NIS2 in de maakindustrie: de grootste uitdaging ligt in de toeleveringsketen

Marcel

juni 16, 2026

De komst van de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van NIS2, brengt nieuwe verantwoordelijkheden met zich mee voor organisaties in de maakindustrie. Uit recente resultaten van de NIS2 Quickscan van de Rijksinspectie Digitale Infrastructuur (RDI) blijkt dat veel organisaties zichzelf nog onvoldoende voorbereid achten op een aantal belangrijke onderdelen van de wet. Vooral het beheersen van risico’s in de toeleveringsketen blijkt een aandachtspunt.

Voor veel productiebedrijven is dat niet verrassend. Moderne productieprocessen zijn afhankelijk van leveranciers van software, machines, onderdelen, logistieke diensten en cloudoplossingen. Een kwetsbaarheid bij één leverancier kan direct gevolgen hebben voor de continuïteit van de eigen organisatie.

Wat zegt de RDI over de maakindustrie?

De RDI analyseerde 356 volledig ingevulde NIS2 Quickscans uit de sector vervaardiging. Uit deze zelfevaluaties blijkt dat organisaties zichzelf het laagst beoordelen op drie onderwerpen:

  • Het verminderen van risico’s in de toeleveringsketen.
  • Het opstellen van een meldingsprocedure voor significante incidenten.
  • Het trainen van bestuurders op het gebied van cyberrisico’s en governance.

Tegelijkertijd geven organisaties aan dat zij relatief goed scoren op:

  • Multifactor-authenticatie en beveiligde communicatiesystemen.
  • Incidentbehandeling en registratie van beveiligingsincidenten.
  • Rapportage van cyberdreigingen aan relevante stakeholders.

De resultaten sluiten aan bij een breder beeld dat de RDI ook in andere sectoren ziet. Leveranciersbeheer en bestuurdersverantwoordelijkheid behoren vrijwel overal tot de grootste uitdagingen bij de voorbereiding op NIS2.

Waarom leveranciersrisico’s zo belangrijk zijn onder NIS2

NIS2 legt nadrukkelijk meer verantwoordelijkheid bij organisaties om ook risico’s binnen hun keten te beheersen. Een organisatie moet niet alleen haar eigen systemen beveiligen, maar ook inzicht hebben in de digitale risico’s van leveranciers en dienstverleners.

Voor maakbedrijven kan dit een uitdaging zijn:

  • Honderden tot duizenden leveranciers.
  • Beperkte capaciteit om leveranciers handmatig te beoordelen.
  • Gebrek aan actuele informatie over cyberincidenten bij leveranciers.
  • Moeilijk inzicht in welke leveranciers kritisch zijn voor productieprocessen.

Traditioneel wordt leveranciersbeheer vaak uitgevoerd via vragenlijsten en audits. Deze aanpak is arbeidsintensief, momentopnames zijn snel verouderd en antwoorden zijn niet altijd objectief.

Hoe RiskStudio helpt bij NIS2-compliance

RiskStudio ondersteunt organisaties bij het invullen van hun zorgplicht rondom leveranciers en ketenrisico’s.

1. Continue monitoring van leveranciers

Veel organisaties beoordelen hun leveranciers jaarlijks met een vragenlijst of audit. Het nadeel van deze aanpak is dat de situatie van een leverancier tussen twee beoordelingen aanzienlijk kan veranderen. RiskStudio biedt daarom continue monitoring van leveranciers. Het platform volgt onder andere datalekken, ransomware-incidenten, bekende kwetsbaarheden, veranderingen in de digitale footprint en de algemene cyberweerbaarheid van organisaties. Hierdoor beschikken bedrijven altijd over actuele informatie en kunnen zij sneller reageren wanneer het risicoprofiel van een leverancier verandert.

2. Inzicht in kritische afhankelijkheden

Niet iedere leverancier vormt hetzelfde risico. NIS2 verlangt daarom dat organisaties risico’s beoordelen op basis van hun impact op de bedrijfsvoering. RiskStudio maakt inzichtelijk welke leveranciers gekoppeld zijn aan kritische processen, bedrijfsonderdelen of andere belangrijke assets binnen de organisatie. Door deze afhankelijkheden vast te leggen ontstaat een duidelijk overzicht van welke leveranciers essentieel zijn voor de continuïteit van de organisatie. Dit helpt om prioriteiten te stellen en de beschikbare tijd en middelen te richten op de leveranciers die het grootste risico vormen.

3. Onderbouwing voor governance en bestuur

Onder NIS2 krijgen bestuurders een expliciete verantwoordelijkheid voor cyberrisicobeheer. Zij moeten niet alleen toezicht houden, maar ook aantoonbaar betrokken zijn bij het beheersen van cyberrisico’s. De resultaten van de RDI Quickscan laten zien dat juist dit onderwerp voor veel organisaties in de maakindustrie nog een uitdaging vormt. RiskStudio ondersteunt bestuurders en managementteams met begrijpelijke managementinformatie die technische risico’s vertaalt naar zakelijke impact. Hierdoor ontstaat beter inzicht in risico’s, afhankelijkheden en benodigde maatregelen, wat helpt bij het nemen van goed onderbouwde beslissingen.

4. Vroegtijdige signalering van incidenten

Wanneer een belangrijke leverancier slachtoffer wordt van een cyberincident, kan dit directe gevolgen hebben voor de eigen organisatie. Daarom is het essentieel om incidenten zo vroeg mogelijk te signaleren. RiskStudio verzamelt continu informatie uit openbare bronnen, nieuwsberichten en andere digitale signalen om relevante ontwikkelingen bij leveranciers te detecteren. Hierdoor kunnen organisaties sneller bepalen welke impact een incident heeft, passende maatregelen nemen en waar nodig voldoen aan meldings- of rapportageverplichtingen. Zo wordt een organisatie niet verrast door problemen in de keten, maar krijgt zij de mogelijkheid om proactief te handelen.

Van compliance naar weerbaarheid

De RDI-resultaten laten zien dat veel organisaties in de maakindustrie al stappen hebben gezet op het gebied van technische beveiliging. De grootste uitdaging verschuift echter naar governance en ketenbeveiliging.

NIS2 draait niet alleen om voldoen aan wetgeving. Het doel is om de digitale weerbaarheid van organisaties en hun ecosystemen te vergroten. Organisaties die vandaag investeren in inzicht, monitoring en risicobeheer binnen hun leveranciersketen bouwen niet alleen aan compliance, maar ook aan een sterkere en veerkrachtigere organisatie.

Conclusie

Uit de NIS2 Quickscan van de RDI blijkt dat organisaties in de sector vervaardiging vooral uitdagingen zien rondom leveranciersrisico’s, incidentmeldingen en bestuurdersverantwoordelijkheid. Vooral het beheersen van risico’s in de toeleveringsketen vraagt om een structurele aanpak.

Met RiskStudio kunnen organisaties leveranciers continu monitoren, afhankelijkheden inzichtelijk maken, cyberincidenten volgen en bestuurders voorzien van actuele risicoinformatie. Daarmee wordt NIS2 niet alleen een compliance-oefening, maar een praktische stap naar een veiligere en weerbaardere supply chain.