Ruben TalmanRuben Talman

Wat betekent NIS2 voor de maakindustrie?

19 juni 08:00
6 min.
Op deze pagina
Op deze pagina

De NIS2-richtlijn is zeker relevant voor de maakindustrie. Productiebedrijven die actief zijn in sectoren zoals de fabricage van kritieke producten, chemicaliën of voedingsmiddelen vallen mogelijk direct onder de richtlijn. Zelfs bedrijven die er niet direct onder vallen, kunnen via ketenverantwoordelijkheid te maken krijgen met NIS2-eisen van hun klanten. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 en wat het concreet betekent voor productiebedrijven.

Welke bedrijven in de maakindustrie vallen onder NIS2?

Productiebedrijven in de maakindustrie vallen onder NIS2 als ze actief zijn in een aangewezen sector én voldoen aan de drempelwaarden voor middelgrote of grote ondernemingen. Denk aan bedrijven die medische hulpmiddelen, machines, voertuigen, chemicaliën of elektronica produceren. Bedrijven met meer dan 50 medewerkers of een jaaromzet boven de 10 miljoen euro kunnen onder de richtlijn vallen.

NIS2 maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Grote productiebedrijven in kritieke sectoren worden doorgaans aangemerkt als essentiële entiteiten en krijgen te maken met strenger toezicht. Middelgrote bedrijven in dezelfde sectoren vallen vaak in de categorie belangrijke entiteiten, waarvoor iets lichtere verplichtingen gelden, maar die toch serieuze eisen met zich meebrengen.

Belangrijk om te weten: ook als jouw bedrijf niet direct onder NIS2 valt, kun je er toch mee te maken krijgen. Grote opdrachtgevers en inkoopafdelingen stellen steeds vaker beveiligingseisen aan leveranciers als onderdeel van hun eigen NIS2-compliance. Dit wordt ketenverantwoordelijkheid genoemd.

Wat zijn de concrete verplichtingen van NIS2 voor productiebedrijven?

NIS2 verplicht productiebedrijven om concrete maatregelen te nemen op het gebied van risicobeheer, technische beveiliging en incidentmelding. De richtlijn schrijft voor dat organisaties een risicoanalyse uitvoeren, passende beveiligingsmaatregelen treffen en significante incidenten binnen 24 uur melden bij de bevoegde toezichthouder.

De verplichtingen zijn onder te verdelen in een aantal concrete actiepunten:

  • Risicoanalyse: Breng in kaart welke systemen en processen kwetsbaar zijn en welke risico’s je loopt.
  • Technische beveiligingsmaatregelen: Denk aan multifactorauthenticatie (MFA), encryptie, patchbeheer en toegangsbeleid.
  • Incidentrespons: Stel een procedure op voor het detecteren, melden en afhandelen van cyberincidenten.
  • Ketenbeveiliging: Beoordeel ook de beveiligingsniveaus van je leveranciers en partners.
  • Bestuurlijke betrokkenheid: Het management moet aantoonbaar betrokken zijn bij het beveiligingsbeleid en kan persoonlijk aansprakelijk worden gesteld.

Voor productiebedrijven betekent dit in de praktijk dat IT-beveiliging niet langer alleen een technische aangelegenheid is, maar een bestuurlijke verantwoordelijkheid. Proactief monitoren en updaten van systemen is daarbij een basisvereiste.

Hoe verschilt NIS2 van de oude NIS1-richtlijn voor de maakindustrie?

NIS2 is aanzienlijk breder en strenger dan de oorspronkelijke NIS1-richtlijn. Het grootste verschil voor de maakindustrie is dat NIS1 nauwelijks van toepassing was op productiebedrijven, terwijl NIS2 de maakindustrie expliciet opneemt als sector met verhoogde risico’s. Daarmee vallen veel meer bedrijven nu onder Europese cybersecuritywetgeving.

Andere belangrijke verschillen zijn:

  • Bredere reikwijdte: NIS2 geldt voor meer sectoren en meer bedrijven dan NIS1.
  • Persoonlijke aansprakelijkheid: Bestuurders kunnen onder NIS2 persoonlijk aansprakelijk worden gesteld, iets wat onder NIS1 niet het geval was.
  • Strengere meldplicht: De termijn voor het melden van incidenten is aangescherpt naar 24 uur voor een eerste melding.
  • Ketenverantwoordelijkheid: NIS2 legt expliciet de verantwoordelijkheid bij organisaties om ook de beveiliging van hun leveranciersketen te beoordelen.
  • Hogere boetes: De maximale sancties zijn fors verhoogd ten opzichte van NIS1.

Wat zijn de risico’s als een productiebedrijf niet voldoet aan NIS2?

