RaconSoft Logo

Gepubliceerd op 31 oktober 2025

NIS2 voor de Maakindustrie: Wat Directeuren Moeten Weten

Van compliance en OT-security tot ketenverantwoordelijkheid: cyberrisico's zijn nu uw persoonlijke verantwoordelijkheid.

Visuele representatie van NIS2 cybersecurity met een fabriek en een directielid
NIS2 tilt cybersecurity van de IT-afdeling naar de directietafel.

De NIS2-richtlijn (in Nederland de Cyberbeveiligingswet) is geen standaard IT-update. Het is een fundamentele verschuiving: cyberrisico's zijn nu direct de verantwoordelijkheid van de directie. Voor de Nederlandse maakindustrie betekent dit het einde van vrijblijvendheid.

De timing-valkuil

Hoewel de EU-deadline 17 oktober 2024 was, loopt Nederland vertraging op. De wet wordt verwacht in Q2 2026. Dit uitstel is géén vrij billet. De Rijksoverheid adviseert expliciet: wacht niet. De cyberrisico's zijn er nu al. Juridisch gezien: als u nu kennisneemt van de risico's en persoonlijke aansprakelijkheid, maar bewust wacht tot 2026, handelt u nalatig. Bij een incident kan dat zwaar worden aangerekend.

Deel 1: Waarom dit een Directie-Zaak is

NIS2 in één minuut

NIS2 tilt cybersecurity van de IT-afdeling naar de directietafel. Het wordt een kernonderdeel van risicobeheer, net als financiën en compliance. De wet eist een "all-hazards" benadering: voorbereid zijn op alles, van cyberaanvallen tot fysieke verstoringen.

Persoonlijke aansprakelijkheid: de game changer

Dit is de échte verandering: directeuren kunnen persoonlijk en hoofdelijk aansprakelijk worden gehouden. Niet voor een IT-fout, maar voor het falen van toezicht, beleid, risicoanalyse en het niet vrijmaken van noodzakelijke middelen. "Te duur" of "te complex" zijn geen verweren meer - ze zijn bekentenissen van nalatigheid.

Wat het kost (u en uw organisatie)

Voor de organisatie:

  • Essentiële Entiteiten: tot €10 miljoen of 2% wereldwijde omzet
  • Belangrijke Entiteiten (meeste maakbedrijven): tot €7 miljoen of 1,4% omzet

Voor bestuurders persoonlijk:

  • Tijdelijke schorsing mogelijk
  • Civielrechtelijke aansprakelijkheid bij grove nalatigheid
  • Potentieel strafrechtelijke gevolgen

De training-verplichting

Bestuurders móeten cybersecurity-trainingen volgen. Dit is geen formaliteit - het is juridisch bewijs dat u de risico's begrijpt. Niet trainen = nalatig handelen.

Deel 2: Valt Uw Bedrijf Eronder?

De criteria (let op het woord "OF")

Uw maakbedrijf valt onder NIS2 als het voldoet aan minimaal één van deze criteria:

  • ≥50 werknemers (FTE) OF
  • Omzet >€10 miljoen OF
  • Balanstotaal >€10 miljoen

De MKB-valkuil: uw machinepark

Een geautomatiseerde fabriek met 40 medewerkers kan denken buiten schot te blijven. Maar de waarde van het machinepark op uw balans? Die overschrijdt €10 miljoen waarschijnlijk wél. Investeren in automatisering = NIS2-plichtig worden.

Welke subsectoren vallen eronder?

Als u actief bent in deze NACE-codes én voldoet aan de drempels, bent u NIS2-plichtig:

  • C26 - ICT-producten, elektronica, optica
  • C27 - Elektrische apparatuur
  • C28 - Machines en werktuigen
  • C29 - Motorvoertuigen
  • C30 - Andere transportmiddelen
  • C32.5 - Medische hulpmiddelen

Eerste check: de RDI-zelfevaluatie

De Rijksinspectie Digitale Infrastructuur heeft een online quickscan. Nuttig als startpunt, maar het vertelt alleen of u moet voldoen, niet hoe. En het geeft geen inzicht in uw specifieke risico's op de fabrieksvloer.

Deel 3: De 10 Verplichte Maatregelen

Wat is de zorgplicht?

