Interim, IT Auditing, Risk Management, Cybersecurity and Compliance

Nieuws

18 april 2026 - Tweede kamer heeft de Cyberbeveiligingswet / NIS2 implementatie goedgekeurd
De Tweede Kamer heeft deze week ingestemd met de nieuwe cyberbeveiligingswet, waarmee de Europese NIS2-richtlijn wordt omgezet in nationale wetgeving. Deze mijlpaal markeert een cruciale stap in het versterken van de digitale weerbaarheid van vitale sectoren in Nederland. Door de toenemende dreiging van staatshackers en cybercriminaliteit is een uniforme aanpak voor beveiliging essentieel. Een tijdige en zorgvuldige implementatie is noodzakelijk om maatschappelijke ontwrichting bij incidenten te voorkomen. Veel organisaties staan echter voor een complexe opgave, waarbij het NIS2 control framework van de ADR en NOREA gericht steun biedt.
Dit framework helpt allereerst bij de beheersing en administratieve lasten door concrete handvatten te bieden. Ten tweede ondersteunt het bij de ketenbeveiliging, omdat het framework helpt bij het toetsen van de veiligheid van toeleveranciers. Een derde uitdaging is het overbruggen van de kloof tussen techniek en management, waarbij het framework dient als een gedeelde taal voor verantwoording. Ten slotte helpt het bij het aanpakken van het tekort aan expertise, door gestandaardiseerde controles aan te bieden die de implementatie efficiënter maken. Door dit gezamenlijke framework te hanteren, kunnen organisaties aantoonbaar voldoen aan de strengere zorgplicht. Hiermee wordt de basis gelegd voor een veiliger digitaal ecosysteem waarbinnen overheidsorganisaties effectief kunnen opereren.


15 april 2026 - AI updates & het SAAF project 
De wereld lijkt sneller te gaan draaien als gevolg van AI. Onder meer:

» ISACA en ERA steunen het SAAF project, saafproject.com, waarbij gedurende 2026 nog 9 dagen plaatsvinden om AI Agenten te bouwen en te delen (met Claude, Git en Github). Een waardevolle manier voor ongeveer 100 professionals inclusief Encore Risk & Assurance om AI agenten te ontwikkelen, voorop te lopen met kennis en kansen te benutten voor opdrachtgevers & voor efficiëntie van de eigen organisatie. De 9 AI hackathon dagen vinden plaats gedurende april tot en met december 2026. https://saafproject.com/

» Ook had de TIAS op 2 april een interessante lezing rondom AI & Strategie en business toepassingen. Deelnemers deelden waar zij staan, welke aspecten van belang zijn per groeistap en use cases van KBC Bank werden aangestipt. Met dank aan Jeroen de Flander en andere betrokkenen van TIAS.

» Anthropic heeft onder embargo het model Mythos gedeeld met Amerikaanse organisaties en de Amerikaanse centrale bank, omdat de mate van redenatie en onafhankelijkheid van functioneren van dit AI model betekent dat er veel meer kansen/ mogelijkheden zijn om snel gebruik te maken van zero days en al bekende kwetsbaarheden om servers van organisaties in zijn geheel over te nemen.
Het is de verwachting dat over enkele maanden hetzelfde niveau wordt bereikt met open source AI. Het NCSC heeft Nederlandse organisaties gewaarschuwd vooral verder te gaan met het volwassen krijgen van het basisniveau van informatiebeveiliging en na te denken over snellere defensie als AI aanvallen de snelheid van aanvallen verhogen en menselijke verdedigingsteam het tempo niet kunnen bijbenen. 
https://red.anthropic.com/2026/mythos-preview/
https://www.aisi.gov.uk/blog/our-evaluation-of-clause-mythos-previews-cyber-capabilities
https://itexecutive.nl/cybersecurity/tijd-voor-defensieve-ai-paraatheid-dringt-meer-dan-gedacht/


8 april 2026 - Het scherpste loonaanbod - 'Surveillance wages' in de VS
Amerikaanse werkgevers gebruiken steeds vaker persoonlijke data en algoritmes om werknemers het laagst mogelijke loon te bieden, een praktijk die experts 'surveillance wages' noemen. Hierbij wordt niet gekeken naar prestaties, maar naar privacygevoelige informatie zoals kredietscores en social media om de individuele financiële kwetsbaarheid in te schatten. Als reactie hierop heeft het Huis van Afgevaardigden in Colorado een wetsvoorstel aangenomen dat de eerste stap zet naar een verbod op deze omstreden loonstrategie. Zou er binnen Europa ook al een organisatie zijn die dit (verborgen) doet?

