Naar inhoud
EN NL
Start je gratis proefperiode
Terug naar blog
NIS2 maakindustrieNIS2 asset managementcompliance maakindustrieeigenaarschap bedrijfsmiddelenOT-asset-inventaris

NIS2 in de maakindustrie: van OT-inventaris naar eigenaarschap dat een audit doorstaat

OwndUp Team · juni 25, 2026 · 9 min leestijd

De helft van NIS2 die je niet als netwerkscan kunt kopen

Het meeste NIS2-advies voor de fabrieksvloer stopt bij het netwerk. Breng je OT in kaart, segmenteer het, bewaak het. Dat werk is echt, en je securityleverancier heeft gelijk dat hij erop hamert. Maar het beantwoordt maar de helft van wat de richtlijn vraagt. De andere helft is stiller en lastiger als product te kopen: voor elk bedrijfsmiddel dat de lijn draaiende houdt, wie is daarvoor verantwoordelijk, en kun je de keten van eigenaarschap reconstrueren als een auditor erom vraagt?

Maakbedrijven ontdekken dit gat vaak laat. Het OT-securityproject loopt, de PLC's en switches worden gemapt, en dan valt de vraag die geen netwerkscanner kan beantwoorden: niet "wat hangt er aan het netwerk," maar "wie is hiervan eigenaar, wie heeft die verlenging goedgekeurd, en wie tekende hiervoor toen de vorige beheerder vertrok." Dat is een eigenaarschapsvraag, en het is precies het deel van NIS2 dat in operations leeft, niet in de SOC.

Twee inventarissen, en de meeste fabrieken bouwen er maar één

Het helpt om precies te zijn over welke inventaris NIS2 eigenlijk wil, want het zijn er twee en ze worden makkelijk door elkaar gehaald.

De OT-securityinventaris. Elk apparaat aan het netwerk: PLC's, HMI's, sensoren, switches, industriële pc's. Ontdekt door te scannen, actueel gehouden door te monitoren. Dit is wat je cybersecuritytooling moet opleveren, en daar moet je mee doorgaan.

Het eigenaarschapsregister. Wie verantwoordelijk is voor elk bedrijfsmiddel, wanneer eigenaarschap overging, welke onderhouds- en leasecontracten automatisch verlengen, en wat opnieuw werd toegewezen toen een operator of engineer vertrok. Dit komt niet uit een scanner. Het is een registratie van beslissingen en mensen, en het leeft meestal nergens, of in een spreadsheet die de week na het invullen alweer verouderd is.

NIS2 vraagt ze allebei. De eerste bewijst dat je je bedrijfsmiddelen kunt zien. De tweede bewijst dat je iemand verantwoordelijk kunt houden. Een fabriek die alleen de netwerkkaart heeft, heeft de zichtbare helft gedaan en de audit-kwetsbare helft laten liggen.

Val je eigenlijk wel onder NIS2?

Niet elk maakbedrijf valt onder NIS2, dus check het voordat je in actie komt. De richtlijn schaart de maakindustrie onder de categorie belangrijke entiteiten voor specifieke subsectoren, waaronder:

  • Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek
  • Vervaardiging van computers en van elektronische en optische producten
  • Vervaardiging van elektrische apparatuur
  • Vervaardiging van machines en apparaten, niet elders geclassificeerd
  • Vervaardiging van auto's, aanhangwagens en opleggers
  • Vervaardiging van overige transportmiddelen

De omvangsdrempel is de tweede poort: organisaties met 50 of meer medewerkers, of een jaaromzet boven 10 miljoen euro, vallen doorgaans binnen de scope. Daaronder val je meestal buiten de wet, al leggen klanten en hoofdaannemers dezelfde verwachtingen steeds vaker op aan hun toeleverketen, ongeacht waar de juridische grens precies ligt.

Voor Nederlandse maakbedrijven is de timing geen theorie meer. De Cyberbeveiligingswet die NIS2 implementeert wordt in 2026 verwacht, en dat verschuift de deadline van "ooit" naar "deze planningscyclus."

Het proportionaliteitsbeginsel telt hier ook. Van een componentenfabrikant met 70 man worden niet de maatregelen van een landelijke netbeheerder verwacht. Maar proportioneel betekent niet optioneel. Je hebt maatregelen nodig die bij je risico passen, en je moet kunnen aantonen dat ze daadwerkelijk werken.

