Cloudarchitectuur voor semicon: voldoe aan NIS2 en de EU Data Act

Bij BWNEXT zien we bij Brainport-bedrijven in de semiconductor-industrie dat cloudarchitectuur pas toekomstvast is als compliance, overdraagbaarheid en productie-realiteit vanaf het eerste ontwerp zijn meegenomen. Voor chipfabrikanten die als ‘important entities’ onder NIS2 vallen en tegelijk rekening moeten houden met de EU Data Act — van kracht per 12 september 2025, met portability-eisen die per 12 januari 2027 volledig gelden — is een keuze tussen Azure, AWS of GCP daarom slechts een deel van de architectuurvraag. De vijf kritische ontwerpkeuzes op een rij:

euzes op een rij:

• Zoneringsmodel: scheiding van IT, OT en clouddata volgens het Purdue-model (lagen 0-5)
• Vendor-neutrale datalagen: voorkomen van lock-in voor de EU Data Act-deadline van 2027
• Supply chain security: NIS2 verplicht contractuele doorwerking naar EDA-leveranciers en cloud-hostingpartners
• Governance-laag: metadata-frameworks en audittrails voor NIS2-meldplicht binnen 24 uur
• Schaalbaarheidspad: pay-as-you-go opstap naar lakehouse- of mesharchitectuur naarmate datavolumes groeien

Introductie: de pilot draait perfect, de productieomgeving niet

Stel: een data lead bij een OEM met zo'n 900 medewerkers en 35 productielijnen heeft een voorspellend kwaliteitsmodel gebouwd dat in de pilotfase uitstekend presteert. Na livegang ontdekt het team dat de sensordata uit de OT-laag niet consistent genoeg is, dat de cloudopslag van de machineleverancier geen open exportinterface biedt, en dat bij een incident het NCSC niet binnen 24 uur kan worden ingelicht omdat logdata verspreid staat over drie cloudomgevingen.

Dit scenario herhaalt zich bij meerdere Brainport-bedrijven. Niet omdat de technologie tekortschiet, maar omdat de architectuurkeuzes in de pilotfase zijn gemaakt zonder rekening te houden met compliance-eisen, datavolumeschaalbaarheid en vendor-neutrale opslag. BWNEXT ziet dit patroon terugkeren: organisaties die beginnen met een platform-deployment, maar waarbij na één analyseweek blijkt dat de fundamenten eerst op orde moeten. De vraag is niet welk cloudplatform het beste is in abstracto, maar welk ontwerp zowel schaalbaar als compliant is in de specifieke semicon- en OEM-context.

Dit artikel vergelijkt de traditionele cloudaanpak voor semicon met een moderne, compliance-by-design architectuur, en laat zien welke keuzes het verschil maken.

Wat NIS2 en de EU Data Act nu concreet betekenen voor cloudarchitectuur

"Ga doorvragen naar waar ze echt naar op zoek zijn."

— Jop

NIS2 en de Nederlandse Cyberbeveiligingswet zijn per 2026 geen papieren tijger meer. De Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van NIS2, treedt naar verwachting in werking rond 1 juli 2026. Voor chipfabrikanten is de impact direct: boetes lopen op tot €10 miljoen of 2% van de wereldwijde omzet voor essentiële entiteiten, met persoonlijke aansprakelijkheid voor directie en bestuur.

De architectuurconsequenties zijn concreet.

NIS2 vereist een aantoonbare governance-laag in de cloud

Betrouwbare data is cruciaal voor compliance. Door te werken met één geïntegreerde omgeving kun je datakwaliteit borgen en aantoonbaar maken welke systemen toegang hebben tot welke gegevens. In de praktijk betekent dit dat een cloudarchitectuur voor semicon een centrale logging- en monitoringlaag nodig heeft, waarbij afwijkingen automatisch worden gesignaleerd. Zonder die laag is het onmogelijk om een incident binnen 24 uur bij het NCSC te melden, zoals NIS2 verplicht.

Supply chain security werkt door naar cloudcontracten

NIS2 stelt specifiekere en gedetailleerdere maatregelen voor op het gebied van risicobeheer, incidentafhandeling, supply chain security en bewustwordingstrainingen. Voor een chipfabrikant die samenwerkt met EDA-softwareleveranciers en externe cloudhosting-partners, betekent dit dat beveiligingseisen contractueel moeten worden doorgezet. Wie dat niet regelt bij architectuurontwerp, ontdekt het pas bij een audit.