Zie verder ook het gerelateerde nieuwsbericht over dynamische prijzen door gezichtsherkenning in de VS van 19 maart.



2 april 2026 - Meer belang voor digitale architectuur om het aanvalsoppervlakte te verkleinen
Hoogleraar Stef Joosten van de Open Universiteit plet bij zijn afscheidsrede voor opleidingseisen van digitale architecten. Joosten zegt "Een digitaal architect moet technisch bekwaam zijn, academisch gevormd om vanuit een intrinsieke nieuwsgierigheid complexiteit te doorgronden en in staat zijn om objectief en op niveau met opdrachtgevers en uitvoerders te communiceren. Als een informatiesysteem hackers in staat stelt miljoenen persoonsgegevens te stelen, dan is het aanvalsoppervlak te groot, oftewel: er zijn veel te veel toegangen voor hackers. Dat mag nooit het geval zijn. Een klein aanvalsoppervlak is een fundamenteel uitgangspunt voor elk digitaal informatiesysteem. Daarmee maak je het verschil tussen een klein incident en een ramp met miljoenen gedupeerden en grote maatschappelijke gevolgen", aldus Joosten, die daarbij naar het datalek bij Odido wijst.


19 maart 2026 - Vrees dat gezichtsherkenning in supermarkten VS voor hogere prijzen zorgt
Het stadsbestuur van New York overweegt een verbod op biometrische gegevensverzameling door winkels vanwege waarschuwingen over 'surveillance pricing', waarbij gezichtsherkenning wordt ingezet om klanten te profileren en prijzen te verhogen. Hoewel technologiebedrijven stellen dat de systemen voor marketing en diefstalpreventie toestemming vereisen, ontbreekt federale wetgeving in de VS om dit af te dwingen.


18 maart 2026 - Belgische overheid gebruikt zelfontwikkelde chatapp als alternatief voor WhatsApp
De Belgische overheid rolt de zelfontwikkelde, soevereine chatapp 'Beam' uit als veilig alternatief voor commerciële apps zoals WhatsApp. De toepassing wordt gefaseerd beschikbaar gesteld aan 750.000 ambtenaren en militairen, waarbij alle data in Belgische datacenters wordt opgeslagen. Toegang tot de app is exclusief voorbehouden aan personeel met een geldig e-mailadres van de overheid.


1 maart 2026 - Criminelen publiceren resterende gestolen Odido-gegevens op internet
Criminelen hebben de volledige database met gegevens van 6,1 miljoen Odido-klanten op internet gepubliceerd. Volgens onderzoeker Troy Hunt van Have I Been Pwned gaat het om persoonlijke informatie, waaronder NAW-gegevens, rekeningnummers en identiteitsgegevens (paspoort- of rijbewijsnummer en geldigheid). De gestolen e-mailadressen zijn toegevoegd aan de zoekmachine Have I Been Pwned om betrokkenheid te controleren. Uit analyse is gebleken dat een aanzienlijk deel van de e-mailadressen niet eerder in andere datalekken voorkwam. Het incident onderstreept het belang van informatiebeveiliging, maar ook het strikt hanteren en niet overschrijden van wettelijke bewaartermijnen. Sommige oud-klanten van jaren geleden zien hun gegevens nu ook gelekt, ook wanneer ze langer dan 2 jaar al geen klant meer zijn geweest. 


14 februari 2026 - Singapore meldt inbraak op netwerken telecomproviders
Een groep aanvallers is erin geslaagd vorig jaar om op de netwerken van grote telecomproviders in te breken. Vervolgens heeft het Cyber Security Agency of Singapore de grootste cyber incident response uitgevoerd ooit. Meer dan honderd mensen van verschillende overheidsinstanties zijn 11 maanden bezig geweest om de digitale inbraak te onderzoeken en herstel plaats te laten vinden.
Bij de aanval is gebruik gemaakt van een zero day exploit van een niet nader genoemd product. Vervolgens zijn root kits geïnstalleerd om toegang te behouden.


