business

Van NIS2 tot productwetgeving: operationele technologie (ot) staat volop in de aandacht van wetgevers. Toch is het voor veel it- en ot-professionals onduidelijk welke regels nu echt van toepassing zijn op industriële omgevingen. Deze faq biedt een overzicht van de kaders en hun betekenis voor ot in de praktijk.1.Waarom valt ot onder cyberwetgeving?Ot-systemen sturen fysieke processen aan en hebben invloed op veiligheid en continuïteit. Floris Dankaart, lead product manager bij Fox-it, merkt op dat ot lange tijd vooral vanuit safety gereguleerd werd. Ot wordt nu echter ook vanuit cybersecurity bekeken. ‘Digitale dreiging en fysieke veiligheid zijn niet van elkaar te scheiden.’Simon Dompeling, transformation lead bij YaWorks en ot-expert, stelt dat dit geen omslag is. ‘De regelgeving bouwt al jaren op, van NIS naar NIS2 en straks de Cyberbeveiligingswet.’ Wat veranderde is de context: door de koppeling van machines met it (‘industry 4.0’) zijn ot-omgevingen sterker verbonden met externe netwerken, waardoor het aanvalsoppervlak groeide. En tegelijkertijd neemt het dreigingsniveau toe door professionele criminelen en statelijke actoren.2.Wat beschouwen wetgevers als ot?Systemen die fysieke processen aansturen of beïnvloeden en waarvan uitval gevolgen heeft voor veiligheid of dienstverlening, vallen in de praktijk onder ot, zoals ook beschreven in publicaties van het Europese cybersecurity-agentschap ENISA over Industrial Control Systems en ot-security. Volgens Dankaart gaat het daarbij om systemen die fysieke processen aansturen, bewaken of beïnvloeden, zoals robotica of energie-infrastructuur. ‘Systemen zonder directe invloed op fysieke processen, zoals kantoorapplicaties, doorgaans niet.’ Tegelijkertijd benadrukt Dompeling dat de wet geen onderscheid maakt tussen it en ot. Wetgeving als NIS2 kijkt naar het vermogen van organisaties om essentiële functies te blijven uitvoeren. Of een verstoring via it of ot ontstaat, is ondergeschikt aan de impact.3.Welke ot-omgevingen vallen onder NIS2?NIS2 kijkt niet naar afzonderlijke installaties, maar naar de rol die systemen spelen in bij het leveren van essentiële diensten. Volgens Dankaart vallen alle systemen die een organisatie nodig heeft om haar maatschappelijke functie te vervullen binnen de scope. ‘Organisaties moeten kunnen onderbouwen waarom bepaalde systemen wel of niet zijn meegenomen.’Dompeling vult aan dat ot-omgevingen niet zelfstandig onder NIS2 vallen, maar via de organisatie waarvan ze onderdeel zijn. ‘Of een installatie onder de wet valt, hangt minder af van de techniek, maar meer van het belang ervan voor de dienstverlening.’4.Valt mijn organisatie onder NIS2 of de Cyberbeveiligingswet?Of een organisatie onder NIS2 of de Cyberbeveiligingswet valt, hangt af van omvang en maatschappelijke impact. Dompeling benadrukt dat NIS2 het oude principe omdraait. Waar onder NIS vooral expliciet aangewezen organisaties onder de wet vielen, geldt nu een brede lijst van sectoren en activiteiten die als maatschappelijk relevant worden beschouwd. In combinatie met omvangscriteria betekent dit dat veel meer organisaties zelf moeten vaststellen of zij NIS2-plichtig zijn.5.Welke verplichtingen gelden er al voor ot?Veel ot-omgevingen vallen al langer onder wettelijke verplichtingen. Dompeling wijst erop dat in Nederland de Wet beveiliging netwerk- en informatiesystemen van kracht is, die de NIS-richtlijn implementeert. ‘De wet verplicht organisaties om risico’s inzichtelijk te maken, passende maatregelen te nemen en incidenten te melden, maar laat de technische invulling bij de organisatie zelf.’ Dankaart zegt dat het daarbij vaak gaat om verplichte risicobeoordelingen, veiligheidsintegriteitsnormen en incidentmeldingen. Veel van deze eisen zijn ouder dan cybersecuritywetgeving en vinden hun oorsprong in safety-engineering.6.Wat verandert er met de invoering van de Cybersecurity Act?Dompeling benadrukt dat cybersecurity met deze wetgeving een bestuursverantwoordelijkheid wordt. ‘Bestuurders zijn persoonlijk aansprakelijk op het naleven van de verplichtingen en moeten kennis hebben van cyberrisico’s.’ Organisaties moeten zelf beoordelen of zij onder de wet vallen en een cybersecurity-managementsysteem inrichten, met aandacht voor continuïteit, incident response, meldtermijnen en verantwoordelijkheid voor de toeleveringsketen. ‘De invoering van EU-brede cybersecuritycertificerings-programma’s zal leiden tot meer uniforme verwachtingen voor leveranciers en operators,’ zegt Dankaart. Dat heeft impact op inkoop, doordat minimale beveiligingsniveaus worden vastgelegd en het vertrouwen in ot-producten toeneemt.7.Welke regels raken ot de komende jaren?Dompeling wijst erop dat er regels komen die zich richten op fysieke veiligheid, sabotage en terrorismebestrijding. Leveranciers van machines en software krijgen daarbij verantwoordelijkheden.Daarbij gaat het onder meer om de Cyber Resilience Act, regelgeving rond ai en cryptografie en aangescherpte eisen aan de toeleveringsketen. ‘We verwachten ook updates van sectorspecifieke richtlijnen,’ zegt Dankaart, ‘zeker nu verdere automatisering en remote operations binnen industry 4.0 nieuwe risico’s introduceren.’8.Welke beveiligingseisen stelt de wetgever aan ot-systemen?De wet schrijft geen technische maatregelen voor ot-systemen voor, maar verlangt wel dat risico’s proportioneel en passend worden beheerst. ‘Dat zie je terug in generieke ot-standaarden zoals IEC 62443, aangevuld met sectorspecifieke normen, bijvoorbeeld voor energie-infrastructuur,’ stelt Dankaart.9.Heeft ot eigen standaarden?‘IEC 62443 vormt de basis voor ot-security,’ zegt Dankaart, ‘aangevuld met sectorspecifieke normen, bijvoorbeeld voor energie, transport, luchtvaart en scheepvaart.’In de praktijk combineren organisaties dit vaak met bestaande it-kaders. ‘Veel organisaties leunen voor hun cybersecuritymanagementsysteem op ISO 27001,’ merkt Dompeling daarom op, ‘ze vullen dat waar nodig aan met sectorspecifieke ot-richtlijnen.’10.Welke wet- en regelgeving hebben we niet behandeld?De Europese Machineverordening stelt eisen aan het ontwerp en de besturing van machines, inclusief software en digitale besturingen, blijkt uit toelichtingen van de Europese Commissie en conformiteitsinstanties. Voor zware industriële installaties geldt de Seveso-regelgeving, die zich richt op het voorkomen van grote ongevallen met gevaarlijke stoffen. Cyberverstoringen worden daarbij betrokken in risicoanalyses, meldt onder meer CET Journal. Daarnaast speelt IEC 61511 een rol als norm voor functionele veiligheid in de procesindustrie. Deze norm wordt in de praktijk vaak gecombineerd met IEC 62443 om safety en security samen te beoordelen.Dit artikel staat ook in Computable Magazine 2026 #2.

