TL;DR: Vlaamse maakbedrijven met meer dan 50 werknemers vallen als “belangrijke entiteit” onder de Belgische NIS2-wet. Dat betekent verplichte beveiligingsmaatregelen, incidentmelding bij het CCB en aandacht voor de cyberveiligheid van uw toeleveringsketen. De maakindustrie is wereldwijd het zwaarst getroffen door ransomware, maar via VLAIO-subsidies kunt u tot 50% van uw beveiligingstraject laten financieren.
West-Vlaanderen is de industriële motor van België. Van machinebouwers in de Mandelvallei tot voedingsproducenten langs de E403: de maakindustrie vormt de economische ruggengraat van de regio. Maar diezelfde bedrijven staan voor een nieuwe realiteit. De Belgische NIS2-wet, van kracht sinds 18 oktober 2024, brengt productiebedrijven onder een streng cybersecurityregime. Registratie, risicoanalyse, incidentmelding en een verplichte conformiteitsbeoordeling: het is veel tegelijk. In dit artikel leest u wat NIS2 concreet betekent voor uw maakbedrijf, welke risico’s de sector extra kwetsbaar maken en hoe Vlaamse subsidies de financiële drempel verlagen.
Valt uw maakbedrijf onder NIS2?
De Belgische NIS2-wet classificeert de volledige vervaardigingssector als een “andere kritieke sector”. Of uw bedrijf eronder valt, hangt af van de omvang. Middelgrote ondernemingen (50 of meer werknemers, meer dan 10 miljoen euro omzet) worden geclassificeerd als “belangrijke entiteit”. Grote ondernemingen (250+ werknemers of meer dan 50 miljoen euro omzet) kunnen als “essentiële entiteit” worden aangemerkt.
De subsectoren die expliciet in de wet worden genoemd, bestrijken een breed scala aan industriële activiteiten: medische hulpmiddelen, informaticaproducten, elektrische apparatuur, machines en werktuigen, motorvoertuigen en andere transportmiddelen. Voor de West-Vlaamse context betekent dit dat metaalbedrijven, machinebouwers, voedingsproducenten en textielbedrijven vrijwel allemaal in scope vallen.
Let op: maakt uw bedrijf deel uit van een groep of holding? Dan worden de cijfers geconsolideerd. Een Vlaamse vestiging met 80 werknemers die behoort tot een internationale groep met 500 medewerkers en 60 miljoen euro omzet, valt onder de strengere verplichtingen voor essentiële entiteiten. Twijfelt u? Via het Safeonweb@Work-portaal biedt het CCB een NIS2 Scope Test Tool aan. Een volledig overzicht van alle NIS2-verplichtingen leest u in onze complete NIS2-gids.
Waarom is de maakindustrie een aantrekkelijk doelwit voor cyberaanvallen?
De maakindustrie is wereldwijd de zwaarst getroffen sector door ransomware. In 2025 steeg het aantal ransomware-aanvallen op productiebedrijven met 56% tot meer dan 1.400 incidenten, volgens onderzoek van Comparitech. De gemiddelde losgeldeis voor de sector verdubbelde naar 1,16 miljoen dollar. Waarom juist de maakindustrie?
Het antwoord ligt in de lage tolerantie voor stilstand. Elke minuut dat een productielijn stil ligt, kost geld. Aanvallers weten dat productiebedrijven sneller geneigd zijn om losgeld te betalen dan organisaties in andere sectoren. Daar komt bij dat veel fabrieksomgevingen werken met verouderde besturingssystemen en industriële controllers (PLC’s) die niet ontworpen zijn met cybersecurity in gedachten. De aanval op de Picanol Group in 2020 is nog altijd het meest sprekende Belgische voorbeeld: de productie in drie landen lag volledig stil en duizenden werknemers konden dagenlang niet werken.
Bovendien versnelt de dreiging. Volgens Sophos zijn geëxploiteerde kwetsbaarheden de belangrijkste oorzaak van ransomware in de maakindustrie (32% van de incidenten), gevolgd door kwaadaardige e-mails (23%). Bij 42,5% van de getroffen productiebedrijven was een gebrek aan expertise de belangrijkste factor die de aanval mogelijk maakte.
