De maakindustrie digitaliseert in hoog tempo. Machines communiceren met elkaar, processen worden slimmer en data is overal. Maar die digitalisering brengt ook risico’s met zich mee. Daarom startte IQonIQ de leerkring cyberweerbaarheid: een traject waarin ondernemers, experts en kennispartners samenwerken aan bewustwording, praktische verbeteringen en voorbereiding op de NIS2-richtlijn die in juli 2025 van kracht wordt.
We spraken drie betrokkenen: Esther Hamhuis (IQonIQ), Evelien Bras (The Cyber Partners) en Jan Kroeze (Hoekman RVS in Nieuwleusen). Hun ervaringen laten zien hoe waardevol samenwerken en kennisdelen zijn in de strijd tegen cyberdreigingen.
De verbinder Esther Hamhuis (IQonIQ): “Alles is data, dus daar moet je zorgvuldig mee omgaan.”
Volgens Esther bracht de scan ook een ander inzicht: waardecreatie uit data vraagt om sterke basisvoorwaarden. “Voordat je met data kunt innoveren, moet je eerst cyberweerbaar zijn. Daarom zijn we samen met partners zoals The Cyber Partners en Saxion Hogeschool gestart met de leerkring cyberweerbaarheid.”
Die leerkring biedt ondernemers de kans om te leren door te doen. Om de toetsingseisen van het CYRA-instrument helder te krijgen, bood IQonIQ een van de deelnemende bedrijven een proefaudit aan. “Zonder enige voorbereiding bleek het bedrijf al voor 90% te voldoen. Een prachtig voorbeeld van hoe goed sommige maakbedrijven hun zaken op orde hebben. De kennis die we daar opdeden, hebben we direct gedeeld met de hele groep. Zo helpen we elkaar vooruit.”
Esther benadrukt dat NIS2 en CYRA vooral voor kleinere bedrijven uitdagend kunnen zijn. “Daar is de directeur vaak óók HR-manager en controller. We onderzoeken daarom hoe scholen ondernemers kunnen ondersteunen, bijvoorbeeld met studenten die helpen beleid of procedures uit te werken.”
Cyberveiligheid blijft volgens haar vooral mensenwerk. “Bedrijven denken vaak dat ze veel hebben geregeld, maar fouten worden altijd gemaakt. Je moet blijven trainen, bewustmaken en processen borgen.”
Evelien Bras, oprichter van The Cyber Partners, helpt bedrijven groeien naar een veilig georganiseerde digitale omgeving. “Wij voeren zelf geen IT-beveiliging uit,” legt ze uit. “We helpen bedrijven begrijpen hóe ze het moeten aanpakken. Zo pragmatisch mogelijk, zodat zowel directie als technische specialisten weten waar ze op moeten sturen en hoe ze hun inspanningen aantoonbaar maken.”
Via het Cyberweerbaarheidscentrum Oost-Nederland raakte Evelien betrokken bij IQonIQ en begeleidde ze de leerkring. “Het doel is bedrijven klaarstomen voor NIS2. De richtlijn geldt straks voor zo’n 8.000 Nederlandse organisaties. Niet elke maakonderneming valt er direct onder, maar doordat ketenpartners wél binnen scope kunnen vallen, krijgt bijna iedereen ermee te maken.”
Binnen de leerkring werken bedrijven met CYRA, een instrument dat inzicht geeft in hun cyberveiligheidsniveau. Alle deelnemers richten zich eerst op het zogeheten entry-level: een set van 24 basismaatregelen zoals wachtwoordbeleid, back-upcontroles en toegangsbeheer. “Als je kunt aantonen dat deze basis op orde is, kun je dat laten toetsen en certificeren. Cyberveiligheid wordt daarmee zichtbaar, meetbaar en overdraagbaar.”
Een belangrijke eye-opener ziet Evelien telkens terug: “Veel bedrijven doen al heel veel, maar leggen het niet vast. Pas als je het opschrijft, maak je het aantoonbaar en overdraagbaar — en ben je echt weerbaar.”
