De digitale weerbaarheid in de maakindustrie loopt sterk uiteen. De sector scoort gemiddeld een 7,6, maar de best presterende bedrijven wisten hun score tijdens de onderzoeksperiode met 13 procent te verhogen. Bij de minder goed scorende organisaties daalde deze score tot wel 62 procent. Dit leidt tot een groeiende kloof tussen koplopers en achterblijvers.
Volgens Remco Geerts - cybersecurity-expert bij Cegeka - krikken de goed scorende bedrijven hun score verder op omdat zij cyberdreigingen als strategisch risico zien en hier ook naar handelen. “Zij oefenen met cyberaanvallen en investeren voor de lange termijn in continue monitoring en herstelvermogen. De minder scorende bedrijven doen vooral ad hoc uitgaven in cybersecurity.”
Volgens Henk Bijsterbosch, Manager kennispartner team bij Samen Digitaal Veilig, gaat NIS2 verder dan IT-beveiliging. “NIS2 draait om continuïteit van de maakindustrie. De wet raakt de gehele productieomgeving en toeleveringsketen. De zwakste schakel bepaalt het risico, waardoor alle leveranciers in de keten moeten kunnen aantonen hoe veilig ze werken.”
De kans op cyberincidenten in de maakindustrie neemt toe, aangezien steeds meer productieprocessen worden aangestuurd door met elkaar verbonden robots, slimme systemen en AI. Door deze verwevenheid kan een aanval in één onderdeel mogelijk effect hebben op meerdere systemen binnen de organisatie.
Daarnaast maakt de sterke afhankelijkheid van de toeleveringsketen de maakindustrie extra kwetsbaar. Geerts: “Zwakke schakels in de keten kunnen gebruikt worden als toegangspunt voor aanvallen. Hierdoor kan de productie stilvallen, wat kan doorwerken in de keten, bijvoorbeeld in de bevoorrading van supermarkten. Herstelkosten lopen daarbij snel op.”
Volgens Bijsterbosch moet de Nederlandse maakindustrie de verplichte NIS2-maatregelen serieus nemen en op tijd actie ondernemen. Niet alleen op technologisch vlak, maar ook op organisatorisch vlak: “Iedereen heeft een mening over NIS2, maar we kunnen er vanaf 15 augustus niet meer omheen. Investeren in cybersecurity en een juiste governance is juist nu noodzakelijk om je productie, imago, continuïteit en concurrentiepositie te beschermen.”
Geerts vult aan: “NIS2 gaat niet alleen over compliance, maar over continuïteit van bedrijfsvoering. Bedrijven die nu niet investeren in structurele cyberweerbaarheid lopen het risico achterop te raken in een steeds digitalere en kwetsbaardere keten.”
Om een goed beeld te krijgen van het huidige cybersecurityniveau van de maakindustrie in Nederland, maakte Cegeka een representatieve selectie van 245 maakbedrijven. Deze organisaties zijn tussen juli 2025 en september 2025 zorgvuldig geanalyseerd. Cegeka heeft hiervoor gebruikgemaakt van de risicomanagementtechnologie van RiskRecon (onderdeel van Mastercard). In juli 2026 ziet Cegeka nog steeds weinig verbetering in de gemiddelde scores.
Cegeka onderzocht allerlei aspecten van de hardware- en software-infrastructuur die ‘van buitenaf’ zichtbaar zijn. Denk daarbij aan webencryptie, application security, software patching en system hosting. Ook is gekeken naar zaken als network filtering, DNS security, e-mail security en system reputation.
Hiervoor maakte Cegeka onder meer gebruik van een geavanceerd Security Rating platform. Met behulp van dit platform is Cegeka in staat om het externe aanvalsoppervlak van organisaties in kaart te brengen. Op basis van een bedrijfsnaam en een domeinnaam bouwt het systeem een volledig profiel op van de organisatie en de internet-facing systemen.