Bijna één op de drie maakbedrijven niet klaar voor NIS2 terwijl invoering nadert

De Nederlandse maakindustrie heeft nog een flinke inhaalslag te maken op het gebied van cybersecurity. Uit onderzoek van Cegeka maakbedrijven blijkt dat 32% onvoldoende voorbereid is op de aangescherpte eisen van de Europese NIS2-richtlijn. Nu de wet op 15 augustus definitief van kracht wordt, dreigt een aanzienlijk deel van de sector niet tijdig aan de nieuwe verplichtingen te voldoen. Juist in een periode van geopolitieke spanningen vergroot deze achterblijvende vooruitgang de kwetsbaarheid van organisaties.

Groeiende verschillen in cyberweerbaarheid
De digitale weerbaarheid in de maakindustrie loopt sterk uiteen. De sector scoort gemiddeld een 7,6, maar de best presterende bedrijven wisten hun score tijdens de onderzoeksperiode met 13 procent te verhogen. Bij de minder goed scorende organisaties daalde deze score tot wel 62 procent. Dit leidt tot een groeiende kloof tussen koplopers en achterblijvers.

Volgens Remco Geerts – cybersecurity-expert bij Cegeka – krikken de goed scorende bedrijven hun score verder op omdat zij cyberdreigingen als strategisch risico zien en hier ook naar handelen. “Zij oefenen met cyberaanvallen en investeren voor de lange termijn in continue monitoring en herstelvermogen. De minder scorende bedrijven doen vooral ad hoc uitgaven in cybersecurity.”

Volgens Henk Bijsterbosch, Manager kennispartner team bij Samen Digitaal Veilig, gaat NIS2 verder dan IT-beveiliging. “NIS2 draait om continuïteit van de maakindustrie. De wet raakt de gehele productieomgeving en toeleveringsketen. De zwakste schakel bepaalt het risico, waardoor alle leveranciers in de keten moeten kunnen aantonen hoe veilig ze werken.”

Digitalisering en ketenafhankelijkheid vergroten risico
De kans op cyberincidenten in de maakindustrie neemt toe, aangezien steeds meer productieprocessen worden aangestuurd door met elkaar verbonden robots, slimme systemen en AI. Door deze verwevenheid kan een aanval in één onderdeel mogelijk effect hebben op meerdere systemen binnen de organisatie.

Daarnaast maakt de sterke afhankelijkheid van de toeleveringsketen de maakindustrie extra kwetsbaar. Geerts: Zwakke schakels in de keten kunnen gebruikt worden als toegangspunt voor aanvallen. Hierdoor kan de productie stilvallen, wat kan doorwerken in de keten, bijvoorbeeld in de bevoorrading van supermarkten. Herstelkosten lopen daarbij snel op.”

NIS2 als stabilisator van maakindustrie
Volgens Bijsterbosch moet de Nederlandse maakindustrie de verplichte NIS2-maatregelen serieus nemen en op tijd actie ondernemen. Niet alleen op technologisch vlak, maar ook op organisatorisch vlak: “Iedereen heeft een mening over NIS2, maar we kunnen er vanaf 15 augustus niet meer omheen. Investeren in cybersecurity en een juiste governance is juist nu noodzakelijk om je productie, imago, continuïteit en concurrentiepositie te beschermen.”

Geerts vult aan: “NIS2 gaat niet alleen over compliance, maar over continuïteit van bedrijfsvoering. Bedrijven die nu niet investeren in structurele cyberweerbaarheid lopen het risico achterop te raken in een steeds digitalere en kwetsbaardere keten.”

Bronnen
Onderzoek Cegeka: https://www.cegeka.com/nl-nl/ebooks/hoe-cyberweerbaar-is-de-maakindustrie