13 februari 2026 - Odido lekt gegevens van meer dan 6 miljoen klanten uit Salesforce CRM na geslaagde social engineering
Odido heeft haar klanten gewaarschuwd dat sinds vorig weekend duidelijk is geworden dat persoonsgegevens zijn gelekt waaronder naam, adres en het nummer van het ID-bewijs van de klant. De aanvallers hebben toegang verkregen door zich voor te doen als IT medewerkers en echte medewerkers van Odido over gehaald om wachtwoorden te overhandigen en bevestiging van authenticatie te verrichten. Met de informatie onttrokken uit Salesforce kunnen de aanvallers losgeld eisen van Odido, maar natuurlijk ook de klanten benaderen en zich onterecht voordoen als Odido.


4 februari 2026 - Gemeente Amsterdam wil afhankelijkheid van Amerikaanse tech verminderen
De gemeente Amsterdam wil de afhankelijkheid van Amerikaanse bedrijven de komende jaren verminderen, zo beschrijft de gemeente in de Meerjarenstrategie Digitale Autonomie 2026-2030. In 2035 moet de volledig digitale omgeving van de gemeente Amsterdam autonoom zijn waar nodig. Ook staat dan alle gevoelige data van Amsterdammers op Nederlandse of Europese cloudplatforms of on-premises.

In 2030 moet minimaal dertig procent van de cloudopslagdiensten en cloudapplicaties van Nederlandse of Europese leveranciers afkomstig zijn en draaien alle bedrijfskritische processen op Nederlandse of Europese cloudplatforms. De gemeente wil voor de belangrijkste digitale systemen tussen meerdere aanbieders kunnen wisselen, zodat het niet afhankelijk is van één dominante partij.

"Net als andere overheden is Amsterdam sterk afhankelijk geworden van een klein aantal grote, Amerikaanse technologiebedrijven. Dat is niet wenselijk, zeker niet nu de internationale verhoudingen regelmatig op scherp staan", zo laat de gemeente weten. Die stelt dat er door de afhankelijkheid van Amerikaanse techbedrijven verschillende risico's zijn, onder andere voor de continuïteit, veiligheid en keuzevrijheid. Amsterdam wil uiteindelijk weerbaar tegen deze risico's zijn. "Onze dienstverlening moet continue gegarandeerd zijn, met keuzevrijheid in al onze digitale keuzes, en onze data en processen is veilig afgeschermd van externe invloeden." Een goed voorbeeld van risico's op termijn te reduceren om diensten aan burgers in de toekomst te kunnen blijven verantwoorden en te continueren.

De afgelopen jaren zette de gemeente vooral in op alles-in-een oplossingen van met name Microsoft. De gemeentelijke organisatie moet nu in relatief korte tijd geschikt gemaakt worden voor een meer autonome inrichting. "Dat vraagt forse, doch vaak onzichtbare, inspanning", aldus de gemeente. Die zal onder andere gaan zoeken naar alternatieven voor Outlook, Word, Excel, Teams, OneDrive en SharePoint. "Door de dominantie van Microsoft (zowel thuis als op verreweg de meeste kantoor omgevingen) is het voor veel mensen moeilijk voor te stellen, maar al deze functies kunnen ook door andere leveranciers geleverd worden."


4 februari 2026 - IND zoekt in 2026 alternatief voor Zivver 

De Nederlandse Immigratie- en Naturalisatiedienst (IND) wil stoppen met het gebruik van Zivver voor e-mail op basis van de Veilig Mailen-standaard.
Volgens de IND is het na de recente overname van Zivver door een Amerikaanse partij niet uit te sluiten dat gegevens in handen komen van de VS. Het van oorsprong Nederlandse Zivver werd vorig jaar overgenomen door het Amerikaanse Kiteworks.

Volgens het persbericht is het de bedoeling dat de overheidsinstantie dit jaar nog overstapt. De IND is nog op zoek naar een 'goed werkend alternatief'. Totdat dat is gevonden, blijft de IND nog gebruikmaken van Zivver.