Wat Artikel 21 van de eigenaarschapslaag vraagt

Artikel 21 noemt asset management naast personeelsbeveiliging en toegangscontrole als verplicht aandachtsgebied. De richtlijn is bewust resultaatgericht, dus je krijgt geen sjabloon aangereikt. In de praktijk komt het, voor de eigenaarschapshelft van het werk, neer op vier dingen die je moet kunnen aantonen:

  • Een volledige inventaris van de bedrijfsmiddelen die ertoe doen. Niet elke bout, maar alles wat de productie ondersteunt of gevoelige data verwerkt: machines onder een onderhoudscontract, de software die ze aanstuurt, de contracten erachter, en de hardware die je mensen bij zich dragen.
  • Eén verantwoordelijke eigenaar per bedrijfsmiddel. Een benoemde persoon, niet "onderhoud" of "IT." Gedeeld eigenaarschap leest voor een auditor als een verantwoordingsgat, want als er iets misgaat is er niemand om naar te wijzen.
  • Toegang en overdracht gekoppeld aan het bedrijfsmiddel. Wie het houdt, onder welke voorwaarden, en wat er gebeurt als dat verandert.
  • Een wijzigings- en overdrachtshistorie. Wanneer eigenaarschap overging, wanneer iets werd afgevoerd, wanneer een contract werd verlengd of opgezegd. Auditors reconstrueren tijdlijnen, en een tijdlijn met gaten erin is een bevinding.

Hoe deze eisen voor elke sector uitpakken, lees je in onze gids over NIS2 Artikel 21 asset management. Wat hieronder volgt is de versie die echt op een fabrieksvloer gebeurt.

Wat een maakbedrijf moet beheren

Vertaal het abstracte "asset" naar de dingen waar een fabriek echt van afhankelijk is, en drie categorieën dekken het meeste:

  • Fysiek. Handscanners en robuuste tablets, kalibratie- en testinstrumenten, industriële pc's en HMI-panelen, heftrucks en pallettrekkers, veiligheidsuitrusting, en de sleutels en badges die de kooi openen waar dat alles in staat.
  • Software. De MES- of SCADA-seats, de CAD- en CAM-licenties, de kwaliteits- en onderhoudsplanningsabonnementen. Dit zijn de bedrijfsmiddelen die het vaakst verweesd raken, omdat niemand ze ziet vertrekken als een persoon vertrekt.
  • Contracten. Machineleases, preventieve-onderhoudsovereenkomsten, sensor- en IoT-serviceabonnementen, kalibratiediensten. Elk heeft een verlengdatum, en de meeste hebben een opzegtermijn verstopt in de voorwaarden.

Elk van deze heeft hetzelfde nodig: een benoemde eigenaar, een actuele status, en een registratie van hoe het zover kwam. De categorie is alleen een bril. De discipline is identiek voor alle drie.

Waar eigenaarschap stukloopt op de werkvloer

De gaten zijn niet exotisch. Ze zijn het voorspelbare gevolg van een fabriek die sneller beweegt dan haar administratie.

Een operator vertrekt en de overdracht is informeel. De scanner wordt opgehaald, maar de MES-seat, het gedeelde onderhoudslogin en het kalibratietool dat hij beheerde worden niet systematisch opnieuw toegewezen. Het bedrijfsmiddel is nu van niemand, en dat blijft zo tot iets de vraag afdwingt. Overdracht inbouwen in vertrek is hier de maatregel met de meeste impact, en het onderwerp van onze offboarding checklist IT.

Een onderhouds- of leasecontract verlengt onbewaakt. De verlengdatum was bekend, maar de opzegtermijn sloot zestig dagen eerder, en nu is de overeenkomst voor weer een hele termijn doorgerold. Op een machinelease is dat geen afrondingsfout. De oplossing is de opzegdeadline bijhouden, niet de verlengdatum, zoals onze gids over contractverlengingen beheren uitlegt.

Softwareseats overleven de mensen die ze nodig hadden. Een CAD-licentie toegewezen aan een engineer die van team wisselde blijft doorlopen, en niemand besluit om te houden of te stoppen omdat niemand de beslissing bezit. Dezelfde wekelijkse discipline die SaaS-uitgaven beheerst, geldt hier, behandeld in het playbook voor SaaS-verlengingen.

Elk hiervan is eerst een eigenaarschapsfout en pas daarna een kosten- of compliancefout. Repareer het eigenaarschap en de rest volgt.

Kernpunt: Je OT-securitytooling bewijst dat je je bedrijfsmiddelen kunt zien. NIS2 vraagt je ook te bewijzen wie voor elk ervan verantwoordelijk is en hoe dat in de tijd is veranderd. Een netwerkscanner kan dat niet beantwoorden. Een eigenaarschapsregister wel.

Hoe audit-klaar eigenaarschap eruitziet

Vroeg een auditor morgen je eigenaarschap van bedrijfsmiddelen te zien, dan ziet "goed" er zo uit, en het sluit direct aan op de eisen van Artikel 21:

  • Elk bedrijfsmiddel heeft precies één benoemde eigenaar. Geen gedeelde toewijzingen, geen "nog te bepalen," geen team dat voor een persoon doorgaat.
  • Overdrachten zijn gelogd met tijdstempels en acceptatie. Wanneer iets van eigenaar wisselt, is er een registratie van wanneer, wie het losliet, en bevestiging dat de nieuwe eigenaar de verantwoordelijkheid accepteerde in plaats van er simpelweg aan toegewezen te zijn.
  • Offboarding kan niet afronden terwijl er nog bedrijfsmiddelen aanhangen. Een vertrek is pas klaar als alles wat de persoon hield opnieuw is toegewezen of teruggegeven.
  • De volledige historie is te reconstrueren. Niet alleen wie nu eigenaar is, maar wie het op elke datum in het verleden was, zodat een incident van zes maanden geleden een naam heeft.
  • Eigenaarschap wordt periodiek herbevestigd. Eigenaren bevestigen op een vast ritme opnieuw wat ze houden, zodat het register de werkelijkheid weerspiegelt in plaats van langzaam te verouderen tussen audits.

