AI voor de maakindustrie — compliant, gebronnen en fabrieks-proof

De Nederlandse maakindustrie staat de komende twee jaar onder meer regulatoire druk dan in de voorgaande twintig. Tussen Q3 2025 en januari 2027 landen zes Europese kaders tegelijk op dezelfde productievloer: de nieuwe Cyberbeveiligingswet (Cbw) die de Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangt en de NIS2-richtlijn in Nederlands recht vertaalt, de Cyber Resilience Act (EU 2024/2847) met zijn vulnerability-rapportageplicht vanaf 11 september 2026 en volle werking per 11 december 2027, de Machineverordening (EU 2023/1230) die op 20 januari 2027 de Machinerichtlijn 2006/42/EG vervangt, de EU AI Act waarvan art. 4 AI-geletterdheid sinds 2 februari 2025 geldt en Annex III + Art. 6(1) hoog-risico-regels per 2 augustus 2026 handhaafbaar worden, het CSRD-rapportagekader met Scope 3 waardeketen-emissies voor in-scope ondernemingen en het Carbon Border Adjustment Mechanism (CBAM) dat per 2026 volledig in werking treedt en importeurs van ijzer, staal, aluminium, cement, kunstmest, elektriciteit en waterstof CBAM-certificaten aan de ETS-prijs laat kopen.

Dat is geen "hype-stack" — dat zijn concrete verplichtingen voor elke fabrikant die een machine ontwerpt, een product met digitale elementen op de markt brengt, een productieproces digitaliseert of een AI-systeem inzet voor een veiligheidsfunctie. De Koninklijke Metaalunie — met meer dan 15.000 MKB-leden, 180.000+ werkenden en een omzet boven €30 miljard — roept in haar Economische Barometer Q4 2025 juist om ruimte en stimulans voor investeringen in robotisering, digitalisering en AI, omdat investeringen stagneren. Tegelijk liet CBS zien dat de Nederlandse industrie zich in 2024 herstelde en dat de omzet in Q1 2025 met 2,9% de grootste stijging sinds begin 2023 liet zien (CBS omzet industrie Q1 2025). De combinatie — herstel + druk + deadline-stapeling — maakt dat elke AI-investering nu zowel businesscase-proof als compliance-proof moet worden opgeleverd.

De FME — de ondernemersorganisatie voor de technologische industrie met 2.200 leden en 226.000 werkenden in metaal, elektronica, elektrotechniek en kunststof — heeft in maart 2026 samen met Smart Industry Nederland de Productiviteitsagenda 2026-2028 gelanceerd. Die agenda bevat een concreet implementatieprogramma waarmee industriële MKB-bedrijven hun productiviteit met 15-25% kunnen verhogen via slimme inzet van digitalisering, AI en werkplek-innovatie. Ruggengraat daarvan zijn de Smart Industry Fieldlabs — meer dan 30 publiek-private praktijk-omgevingen waarin bedrijven en kennisinstellingen Smart Industry-oplossingen ontwikkelen, testen en implementeren, ondersteund met €14,55 miljoen subsidie vanuit het ministerie van EZ (60% subsidie op projectkosten, waarvan twee-derde renteloze lening, tot €3 miljoen per samenwerkingsverband).

CleverTech implementeert AI bij producenten langs vier vaste ankers. Eén: compliance-by-design — NIS2-Cbw, CRA, Machineverordening, AI Act en CSRD worden aan het begin van elk project uitgetekend, niet als nabrand. Twee: OT/IT-scheiding — AI raakt het MES, PLM en business-intelligence-niveau, de PLC/SCADA-laag blijft onder de cyber-hygiene-regels van NIS2 en CRA; geen AI-model krijgt rechtstreekse writeback-bevoegdheid richting een kritieke actuator. Drie: private AI in EU-datacenter voor alle tekeningen, receptuur en klantspecifieke data — geen OpenAI-public tier voor CAD-drawings of bill-of-materials. Vier: explainable predictive maintenance — anomaly-detection modellen leveren altijd een feature-attribution per alarm zodat de onderhoudstechnicus kan volgen waarom het model reageert. McKinsey becijfert dat predictive maintenance onderhoudskosten met 10-40% kan verlagen en downtime met 50-70%, maar alleen bij modellen die de onderhoudsdienst vertrouwt.

Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.