NIS2 vraagt niet alleen zorgplicht voor de eigen organisatie, maar ook verantwoordelijkheid in de keten. “Dat is uitdagend,” zegt Evelien. “Samenwerken in de keten vraagt juridische, technische en organisatorische afspraken. Veel bedrijven weten niet eens precies wie hun leveranciers zijn voor kritieke processen.”
Toch ziet Evelien vooral vooruitgang. “Samen gaat het sneller. Wat de één uitzoekt, kan de ander gebruiken. In de leerkring merk je hoe waardevol kennisdeling is. Het haalt de abstractie weg en maakt cyberveiligheid een normaal onderdeel van goed ondernemen.”
Hoekman RVS is een metaalbewerkingsbedrijf dat kwaliteit en digitalisering hoog in het vaandel heeft. Jan Kroeze is er verantwoordelijk voor systeembeheer en cyberveiligheid. “We zijn vorig jaar met IQonIQ samengekomen om te kijken waar we staan richting NIS2,” vertelt Jan. “Hoekman valt zelf niet rechtstreeks onder de NIS2-richtlijn, omdat we niet tot de categorie ‘essentiële bedrijven’ behoren die een directe maatschappelijke functie vervullen. Maar we leveren wél aan organisaties die daar mogelijk onder vallen. Door de ketenverantwoordelijkheid binnen NIS2 moeten ook toeleveranciers aantonen dat ze hun cyberveiligheid op orde hebben. Daarom willen we voorbereid zijn — voor onze klanten én voor onszelf.”
De leerkring bood Hoekman RVS de kans om samen met andere bedrijven te leren. “We hadden al veel geregeld, maar wilden weten wat de eisen precies zijn. Via IQonIQ kregen we praktische informatie, de juiste tools én we leerden van elkaar. Bedrijven deelden hoe zij hun data beschermen en welke maatregelen ze nemen. Dat was enorm waardevol.”
Met CYRA kreeg Hoekman inzicht in de stand van zaken. “Je beoordeelt jezelf, maar dat moet eerlijk gebeuren. Daarom hebben we ons laten testen door Arcus IT (nu Onited). Zij controleerden onze systemen en gaven gericht advies. Op basis daarvan hebben we onder andere onze firewall strakker ingericht en de bewaartermijn van back-ups verlengd: van veertien dagen naar drie maanden. Cruciaal, want bij ransomware ontdek je besmetting vaak laat. Met langere bewaartermijnen heb je veel meer kans op een schone versie om op terug te vallen.”
Ook de risicoanalyse en het continuïteitsplan zijn aangescherpt. “We hebben alle gegevens die we bij een incident nodig hebben extern opgeslagen. Zo kunnen we altijd blijven communiceren met klanten. De zwakste schakel blijft de mens, dus we trainen medewerkers regelmatig in phishing en bewustwording. Daarnaast hebben we de fabriek en het kantoor in aparte netwerken (VLAN’s) gezet. Zo verklein je de kans dat een aanval alles platlegt.”
Volgens Jan is investeren in cyberveiligheid geen keuze: “Als je niet investeert, ben je binnen de kortste keren besmet. Dat kan je maar één keer overkomen, daarna is het einde verhaal.”
Zijn advies aan andere bedrijven: “Begin met alles op papier zetten. Schrijf op hoe je iets hebt beveiligd, laat een derde partij meekijken en leg vast wat je test en wanneer. Zorg daarnaast voor een fysieke versie, want als je systeem plat ligt, kun je digitaal nergens meer bij.”
De leerkring cyberweerbaarheid van IQonIQ laat zien hoe krachtig samenwerking kan zijn. Door bedrijven, experts en kennisinstellingen samen te brengen, ontstaat niet alleen inzicht, maar ook actie. “Niets doen is geen optie meer,” zegt Evelien Bras. “Cyberveiligheid is niet alleen een verplichting, het is een gezamenlijke verantwoordelijkheid.” Esther Hamhuis vult aan: “Digitalisering is fantastisch, maar alleen als je het veilig doet. Door samen te leren bouwen we aan een sterke, toekomstbestendige maakindustrie.” Jan Kroeze besluit: “Zorg dat je de basis op orde hebt. Dan kom je een heel eind en ben je klaar voor wat er komt.”