HIGH PERFORMERS – It-mediator en -deskundige prof. dr. Hans Mulder in debat met ai-chatbots. Hans Mulder: Ik stel voor dat we vandaag geen abstract debat voeren. Datasoevereiniteit is geen theoretisch begrip meer, het is een bestuursvraagstuk. En eerlijk gezegd: het is ook een machtsvraagstuk. Wie bepaalt de spelregels? Wie bezit de knoppen? Wie kan een stekker eruit trekken? En vooral: wie is verantwoordelijk als het misgaat? Ai-chatbots: Datasoevereiniteit is vooral een technisch probleem. Kies gewoon voor encryptie, goede cloud­leveranciers en compliance. Dan ben je er toch? Hans Mulder: Dat is precies de reflex die ons in de problemen brengt. High performers weten: techniek is een middel. Besturen gaat over regie, afhankelijkheden, belangen, tegenmacht en uitvoerbaarheid. Ik heb samen met Yves Vanderbeken en Eddy Van der Stock een boek geschreven voor besturen over datasoevereiniteit, niet als hype, maar als praktische route ‘van visie tot praktijk’. Niet om bestuurders bang te maken, maar om ze wakker te maken. Want wat ik in mijn werk telkens opnieuw zie, is dat digitale afhankelijkheid je sluipend overvalt: je merkt het pas als het te laat is. En dan blijkt dat je als bestuur wel verantwoordelijk bent, maar nauwelijks nog macht hebt. Ai-chatbots: Maar is die afhankelijkheid niet gewoon een logisch gevolg van specialisatie? Je kunt toch niet alles zelf doen? Hans Mulder: Zeker. En dat is ook niet het punt. Ik heb eerder gezegd: als bestuurder hoef je geen expert op je eigen wagenpark of gebouwencomplex te zijn. Maar it is geen gebouwbeheer. It is het zenuwstelsel van je organisatie. Het is de plek waar je processen leven, waar je beslissingen worden uitgevoerd, waar je dossiers worden gevormd. Als je daar de regie kwijtraakt, verlies je niet alleen controle, je verliest bestuurlijke autonomie. Datasoevereiniteit vraagt om een nieuw soort discipline: je moet structureel weten waar je data zijn, wie erbij kan, wie ze kopieert, wie ze verwerkt en wie de regels dicteert. En dat moet je kunnen uitleggen, niet alleen aan auditors, maar aan je eigen raad, je eigen medewerkers en uiteindelijk aan de burger en je klanten. Ai-chatbots: Toch zijn de cloudaanbieders niet de vijand. Het gaat om schaalvoordelen. Bovendien zijn grote aanbieders veiliger. Hans Mulder: Klopt, de cloud is niet de vijand, maar naïviteit wel. High performers laten zich niet sussen door het argument ‘ze zijn groter, dus veiliger’. Groter betekent ook: verder weg, minder beïnvloedbaar en soms: geopolitiek onvoorspelbaar. Datasoevereiniteit is in deze wereldorde geen luxe meer. We zien een wereld waarin handelsblokken verharden, waarin technologie een strategisch wapen is geworden en waarin sancties, exportrestricties en juridische extraterritoriale claims niet meer uitzonderlijk zijn. In zo’n wereld is de vraag niet: ‘is onze leverancier betrouwbaar?’ De vraag is: ‘wat gebeurt er als de context verandert en die leverancier móét meebewegen met krachten die buiten ons liggen?’ High performers denken niet alleen in het heden. Ze modelleren scenario’s. Ze bouwen redundantie in. Ze organiseren tegenmacht. High performers modelleren scenario’s, bouwen redundantie in en organiseren tegenmacht Ai-chatbots: Dus u pleit voor volledige onafhankelijkheid? Hans Mulder: Nee. Ik pleit voor volwassen afhankelijkheid. Dat is iets anders. Een volwassen afhankelijkheid betekent dat je expliciet kiest welke afhankelijkheden je accepteert — en welke niet. Dat je weet waar je ‘exit’ zit. Dat je open standaarden gebruikt waar het kan. Dat je contracten niet ziet als een juridisch schild, maar als een instrument van regie. En dat je verantwoordelijkheden niet uitbesteedt aan ai. We hebben een soort ai-trias-politica nodig: checks and balances, onafhankelijkheid van interpretatie en vooral: menselijke verantwoordelijkheid. Want als je niet onafhankelijk kunt oordelen, kun je niet meer besturen. Dan ben je slechts uitvoerder van een machine die je zelf niet meer begrijpt. Ai-chatbots: Maar ai kan toch juist helpen? Slimme systemen kunnen risico’s signaleren en softwarerobotjes kunnen repetitieve taken automatiseren. Hans Mulder: Zeker. Maar dan moeten we niet in de valkuil stappen dat ai de regie overneemt. High performers automatiseren pas als het proces vaak goed is gegaan en weten ook waar het mis kan gaan. Want dan moet de mens weer aan zet zijn. In de praktijk betekent dat: human-in-the-loop niet als marketingterm, maar als echte interventieplek. Als een soort rechterlijke macht in je proces. En dan is er nog een ongemakkelijke waarheid die in ons boek ook zonder omwegen benoemd wordt: cio’s dragen verantwoordelijkheid zonder de macht die daarbij hoort. Dat is niet alleen oneerlijk, het is gevaarlijk. Want dan creëer je een systeem waarin de schuld intern landt, terwijl de knoppen extern zitten. High performers lossen dat niet op met heroïek, maar ze organiseren tegenmacht. Ai-chatbots: Dus datasoevereiniteit is vooral… intern knoppen organiseren? Hans Mulder: Datasoevereiniteit is bestuurlijke volwassenheid. En volwassenheid betekent: extern samenwerken waar het kan, en autonoom blijven waar je niet afhankelijk mág worden. Want datasoevereiniteit is niet alleen ‘onze data blijven hier’, maar is blijven werken aan een digitale infrastructuur die betrouwbaar, uitlegbaar, corrigeerbaar, kortom bestuurbaar is, omdat de regie daar ligt waar ze hoort: bij het bestuur. En dat is precies wat high performers doen: ze laten zich niet leiden door de technologie, maar door de verantwoordelijkheid. High Performers In deze rubriek laat it-mediator prof. dr. Hans Mulder zijn gedachten gaan over de vraag: wat maakt dat sommige organisaties in dit digitale tijdperk het (veel) beter doen dan andere? Wat zijn de unieke eigenschappen van deze ‘High Performers’? En welke rol speelt it hierin? Dit artikel staat ook in Computable Magazin 2026 #1.