De EU Data Act verplicht vendor-neutrale opslag vóór 2027

Op 12 september 2025 zijn de verplichtingen van de EU Data Act (Verordening 2023/2854) van kracht geworden. De cloud switching-regels zijn gericht op het aanpakken van vendor lock-in door barrières te verlagen voor klanten die willen overstappen. Concreter: vanaf 12 januari 2027 kunnen cloudserviceproviders geen switching-kosten meer in rekening brengen bij de klant. Voor semicon-organisaties die nu een cloudarchitectuur ontwerpen, is dit een directe aanleiding om te kiezen voor open, draagbare dataformaten en standaard API-interfaces, zodat een eventuele migratie naar een andere provider technisch uitvoerbaar blijft.

Zelf aan de slag:

• Controleer of je huidige cloudcontracten een expliciete switching-procedure bevatten (verplicht per EU Data Act).
• Inventariseer welke NIS2-rapportageverplichtingen je logging-architectuur moet ondersteunen: meldtermijn is 24 uur voor een eerste waarschuwing.
• Check of je EDA- en chipdesignleveranciers aantoonbaar voldoen aan de supply chain-eisen van NIS2; zo niet, pas contracten aan vóór de Cbw-inwerkingtreding.
• Beoordeel of je cloudarchitectuur audittrails biedt die toezichthouders kunnen inzien.

Traditionele aanpak versus compliance-by-design: een gedetailleerde vergelijking

Veel semicon-bedrijven hebben hun cloudinfrastructuur in lagen opgebouwd: een productiesysteem van de machineleverancier, daar bovenop een BI-laag, en bovenaan een cloudplatform voor rapportage. Die gelaagdheid klinkt logisch, maar creëert in de praktijk een gefragmenteerd datalandschap zonder centrale governance.

Wat de architectuurverschillen in de praktijk betekenen

De onderstaande tabel vergelijkt de traditionele aanpak met een moderne, compliance-by-design architectuur voor semicon en OEM:

De valkuil van platformkeuze als eerste stap

Een veelgemaakte fout is dat cloudplatformkeuze (Azure versus AWS versus GCP) als startpunt wordt genomen, terwijl de architectuurprincipes dat zouden moeten zijn. BWNEXT hanteert als werkwijze: eerst het fundament leggen, dan pas de platformkeuze maken. Dat fundament bestaat uit de datalayering, het beveiligingsmodel en de governance-structuur. Pas als die vast staan, is het zinvol om platforms te vergelijken op ontwikkel-gerichtheid versus business-gerichtheid, kostenmodel en platformvolwassenheid.

Een data lead bij een middelgroot halfgeleiderbedrijf met meerdere productielijnen en tientallen terabytes sensordata per maand heeft weinig aan een krachtig cloudplatform als de OT-data inconsistent binnenkomt of als het platform geen standaard exportinterface biedt die voldoet aan de EU Data Act. De platfomkeuze is pas de derde stap, niet de eerste.

Zelf aan de slag:

• Breng eerst het zoneringsmodel in kaart: zijn IT, OT en cloud-lagen nu gescheiden of gemengd?
• Check of je huidige cloudplatform open, machine-leesbare exportformaten ondersteunt die compatibel zijn met alternatieve providers.
• Inventariseer welke machineleveranciers proprietary interfaces gebruiken en bespreek contractuele aanpassing vóór 2027.
• Stel vast of je governance-documentatie voldoende is voor een ISMS zoals NIS2 vereist.

Schaalbaarheid in semicon: van 12 TB naar multi-site, zonder architectuurherschrijving

Semicon-omgevingen groeien snel in datavolume. Een productiefaciliteit met tientallen lithografie- en inspectiesystemen genereert doorgaans grote hoeveelheden sensordata per maand. Die groei is voorspelbaar, maar de architectuur is dat vaak niet.

Lakehouse als fundament voor sensordata op schaal

Een lakehouse-architectuur, gebouwd op platforms zoals Databricks of Microsoft Fabric, combineert de flexibiliteit van een data lake met de governance-mogelijkheden van een datawarehouse. Voor semicon is dat relevant omdat ruwe sensordata in zijn originele formaat bewaard kan blijven voor retroactieve analyse, terwijl gecureerde datasets beschikbaar zijn voor productiekwaliteitsmodellen. De roadmap van AI-pilot naar schaalbaar AI-platform die BWNEXT heeft uitgewerkt voor semicon-bedrijven, laat zien hoe die lagen zich tot elkaar verhouden.