De 5 grootste cyberrisico’s voor productiebedrijven
Productiebedrijven hebben te maken met een unieke combinatie van risico’s die kantooromgevingen niet kennen. Hieronder de vijf meest kritieke:
1. De vervagende grens tussen IT en OT Waar machines vroeger volledig los stonden van het kantoornetwerk, zijn ze nu verbonden voor real-time data, voorspellend onderhoud en supply chain-optimalisatie. Die connectie betekent ook dat ransomware die op een kantoorlaptop binnenkomt, kan doorlopen naar de productielijnen. Onderzoek toont dat bijna 70% van de industriële bedrijven het afgelopen jaar een cyberaanval op hun OT-omgeving heeft ervaren. Meer over het fundamentele verschil tussen IT en OT security leest u in ons eerdere artikel.
2. Legacy-systemen die niet gepatcht kunnen worden Veel PLC’s en SCADA-systemen draaien op verouderde firmware die niet geüpdatet kan worden zonder de productie te onderbreken. Ze gebruiken protocollen zoals Modbus en Profibus die inherent onveilig zijn: geen encryptie, geen authenticatie.
3. Kwetsbare remote access Machineleveranciers en onderhoudstechnici krijgen vaak externe toegang tot de productieomgeving voor onderhoud op afstand. Zonder Multi-Factor Authenticatie (MFA) en strikt toegangsbeheer is dat een open achterdeur voor aanvallers.
4. Supply chain als aanvalsvector Productiebedrijven zijn afhankelijk van een complex netwerk van toeleveranciers. Onder NIS2 bent u juridisch verantwoordelijk voor incidenten, zelfs als de oorzaak bij een externe leverancier ligt. Dat vereist cybersecurity-clausules in inkoopcontracten en een systematische risico-evaluatie van kritieke leveranciers.
5. Diefstal van intellectuele eigendom Ontwerptekeningen, productieprocessen, klantgegevens en prijsafspraken: aanvallers combineren tegenwoordig versleuteling met datadiefstal. Ze dreigen gestolen informatie publiek te maken als het losgeld niet betaald wordt. Voor een machinebouwer met gepatenteerde ontwerpen kan dat een existentieel risico zijn.
Netwerksegmentatie is een van de belangrijkste tegenmaatregelen om te voorkomen dat een aanval zich verspreidt van het kantoornetwerk naar de fabrieksvloer.
Welke NIS2-maatregelen gelden specifiek voor manufacturing?
Het CCB heeft het CyberFundamentals (CyFun) framework ontwikkeld als praktische route naar NIS2-compliance. Voor de meeste middelgrote productiebedrijven (“belangrijke entiteiten”) is het Important-niveau met 117 controls de standaard. Meer over de opbouw van het CyFun-framework leest u in ons dedicated artikel.
Maar welke controls zijn specifiek relevant voor de fabrieksvloer?
Asset management: U moet een volledige inventaris hebben van alle hardware en software in uw productieomgeving. Dat klinkt vanzelfsprekend, maar veel bedrijven hebben geen actueel overzicht van alle PLC’s, sensoren, HMI’s en netwerkcomponenten op de werkvloer. Traditionele IT-tools zien deze “agentless” apparaten vaak niet.
Netwerksegmentatie: Het fysiek of logisch scheiden van het kantoornetwerk en de productieomgeving is een van de meest effectieve maatregelen. Het Purdue-model voor industriële netwerken biedt hiervoor een beproefd referentiekader, waarbij een DMZ (Demilitarized Zone) het verkeer tussen kantoor en fabriek filtert en controleert.
Toegangsbeheer en MFA: Elke vorm van externe toegang tot uw OT-omgeving moet beveiligd zijn met Multi-Factor Authenticatie. Geen uitzonderingen voor machineleveranciers of onderhoudstechnici.