3 februari 2026 - Ontwikkeling met AI biedt grote kansen 
Op de beurs is zichtbaar dat koersen van software bedrijven sinds kort dalend zijn. Beleggers zien dat de Claude Code geschreven door Anthropic behoorlijke resultaten oplevert. Op dit moment zijn 4% van commits in GitHub door Claude Code geschreven. Claude Code is nog maar net live sinds start van het jaar en begint in een heel rap tempo toe te nemen. Het biedt enorme kansen voor business drivers en processen om voordelen te realiseren.

Tegelijkertijd is ook te zien dat AI binnen tien minuten krachtig misbruik kan maken van onjuist opgeslagen inlog accounts, om met deze credentials na lateral movement rechten te verhogen en een AWS omgeving geheel over te nemen. (Het was binnen achter minuten; bron Sysdig's Threat Research Team).

Terug naar de kansen: kijk gerust de aflevering terug van Eva Jinek met Alexander Klöpping van 3 februari en zie de inzet van AI bij Starbucks bij o.a. in de drive thru bij het aannemen van klantorders.


31 januari 2026 - Betrokkenheid bij afstudeeropdracht naar dilemma's tussen innovatie versus compliance
Recentelijk is Encore Risk & Assurance gevraagd om deel te nemen binnen een referentiegroep met vragen naar dilemma afweging van directies tussen enerzijds innovatie en anderzijds voldoen aan wet- en regelgeving. Het onderzoek wordt uitgevoerd door een relatie die afstudeert aan de IT Auditing opleiding aan de Vrije Universiteit. In een tijd van disruptie en nieuwe initiatieven maar ook behoefte aan guard rails is dit een actuele vraag. Wanneer de resultaten bekend zijn, vindt terugkoppeling plaats ook via deze website. 


20 januari 2026 - EU overweegt supply chains op te schonen door high-risk leveranciers te weren uit kritieke sectoren - Cybersecurity Act 2.0 bouwt voort op NIS2

De Europese Commissie heeft vandaag het voorstel voor de Cybersecurity Act 2.0 gepresenteerd. Dit wetgevingspakket moet de cybersecurity binnen de Europese Unie naar een hoger niveau tillen en de digitale weerbaarheid van lidstaten, bedrijven en burgers verbeteren. Met deze wetgeving reageert Europa op het groeiende aantal cyberdreigingen en de toenemende complexiteit van digitale aanvallen.

De afgelopen jaren is de EU geconfronteerd met een explosieve toename van cyberaanvallen, van ransomware-aanvallen op ziekenhuizen tot grootschalige datalekken bij overheidsinstanties. De bestaande wetgeving bleek onvoldoende om moderne dreigingen adequaat te adresseren. De Cybersecurity Act 2.0 bouwt voort op initiatieven zoals de NIS2-richtlijn en introduceert strengere vereisten voor publieke en private organisaties. De wetgeving erkent dat digitale infrastructuur even kritiek is als fysieke infrastructuur en daarom vergelijkbare bescherming verdient.

Welke concrete maatregelen bevat de nieuwe wetgeving?

Het pakket omvat verschillende componenten voor een robuuster cybersecuritylandschap. Een kernonderdeel is de verplichte certificering van cybersecurityproducten en -diensten binnen de EU.
Bedrijven die security-software, netwerkapparatuur of cloud-diensten leveren, moeten aantonen dat hun producten voldoen aan strikte Europese beveiligingsnormen.
De meldingsverplichtingen voor cyberincidenten worden aangescherpt met kortere rapportagetermijnen.
De EU richt een Europees Cybersecurity Incident Response Fund op voor financiële steun aan lidstaten bij grootschalige cyberaanvallen.
Daarnaast worden verplichte cybersecurity-audits ingevoerd voor kritieke sectoren zoals energie, transport, gezondheidszorg en financiële dienstverlening.

Voor Nederlandse organisaties verscherpen compliance-eisen substantieel. Bedrijven moeten hun ontwikkelprocessen aanpassen om te voldoen aan certificeringseisen, wat investeringen vergt in security-by-design principes waarbij beveiliging vanaf het begin wordt geïntegreerd.

