AI voor de maakindustrie — compliant, gebronnen en fabrieks-proof

Productiebedrijven vanaf 50 medewerkers of €10 miljoen omzet in chemie, voedselproductie, medische hulpmiddelen, elektronica of voertuigen vallen als belangrijke of essentiële entiteit onder de Cyberbeveiligingswet — de Nederlandse NIS2-implementatie, verwacht in de loop van 2026. De EU-richtlijn zelf is al van kracht; de Nederlandse wet maakt drie plichten handhaafbaar: zorgplicht (risicomanagement op tien technische en organisatorische maatregelen), bestuurdersaansprakelijkheid en een notificatieplicht met eerste melding binnen 24 uur en een substantiële impact-melding binnen 72 uur. Concreet: een ransomware-aanval op de SCADA-laag is straks een meldingsplichtig incident, en een AI-leverancier die kritieke productiesoftware levert hoort als third-party dependency in het risicoregister.

De Cyber Resilience Act (EU 2024/2847) gaat een stap verder: niet de onderneming maar élk product met digitale elementen dat op de EU-markt komt, moet beveiligd zijn. Vanaf 11 september 2026 geldt de vulnerability-rapportageplicht aan ENISA; vanaf 11 december 2027 de volledige verplichtingen — security-by-design, een Software Bill of Materials (SBOM) per product, een gegarandeerd update-mechanisme gedurende minimaal vijf jaar support-periode, conformity assessment en CE-markering. Voor producenten van slimme sensoren, machines met aan-boord-software en ingebouwde regelaars betekent dat een productpaspoort plus een geregistreerd kwetsbaarheden-contactpunt (PSIRT). Veel producenten onderschatten dat ook firmware op een ingebouwde ARM-controller onder scope valt: dat is geen IT-probleem, maar een productcompliance-probleem.

Vanaf 20 januari 2027 is software die veiligheidstaken uitvoert expliciet een safety component: de Machineverordening (EU 2023/1230) vervangt dan de Machinerichtlijn 2006/42/EG en stelt veiligheids-software gelijk aan fysieke beveiligingen. Ongeveer 30% van de nieuwe eisen gaat over cybersecurity — voor het eerst verplicht in productwetgeving — en als verordening werkt zij direct in alle lidstaten, zonder nationale omzettingsruimte. Machines die na oplevering substantieel gewijzigd worden, bijvoorbeeld met een AI-retrofit, gelden bovendien als nieuw product en moeten opnieuw door de CE-keten — dat raakt het retrofit-businessmodel van veel machinebouwers.

De EU AI Act haakt daarop in via artikel 6(1): een AI-systeem dat als veiligheidscomponent functioneert van een product onder Bijlage I — waaronder de Machineverordening — is automatisch hoog-risico en vereist conformity assessment door een notified body, geen self-assessment. Denk aan vision-gebaseerde noodstops, autonome beslissingen over laskwaliteit of collision-avoidance van een robotarm. De hoog-risico-regels (Annex III + art. 6) zijn per 2 augustus 2026 handhaafbaar; AI-geletterdheid (art. 4) geldt al sinds 2 februari 2025 voor operators, kwaliteits-engineers en onderhoudstechnici die met AI-systemen werken. Een fabrikant die nu een AI-lassysteem of vision-veiligheidsstop ontwikkelt, moet rekenen op 6-10 weken engineering-tijd voor een eerste technical file die Machineverordening en AI Act samen afdekt.

De Nederlandse maakindustrie herstelt en er ligt subsidie klaar voor digitalisering: CBS noteerde voor Q1 2025 een industrie-omzetstijging van 2,9% — de sterkste sinds begin 2023 — en de Smart Industry-agenda mikt op 15-25% productiviteitswinst voor industrieel MKB. De sector is groter dan vaak gedacht: FME vertegenwoordigt 2.200 leden met 226.000 werkenden in metaal, elektronica, elektrotechniek en kunststof; de Koninklijke Metaalunie bundelt ruim 15.000 MKB-leden met 180.000+ werkenden en meer dan €30 miljard omzet. Beide organisaties dringen aan op investeringen in robotisering, digitalisering en AI, juist omdat die investeringen stagneren terwijl de binnenlandse markt voorzichtig herstelt.

De Smart Industry Productiviteitsagenda 2026-2028, in maart 2026 door FME en Smart Industry Nederland gelanceerd, bevat een concreet implementatieprogramma voor die productiviteitswinst via digitalisering, AI en werkplek-innovatie. De ruggengraat zijn de Smart Industry Fieldlabs: ruim 30 publiek-private praktijkomgevingen waarin bedrijven en kennisinstellingen oplossingen ontwikkelen en testen, ondersteund met €14,55 miljoen vanuit het ministerie van EZ — 60% subsidie op projectkosten van minimaal €1 miljoen (waarvan twee derde renteloze lening), tot €3 miljoen per samenwerkingsverband. Voor MKB-producenten die de drempel naar AI-investering willen verlagen is fieldlab-deelname vaak een effectievere eerste stap dan een zelfstandig POC-traject: de risicodeling met kennispartners en medebedrijven verlaagt de leerdrempel.