De NIS2-richtlijn is in Nederland geïmplementeerd via de Cyberbeveiligingswet (Cbw), die de Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangt. Volgens het Rijksoverheid-bericht van 23 oktober 2024 is de implementatie vertraagd ten opzichte van de Europese deadline (17 oktober 2024), maar de Cbw plus de bijbehorende Wet weerbaarheid kritieke entiteiten (Wwke/CER) worden in Q3 of Q4 2025 van kracht. De NCSC-samenvatting bevestigt dat chemische productie en distributie, voedselproductie en -verwerking, vervaardiging van medische hulpmiddelen, elektronica en voertuigen, en digitale infrastructuur onder belangrijke of essentiële entiteiten vallen — van toepassing vanaf 50 medewerkers of €10 miljoen omzet. Kerntrio van verplichtingen: zorgplicht (risk management op 10 technische/organisatorische maatregelen, zie TÜV Nord NL), bestuurdersaansprakelijkheid (directieleden persoonlijk aansprakelijk voor cyberhygiene), en notificatieplicht (eerste melding binnen 24 uur, substantiële impact-melding binnen 72 uur). Voor productiebedrijven betekent dat: een ransomware-aanval op de SCADA-laag is een meldingsplichtig incident naar het Computer Security Incident Response Team van het NCSC; een AI-leverancier die kritieke productie-software levert, is een third-party dependency die in het register staat.

De Cyber Resilience Act (EU 2024/2847) gaat een stap verder: niet alleen ondernemingen moeten beveiligd zijn, maar élk product met digitale elementen dat op de EU-markt komt. Volgens de Europese Commissie-samenvatting en Pilz-overzicht trad de CRA op 10 december 2024 in werking. De kerndata: per 11 september 2026 moeten fabrikanten actief misbruikte kwetsbaarheden en ernstige incidenten binnen 24/72 uur bij ENISA melden; per 11 december 2027 gelden de volledige verplichtingen — security-by-design en -by-default, Software Bill of Materials (SBOM) per product, vulnerability-management gedurende de support-periode (minimaal 5 jaar of productlevensduur), conformity assessment en CE-markering. Voor producenten van slimme sensoren, industriële machines met aan-boord-software, IoT-componenten en ingebouwde regelaars betekent dat: een productpaspoort, een geregistreerde vulnerability-contactweg (PSIRT), en een update-mechanisme dat gedurende de support-periode gegarandeerd is. De Nederlandse Uitvoeringswet is in voorbereiding. Veel producenten onderschatten dat ook firmware op een ingebouwde ARM-controller onder scope valt — dat is geen "IT-probleem", dat is een productcompliance-probleem.

Op 20 januari 2027 vervangt de Machineverordening (EU 2023/1230) de oude Machinerichtlijn 2006/42/EG. De officiële EUR-Lex-samenvatting en de ProEng-toelichting geven drie fundamentele wijzigingen. Ten eerste: software die veiligheidstaken uitvoert is expliciet een "safety component" en krijgt dezelfde status als fysieke veiligheidsinrichtingen. Dat betekent: een AI-model dat autonoom beslist over lassnelheid, nood-stop op vision-basis, of collision-avoidance van een robotarm, valt onder de CE-markering-keten van de machine-as-product. Ten tweede: cybersecurity is voor het eerst expliciet in productwetgeving opgenomen — ongeveer 30% van de nieuwe veiligheidseisen gaat over digitale bescherming. Machines moeten beveiligd zijn tegen digitale aanvallen én datacorruptie die de veiligheid in gevaar brengt. Ten derde: de verordening-vorm betekent directe werking in alle lidstaten, geen nationale omzettings-speelruimte zoals bij de oude richtlijn. Gecombineerd met AI Act art. 6(1) — SenS Juristen bevestigt dit pad — trekt dit AI-functies in hoge-risico-categorie met verplichte derde-partij conformity-assessment door een notified body, niet self-assessment. Fabrikanten die nu een AI-lassysteem of een vision-gebaseerde veiligheidsstop ontwikkelen moeten vanaf 20 januari 2027 een technical file inleveren die Machineverordening + AI Act samen afdekt.

