NIS2 voor fabrikanten: de IT/OT-grens bepaalt of je audit slaagt of faalt

NIS2 voor fabrikanten: de IT/OT-grens bepaalt of je audit slaagt of faalt
Een voedingsproducent in Vlaanderen bouwde twee weken voor zijn NIS2-audit de volledige firewallconfiguratie opnieuw op. De reden: één plat netwerk waarin het kantoor-VLAN, de ERP-server en een twaalf jaar oude PLC die een verpakkingslijn aanstuurde, allemaal in hetzelfde broadcastdomein zaten. Eén phishingfactuur op een verkooplaptop had in twee stappen de productievloer kunnen bereiken. De auditor zou dat precies noemen wat het is — een onbeheerd risico onder Article 21.
Dit is het probleem waar de meeste fabrikanten mee bij NIS2 binnenlopen. Ze behandelen het als een IT-compliance-oefening en vergeten dat de richtlijn expliciet de operationele technologie omvat die hun machines aanstuurt. Als je industriële klanten adviseert, is de IT/OT-grens hét gebied waar je de meeste waarde kunt leveren — en waar een slordige opzet een verder degelijke compliance posture onderuithaalt.
Productie valt onder de richtlijn, en de meeste operators weten het nog niet
NIS2 classificeert productie als een important entiteitssector. Dat omvat bedrijven die medische hulpmiddelen, elektronica, machines, motorvoertuigen en bepaalde voedingsmiddelen produceren. De drempel is de standaarddrempel: meer dan 50 werknemers, of een jaaromzet boven €10 miljoen.
Important entiteiten hebben dezelfde Article 21-risicobeheerverplichtingen als essential entiteiten. Het verschil zit in het toezicht. Essential entiteiten krijgen proactieve inspecties; important entiteiten krijgen ex-post toezicht — autoriteiten grijpen in zodra er bewijs is dat er iets is misgegaan. Dat klinkt lichter tot je beseft dat het meestal betekent dat de autoriteit al naar je kijkt omdat je een incident hebt gehad. De standaard is niet lager. Het toezicht arriveert alleen op het slechtst denkbare moment.
Veel plantmanagers gaan ervan uit: "wij maken pompen, geen software, NIS2 gaat niet over ons." Dat doet het wel. De richtlijn definieert OT-systemen als een integraal onderdeel van kritieke digitale infrastructuur. De PLC's, HMI's en SCADA-systemen op de productievloer vallen er duidelijk onder.
Is NIS2 van toepassing op uw organisatie?
1Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼Nee▼2Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼Nee▼✓NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼!NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →2Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →3Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →✗NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassingMogelijk van toepassingNiet van toepassing
De tien Article 21-maatregelen gelden voor de productievloer, niet alleen voor het kantoor
Wanneer een klant de Article 21-lijst leest — risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, supply chain-beveiliging, cryptografie, toegangscontrole, MFA, secure development, training en effectiviteitsbeoordeling — mapt hij die instinctief op zijn IT-omgeving. Dat is de valkuil.
Elk van die maatregelen heeft een OT-dimensie. Toegangscontrole gaat niet alleen over de domeincontroller; het gaat over wie kan inloggen op de HMI van lijn 3. Bedrijfscontinuïteit gaat niet alleen over het herstellen van e-mail; het gaat over de vraag of je kunt blijven produceren wanneer een controller is gecompromitteerd. Cryptografie en beveiligde communicatie gelden voor de dataverbinding tussen je PLC's en je ERP.
De ENISA Technical Implementation Guidance, gepubliceerd in juni 2025, telt 170 pagina's en vertaalt de Implementing Regulation (EU) 2024/2690 naar concrete, aantoonbare maatregelen over 13 thematische gebieden. Hoewel die verordening alleen bindend is voor specifieke digitale sectoren, is de guidance de duidelijkste beschikbare benchmark voor wat "passend en evenredig" werkelijk betekent. Gebruik het als referentiestandaard voor OT-zware klanten, zelfs waar het niet strikt verplicht is — auditoren herkennen het.
Artikel 21 — 10 NIS2 Cybersecuritymaatregelen
Artikel 21
10 Cybersecuritymaatregelen
Governance & Strategie
1Risicoanalyse & informatiebeveiligingsbeleid6Effectiviteitsbeoordeling van beveiligingsmaatregelenIncidenten & Continuïteit
2Incidentafhandeling & melding3Bedrijfscontinuïteit & disaster recoveryToeleveringsketen & Systemen
4Beveiliging van de toeleveringsketen5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemenTechnische Beheersing
8Cryptografie & versleuteling10Multi-factor authenticatie & veilige communicatieMensen & Middelen
7Cyberhygiëne & training9HR-beveiliging & toegangscontrole
Netwerksegmentatie is de maatregel die auditoren als eerste onderzoeken
Als je één ding doet voor een productieklant vóór zijn eerste audit, segmenteer dan de IT- en OT-netwerken. Een plat netwerk is de snelste manier om een risicoanalyse te laten mislukken, omdat het betekent dat één gecompromitteerd endpoint waar dan ook alles bereikt.
