deze taken.
Voor meer informatie over de NIS2 en de EU Cybersecurity Act kun je de links volgen.
Data(verwerking)
Naast cybersecurity, is er ook Europese wetgeving over data(verwerking) ingevoerd: de Data Act en de General Data Protection Regulation (GDPR) (ook wel de Algemene verordening gegevensbescherming (AVG) genoemd). Voor fabrieken die sensoren, machines en software gebruiken die gegevens verzamelen gedurende het productieproces, is deze wetgeving van groot belang.
De Data Act heeft het doel bedrijven, burgers en overheden meer mogelijkheden te geven om gebruik te maken van data en deze te delen. De act bevordert de mogelijkheid om gegevens te delen, verwerken en op te slaan. Hierdoor krijgen gebruikers inzicht in de gegevens van hun apparaten. In de maakindustrie betekent dit bijvoorbeeld dat bedrijven beter inzicht kunnen krijgen in de prestaties van hun apparatuur, zoals het gebruik van machines en de doorlooptijd van productieprocessen.
De GDPR/AVG bevat gedetailleerde voorschriften voor bedrijven en organisaties over het verzamelen, opslaan en beheren van persoonsgegevens. Persoonsgegevens bevatten alle informatie over een persoon waarvan de identiteit bekend is of achterhaald kan worden en zijn onder andere namen, adressen, BSN, inkomens, en medische gegevens. In de maakindustrie gaat het hierbij om data die bijvoorbeeld via machinegebruik of andere sensoren verzameld wordt of Cv’s die gebruikt worden in een sollicitatieprocedure. Deze wetgeving moet worden toegepast in bedrijven binnen de EU, ongeacht waar deze gegevens worden verwerkt.
Voor meer informatie over de Data Act en de AVG kun je de links volgen.
Producten
Voor de producten die u maakt, geldt vanuit de EU ook bepaalde wet- en regelgeving: de Directive on Liability for Defective Products, Radio Equipment Directive (RED) en de Cyber Resilience Act (CRA). Deze wetgevingen hebben directe gevolgen voor de apparaten en machines die in jouw fabrieken worden gebruikt of geproduceerd, zoals robots, sensoren en andere industriële apparatuur.
Binnen de EU zijn er wettelijke producteisen waaraan een product moet voldoen, en als dit niet het geval is dan is er een gebrek. Je bent aansprakelijk voor de schade die ontstaat door een gebrek aan uw product. Deze eisen staan genoteerd in de Directive on Liability for Defective Products, die een belangrijke bescherming biedt voor zowel consumenten als bedrijven, maar tegelijkertijd een uitdaging kan zijn voor fabrikanten die kwaliteitscontrole moeten implementeren in hun productielijnen.
De RED is een richtlijn met functie-eisen die er onder andere voor zorgt dat apparaten voldoende immuun zijn voor storende signalen en geen gevaar vormen voor de gezondheid. Voorbeelden van dit type apparaten zijn onder andere drones, smartphones, IoT apparatuur, en slimme meters. Deze richtlijn heeft direct invloed op de machines en apparatuur die worden gebruikt in de productie, waar storingen door slechte signalen of interferentie de productiviteit van een fabriek kunnen verstoren. In augustus komen er extra functie eisen bij voor cyberveiligheid, namelijk de RED 3.3. Deze richtlijn richt zich specifiek op de cybersecurity van radioapparatuur en heeft als doel ervoor te zorgen dat het veilig en betrouwbaar is in gebruik. Voor fabrikanten van industriële apparatuur kan dit betekenen dat ze extra maatregelen moeten nemen om hun producten tegen cyberdreigingen te beschermen.
De CRA introduceert verplichte cybersecurityeisen voor makers en verkopers van producten en het heeft betrekking op de planning, ontwikkeling en onderhoud. Alle producten die (in)direct gekoppeld zijn aan een ander product of netwerk moeten voldoen aan deze eisen. Deze eisen moeten in elke stap van de productieketen geïmplementeerd zijn en dat kan veel invloed hebben op de processen binnen je bedrijf. Zo zorgt de CRA ervoor dat bedrijven gedurende de gehele levenscyclus van hun producten verantwoordelijk zijn voor de cyberbeveiliging, en niet alleen bij de levering. Dit betekent dat jij als bedrijf verantwoordelijk bent om te zorgen dat jouw producten regelmatig een software update krijgen om cyberweerbaar te blijven, waardoor jouw werk niet eindigt zodra het product is geleverd. Naast dat de wet voor leveranciers en producenten eisen geeft, biedt deze wet ook meer kansen voor consumenten en inkopers. Deze wet kan namelijk ook gebruikt worden binnen jouw bedrijf om in gesprek te gaan met leveranciers om te achterhalen of de machines die jij gebruikt in jouw productieketen wel voldoen aan de CRA eisen. Hierdoor weet je dat deze apparatuur cyberweerbaar is en jouw productieketen beter beveiligd is tegen cyberaanvallen.
Voor meer informatie over de Directive on Liability for Defective Products, RED en CRA kun je de links volgen.
Overig
Binnen de EU zijn er ook nog twee wet- en regelgevingen die van toepassing kunnen zijn op jouw bedrijf: de Critical Entities Resilience Directive (CER) en de Digital Markets Act (DMA). De CER heeft als doel om de weerbaarheid van organisaties die essentiële diensten verlenen in Nederland te verhogen. Voor fabrieken die als essentieel worden beschouwd in de productieketen, is naleving van deze wetgeving van groot belang. Deze regelgeving is nauw verbonden met het NIS2.
De DMA beschermt Europese consumenten en ondernemers en faciliteert meer concurrentie en gemak op digitale markten en regelt beter toezicht op onder andere fusies en overnames. Dit kan relevant zijn voor fabrikanten die digitale marktplaatsen gebruiken om hun producten te verkopen of die afhankelijk zijn van platformen voor het beheer van hun supply chain. Ook geeft de DMA meer mogelijkheden om data van het ene platform naar de andere mee te nemen en mogen platforms eigen diensten en producten niet bevoordelen.
Voor meer informatie over de CER en de DMA kun je de links volgen.
Kortom, veel wet- en regelgeving is recent ingegaan of wordt binnenkort geïmplementeerd en dat kan gevolgen hebben voor jouw bedrijf. Of het nu gaat om de beveiliging van machines en netwerken, het verwerken van data, of het voldoen aan producteisen: als bedrijfsleider in de maakindustrie is het cruciaal om goed voorbereid te zijn op de impact van deze wetgeving op jouw operationele processen. Blijf op de hoogte van de laatste ontwikkelingen en neem de nodige maatregelen om de continuïteit en productiecapaciteit van jouw onderneming/bedrijf te waarborgen.