De EU AI Act landt in de maakindustrie op drie niveaus. Niveau één is art. 4 AI-geletterdheid, handhaafbaar sinds 2 februari 2025. Operators, kwaliteits-engineers en onderhoudstechnici die met een AI-systeem werken moeten aantoonbaar voldoende kennis hebben van wat het systeem doet, wat het niet doet, welke fouten het kan maken, hoe het te escaleren. Dat geldt ook voor AI-ondersteunde MES-tools, visuele inspectie-systemen en predictive-maintenance-dashboards. Niveau twee is verboden praktijken (art. 5, vanaf 2 februari 2025) — onder andere manipulatieve/subliminale AI en social scoring; weinig maakindustrie-use-cases, maar relevant voor HR-toepassingen binnen het productiebedrijf. Niveau drie is hoog-risico (Annex III + Art. 6(1)), handhaafbaar per 2 augustus 2026. Annex III noemt onder meer kritieke infrastructuur (digitale regeling van energie, water, verwarming), werving & selectie en werknemers-evaluatie. Art. 6(1) trekt daar bovenop elk AI-systeem dat een safety component is van een product onder Bijlage I (Machineverordening, medische hulpmiddelen, speelgoed, drukapparatuur, enzovoort). DataNorth's compliance-checklist loopt de stappen door: classificatie-check, risicomanagement-systeem, data-governance (art. 10), technische documentatie (art. 11), logging (art. 12), transparantie (art. 13), human oversight (art. 14), accuracy/robustness (art. 15), en bij safety-components derde-partij conformity-assessment. Voor een middelgrote machinebouwer betekent dat: een eerste volledige technical file kost 6-10 weken engineering-tijd.

Op sectorniveau is de Nederlandse maakindustrie groter en vitaler dan vaak gedacht. De FME — ondernemersorganisatie voor de technologische industrie — vertegenwoordigt 2.200 leden met 226.000 werkenden in metaal, elektronica, elektrotechniek en kunststof. De Koninklijke Metaalunie bundelt meer dan 15.000 MKB-maakindustrie-leden (180.000+ werkenden, >€30 miljard omzet). Volgens CBS Nederlandse industrie herstelt 2024 en CBS omzet industrie Q1 2025 kwam de industrie-omzet in Q1 2025 uit op +2,9% j-o-j, de sterkste stijging sinds Q1 2023. Tegelijkertijd laat de Metaalunie Economische Barometer Q4 2025 een gemengd beeld zien — binnenlandse markt herstelt voorzichtig, internationale prestaties haperen, personeelsgroei stagneert. De Metaalunie pleit actief voor gerichte MKB-maatregelen die investeringen in robotisering, digitalisering en AI stimuleren.

De Smart Industry Productiviteitsagenda 2026-2028, in maart 2026 door FME-voorzitter Theo Henrar aangeboden aan de minister van EZ, zet een concrete lijn uit: productiviteitswinst van 15-25% voor industriële MKB via slimme inzet van digitalisering, AI en werkplek-innovatie. De infrastructuur daaronder zijn de Smart Industry Fieldlabs — meer dan 30 publiek-private praktijkomgevingen waarin bedrijven en kennisinstellingen oplossingen ontwikkelen, testen en implementeren. Het ministerie van EZ ondersteunt met €14,55 miljoen aan subsidie voor fieldlab-activiteiten; minimum projectkosten €1 miljoen, subsidie 60% (waarvan twee-derde renteloze lening), tot €3 miljoen per samenwerkingsverband. Thema's sluiten aan op de pain-points die we in het veld zien: servitization (product-as-a-service), slimme werkplekken, flexibele productiesystemen, digital twins, cybersecurity en duurzame productie. Voor MKB-producenten die de drempel naar AI-investering willen verlagen is een fieldlab-deelname vaak een effectievere eerste stap dan een zelfstandig POC-traject — de risico-deling met kennispartners en medebedrijven verlaagt de leer-drempel.

De CSRD-rapportage en CBAM-heffing landen in de keten. De Corporate Sustainability Reporting Directive verplicht in-scope ondernemingen tot gestandaardiseerde, geverifieerde duurzaamheidsrapportage volgens de ESRS-standaarden — Scope 1, 2, én 3 emissies in één waardeketen-disclosure. Het Carbon Border Adjustment Mechanism treedt per 2026 volledig in werking voor ijzer, staal, aluminium, cement, kunstmest, elektriciteit en waterstof — importeurs moeten CBAM-certificaten kopen tegen het EU-ETS-tarief, eind 2025 rond €80 per ton CO2. In Nederland zijn de Douane en de Nederlandse Emissieautoriteit (NEa) gezamenlijk verantwoordelijk. De PBL-analyse bevestigt dat de CO2-heffing aan de buitengrens carbon leakage vermindert en dus structureel op de keten drukt. Consequentie voor maakindustrie: dezelfde ton CO2 die je CBAM-leverancier aan de grens betaalt, moet je in CSRD Scope 3 rapporteren. AI helpt hier als data-aggregator — energieverbruik uit SCADA, inkoopdata uit ERP, transportdata uit logistiek — zodat de controller niet meer handmatig drie bronnen kruist.