Vier Chinese universiteiten, waaronder twee met banden met het Volksbevrijdingsleger, kochten het afgelopen jaar Supermicro-servers met verboden Nvidia A100 AI-chips. Dat blijkt uit openbare aanbestedingsdocumenten. Hoe de servers precies zijn verkregen, is onduidelijk. Twee van de betrokken instellingen zijn Beihang University en het Harbin Institute of Technology (HIT). Beiden maken deel uit van China’s zogeheten […]

Anthropic heeft bevestigd dat het Claude “Mythos” aan het testen is, een nieuw AI-model dat het omschrijft als een ‘stap voorwaarts’ qua vaardigheden, nadat een datalek onbedoeld conceptdocumenten over het model blootlegde. Het lek, veroorzaakt door een configuratiefout in het CMS van Anthropic, maakte bijna 3.000 niet-gepubliceerde bestanden openbaar toegankelijk. Anthropic was niet degene die […]

Voetbalclub Ajax heeft in 2017 een omvangrijk datalek stilgehouden na een melding van ethisch hacker Abdoul Rasnab. Dat blijkt uit onderzoek van BNR, dat een geheimhoudingsovereenkomst heeft ingezien die destijds met hem werd gesloten en is ondertekend door onder anderen toenmalig algemeen directeur Edwin van der Sar. Rasnab kreeg in 2017 toegang tot het ticketsysteem […]