Metadata-frameworks als stuurmechanisme

Een concrete differentiator in BWNEXT's aanpak is het gebruik van metadata-gedreven frameworks: tabellen die beschrijven welke datasets waar staan, wie eigenaar is, welk kwaliteitsniveau geldt en wanneer data verloopt. Niet-technische business-gebruikers kunnen via die framework-laag in businesstaal sturen, zonder directe SQL-toegang tot de ruwe data. Dat is niet alleen een bruikbaarheidskwestie: het is ook wat NIS2 bedoelt met aantoonbaar inzicht in welke systemen toegang hebben tot welke gegevens.

Pay-as-you-go als instapmodel

Bij grotere organisaties is budget het meest voorspelbare obstakel bij cloudarchitectuurtrajecten. BWNEXT adresseert dit door pay-as-you-go kostenmodellen voor te stellen als opstap, waarbij de data-architectuur zo is ontworpen dat migratie naar een ander platform later mogelijk blijft zonder herstructurering. Dat past ook direct bij de EU Data Act-eis: een architectuur zonder vendor lock-in is zowel commercieel als wettelijk de verstandigste keuze. Meer over cloudmigratie zonder dataverlies vind je in dit praktijkgerichte migratie-overzicht.

Zelf aan de slag:

• Schat het verwachte datavolume voor de komende drie jaar: groeit het met meer dan 40% per jaar, dan is een lakehouse-fundament vrijwel altijd goedkoper dan opschaling van een traditioneel datawarehouse.
• Controleer of je huidige architectuur retroactieve analyse van ruwe sensordata mogelijk maakt, of dat historische data verloren gaat bij transformaties.
• Bepaal of een metadata-framework bij jouw team al beschikbaar is: ontbreekt dat, dan is governance het eerste knelpunt bij NIS2-audits.
• Vraag bij je cloudprovider op of de huidige contractvorm compatibel is met de switching-eisen van de EU Data Act per 2027.

Welke aanpak past bij jou: drie besliscriteria voor semicon en OEM

Niet elke organisatie heeft dezelfde startpositie. De architectuurkeuze hangt af van drie factoren: huidige IT/OT-integratie, regulatoire scope en datavolumestrategie.

Factor 1: valt je organisatie direct onder NIS2?

Bedrijven in de semiconductor-maakindustrie met meer dan 50 medewerkers of een omzet boven €10 miljoen vallen doorgaans binnen de NIS2-scope als 'belangrijke entiteit'. NIS2 heeft een duidelijke drempelregel: elke organisatie in een gedekte sector met meer dan 50 medewerkers of €10 miljoen omzet valt binnen de scope. Wie die drempel nog niet haalt, kan indirect toch te maken krijgen met NIS2-eisen als grote Tier-1-klanten die eisen contractueel doorleggen.

Factor 2: hoe volwassen is je huidige IT/OT-architectuur?

Organisaties waarbij OT-systemen al gescheiden zijn van IT-netwerken, hebben een voorsprong bij de overgang naar een compliance-by-design cloudarchitectuur. Wie dat nog niet op orde heeft, doet er verstandig aan die scheiding als eerste te realiseren, vóór cloudplatformkeuze. De analyse van waarom data- en AI-projecten stranden laat zien hoe fundamentele architectuurproblemen systematisch worden onderschat.

Factor 3: wat is de tijdshorizon voor EU Data Act-compliance?

Organisaties met bestaande cloudcontracten die vóór september 2025 zijn afgesloten, zitten in een grijze zone. De verplichtingen van de EU Data Act zijn vanaf 12 september 2025 van kracht. Controleer in bestaande contracten of switching-rechten zijn opgenomen; zo niet, dan is heronderhandeling vóór 2027 noodzakelijk.

Zelf aan de slag:

• Voer een scope-check uit: is je organisatie een 'essentiële' of 'belangrijke entiteit' onder NIS2? De Rijksinspectie Digitale Infrastructuur biedt een online check.
• Inventariseer welke cloudcontracten nog geen switching-recht bevatten en stel een heronderhandelingsagenda op.
• Bepaal op basis van IT/OT-maturiteit of architectuurherschrijving of een incrementele compliance-laag de meest haalbare route is.

Veelgestelde vragen

Wat houdt een compliance-by-design cloudarchitectuur voor semicon precies in?