De EU Batterijverordening (2023/1542) en de Right-to-Repair-richtlijn (2024/1799) raken productontwerp-beslissingen. Volgens Law & More en ESTG verplicht de batterijverordening per 18 februari 2027 een digitaal batterij-paspoort (QR-code) voor alle industriële batterijen ≥2 kWh, LMT-batterijen en EV-batterijen — met informatie over samenstelling, CO2-footprint, grondstof-herkomst en recycleerbaarheid. Fabrikanten en importeurs moeten zich bij nationale autoriteiten registreren, uitgebreide producenten-verantwoordelijkheid dragen en jaarlijks over verkoop, recycling en duurzaamheid rapporteren. De Right-to-Repair-richtlijn — in werking getreden op 30 juli 2024, toe te passen in NL vanaf 2026 — verplicht producenten vanaf 21 juli 2026 om producten ook buiten de garantieperiode tegen redelijke prijs te repareren. RVO bevestigt dat design-for-disassembly en reparatie-vriendelijk modulair design de kern zijn. Voor productontwerp betekent dat: AI-ondersteunde design-review-tools kunnen repareerbaarheid-metrics genereren, modulariteits-scores berekenen, en BOM-analyse voor reserveonderdeel-verplichtingen uitvoeren al vóór release.

De data-infrastructuur onder AI in de maakindustrie is de ISA-95-hiërarchie plus een unified namespace. SAP's MES-uitleg en Greywise's ERP-vs-MES-toelichting beschrijven de klassieke indeling: Level 4 ERP (SAP, Exact, Dynamics 365) voor boekhouding, verkoop, inkoop en masterdata; Level 3 MES (Manufacturing Execution System) voor productie-uitvoering, werkorders, quality en traceability; Level 2 SCADA voor proces-regeling en dashboards; Level 1 PLC's, drives en sensoren. Tussen die lagen moet data vloeien — en precies dáár zit bij veel MKB-producenten het probleem. ERP en MES zijn meestal van verschillende leveranciers, SCADA is vaak door de machinebouwer meegeleverd, PLM voor product-data staat soms in een apart Product Data Management-systeem. Een AI-model dat voorspelt welke machine onderhoud nodig heeft, heeft data nodig uit Level 1 (sensoren), moet kruisen met Level 3 (productieplanning, is er überhaupt downtime-window?) en Level 4 (kosten van uitval, prioriteitsorder). We beginnen daarom vaak met een data-assessment en een unified namespace (MQTT-gebaseerd of via een industrial data-platform zoals HighByte of Litmus Edge) voordat er één regel AI-code geschreven wordt.

CleverTech werkt bij producenten met vier standaard-use-case-volgordes die we per bedrijf variëren op basis van machinepark en data-volwassenheid. (1) Digitale inspectie en quality-control als inloop-use-case — vision-AI op een afgebakend inspectie-punt, meestal buiten de safety-component-scope, levert binnen 8-12 weken bewijs van waarde. (2) Kennisborging met een operator-knowledge-graph voor proces-parameters en storings-patronen — valt onder AI Act art. 50 (transparantie chatbot) als het interactief wordt, buiten Annex III zolang het geen autonoom veiligheidsbesluit neemt. (3) Predictive maintenance op data die al beschikbaar is — liever beginnen op een asset-klasse (persen, pompen, motoren) met veel data dan op één kritieke machine met weinig. (4) AI-assistentie bij productieplanning — mixed-integer optimization voor schedule-concepten die de planner goedkeurt. (5) Pas als laatste: AI in de safety-component-zone (vision-based nood-stop, autonomy op laspads, collision-avoidance) — volledig Annex I conformity-assessment, notified body, Machineverordening + AI Act samen afdekken. Deze volgorde bouwt in 12-18 maanden de governance-spier én de fabrieks-trust op die voor de laatste categorie onontbeerlijk is.

Voor diepere context verwijzen we naar onze pillar-guide AI voor de maakindustrie (/guides/ai-manufacturing) met sector-brede use-cases en business-cases, en naar onze AI-transformatie-gids (/guides/ai-transformatie) voor het algemene implementatie-framework dat onder elke productie-implementatie ligt. Het uitgangspunt blijft altijd: AI levert een voorstel, een bevoegd mens (operator, planner, onderhoudstechnicus, designer, controller) beslist. Dat is geen marketing-slogan — dat is een harde compliance-eis onder Machineverordening art. 10, AI Act art. 14 (human oversight), CSRD accountability, en niet in de laatste plaats een vertrouwens-eis richting klanten die van u verwachten dat een CE-markering dekking biedt.