Dezelfde ton CO2 die een importeur onder CBAM aan de grens betaalt, moet bij in-scope ondernemingen ook in de CSRD Scope 3-waardeketenrapportage terugkomen. CBAM treedt per 2026 volledig in werking voor ijzer, staal, aluminium, cement, kunstmest, elektriciteit en waterstof; importeurs kopen certificaten tegen het EU-ETS-tarief (eind 2025 circa €80 per ton CO2), met de Douane en de Nederlandse Emissieautoriteit (NEa) als toezichthouders. Het PBL bevestigt dat de CO2-heffing aan de buitengrens carbon leakage vermindert en dus structureel op de keten drukt. AI helpt hier als data-aggregator: energieverbruik uit SCADA, inkoopdata uit ERP en transportdata uit logistiek komen samen in een footprint-schatting die de controller valideert in plaats van handmatig drie bronnen kruist.

Daarnaast raakt product-regelgeving het ontwerp zelf. De EU Batterijverordening (2023/1542) verplicht per 18 februari 2027 een digitaal batterij-paspoort voor industriële batterijen vanaf 2 kWh, met CO2-footprint, grondstof-herkomst en recycleerbaarheid. De Right-to-Repair-richtlijn (EU 2024/1799) verplicht producenten vanaf 21 juli 2026 om producten ook buiten de garantieperiode tegen redelijke prijs te repareren en reserveonderdelen beschikbaar te houden. Design-for-disassembly wordt daarmee een product-requirement — AI-ondersteunde design-reviews genereren repareerbaarheids-metrics en BOM-analyses voor reserveonderdeel-verplichtingen al vóór release.

Software en AI in de maakindustrie staan of vallen met het datafundament: de ISA-95-hiërarchie van ERP (Level 4) via MES (Level 3) en SCADA (Level 2) naar PLC en sensoren (Level 1), verbonden door een unified namespace. Bij veel MKB-producenten zit precies daar het probleem: ERP en MES komen van verschillende leveranciers, SCADA is door de machinebouwer meegeleverd en productdata staat in een apart PLM- of PDM-systeem. Een predictive-maintenance-model heeft sensordata nodig uit Level 1, moet kruisen met de productieplanning in Level 3 (is er überhaupt een downtime-window?) en met Level 4 voor de kosten van uitval en orderprioriteit. Zonder die koppelingen blijft AI op een zandbank: voorspellend onderhoud op ruis levert false-positives waar de monteur na drie weken niet meer op reageert. We beginnen daarom vrijwel altijd met een data-assessment en een unified namespace — MQTT-gebaseerd of via een industrial data-platform zoals HighByte of Litmus Edge — voordat er één regel AI-code geschreven wordt.

De juiste volgorde voor software- en AI-projecten in een maakbedrijf: begin buiten de safety-scope en eindig pas na 12-18 maanden bij AI in de veiligheidszone. (1) Visuele inspectie en quality-control als inloop-use-case — vision-AI op één afgebakend inspectiepunt, meestal buiten de safety-component-scope, levert binnen 8-12 weken bewijs van waarde. (2) Kennisborging met een operator-knowledge-graph voor procesparameters en storingspatronen, vóórdat ervaren vakmensen met pensioen vertrekken. (3) Predictive maintenance op data die al beschikbaar is — liever een asset-klasse met veel data (persen, pompen, motoren) dan één kritieke machine met weinig. (4) AI-assistentie bij productieplanning: schedule-concepten die de planner goedkeurt. (5) Pas als laatste AI in de safety-component-zone, met volledige conformity assessment door een notified body onder Machineverordening en AI Act samen. Met die volgorde bouwt de organisatie stap voor stap ervaring op met AI-governance en wint het systeem vertrouwen op de werkvloer — allebei onmisbaar voordat AI in de veiligheidszone mag; verdieping staat in onze AI-automatisering gids.

Het sluitstuk is in elke use-case hetzelfde: AI levert het voorstel, een bevoegd mens beslist. De operator bevestigt vóórdat een parameter op de machine wijzigt, de werkvoorbereider keurt het schedule-concept goed en geen enkel AI-model krijgt rechtstreekse writeback naar een actuator. Bij machineveiligheid is dat geen stijlkeuze maar een harde eis: human oversight onder AI Act art. 14 en de CE-keten van de Machineverordening.