Ga naar hoofdcontent
Terug naar overzicht

NIS2 voor fabrikanten: de IT/OT-grens bepaalt of je audit slaagt of faalt

Door NIS2Certify
nis2productieot-beveiligingnetwerksegmentatiearticle-21
NIS2 voor fabrikanten: de IT/OT-grens bepaalt of je audit slaagt of faalt

NIS2 voor fabrikanten: de IT/OT-grens bepaalt of je audit slaagt of faalt

Een voedingsproducent in Vlaanderen bouwde twee weken voor zijn NIS2-audit de volledige firewallconfiguratie opnieuw op. De reden: één plat netwerk waarin het kantoor-VLAN, de ERP-server en een twaalf jaar oude PLC die een verpakkingslijn aanstuurde, allemaal in hetzelfde broadcastdomein zaten. Eén phishingfactuur op een verkooplaptop had in twee stappen de productievloer kunnen bereiken. De auditor zou dat precies noemen wat het is — een onbeheerd risico onder Article 21.

Dit is het probleem waar de meeste fabrikanten mee bij NIS2 binnenlopen. Ze behandelen het als een IT-compliance-oefening en vergeten dat de richtlijn expliciet de operationele technologie omvat die hun machines aanstuurt. Als je industriële klanten adviseert, is de IT/OT-grens hét gebied waar je de meeste waarde kunt leveren — en waar een slordige opzet een verder degelijke compliance posture onderuithaalt.

Productie valt onder de richtlijn, en de meeste operators weten het nog niet

NIS2 classificeert productie als een important entiteitssector. Dat omvat bedrijven die medische hulpmiddelen, elektronica, machines, motorvoertuigen en bepaalde voedingsmiddelen produceren. De drempel is de standaarddrempel: meer dan 50 werknemers, of een jaaromzet boven €10 miljoen.

Important entiteiten hebben dezelfde Article 21-risicobeheerverplichtingen als essential entiteiten. Het verschil zit in het toezicht. Essential entiteiten krijgen proactieve inspecties; important entiteiten krijgen ex-post toezicht — autoriteiten grijpen in zodra er bewijs is dat er iets is misgegaan. Dat klinkt lichter tot je beseft dat het meestal betekent dat de autoriteit al naar je kijkt omdat je een incident hebt gehad. De standaard is niet lager. Het toezicht arriveert alleen op het slechtst denkbare moment.

Veel plantmanagers gaan ervan uit: "wij maken pompen, geen software, NIS2 gaat niet over ons." Dat doet het wel. De richtlijn definieert OT-systemen als een integraal onderdeel van kritieke digitale infrastructuur. De PLC's, HMI's en SCADA-systemen op de productievloer vallen er duidelijk onder.

Is NIS2 van toepassing op uw organisatie?

1

Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?

JaNee
2

Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?

JaNee
3

Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?

JaNee

NIS2 is niet rechtstreeks van toepassing op uw organisatie.

NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.

!

NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.

Van toepassing
Mogelijk van toepassing
Niet van toepassing

De tien Article 21-maatregelen gelden voor de productievloer, niet alleen voor het kantoor

Wanneer een klant de Article 21-lijst leest — risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, supply chain-beveiliging, cryptografie, toegangscontrole, MFA, secure development, training en effectiviteitsbeoordeling — mapt hij die instinctief op zijn IT-omgeving. Dat is de valkuil.

Elk van die maatregelen heeft een OT-dimensie. Toegangscontrole gaat niet alleen over de domeincontroller; het gaat over wie kan inloggen op de HMI van lijn 3. Bedrijfscontinuïteit gaat niet alleen over het herstellen van e-mail; het gaat over de vraag of je kunt blijven produceren wanneer een controller is gecompromitteerd. Cryptografie en beveiligde communicatie gelden voor de dataverbinding tussen je PLC's en je ERP.

De ENISA Technical Implementation Guidance, gepubliceerd in juni 2025, telt 170 pagina's en vertaalt de Implementing Regulation (EU) 2024/2690 naar concrete, aantoonbare maatregelen over 13 thematische gebieden. Hoewel die verordening alleen bindend is voor specifieke digitale sectoren, is de guidance de duidelijkste beschikbare benchmark voor wat "passend en evenredig" werkelijk betekent. Gebruik het als referentiestandaard voor OT-zware klanten, zelfs waar het niet strikt verplicht is — auditoren herkennen het.

Artikel 21 — 10 NIS2 Cybersecuritymaatregelen

Artikel 21

10 Cybersecuritymaatregelen

Governance & Strategie

1Risicoanalyse & informatiebeveiligingsbeleid
6Effectiviteitsbeoordeling van beveiligingsmaatregelen

Incidenten & Continuïteit

2Incidentafhandeling & melding
3Bedrijfscontinuïteit & disaster recovery

Toeleveringsketen & Systemen

4Beveiliging van de toeleveringsketen
5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemen

Technische Beheersing

8Cryptografie & versleuteling
10Multi-factor authenticatie & veilige communicatie

Mensen & Middelen

7Cyberhygiëne & training
9HR-beveiliging & toegangscontrole

Netwerksegmentatie is de maatregel die auditoren als eerste onderzoeken

Als je één ding doet voor een productieklant vóór zijn eerste audit, segmenteer dan de IT- en OT-netwerken. Een plat netwerk is de snelste manier om een risicoanalyse te laten mislukken, omdat het betekent dat één gecompromitteerd endpoint waar dan ook alles bereikt.