Productiebedrijven die niet voldoen aan de NIS2-richtlijn riskeren forse boetes, reputatieschade en persoonlijke aansprakelijkheid van bestuurders. De maximale boete bedraagt 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Naast financiële sancties zijn er ook operationele en commerciële risico’s. Toezichthouders kunnen aanwijzingen geven of zelfs tijdelijk ingrijpen in bedrijfsprocessen. Daarnaast groeit het risico dat klanten en opdrachtgevers eisen dat je aantoonbaar aan NIS2-eisen voldoet. Wie dat niet kan bewijzen, loopt het risico contracten te verliezen aan concurrenten die hun beveiliging wel op orde hebben.

Het risico van een daadwerkelijk cyberincident mag ook niet worden onderschat. Productiebedrijven zijn steeds vaker doelwit van ransomware-aanvallen, waarbij productieprocessen worden stilgelegd. De schade daarvan, zowel financieel als operationeel, kan veel groter zijn dan de kosten van goede beveiliging.

Hoe begin je met NIS2-compliance in een productiebedrijf?

Begin met NIS2-compliance door eerst te bepalen of jouw productiebedrijf daadwerkelijk onder de richtlijn valt. Voer daarna een risicoanalyse uit om te begrijpen waar de grootste kwetsbaarheden zitten. Vanuit die analyse stel je een prioriteitenlijst op en pak je de meest urgente zaken als eerste aan.

Een praktische aanpak in stappen:

  1. Bepaal of je onder NIS2 valt op basis van sector, omvang en activiteiten.
  2. Voer een nulmeting uit om te zien waar je nu staat op het gebied van cybersecurity.
  3. Stel een risicoanalyse op en identificeer de meest kwetsbare systemen en processen.
  4. Implementeer basismaatregelen zoals MFA, toegangsbeleid, encryptie en regelmatige updates.
  5. Stel een incidentresponsplan op zodat je weet wat te doen bij een beveiligingsincident.
  6. Betrek het management actief bij het beveiligingsbeleid en documenteer dit aantoonbaar.
  7. Beoordeel je leveranciersketen op beveiligingsniveau en stel eisen waar nodig.

Voor bedrijven die al werken met Microsoft 365 is er goed nieuws: veel beveiligingsfunctionaliteiten zijn al beschikbaar binnen het platform. Microsoft 365-beveiliging biedt een stevige basis voor NIS2-compliance, mits goed geconfigureerd. Ook kan ISO 27001-begeleiding helpen om je beveiligingsbeleid op een gestructureerde manier in te richten.

Wanneer moet een productiebedrijf voldoen aan NIS2?

In Nederland wordt de NIS2-richtlijn vertaald naar de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. Productiebedrijven die onder de wet vallen, moeten op dat moment aantoonbaar voldoen aan de gestelde eisen. Wachten tot de wet van kracht is, is geen slim idee: de voorbereidingstijd is beperkt.

De Europese deadline voor implementatie van NIS2 lag al in oktober 2024. Nederland loopt iets achter op schema met de nationale vertaling, maar dat betekent niet dat bedrijven achterover kunnen leunen. Toezichthouders kunnen ook al voor de formele inwerkingtreding van de Cyberbeveiligingswet handhavend optreden op basis van de Europese richtlijn zelf.

Wie nu begint met de voorbereiding, heeft meer tijd om rustig de nulmeting te doen, maatregelen te implementeren en het beleid te documenteren. Hoe later je begint, hoe meer druk er op de organisatie komt te staan om in korte tijd grote stappen te zetten.

Hoe IT Aanspreekpunt helpt met NIS2-compliance

Wij begrijpen dat NIS2 voor veel productiebedrijven complex en tijdrovend aanvoelt, zeker als je je primair wilt focussen op je kernactiviteiten. Daarom ontzorgen wij je volledig in het NIS2-traject, van de eerste nulmeting tot de uiteindelijke implementatie van alle vereiste maatregelen.

Wat wij voor je doen:

  • Een heldere nulmeting om te bepalen waar je nu staat en wat er nog moet gebeuren
  • Implementatie van technische beveiligingsmaatregelen zoals MFA, encryptie, patchbeheer en toegangsbeleid
  • Inrichting van Microsoft 365-beveiliging en Intune voor apparaatbeheer
  • Opstellen van een incidentresponsplan en meldprocedures
  • Ondersteuning bij documentatie en rapportage voor bestuurders en toezichthouders
  • Advies over ketenbeveiliging en eisen aan leveranciers

We werken als een betrokken partner die jouw bedrijf echt leert kennen, zodat de oplossingen die we bieden ook echt passen bij jouw situatie. Wil je weten wat NIS2 concreet betekent voor jouw productiebedrijf en hoe je het beste kunt starten? Neem vrijblijvend contact met ons op en we denken graag met je mee.

Ruben Talman

Ik help je
graag verder

Neem contact op

Bel mij terug

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Hoe kunnen we je helpen?

Neem vrijblijvend contact met ons op en ontdek hoe wij jouw IT zorgen wegnemen.

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

0532032153Mail ons