Een praktisch pad, op volgorde

Je hoeft niet de hele oceaan leeg te scheppen. Werk op prioriteit:

1. Lijst de bedrijfsmiddelen die risico dragen. Begin met de contracten die automatisch verlengen, de software met toegang tot productie- of klantdata, en de hardware die je mensen bij zich dragen. Laat de lange staart voor later.

2. Geef elk een benoemde eigenaar. Eén persoon per bedrijfsmiddel. Waar eigenaarschap echt onduidelijk is, is die onduidelijkheid zelf een bevinding die je nu beter oplost dan tijdens de audit.

3. Lees de opzegtermijn één keer uit elk contract. Schrijf hem in het register en laat de opzegdeadline de datum zijn waarop je handelt. Je hoeft de voorwaarden nooit meer onder tijdsdruk door te spitten.

4. Zet een poort op offboarding. Geen vertrek is klaar tot de bedrijfsmiddelen van de vertrekkende persoon opnieuw zijn toegewezen of teruggegeven. Dat sluit de meest voorkomende bron van verweesde bedrijfsmiddelen in één keer.

5. Log elke wijziging automatisch. Handmatige logs in spreadsheets zijn het eerste wat wegrot. Een automatisch spoor van toewijzingen, overdrachten en verlengingen verandert "we denken dat we het proces volgden" in "hier is de registratie."

6. Herbevestig op een schema. Een periodieke review, of een periodieke herbevestiging door eigenaren, vangt de verschuiving die elk register tussen audits opbouwt.

Wat deze laag wel en niet is

Wees eerlijk tegen jezelf over de grens, want dat houdt het project zuiver. Dit is geen CMMS, en het vervangt er ook geen. Het plant geen preventief onderhoud, maakt geen werkorders aan, en draait je MES niet. Het ontdekt geen apparaten op het OT-netwerk, dus het staat náást je securitytooling in plaats van ervoor in de plaats. En het beheert geen afschrijving of de vaste-activaadministratie van je ERP.

Wat het wel doet, is de eigenaarschaps-, contract- en overdrachtslaag vasthouden die die systemen overslaan: één benoemde eigenaar per bedrijfsmiddel, een verlenging die waarschuwt voordat de opzegtermijn sluit, en een offboardingstap die niet afrondt zolang er nog iets aan een vertrekkende medewerker hangt. Dat is het deel waar NIS2 om vraagt en dat een netwerkscan en een ERP je niet kunnen geven.

Een speciaal gebouwd tool zoals OwndUp houdt die laag in één register: één eigenaar voor elk bedrijfsmiddel, op acceptatie gebaseerde overdrachten die automatisch een audit trail opbouwen, offboardingpoorten die verweesde bedrijfsmiddelen voorkomen, en een volledige historie van wie wat bezat en wanneer. Is je huidige antwoord op "wie is hiervan eigenaar" een spreadsheet die niemand helemaal vertrouwt, dan is de afstand tussen waar je staat en waar NIS2 je verwacht vooral een kwestie van die registratie ergens neerzetten waar hij niet stilletjes kan verschuiven.

Andere berichten

mrt 28, 2026 9 min leestijd

NIS2 Artikel 21 Maatregelen: Asset Management in de Praktijk

NIS2 Artikel 21 maatregelen vereisen asset management met eigenaarschap, audit trail en toegangscontrole. Praktische gids voor het mkb om NIS2-klaar te zijn.

NIS2 artikel 21 maatregelenNIS2 asset managementcompliance
jun 11, 2026 7 min leestijd

Contractverlengingen beheren: stop met de opzegtermijn missen

Een praktisch systeem om contractverlengingen te beheren voor operations leads. Houd de opzegtermijn bij, niet alleen de verlengdatum, zodat geen contract zonder beslissing automatisch verlengt.

contractverlengingen beherencontractbeheeropzegtermijn
jun 3, 2026 7 min leestijd

Van kantoorsleutels tot softwarelicenties: alles wat je in OwndUp bijhoudt

Houd kantoorsleutels, softwarelicenties, laptops, leasecontracten en contracten bij in één register, met één eigenaar per stuk en een waarschuwing voordat iets automatisch verlengt.

assetbeheersoftwarelicentiebeheerkantoorsleutels bijhouden

Klaar om grip te krijgen op eigenaarschap?

Start je gratis proefperiode van 30 dagen. Geen creditcard nodig.

Start je gratis proefperiode