Welke rol speelt kunstmatige intelligentie in de wetgeving?

De Cybersecurity Act 2.0 besteedt specifieke aandacht aan AI-gestuurde bedreigingen en AI-gebaseerde verdedigingsmechanismen. Bedrijven die AI-systemen voor beveiligingsdoeleinden ontwikkelen, moeten transparantie bieden over hun algoritmes en datagebruik. Dit voorkomt dat AI-systemen onbedoeld kwetsbaarheden introduceren.
De parallel met recente ontwikkelingen is duidelijk: onderzoek toont aan dat generatieve AI een drijvende kracht is achter fraude en impersonatie wat noodzaak van strikte regelgeving rond AI-beveiliging onderstreept.

Wanneer moeten organisaties aan de nieuwe eisen voldoen?

De Cybersecurity Act 2.0 kent een gefaseerde implementatie. De basiseisen treden naar verwachting in 2026 in werking, waarna organisaties een overgangsperiode van 18 tot 24 maanden krijgen. Kritieke infrastructuuroperators krijgen een kortere overgangsperiode. Lidstaten moeten de wetgeving omzetten in nationale regelgeving. Nederland zal waarschijnlijk bestaande wetgeving zoals de Cybersecuritywet aanpassen. 

Bedrijven wordt geadviseerd nu al te beginnen met het in kaart brengen van hun beveiligingspositie en het identificeren van compliance-gaps. De introductie van de Cybersecurity Act 2.0 markeert een belangrijk keerpunt in de Europese aanpak van digitale veiligheid. Organisaties die proactief aan de slag gaan met compliance-voorbereiding, zullen niet alleen juridische risico’s vermijden maar ook hun daadwerkelijke beveiligingspositie verbeteren.

Lees meer op: https://ec.europa.eu/commission/presscorner/detail/en/ip_26_105


31 december 2025 - Terugblik over 2025
Dit jaar was een bewogen jaar waarin DORA van kracht werd, de Cyberbeveiligingswet nog niet werd aangenomen maar er echt aan komt, en een jaar waarin door organisaties hard is gewerkt om de implementatie verder vorm te geven danwel af te ronden voor DORA of NIS2/Cbw. Daarnaast blijven stappen nodig - voor de meeste organisaties - om aantoonbaar te voldoen aan risico's en wet- en regelgeving rondom Artificial Intelligence, de Data verordening en de Cyber Resilience Act die in 2026 van kracht worden/zijn. E.e.a. wordt natuurlijk gestimuleerd door de geopolitieke ontwikkelingen en de lat die hoger wordt gelegd om doelstellingen blijvend te kunnen realiseren in de toekomst. 

Met nieuw buitenland beleid van de VS en met name de opstelling richting Europa, zijn sommige vragen relevanter geworden dan voorheen. Is de afhankelijkheid van technologie van de Big tech in de VS te hoog voor sommige organisaties en hoe wordt omgegaan met deze risico's? Zo is bijvoorbeeld in februari 2025 een hooggeplaatst persoon werkzaam bij het Internationaal Strafhof afgesloten geweest van zijn mailbox door Microsoft na sancties door de VS. Inmiddels is door het Internationaal Strafhof een migratie in gang gezet naar werkplekken van het Europese Open Desk. De CLOUD act van de VS, waarin de overheid toegang kan krijgen tot gegevens van andere landen bij cloud providers was al een dilemma vanuit privacy oogpunt. De afhankelijkheid en het wegvallen van de vanzelfsprekendheid van de VS als partner voor Europese landen en bedrijven geeft extra vragen. Het is niet de rol van ERA om een oordeel te hebben over politiek beleid, maar aan de andere kant is een Risico Analyse en Scenario Planning op zijn plaats om impact in te schatten en mogelijk hier opvolging aan te geven.

Als coalities veranderen, geeft dit ook vragen voor Third Party Risk Management, IT concentratie risico's op directe en indirecte wijze, geo redundantie (leveranciers, subcontractors en landen) en dus weerbaarheid.

Oftewel, waarschijnlijk voldoende input voor het jaarplan 2026. 