Een Amerikaanse federale rechter heeft een belangrijke overwinning toegekend aan AI-bedrijf Anthropic in een juridisch conflict met de regering-Trump. Dat meldt TechCrunch op basis van berichtgeving door The Wall Street Journal. De zaak draaide om een beslissing van de overheid om het bedrijf aan te merken als een risico binnen de toeleveringsketen, een kwalificatie die […]

Lucid Software heeft nieuwe AI-functionaliteit aangekondigd die teams moet helpen sneller diagrammen en documentatie te maken. De vernieuwingen richten zich op samenwerking, contextdeling en het beter benutten van AI binnen organisaties. De update draait om drie onderdelen: een uitgebreid Model Context Protocol (MCP) server, verbeteringen in Lucid AI en de introductie van een zogeheten Process […]

Unit 42 van Palo Alto Networks heeft een bijgewerkt dreigingsrapport gepubliceerd waarin een aanzienlijke toename van cyberactiviteiten in verband met het conflict met Iran wordt beschreven. Sinds de start van de gezamenlijke Amerikaanse-Israëlische Operation Epic Fury op 28 februari heeft Unit 42 wiper-aanvallen, grootschalige phishingcampagnes, financiële fraude en een sterke toename van hacktivistische activiteiten gedocumenteerd. […]

Wereldwijd advieskantoor Oliver Wyman heeft Suzanne van der Meijden en Jeffrey Hennen benoemd tot co-Office Leaders van het kantoor in Amsterdam. In hun nieuwe rollen zijn Suzanne en Jeffrey verantwoordelijk voor het bewaken en versterken van de cultuur van Oliver Wyman’s kantoor in Amsterdam, evenals voor het leiden van de dagelijkse bedrijfsvoering.

Het vorig jaar opgerichte Risk Boutique is met ingang van het nieuwe jaar overgegaan naar een partnerstructuur. Met de verdere uitbouw van het non-financial risk-adviesbureau positioneren Edouard van den Heuvel en Robert Dreyer zich nadrukkelijk als alternatief voor traditionele consultancykantoren: “Kleinschalig, hooggespecialiseerd en gericht op directe impact.

Udacity, een bedrijfsonderdeel van Accenture, heeft een nieuw MBA-programma gelanceerd voor professionals die zich willen specialiseren in AI-productmanagement. Volgens Accenture is de opleiding ontwikkeld als antwoord op de snelgroeiende vraag naar expertise op het gebied van AI-productmanagement.