Monitoring en detectie: Continu scannen van netwerkverkeer op ongebruikelijke patronen, specifiek gericht op industriële protocollen. Een onverwachte instructie naar een PLC kan een teken zijn van een aanval.
Bedrijfscontinuïteitsplanning: Geteste back-up- en herstelprocedures die rekening houden met de specifieke herstartvolgorde van industriële systemen. Een productielijn herstart je niet zoals een kantoorpc.
Sinds 2025 vereist CyFun ook een “Govern”-functie: gedocumenteerde cybersecurity-policies die goedgekeurd zijn door de directie. Bestuurders zijn onder NIS2 persoonlijk aansprakelijk voor het naleven van beveiligingsmaatregelen en moeten deelnemen aan cybersecurity-trainingen.
VLAIO-subsidies voor Vlaamse maakbedrijven
De transitie naar NIS2-compliance vergt een investering, maar de Vlaamse overheid maakt die aanzienlijk draaglijker. Via VLAIO zijn er twee hoofdkanalen:
Cybersecurity verbetertrajecten bieden de meest gerichte ondersteuning. VLAIO subsidieert 50% van de kosten voor KMO’s bij een erkende dienstverlener:
| Pakket | Inhoud | Prijs (excl. btw) | Na 50% subsidie |
|---|---|---|---|
| START | Eerste analyse en actieplan | €7.100 tot €11.900 | €3.550 tot €5.950 |
| MEDIUM | Analyse + actieplan + beperkte begeleiding | €16.600 tot €28.600 | €8.300 tot €14.300 |
| PLUS | Analyse + actieplan + volledige begeleiding | €26.500 tot €39.900 | €13.250 tot €19.950 |
Meer details over de pakketten en aanvraagprocedure leest u in ons artikel over het VLAIO cybersecurity verbetertraject.
De KMO-portefeuille biedt sinds 1 februari 2026 subsidie exclusief voor cybersecurity-advies: 45% voor kleine en 35% voor middelgrote ondernemingen, met een plafond van €7.500 per jaar. Een specifieke OT-audit, een incident response plan of een cybersecurity-opleiding voor operatoren vallen hier allemaal onder.
Rekenvoorbeeld voor een machinebouwer met 120 werknemers:
Een West-Vlaams productiebedrijf wil zijn volledige omgeving beveiligen conform NIS2. Het kiest een PLUS verbetertraject (€35.000) en investeert in opleiding voor het personeel (€5.000 via KMO-portefeuille).
| Investering | Bruto | Subsidie | Netto |
|---|---|---|---|
| Verbetertraject PLUS | €35.000 | €17.500 (50%) | €17.500 |
| Opleiding personeel | €5.000 | €1.750 (35%) | €3.250 |
| Totaal | €40.000 | €19.250 | €20.750 |
De totale eigen bijdrage van €20.750 voor een compleet NIS2-traject inclusief begeleiding en opleiding maakt kwalitatief advies ook voor middelgrote productiebedrijven financieel haalbaar.
Het stappenplan: van nul naar NIS2-compliant als maakbedrijf
Concreet aan de slag? Deze zes stappen vormen de route naar compliance:
Stap 1: Registreer en classificeer uw bedrijf. Controleer via het Safeonweb@Work-portaal of uw bedrijf correct is geregistreerd en of uw classificatie (essentieel of belangrijk) klopt. Let op de consolidatieregel bij holdings.
Stap 2: Laat een gap-analyse uitvoeren. Een cybersecurity audit brengt in kaart waar uw bedrijf staat ten opzichte van het CyFun-framework. Specifiek voor productiebedrijven is een aparte beoordeling van de OT-omgeving essentieel. Reken op drie tot vijf dagen voor een middelgroot bedrijf.
Stap 3: Kies uw compliancekader. Driekwart van de geregistreerde entiteiten kiest voor CyFun. De keuze tussen ISO 27001 of CyberFundamentals hangt af van uw internationale context en bestaande certificeringen.
Stap 4: Implementeer de kritieke maatregelen. Prioriteer netwerksegmentatie (IT/OT-scheiding), MFA op alle externe toegang, een volledige asset-inventaris van de fabrieksvloer en een getest incident response plan.