8 oktober 2025 - Encore Risk & Assurance verzorgt gastcollege op Nyenrode 
Na de start van ERA begin 2024 wordt met veel drive voor opdrachtgevers gewerkt, worden ontwikkelingen bijgehouden en oplossingen bedacht. Maar daarnaast is een nieuwe stap gemaakt, in duo vorm wel te verstaan. Op 8 oktober hebben Willem Vliem en ondergetekende vanuit ERA een dagdeel mogen spreken over IT Risico Management binnen de Leergang Financieel Leiderschap van Finance Academy i.s.m. Nyenrode Business Universiteit.

In de prettige omgeving van Nyenrode in Breukelen - een prachtige locatie - hebben wij een groep van 25 personen meegenomen in Risico Management, IT Continuïteit en Cyberweerbaarheid en de nadruk gelegd op attentiepunten om in de gaten te houden in hun praktijk. Met als resultaat goede discussies over Continuiteit, informatiebehoeften van directie en RvC / RvT, AI ontwikkelingen, quantum computing etc. 

Na dit succes in oktober, staan voor 2026 nieuwe colleges op de rol binnen deze leergang wat een mooi visitekaartje is rondom expertise als ook het in staat zijn dat op een heldere wijze uit te kunnen dragen. 

Foto: Encore Risk & Assurance

1 oktober 2025 - NIS2 control framework beschikbaar gesteld
Vanuit een initiatief van NOREA is een praktisch control framework beschikbaar gesteld om aan de NIS2 eisen te voldoen. De ontwikkeling  van dit control framework heeft plaatsgevonden in samenwerking met NOREA en de Auditdienst Rijk. 

Dit raamwerk kan gezien worden als een positieve ontwikkeling en goede opzet, waarbij het vooral van belang is om risk based invulling te geven aan NIS2 (de Cyberbeveiligingswet) en daarom proportionaliteit terug te laten komen in de precieze implementatie. Het control framework is een goede basis voor een proportionele implementatie.

https://www.norea.nl/nieuws/norea-lanceert-in-samenwerking-met-de-auditdienst-rijk-nis2


12 september 2025 - De Data verordening (Data Act, 2023/2854) is van kracht geworden
De Dataverordening geldt voor fabrikanten en aanbieders van verbonden producten en diensten, gebruikers (bedrijven en consumenten), cloudaanbieders (SaaS, PaaS, IaaS etc.) en overheidsinstanties. Vanaf deze maand is deze verordening van kracht geworden. De EU wil hiermee de 'data economie' versterken.

Er zijn 5 focus punten in deze verordening:

1. Meer controle voor gebruikers van slimme apparaten.
Personen of bedrijven krijgen toegang tot hun data en kunnen deze data kosteloos met derden delen. Dit draagt bij aan een langere levensduur van apparaten.
Als 'data houder' is het nodig om data te delen met derden als dit 'fair' is, 'reasonable' en 'non discriminatory'.
2. Bescherming tegen oneerlijke contractvoorwaarden.
De Data Act verbiedt expliciet om oneerlijke contractuele bedingen tussen partijen vast te leggen. Een grote aanbieder en een kleine klant verdienen beiden een eerlijk contract.
3. Overheidsinstellingen krijgen toegang in noodsituaties
In uitzonderlijke situaties kan de overheid toegang krijgen tot data.
4. Makkelijker wisselen tussen clouddiensten
De Data verordening verplicht aanbieders om interoperabiliteit te waarborgen en overstappen eenvoudiger en goedkoper te maken. Vanaf 2027 mogen providers zelfs geen kosten meer aanrekenen voor het overzetten van data.
5. Strikte regels tegen ongeoorloofde buitenlandse toegang
Niet-persoonsgebonden data die binnen de EU worden opgeslagen, zijn beter beschermd tegen onrechtmatige toegang door derde landen. Zo wordt de digitale soevereiniteit van Europa versterkt.

Een organisatie kan hier succes mee boeken door overeenkomsten en Algemene Inkoop Voorwaarden aan te passen, duidelijkheid te bieden aan klanten welke data wordt verzameld en hoe een klant hier toegang tot kan krijgen, processen en systemen aan te passen en strategieën te maken voor 'interoperabele' systemen. 

