Stap in de defensiemarkt

Cyberveiligheid is in toenemende mate een eis die in een waardeketen gevraagd wordt omdat OEM'ers moeten voldoen aan nieuwe Europese regels zoals NIS2. Dit geldt vooral voor sectoren die essentieel en kwetsbaar zijn zoals ook de bedrijven die toeleveren aan defensie. Overigens zijn in toenemende mate MKB-maakbedrijven slachtoffer van digitale criminaliteit. Met als grootste risico’s tijdelijke productiestop, het kwijtraken van data en financiële schade.

Het is in elk geval goed om te werken aan een aantal basisprincipes zoals back-up, Multi Factor Autentication, rechten beheer, bewustwording op de werkvloer (foto’s, delen van tekeningen, USB-gebruik). Vergeet ook niet machines en apparaten remote toegang zoals camera’s. Meer informatie en ondersteuning vind je op: www.samendigitaalveilig.nl/partners/metaalunie-2

Als klanten certificering eisen op het gebied van cyberveiligheid kan Cyra behulpzaam zijn omdat dit instrument ontwikkeld is met meerdere OEM’ers en ketens. Meer info op https://hetccv.nl/keurmerken/cybersecurity/cyra/. Een stap verder is een ISO 27001 certificering, waarbij PKM kan begeleiden.

Voor overheidsopdrachten met risico’s voor nationale veiligheid gelden vanaf 2026 Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO). Deze gelden dus vooral voor directe klanten van defensie en consortium partners. Maar delen hiervan kunnen doorwerken in de keten https://www.rijksoverheid.nl/onderwerpen/zakendoen-met-het-rijk/beveiligingseisen-abro

Nederland en de EU hanteren strenge regels voor militair materieel en dual-use goederen. Export mag niet leiden tot schending van internationale verplichtingen of ongewenst eindgebruik.Rijksoverheid+2Rijksoverheid+2.​
Als jouw producten/diensten in de buurt komen van dual-use kijk dan op Rijksoverheid+2Bureau Biosecurity+2​ voor de eisen. 

Ga ook na of je klanten hebt uit niet-NAVO landen of uit landen met een verhoogd risico. Hiervoor gelden extra voorzorgsmaatregelen. Voor internationale projecten en NAVO-ketens is vaak een NCAGE-code nodig: een internationaal identificatienummer voor bedrijven in defensiesystemen.Rijksoverheid+1​ en eventueel AQAP-normen
En bedenk in verband met draagvlak onder personeel, klanten of financiers of je als bedrijf een landenselectie wil maken:

• Alleen NAVO en gelijkgezinde landen.
• Geen leveringen naar landen in gewapend conflict.

Vragen over internationaal zaken doen op defensiegebied, team Ondernemen helpt je verder (vliet@metaalunie.nl).

Ook als je niet rechtstreeks aan Defensie levert, maar werkt in de keten rond opdrachten die bevatten:
 

• Gevoelige informatie of locaties.
• Fysieke toegang tot infrastructuur, of materialen met nationaal veiligheidsbelang, dan gelden er security-eisen rond fysieke toegangscontrole (bijhouden bezoekers, toegangspasjes), geheimhouding, personeelsbetrouwbaarheid, gescheiden werkprocessen, communicatieprocedures en incidentrapportage. 

Deze eisen zijn grotendeels vastgelegd in de Algemene Beveiligingseisen (ABRO/ABDO) en worden toegepast via het Nationaal Bureau Industrieveiligheid (NBIV) in samenwerking met MIVD en AIVD.

Bijna alle bedrijven zijn al bezig met kwaliteitsbeheer en certificering.  Het is goed de basis op orde te hebben. Denk hierbij aan: ISO 9001, een goede werkvoorbereiding, projectmanagement en je organisatie voorbereiden op veranderingen.​ Klanten kijken vooral of je een voorspelbare en betrouwbare partner zult zijn. De basis op orde geeft je een voorsprong in de klantgesprekken. Een gerichte stap naar AS9100 certificering (defensie, lucht- en ruimtevaart) kan hierbij een vervolgstap zijn. PKM heeft adviseurs die hierin begeleiden.

Klanten die rechtstreeks leveren aan defensie of participeren in consortia krijgen te maken met de AQAP-normen en moeten zich landelijk of internationaal (NCAGE-code) registreren. Zij vertalen de eisen (deels) door en werken met audits.

OEM’ers zijn afhankelijk van hun toeleveranciers en willen de risico’s zoveel mogelijk beheersen. Als één onderdeel ontbreekt, staat de productie stil. Om grip te houden op de situatie willen ze graag een transparante keten en weten of hun toeleveranciers de afgesproken leverdatum gaan halen, dat het onderdeel volgens de specificaties is en dat een revisie goed wordt doorgevoerd. Maar ook belangrijk is dat  als ze meer vraag hebben, hun leverancier de productie ook op kan voeren. Er zijn verschillende manieren om te communiceren en gegevens uit te wisselen met een opdrachtgever over de voortgang van productie en levering. Dat gebeurt steeds meer digitaal, waardoor de OEM’er real-time inzicht heeft, de communicatie minder tijd kost en de foutmarges beheersbaar en geminimaliseerd  worden . Het is belangrijk dat de systemen van opdrachtgever en opdrachtnemer dezelfde ‘taal’ spreken en gekoppeld kunnen worden, maar ook dat  jouw processen goed georganiseerd en gedigitaliseerd zijn. Belangrijk voor traceability, maar ook document- en revisiebeheer.

Neem voor ondersteuning, informatie en bijeenkomsten een kijkje op​:

• www.metaalunie.nl/teqnow​
• www.klikopmorgen.nl​

Kunnen leveren in de defensieketen vergt iets van je de hele organisatie: van jou en van jouw medewerkers. Naarmate je bedrijf hoger in de waardeketen opereert, verandert er meer voor je organisatie. Voor niveau 3-4 leveren is het vooral van belang om kwaliteit, digitalisering, cyberveiligheid op een basisniveau te krijgen.

Als je klanten meer eisen gaan stellen, kunnen er vragen spelen als veiligheidsscreening van je medewerkers en van de werkprocessen, het organiseren van de security-rollen, het scheiden van werkplekken en werkprocessen, geheimhouding, of zelfs beperkingen in inzet van personeel (nationaliteiten, toegangsniveau).

Ethiek
Daarnaast is het van belang om met je mensen, eventueel aandeelhouders, financieerders, omgeving/klanten te bepalen waarom jouw bedrijf actief zou willen zijn in de defensiemarkt (veiligheid, innovatie, omzet, strategische autonomie, of andere redenen voor of tegen) en aan wat voor producttype of dienst je wel of niet wil en kan bijdragen en aan welke niet. Bijvoorbeeld wel aan de verdediging van Nederland en de beveiliging van defensiepersoneel  maar niet aan wapens.

Zakendoen met of voor defensie is er een van de lange adem. Orders komen niet snel tot stand en niet altijd in een vaste stroom. Zorg daarom voor een financieel stabiele omgeving; door gezonde marges en goede klantenspreiding, Geen afhankelijkheid van één grote OEM’er of defensie (max. 30% van de omzet). Bij voorkeur meerjaren- of volumecontracten om de voorspelbaarheid te vergroten en een voorraad te kunnen aanleggen voor snelle levering. Ook belangrijk is te zorgen dat de grondstoffen/materialen op de lange termijn goed beschikbaar blijven. Het hebben van een productpaspoort voor behoud kennis lange termijn is ook aanbevolen.

Leidraad Materialenpaspoort Versie 2.0 - Circulaire Maakindustrie