In hoeverre denken organisaties uit de sector vervaardiging al te voldoen aan de Cyberbeveiligingswet? | Rijksinspectie Digitale Infrastructuur (RDI)

Het verminderen van de risico's van de toeleveringsketen, een meldingsprocedure voor significante incidenten én het trainen van alle leden van het bestuur. Dit zijn onderwerpen waarop organisaties uit de sector ‘vervaardiging’ zichzelf minder scoren in de NIS2-Quickscan. Deze scan is een self-assessment voor organisaties die willen weten hoe zij zich kunnen voorbereiden op de Network and Information Systems Directive 2 (NIS2). Dit is de Europese richtlijn die wordt omgezet in de Cyberbeveiligingswet (Cbw). De Rijksinspectie Digitale Infrastructuur (RDI) gaat toezicht houden op naleving van de Cbw voor deze sector.

Sector ‘vervaardiging’

Onder de Cbw vallen onder andere organisaties die zich bezighouden met de vervaardiging van:

Informaticaproducten en van elektronische en optische producten;
Elektrische apparatuur;
Machines, apparaten en werktuigen, niet elders geclassificeerd;
Motorvoertuigen, aanhangers en opleggers vervaardiging van andere transportmiddelen.

Zodra de Cbw van kracht wordt, moeten organisaties uit de sector ‘vervaardiging’ voldoen aan deze wet. Of uw organisatie onder de wet valt, hangt bijvoorbeeld af van uw omzet, aantal medewerkers en waar uw hoofdkantoor is gevestigd. Met behulp van de Zelfevaluatie krijgt u inzicht of uw organisatie onder de Cbw valt.

Werk aan de winkel: belangrijkste aandachtspunten

De respondenten uit de maakindustrie schatten in dat hun organisatie in ieder geval nog moet werken aan de volgende onderwerpen:

Verminderen van de risico's van de toeleveringsketen;
Opstellen meldingsprocedure voor significante incidenten;
Trainen van alle leden van uw bestuur (governance).

Verminder de risico’s van de toeleveringsketen

Door de zorgplicht van de Cbw bent u ook verantwoordelijk voor uw toeleveringsketen. Met behulp van een risicoanalyse bepaalt u van uw huidige leveranciers hoe groot de impact is op de continuïteit van de dienstverlening van uw organisatie, als ze bijvoorbeeld wegvallen of worden gehackt. Voor welke processen en data bent u afhankelijk van uw leveranciers? Welke risico’s en afhankelijkheden zijn er? Zo identificeert u uw kritieke leveranciers met hun risico’s. Met deze kritieke leveranciers maakt u afspraken om de cyberbeveiligingsrisico's te verminderen. Ook maakt u afspraken met uw nieuwe leveranciers die grote impact hebben op uw eigen organisatie.

Stel een meldingsprocedure op voor significante incidenten

Naast registratie- en zorgplicht kent de Cbw ook een meldplicht. Zodra de Cbw van kracht wordt, moet u binnen 24 uur na ontdekking van een significant incident een melding doen bij het sectorale Computer Security Incident Response Team (CSIRT). Na deze eerste melding heeft u 72 uur de tijd om het incident te analyseren. Daarna meldt u de (verwachte) ernst en gevolgen van het incident ook weer bij de CSIRT. De CSIRT deelt deze informatie met de RDI.

Train alle leden van uw bestuur

In de Cbw staat dat alle leden van uw bestuur verplicht een training moeten volgen. Ze moeten cyberbeveiligingsrisico's kunnen identificeren en beoordelen. Een certificaat is nodig. Aanvullend moeten alle bestuursleden hun kennis actueel houden. Deze regels gelden alleen voor uitvoerende bestuurders. Toezichthoudende bestuurders (commissarissen) en niet-uitvoerende bestuurders zijn een uitzondering op deze verplichting.

Onderwerpen die al goed gaan

Respondenten uit de sector 'vervaardiging’ die de Quickscan hebben ingevuld, denken dat hun organisatie al goed op weg is met de volgende onderwerpen:

Authenticatieoplossingen en communicatiesystemen: organisaties gebruiken multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen
Incidentbehandeling: organisaties hebben een proces voor de behandeling van incidenten. De incidenten worden geregistreerd, beoordeeld, afgehandeld én gerapporteerd aan het verantwoordelijk management.
Rapportageverplichtingen: Organisaties delen zo snel mogelijk mee welke beheersmaatregelen kunnen worden genomen bij een mogelijke significante cyberdreiging.

Quickscan – kijk zelf hoever u bent met de Cbw

In de periode van februari 2024 t/m september 2025 werd 356 keer de Quickscan voor de sector ‘vervaardiging’ volledig ingevuld.

Met behulp van 40 vragen krijgt een organisatie een beeld over hoe de cyberbeveiliging van zijn netwerk- en informatiesystemen op dat moment ervoor staat. Na het afronden van de vragenlijst ontvangt de respondent zijn scores met een handelingsperspectief voor een verdere voorbereiding op de Cbw. De Quickscan geeft geen garantie dat de organisatie voldoet aan de eisen van de nieuwe wetgeving.

Wie zijn wij?

Wij zijn de Rijksinspectie Digitale Infrastructuur. We zijn de toezichthouder op de sector ‘vervaardiging’. Digitale weerbaarheid van organisaties is cruciaal voor het vertrouwen in onze digitale samenleving en economie, en voor het gebruiken van de kansen die digitalisering biedt. Daarom houden wij toezicht, delen we onze inzichten daaruit en werken we samen met verschillende organisaties aan een veilig verbonden Nederland.

Meer weten

Wilt u meer weten over de Cbw of over hoe wij werken? Kijk dan op www.rdi.nl/cbw.