2 augustus 2025 - De volgende fase van de AI Act is van kracht geworden
* 1 augustus 2024 - de AI Act is van kracht geworden. 
* 2 februari 2025 - AI geletterdheid onder personeel is een belangrijk element. Verboden AI systemen die fundamentele waarden van de EU raken, mogen wettelijk gezien niet langer worden gebruikt.
* 2 augustus 2025 - regels zijn van kracht voor General Purpose AI modellen en toezicht houden op de AI Act.

Tip: kijk niet alleen naar de classificatie van een AI model, maar ook naar de rol van de eigen organisatie per AI model. En zorg ook dat de basis op orde is.

25 juli 2025 - Na de AI verordening van vorig jaar is America's AI Action Plan bekend gemaakt
In de EU is vorig jaar de AI verordening tot stand gekomen. Dit betekent dat tussen februari 2025 en 2 augustus 2027 stapsgewijs de AI verordening van kracht wordt in Nederland (direct zonder in de Nederlandse wet aan te nemen). Belangrijke elementen in de AI verordening zijn, geclustered naar key attentiepunten (verkorte weergave van een implementatiedocument van ERA):

A. Randvoorwaarden
- Definieer wat een AI model is binnen een organisatie.
- Governance: taken, rollen en verantwoordelijkheden. 
- Awareness en training.

B. Risk based aanpak
- Beleid, classificeren van AI-modellen en rol van de organisatie (onaanvaardbaar, hoog, beperkt en minimaal risico) en standaarden.

C. Lifecycle.
- Implementeer privacy en security by design. Voer periodiek een risico analyse uit. Werk met multi-disciplinaire teams en houdt doorlopend oversight (logging en monitoring).

D. Scenario's

E. Integratie met het Control Framework, KRI's en In Control Statements
- Formaliseer beheersing in het risico control raamwerk en voer validaties en audits uit.

Het is aan te raden om AI in een organisatie te beoordelen vanuit de verschillende functies die al bestaan (privacy officer, risk manager, FZ, security) en ervaring op te bouwen. Door duidelijkheid te geven welke AI wel is toegestaan en welke niet, kan veilig gebruik plaatsvinden zonder dat vertrouwelijke data gebruikt wordt in het trainen van modellen buiten zicht van de organisatie.

America's AI Action Plan

In Amerika zijn verschillende AI standaarden al van kracht per staat. Op 23 juli is het America's AI Action Plan (AAAP) gepubliceerd door het Witte huis wat vanuit de Federale overheid uniformiteit en snelheid moet bevorderen om AI verder te stimuleren en barrières weg te nemen. Wat opvalt aan dit plan is het volgende:

* De AI race moet door Amerika gewonnen worden en vandaar deze aanzet tot actie als ecosysteem, aldus dit AAAP.

* Pijler 1 verwijst naar het AI Framework wat aangepast zal worden om verwijzingen naar inclusie en duurzaamheid te verwijderen. In Amerika zal een 'try first' cultuur gestimuleerd worden om meer met AI te doen, ondanks bijv. een lage appetite voor het onbekende en een gebrek aan governance en risico mitigatie standaarden in sectoren zoals de Amerikaanse zorg. De kennis over AI zal gestimuleerd worden (empowerment, banen en belastingvoordelen op opleidingen) en investeringen zijn nodig om op basis van open source next gen technologie te ontwikkelen zoals autonome drones, auto's en robotics.

* In pijler 2 wordt focus gelegd op een AI infrastructuur met veel meer energie, data centers en capaciteit voor AI incident response. 

* In pijler 3 wordt geschetst dat AI export mogelijk is van de gehele AI stack naar bondgenoten die aansluiten bij dit Action Plan. Zonder het betrekken van bondgenoten worden deze rivalen, stelt het AAAP. Voorlopers van AI modellen moeten worden ingeschat op 'national security' risico's voor America omdat niet-partner landen soortgelijke modellen gaan ontwikkelen (security vulnerabilities en biosecurity voor kritieke infrastructuur, de maatschappij en economie).

https://whitehouse.gov/wp-content/uploads/2025/07/Americas-AI-Action-Plan.pdf

Al met al een interessante ontwikkeling met de vraag hoe dit verder uit gaat pakken. Amerika lijkt af te stappen van voorzichtigheid en reguleren naar een race winnen op beslissende (decisive) wijze. Het geeft veel vragen o.a. hoe organisaties en toezichthouders in de EU hier verder op acteren. Niet alleen interessant voor cross-border organisaties, maar ook Nederlandse organisaties die lokaal opereren. Velen hebben te maken met directe en indirecte relaties met Amerikaanse bedrijven via de uitbestedingsketen.