Nederlandse bedrijven en uitvinders dienden in 2025 7.006 Europese octrooiaanvragen in bij het Europees Octrooibureau (EOB), vrijwel evenveel als het jaar ervoor (7.054, -0,7%). Dat blijkt uit het Technology Dashboard 2025 (voorheen de Patent Index), dat deze week is gepubliceerd. Het is het tweede jaar op rij waarin het aantal aanvragen stabiel blijft of licht daalt, na drie jaar van groei. Nederland blijft echter derde binnen de EU en vijfde wereldwijd per inwoner, met 388 Europese octrooiaanvragen per miljoen inwoners. In totaal ontving het EOB in 2025 een recordaantal van 201.974 octrooiaanvragen. Het aantal aanvragen steeg met 1,4 procent, waarmee een terugkeer naar gestage groei zichtbaar wordt. Aanvragen uit Europa, inclusief alle 39 EOB-lidstaten, namen met 0,4% toe (EU-27: +0,7%), terwijl aanvragen van buiten Europa met 2,1% groeiden. Octrooiaanvragen gelden als een vroege indicator voor investeringen in onderzoek en ontwikkeling. De Verenigde Staten bleven het belangrijkste land van herkomst, gevolgd door Duitsland. China (+9,7%) haalde voor het eerst Japan (+1,1%) in en werd daarmee de derde grootste bron van aanvragen, terwijl ook Zuid-Korea een sterke groei liet zien (+9,5%). In totaal is 57% van alle aanvragen afkomstig van buiten Europa, tegenover 43% uit EOB-lidstaten. Binnen Europa bleven digitale technologieën de belangrijkste motor van octrooiaanvragen. Digitale communicatie (mede door de wereldwijde ontwikkeling van 6G) en computertechnologie (inclusief AI) lieten de sterkste groei zien. Voor Nederlandse aanvragers bleef medische technologie het belangrijkste domein voor octrooiaanvragen bij het EOB in 2025 (+10,1% ten opzichte van 2024). Het tweede grootste domein – elektrische machines, apparatuur en energie – kende zelfs een sterkere groei (+15,4%). De sector halfgeleiders liet bij het EOB als geheel een sterke groei zien (+7,6%), terwijl Nederlandse aanvragers 24,7% meer aanvragen indienden. Hoewel het nog een relatief klein technologiedomein is voor Nederlandse aanvragen, stond Nederland in 2025 op de zesde plaats wereldwijd bij het EOB voor halfgeleiders (een stijging ten opzichte van plaats zeven in 2024). NXP, ASML en Lumileds stonden alle drie in de top 20 van octrooiaanvragers bij het EOB op het gebied van halfgeleiders. In 2025 daalde het aantal aanvragen van Nederlandse innovators in verschillende domeinen, waaronder: optica (-13,6%), basischemie (-12,5%), organische fijne chemie (-19,1%) en overige speciale machines (-14,3%). Noord-Brabant bleef de belangrijkste innovatieregio van Nederland met 3.616 aanvragen, goed voor 51,6% van alle Nederlandse aanvragen. Gelderland liet de sterkste groei zien: van 440 aanvragen in 2024 naar 798 in 2025. Noord-Brabant stond bovendien vijfde op de ranglijst van EU-regio’s bij het EOB en tiende wereldwijd. Eindhoven stond derde in de Europese stedenranglijst van het EOB, alleen München en Parijs telden meer octrooiaanvragen. Philips bleef met 1.289 aanvragen de grootste Nederlandse octrooiaanvrager en behield zijn leidende positie bij het EOB binnen het domein medische technologie. Daarnaast stond Philips 13e in computertechnologie en tiende in meetapparatuur (waaronder sensortechnologie). Signify bleef de vierde grootste aanvrager bij het EOB in elektrische machines, apparatuur en energie en stond ook 10e in ‘other special machines’, een categorie die onder meer 3D-printers en productieapparatuur omvat. DSM-Firmenich stond vijfde in organische fijne chemie, een stijging ten opzichte van plaats zeven in 2024. Foto Brett Sayles (cc)

Het dronebedrijf Wing, onderdeel van Alphabet, wil in de komende maanden starten met het bezorgen van pakketten per drone in de regio rond San Francisco. Daarmee breidt het bedrijf zijn activiteiten uit naar een gebied waar het ooit begon met testen.  Wing richt zich op het oplossen van problemen bij de zogeheten last mile delivery — het laatste stuk van de bezorging naar de klant. Dit wil het doen met lichte, automatisch vliegende drones die direct naar woningen kunnen vliegen, zelfs in dichtbevolkte woonwijken. De stap markeert ook een terugkeer naar de oorsprong van het bedrijf, dat in 2012 in de Bay Area werd opgericht als onderdeel van Alphabets experimentele onderzoeksafdeling X (ook wel de Moonshot Factory genoemd). Wing heeft al ervaring met dronebezorging in andere delen van de VS, waar het bijvoorbeeld boodschappen en maaltijden levert in samenwerking met bedrijven zoals Walmart en DoorDash, vaak binnen een half uur.

AI versnelt zero-days, supply chain-aanvallen en OT-inbraken. Automatiseer detectie en patching, maar vertrouw niet blind op modellen.