Artikel 21 van NIS2 definieert 10 minimale maatregelen. Dit is geen "best effort" - het is afdwingbaar. Niet kunnen aantonen dat u hieraan voldoet = basis voor aansprakelijkheid.

De checklist voor directeuren

  1. Risicoanalyse en beveiligingsbeleid: Formeel, door bestuur goedgekeurd beleid. Periodieke risicoanalyse voor IT én OT is verplicht. Vraag jezelf af: heeft het bestuur een actueel risicoregister goedgekeurd?
  2. Incidentafhandeling: Gedocumenteerd plan nodig. Wat doet u als ransomware de productielijn platgooit? Meldplicht: binnen 24 uur eerste melding, binnen 72 uur update aan toezichthouder.
  3. Bedrijfscontinuïteit en crisismanagement: Meer dan alleen IT-backup. Disaster recovery voor de fabriek. Vraag jezelf af: is het herstelplan voor OT-systemen net zo robuust als voor uw financiële administratie?
  4. Beveiliging toeleveringsketen: Zwaarste nieuwe eis. U bent medeverantwoordelijk voor cyberrisico's van leveranciers. (Zie Deel 5)
  5. Security by design: Bij aanschaf nieuwe machines of software: cybersecurity-eisen meenemen. Ook: vulnerability management voor bestaande systemen.
  6. Effectiviteitsbeoordeling: Bewijs dat uw maatregelen werken. Periodieke audits, assessments, penetratietesten.
  7. Basishygiëne en training: Updates, veilig wachtwoordbeleid. Verplichte training voor iedereen: van C-suite tot machineoperator.
  8. Cryptografie en encryptie: Formeel beleid voor dataversleuteling. Beschermt IP, productie- en klantdata.
  9. HR, toegang en asset management: Strikt toegangsbeleid ('need-to-know'). Cruciaal: asset management. U kunt niet beveiligen wat u niet kent. Actueel overzicht van alle IT- én OT-assets is essentieel.
  10. Multi-Factor Authenticatie (MFA): Verplicht waar passend. Vooral voor remote access door onderhoudspartijen op OT-systemen.

Wat eerst?

Twee pilaren zijn fundamenteel:

  • Risicoanalyse (maatregel 1)
  • Asset management (maatregel 9)

Zonder deze twee kunt u de rest niet implementeren. U kunt de effectiviteit van incidentafhandeling niet beoordelen op systemen die u niet in kaart heeft. Conclusie: de allereerste stap is een complete inventarisatie van alle IT- en OT-assets plus risicoanalyse. De 'nulmeting'.

Deel 4: De Fabrieksvloer - Uw Grootste Risico

Waarom fabrieken anders zijn

Uw kroonjuwelen - productieprocessen, machines, IP - draaien op Operationele Technologie (OT): Industrial Control Systems, SCADA, PLC's die machines fysiek aansturen.

De perfecte storm: IT/OT-convergentie

Vroeger waren kantoor (IT) en fabriek (OT) gescheiden. Smart Industry heeft die muren gesloopt. Productiedata gaat naar ERP-systemen. Monteurs loggen extern in op machines. Dit creëert acute risico's:

Waarom OT kwetsbaar is:

  • Technologische achterstand: 10-15 jaar achter op IT
  • Ontwerpfilosofie: niet 'secure by design' - gebouwd voor beschikbaarheid, niet voor cyberbeveiliging
  • Levensduur: PLC's gaan 15-25+ jaar mee, vaak op Windows XP/7 die niet meer ge-update kunnen worden
  • Platte netwerken: aanvaller die via printer binnenkomt, kan lateraal naar kritieke productie-PLC
  • Onveilige remote access: vaak slecht of niet beveiligd - een open achterdeur

Het verschil in één tabel

Aspect IT (Kantoor) OT (Fabriek)
Primair doel Vertrouwelijkheid, integriteit, beschikbaarheid Beschikbaarheid, fysieke veiligheid, integriteit
Levensduur 3-5 jaar 15-25+ jaar
Updates Wekelijks/maandelijks Zeer zelden/nooit (downtime onacceptabel)
Netwerk Modern, gesegmenteerd Vaak plat, legacy-protocollen
Security Secure by design Niet secure by design
Gevolg aanval Dataverlies, fraude, reputatieschade Productiestop, milieuschade, letsel, dood

Praktisch stappenplan OT-beveiliging

Dit is specialistisch werk. Uw IT-afdeling kan dit niet alleen.