Stap 5: Beveilig uw toeleveringsketen. Breng uw kritieke leveranciers in kaart, neem cybersecurity-clausules op in inkoopcontracten en evalueer hun toegang tot uw netwerk. NIS2 maakt u juridisch verantwoordelijk voor de zwakste schakel in uw keten.
Stap 6: Rond de conformiteitsbeoordeling af. Essentiële entiteiten moeten uiterlijk 18 april 2026 een verificatie door een geaccrediteerd conformiteitsbeoordelingsorgaan (CAB) behalen. Belangrijke entiteiten vallen onder toezicht achteraf, maar kunnen vrijwillig een beoordeling laten uitvoeren voor een vermoeden van conformiteit.
Vergeet niet om tijdig VLAIO-subsidie aan te vragen. Het complete traject van gap-analyse tot conformiteitsbeoordeling duurt drie tot zes maanden.
Hoe Cyberplan Vlaamse maakbedrijven begeleidt
Cyberplan begeleidt Vlaamse productiebedrijven van gap-analyse tot CyFun-conformiteit, inclusief OT-security assessment. Met 22 gecertificeerde ethische hackers (CISSP, OSCP) en meer dan 300 klanten sinds 2018 combineren we de technische diepgang die uw productieomgeving vereist met begrijpelijke communicatie richting directie en werkvloer. Onze ransomware beschermingsgids biedt aanvullende praktische maatregelen.
Wilt u weten waar uw maakbedrijf staat? Boek een vrijblijvend kennismakingsgesprek en ontdek hoe u NIS2-compliance combineert met maximale VLAIO-subsidie.
Veelgestelde vragen over cybersecurity in de maakindustrie
Valt mijn productiebedrijf onder NIS2?
Ja, als uw bedrijf meer dan 50 werknemers telt of meer dan 10 miljoen euro omzet heeft en actief is in een van de vervaardigingssubsectoren (medische hulpmiddelen, elektronica, machines, voertuigen). Bij holdings worden de cijfers geconsolideerd. Controleer uw status via de NIS2 Scope Test Tool op het Safeonweb@Work-portaal.
Moet ik mijn OT-systemen apart beveiligen?
Ja. NIS2 vereist dat alle netwerk- en informatiesystemen in scope vallen, inclusief industriële besturingssystemen op de fabrieksvloer. Een aparte OT-risicoanalyse en netwerksegmentatie tussen IT- en OT-omgeving zijn essentieel.
Welk CyFun-niveau geldt voor een maakbedrijf?
Middelgrote productiebedrijven (belangrijke entiteiten) moeten voldoen aan CyFun Important (117 controls). Wie als essentiële entiteit wordt geclassificeerd, moet het Essential-niveau (140+ controls) nastreven. U kunt starten op Basic-niveau en binnen 12 maanden opschalen.
Kan ik VLAIO-subsidie krijgen voor een OT-security audit?
Ja. Zowel het VLAIO cybersecurity verbetertraject (50% subsidie voor KMO’s) als de KMO-portefeuille (45% voor kleine, 35% voor middelgrote ondernemingen) dekken cybersecurity-advies, inclusief OT-assessments en audits.
Wat kost een cybersecurity audit voor een productiebedrijf?
De kosten hangen af van de omvang en complexiteit van uw IT- en OT-omgeving. Voor een middelgroot productiebedrijf rekent u op drie tot vijf dagen doorlooptijd. Via VLAIO-subsidies verlaagt u de investering met 35% tot 50%. Meer over de kosten van een cybersecurity audit leest u in ons dedicated artikel.
Ben ik als bestuurder persoonlijk aansprakelijk?
Ja. De Belgische NIS2-wet legt expliciet verantwoordelijkheid bij het bestuursorgaan. Bestuurders moeten toezien op de uitvoering van cybersecuritymaatregelen, regelmatig gerapporteerd worden over de status en deelnemen aan specifieke trainingen. Bij nalatigheid is persoonlijke aansprakelijkheid een reëel risico.
