Op maandagochtend start de productie. Medewerkers loggen in, machines draaien, orders worden verwerkt en leveringen moeten op tijd de deur uit. Als alles werkt, denkt niemand na over de IT-omgeving daarachter. En daar zit precies het risico.
In de maakindustrie zijn IT en productie steeds nauwer met elkaar verbonden. ERP-systemen, werkplekken, scanners, machines, sensoren en leveranciersportalen vormen samen één keten. Valt daar iets in om, dan raakt dat niet alleen de afdeling IT, maar ook planning, productie, kwaliteit en klantafspraken.
Wat is NIS2?
Met de Cyberbeveiligingswet (de Nederlandse invulling van NIS2) wordt digitale weerbaarheid voor veel organisaties concreter en urgenter. De wet treedt op 1 juli 2026 in werking. Maar de belangrijkste vraag is niet of je moet voldoen aan NIS2. De betere vraag is of je genoeg grip hebt op de digitale omgeving waar je productie dagelijks van afhankelijk is.
Veel maakbedrijven ervaren wet- en regelgeving als een voortdurende worsteling. NIS2 zorgt daarbij voor extra onzekerheid: vallen we onder de wet, welke maatregelen zijn nodig, wie is verantwoordelijk en waar beginnen we eigenlijk? Dat zijn logische vragen. Maar de risico’s die de wet adresseert, zijn er nu al. De overheid adviseert nadrukkelijk om niet af te wachten.
IT en OT vragen om overzicht
Voor maakbedrijven is dat herkenbaar. Digitalisering is volop bezig, maar de basis is niet altijd op orde. Kritische kennis zit bij een beperkt aantal medewerkers, IT is uitbesteed zonder dat de regie is meegenomen, en er is interesse in AI en automatisering, maar zonder een solide fundament is dat niet verantwoord.
In de maakindustrie loopt de grens tussen kantoorautomatisering (IT) en productiesystemen (OT) steeds meer door elkaar. Dat biedt kansen, maar vergroot ook het aanvalsoppervlak. Een oud besturingssysteem op een machine, een niet-gesegmenteerd netwerk of een leverancier met directe toegang tot je systemen kan de ingang zijn voor een aanval die je volledige productie stillegt.
NIS2-voorbereiding begint dan ook niet bij een afvinklijstje, maar bij overzicht. Welke systemen zijn bedrijfskritisch, wie heeft toegang tot wat, zijn back-ups getest en is er een plan bij een incident? Die vragen zijn niet alleen relevant voor compliance. Ze raken direct aan de continuïteit van je bedrijf.
Van afhankelijkheid naar regie
Een situatie die we in het mkb en de maakindustrie vaak tegenkomen: de afhankelijkheid van een klein aantal sleutelpersonen. Zolang die mensen er zijn, loopt alles. Maar zodra iemand ziek wordt of vertrekt, blijkt hoeveel kennis in hoofden zit in plaats van in processen en beheerde systemen.
Hetzelfde geldt voor IT-outsourcing. Veel bedrijven zien uitbesteden als noodzakelijk, maar vinden het tegelijkertijd spannend omdat ze het gevoel hebben de controle te verliezen. Goede outsourcing gaat echter niet over loslaten. Het gaat over regie organiseren: één duidelijk aanspreekpunt, inzicht in de volledige omgeving en afspraken die passen bij de dagelijkse praktijk.
Beginnen met een NIS2-quickscan
Het helpt om niet meteen alles te willen oplossen. Breng eerst in kaart waar je staat. Bij CTNET helpen we maakbedrijven met een praktische NIS2-quickscan: we brengen in kaart welke systemen en processen bedrijfskritisch zijn, waar de grootste gaten zitten op het gebied van toegangsbeheer, back-ups, incidentrespons en OT-security, en welke stappen direct waarde toevoegen. Geen dik rapport dat ergens in een la belandt, maar concrete prioriteiten en uitvoerbare vervolgstappen.
NIS2 kan voelen als een extra verplichting. Voor de maakindustrie is het ook een goed moment om de digitale basis opnieuw te bekijken, niet omdat de wet dat vraagt, maar omdat productie nu eenmaal afhankelijk is van systemen die moeten blijven werken.
Benieuwd waar jouw organisatie staat richting NIS2 en digitale weerbaarheid? We denken graag praktisch met je mee. De koffie staat klaar, in Haren of Heerenveen.