  1. Scan en identificeer (Asset Management): Breng alle OT-assets in kaart: PLC's, HMI's, sensoren, switches, verbindingen. Dit is de nulmeting.
  2. Vulnerability Management: Continu scannen op bekende kwetsbaarheden, samen met machineleveranciers.
  3. Detectie: Intrusion Detection Systems die OT-protocollen (Modbus, Profinet) begrijpen.
  4. Netwerk(micro)segmentatie: Meest cruciale maatregel. Breek het platte netwerk op. Financiële administratie mag nooit direct met productie-PLC kunnen communiceren.
  5. 24/7 Monitoring en Incident Response: Continue monitoring, idealiter via SOC met OT-specifiek draaiboek.

Rode draad: OT-beveiliging begint, net als NIS2-compliance, met één ding: scan en identificeer. De nulmeting.

Deel 5: De Keten - Uw Verantwoordelijkheid Stopt Niet bij de Poort

Wat ketenverantwoordelijkheid betekent

U bent verantwoordelijk voor risico's van uw directe leveranciers en dienstverleners. Voor de maakindustrie gaat dit over:

  • Softwareleveranciers - ERP, MES, SaaS-planning
  • Machinebouwers (OEM's) - Software op machines kan kwetsbaar zijn. Software Bill of Materials (SBoM) wordt de norm
  • Onderhoudspartijen - Externe monteur met eigen laptop op uw OT-netwerk, of de MSP die uw IT beheert

Het doorsijpel-effect (beide kanten op)

Cybersecurity-eisen moeten contractueel worden vastgelegd. Dit werkt twee kanten:

  1. U bent NIS2-plichtig: U moet eisen stellen aan uw (vaak kleinere) leveranciers. Denk aan audits, risico-assessments, bewijs van ISO 27001.
  2. U bent toeleverancier: Veel MKB-bedrijven leveren aan grotere OEM's. Zelfs als u zélf onder de drempels valt (<50 FTE, <€10m omzet), zullen grotere klanten u contractueel dwingen aan (bijna) dezelfde eisen te voldoen.

Praktisch gevolg: cybersecurity wordt een concurrentiefactor. Geen aantoonbaar cybersecurity-beleid = geen contract.

Deel 6: Van Wet naar Actie

Samenvatting: vier pijlers

  • Persoonlijke aansprakelijkheid: Het ligt bij u. Wachten of budget weigeren is nalatig.
  • De 10 zorgplichten: Minimale set maatregelen, startend met risicoanalyse.
  • Het OT-risico: Meest acute risico ligt in kwetsbare, verouderde fabrieksnetwerken.
  • Ketenverantwoordelijkheid: Strekt zich uit tot zwakste schakel, met contractuele gevolgen.

Waar te beginnen: de nulmeting

Begin niet met willekeurige tools. NIS2-compliance en OT-security best practices beginnen identiek: risicoanalyse en asset management. Als persoonlijk aansprakelijk bestuurder moet u weten wát de risico's zijn. Dit vereist diepgaand inzicht in alle systemen (IT én OT), hoe ze verbonden zijn, en waar acute kwetsbaarheden zitten.

Een generieke online scan mist de technische diepgang voor de complexe IT/OT-omgeving van een moderne fabriek.

Dit artikel is samengesteld door de experts van Raconsoft, ondersteund door geavanceerde AI-tools voor analyse en redactie.

Cover van de gids De Brug Tussen ICT en Fabriek

Begrijp Eerst het IT/OT-Risico

De NIS2-wetgeving dwingt u de kloof tussen kantoor (IT) en fabriek (OT) te dichten. Onze gids legt de fundamentele risico's bloot en biedt het gemeenschappelijke woordenboek dat u nodig heeft om te beginnen.

Download de Gids Nu

De Strategische Nulmeting: Uw Eerste Stap naar Compliance

Voldoen aan NIS2 en het beheersen van uw aansprakelijkheid begint met één ding: een diepgaande nulmeting van uw IT- én OT-risico's. Onze Nuchtere Digitaliseringsscan levert het holistische risicoregister en de strategische routekaart die u als directeur nodig heeft om nalatigheid te voorkomen en actie te ondernemen.

Boek de Nuchtere Digitaliseringsscan (Pakket 1)
← Terug naar het blogoverzicht