Compliance-by-design cloudarchitectuur is een aanpak waarbij NIS2-vereisten, EU Data Act-portability en sector-specifieke cybersecurity-normen zoals SEMI E187 vanaf het eerste ontwerp zijn ingebouwd, in plaats van achteraf als laag toegevoegd. In de praktijk betekent dit: een expliciet zoneringsmodel voor IT, OT en clouddata, centrale logging voor NIS2-meldplicht, en open dataformaten die vendor lock-in voorkomen. Voor chipfabrikanten is deze aanpak niet alleen verstandig maar noodzakelijk, omdat directieleden persoonlijk aansprakelijk zijn voor NIS2-naleving.

Welke cloudplatforms zijn het meest geschikt voor semiconductor-omgevingen?

Platformgeschiktheid hangt af van drie dimensies: de mate van ontwikkel-gerichtheid versus business-gerichtheid van het team, het kostenmodel en de platformvolwassenheid voor industriële OT-data-integratie. Azure heeft een uitgebreid aanbod voor industriële IoT-koppeling, AWS biedt flexibiliteit voor multi-cloud-scenario's, en GCP scoort sterk op machine learning-workloads. Doorslaggevend voor semicon is echter niet welk platform het sterkst is, maar of het platform open exportinterfaces biedt die voldoen aan de EU Data Act-vereisten per 2027.

Hoe helpt BWNEXT bij het ontwerpen van een NIS2-conforme cloudarchitectuur?

BWNEXT's aanpak begint met een analyseweek waarin de huidige IT/OT-architectuur, bestaande cloudcontracten en governance-gaps in kaart worden gebracht. De output is een readiness-score per domein (zoneringsmodel, logging, supply chain security, vendor-neutraliteit en schaalbaarheidspad), een risicoregister met prioritering, en een architectuuradvies met implementatieroadmap. Omdat BWNEXT uitsluitend senior consultants inzet met aantoonbare ervaring in semicon- en OEM-omgevingen, wordt de context van Brainport en high-tech maakindustrie direct meegenomen in de architectuurkeuzes. Meer over de aanpak staat op de opdrachtgevers-pagina van BWNEXT.

Wat zijn de concrete boeterisico's als een chipfabrikant niet voldoet aan NIS2?

NIS2-handhaving is in Nederland via de Cyberbeveiligingswet ingeregeld, die naar verwachting medio 2026 volledig van kracht is. Boetes voor essentiële entiteiten kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Naast de financiële sanctie zijn directieleden persoonlijk aansprakelijk voor naleving, wat betekent dat compliance niet langer als puur technische verantwoordelijkheid kan worden afgeschoven op de IT-afdeling. Organisaties die nu al beginnen met architectuurmaatregelen, vermijden een inhaalrace op het moment van formele handhaving.

Wat is het verschil tussen NIS2 supply chain security en gewone IT-beveiligingsmaatregelen?

Supply chain security onder NIS2 gaat verder dan het beveiligen van de eigen IT-omgeving: het verplicht organisaties om beveiligingseisen contractueel door te leggen aan leveranciers die toegang hebben tot kritieke systemen of data. Voor chipfabrikanten betekent dit dat EDA-softwareleveranciers, cloud-hostingpartners en chipdesignbureaus met toegang tot gevoelige ontwerpdocumentatie aantoonbaar moeten voldoen aan NIS2-eisen. Wie dat niet contractueel heeft geborgd, is zelf aansprakelijk bij een incident dat via een leverancier binnenkomt.

Conclusie

Cloudarchitectuur voor de semiconductor-industrie is in 2026 geen puur technische opgave meer. NIS2-compliance met persoonlijke bestuurdersaansprakelijkheid, de EU Data Act met verplichte switching-rechten vóór 2027, en de groeiende datavolumes uit OT-omgevingen stellen architectuurkeuzes centraal die verder gaan dan platformselectie. Organisaties die nu hun IT/OT-zoneringsmodel, governance-laag en vendor-neutraliteit niet op orde hebben, lopen juridische en operationele risico's die later aanzienlijk duurder zijn om te herstellen.

De meest effectieve route is een aanpak waarbij je teruggaat naar het fundament: datalayering, beveiligingsmodel en governance eerst, platformkeuze daarna. BWNEXT past die volgorde consequent toe bij semicon- en OEM-klanten in Brainport en daarbuiten, inclusief voor opdrachtgevers in Rotterdam en de rest van Nederland. Voor teams die willen weten waar ze staan, biedt de BWNEXT-aanpak voor data- en AI-projecten een concreet startpunt.