Article 21 noemt netwerksegmentatie niet als een genummerde maatregel, maar het vloeit direct voort uit de risicobeheer- en toegangscontroleverplichtingen. In de praktijk behandelen auditoren het als een basisverwachting voor elke omgeving met productiesystemen. De segmentatie- en toegangscontroletaal van de richtlijn mapt vrijwel één-op-één op het zone-and-conduit-model uit IEC 62443 — het kader waartegen de auditor van je klant het meest waarschijnlijk benchmarkt.
Een werkbare doelarchitectuur voor een typische fabriek ziet er zo uit. Het OT-segment bevat de PLC's, HMI's en productiemachines, fysiek of logisch gescheiden van het kantoornetwerk. De verbinding met de ERP-server is beperkt en idealiter eenrichting — productiedata stroomt naar buiten, niets routeert ongevraagd naar binnen. Het OT-segment heeft geen directe internettoegang. Remote vendor-toegang tot machines verloopt via een gecontroleerde jump host, niet via een platte VPN die een technicus op hetzelfde subnet als de controllers afzet.
Hier vind je ook het legacy-probleem. Fabrieken draaien controllers die tien of vijftien jaar oud zijn, niet gepatcht kunnen worden en nooit ontworpen waren om netwerkbloot te staan. Je kunt ze er niet uithalen. Segmentatie is de compenserende maatregel die een niet-patchbaar asset in dienst laat blijven zonder het breachpad te worden. Documenteer het zo en de auditor ziet een beheerd risico in plaats van een genegeerd risico.
Incidentmelding pauzeert niet voor de productielijn
Fabrikanten aarzelen bij incidentmelding omdat het stilleggen van een lijn per minuut geld kost. De deadlines trekken zich daar niets van aan. Een significant incident triggert een 24-uurs vroege waarschuwing, een 72-uurs volledige melding en een eindrapport binnen 30 dagen — dezelfde klok die geldt voor een bank of een ziekenhuis.
Het lastige voor OT-omgevingen is detectie. Als je klant geen monitoring op het productienetwerk heeft, weet hij pas dat een incident significant is wanneer het de output al verstoort — en tegen die tijd tikt het 24-uursvenster al. Continue monitoring van het OT-segment is geen nice-to-have; het is wat de meldplicht überhaupt haalbaar maakt. Bouw de detectiecapaciteit en de meldingsdeadlines worden beheersbaar. Sla het over en je klant meldt blind, te laat of helemaal niet.
NIS2 Incidentmeldingstijdlijn
24hVroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
Stap 172hIncidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
Stap 21moEindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Stap 324hVroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72hIncidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1moEindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Wat te doen vóór 30 juni 2026
De eerste NIS2-auditdeadline voor entiteiten binnen scope is 30 juni 2026. Voor een productieklant die start vanaf een plat netwerk is dat krap maar niet onmogelijk, mits je het juist sequenceert.
Begin met een asset-inventarisatie van de OT-omgeving — je kunt niet segmenteren of beschermen wat je niet in kaart hebt gebracht, en de meeste fabrieken hebben geen actuele inventaris van hun controllers. Trek vervolgens de zonegrenzen: kantoor, ERP/DMZ en OT, met gedocumenteerde conduits ertussen. Implementeer de IT/OT-scheiding en zet remote access vast via een jump host met MFA. Leg monitoring over het OT-segment zodat incidentdetectie daadwerkelijk mogelijk is. Documenteer ten slotte elke compenserende maatregel voor de legacy-assets die je niet kunt patchen, want die documentatie zet de rode vlag van een auditor om in een geaccepteerd risico.
De klanten die NIS2 als puur IT-project behandelen, slagen voor de kantoorzijde-checks en falen op de productievloer. Degenen die de IT/OT-grens goed krijgen, lopen de audit binnen met de moeilijkste vraag al beantwoord.
Wil je snel weten waar een productieklant werkelijk staat tegenover Article 21 — inclusief de OT-maatregelen die de meeste assessments overslaan — laat ze dan door de NIS2 readiness quick scan gaan. Die brengt de segmentatie- en OT-gaps in beeld voordat een auditor dat doet.
Voor de onderliggende maatregelen in detail, zie onze uitsplitsing van de tien Article 21-maatregelen, en voor klanten die nog twijfelen of ze überhaupt onder de richtlijn vallen, valt NIS2 op mij van toepassing.