Article 21 noemt netwerksegmentatie niet als een genummerde maatregel, maar het vloeit direct voort uit de risicobeheer- en toegangscontroleverplichtingen. In de praktijk behandelen auditoren het als een basisverwachting voor elke omgeving met productiesystemen. De segmentatie- en toegangscontroletaal van de richtlijn mapt vrijwel één-op-één op het zone-and-conduit-model uit IEC 62443 — het kader waartegen de auditor van je klant het meest waarschijnlijk benchmarkt.

Een werkbare doelarchitectuur voor een typische fabriek ziet er zo uit. Het OT-segment bevat de PLC's, HMI's en productiemachines, fysiek of logisch gescheiden van het kantoornetwerk. De verbinding met de ERP-server is beperkt en idealiter eenrichting — productiedata stroomt naar buiten, niets routeert ongevraagd naar binnen. Het OT-segment heeft geen directe internettoegang. Remote vendor-toegang tot machines verloopt via een gecontroleerde jump host, niet via een platte VPN die een technicus op hetzelfde subnet als de controllers afzet.

Hier vind je ook het legacy-probleem. Fabrieken draaien controllers die tien of vijftien jaar oud zijn, niet gepatcht kunnen worden en nooit ontworpen waren om netwerkbloot te staan. Je kunt ze er niet uithalen. Segmentatie is de compenserende maatregel die een niet-patchbaar asset in dienst laat blijven zonder het breachpad te worden. Documenteer het zo en de auditor ziet een beheerd risico in plaats van een genegeerd risico.

Incidentmelding pauzeert niet voor de productielijn

Fabrikanten aarzelen bij incidentmelding omdat het stilleggen van een lijn per minuut geld kost. De deadlines trekken zich daar niets van aan. Een significant incident triggert een 24-uurs vroege waarschuwing, een 72-uurs volledige melding en een eindrapport binnen 30 dagen — dezelfde klok die geldt voor een bank of een ziekenhuis.

Het lastige voor OT-omgevingen is detectie. Als je klant geen monitoring op het productienetwerk heeft, weet hij pas dat een incident significant is wanneer het de output al verstoort — en tegen die tijd tikt het 24-uursvenster al. Continue monitoring van het OT-segment is geen nice-to-have; het is wat de meldplicht überhaupt haalbaar maakt. Bouw de detectiecapaciteit en de meldingsdeadlines worden beheersbaar. Sla het over en je klant meldt blind, te laat of helemaal niet.

NIS2 Incidentmeldingstijdlijn

24h

Vroege Waarschuwing

Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).

72h

Incidentmelding

Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.

1mo

Eindrapport

Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.

Wat te doen vóór 30 juni 2026

De eerste NIS2-auditdeadline voor entiteiten binnen scope is 30 juni 2026. Voor een productieklant die start vanaf een plat netwerk is dat krap maar niet onmogelijk, mits je het juist sequenceert.

Begin met een asset-inventarisatie van de OT-omgeving — je kunt niet segmenteren of beschermen wat je niet in kaart hebt gebracht, en de meeste fabrieken hebben geen actuele inventaris van hun controllers. Trek vervolgens de zonegrenzen: kantoor, ERP/DMZ en OT, met gedocumenteerde conduits ertussen. Implementeer de IT/OT-scheiding en zet remote access vast via een jump host met MFA. Leg monitoring over het OT-segment zodat incidentdetectie daadwerkelijk mogelijk is. Documenteer ten slotte elke compenserende maatregel voor de legacy-assets die je niet kunt patchen, want die documentatie zet de rode vlag van een auditor om in een geaccepteerd risico.

De klanten die NIS2 als puur IT-project behandelen, slagen voor de kantoorzijde-checks en falen op de productievloer. Degenen die de IT/OT-grens goed krijgen, lopen de audit binnen met de moeilijkste vraag al beantwoord.

Wil je snel weten waar een productieklant werkelijk staat tegenover Article 21 — inclusief de OT-maatregelen die de meeste assessments overslaan — laat ze dan door de NIS2 readiness quick scan gaan. Die brengt de segmentatie- en OT-gaps in beeld voordat een auditor dat doet.

Voor de onderliggende maatregelen in detail, zie onze uitsplitsing van de tien Article 21-maatregelen, en voor klanten die nog twijfelen of ze überhaupt onder de richtlijn vallen, valt NIS2 op mij van toepassing.

    NIS2 voor fabrikanten: de IT/OT-grens bepaalt of je audit slaagt of faalt — NIS2Certify