Vanuit het eerder aangehaalde raamwerk worden vraagstukken behandeld om als organisatie goede AI stappen te maken, en daarbij principes zoals transparantie, uitlegbaarheid en fairness hoog te houden.


8 juni 2025 - Nieuw tijdspad verwacht voor de Cyberbeveiligingswet (NIS2)
De Cyberbeveiligingswet is op 2 juni naar de Tweede Kamer gestuurd. Deze wet implementeert NIS2 binnen Nederland, waar we als land achterlopen op Europa, omdat het de bedoeling was dat op 17 oktober 2024 NIS2 in de wetgeving van iedere EU lidstaat geïmplementeerd zou zijn.

Door de val van het kabinet Schoof op 3 juni kan de Cyberbeveiligingswet eigenlijk niet meer goed behandeld worden door de Tweede Kamer. De Tweede Kamer zal eerst moeten bepalen welke wetten behandeld kunnen worden en welke controversieel zijn. En op 4 juli start het zomerreces.

Het meest realistische tijdspad is dat behandeling plaatsvindt na het zomerreces, dus na 1 september. Behandeling wordt vervolgens enigszins opgehouden door de verkiezingen omdat dan een verkiezingsreces van een maand in zal gaan. En in de maanden daarna kan behandeling doorgaan. 

Bij elkaar opgeteld leidt dit tot een verwachting dat de cyberbeveiligingswet in de eerste helft van 2026 van kracht wordt, of zelfs later in 2026. 

Het advies blijft om door te gaan met implementatie (aanscherpingen), gezien het dreigingsbeeld voor organisaties in deze sectoren. En juist een veilige / weerbare organisatie kan straks aantonen compliant te zijn aan wet- en regelgeving. 


4 april 2025 - Kent u deze al? Een DORA incident wel of niet moeten melden bij de toezichthouder?
Incidenten onder DORA die majeur zijn worden gemeld aan de toezichthouder. Om te bepalen of een incident meldenswaardig is, is een classificatieschema ontwikkeld door NOREA. 

Dit schema is gebaseerd op criteria uit DORA. Klik hier voor dit praktische incident classificatie schema.
Het schema geldt voor alle financiële instellingen onder DORA, voor zowel toezicht vanuit DNB en de AFM.

https://www.norea.nl/dora/dora-incident-classification-tool


31 maart 2025 - De technische standaard voor DORA over subcontracting van ICT is aangenomen en gepubliceerd.
De aanpassing in deze RTS subcontracting is gedaan waarmee deze in lijn is gebracht met DORA level 1. De belangrijkste aanpassing is het laten vervallen van artikel 5, waarmee eerder als eis werd gesteld dat inzicht werd verkregen in alle onderaannemers van de financiële instelling. 

Andere aanpassingen in deze RTS zijn veelal tekstueel en geen inhoudelijke aanpassing.


17 januari 2025 (updated 31 januari 2025) - DORA is live gegaan 

De Digital Operational Resilience Act (DORA) is vanaf vandaag van kracht voor financiële instellingen en het toezicht hierop vanuit De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM). DORA is op 16 januari 2023 in werking getreden, maar er liep een toegestane implementatietermijn van 2 jaar.

DORA is een Act, oftewel een verordening, hetgeen betekent dat deze een direct ingaande werking heeft voor alle Europese lidstaten. Naast de level 1 verordening (2022/2554) zijn op level 2 diverse RTS-en en ITS-en beschikbaar gekomen. De meeste van deze documenten zijn goedgekeurd en gepubliceerd. 

De RTS ten aanzien van onderuitbesteding is op dit moment afgekeurd door de Europese Commissie. De Europese toezichthouders (EBA, EIOPA en ESMA) hebben het besluit tot afkeuren van deze RTS door de Europese Commissie geaccepteerd. Een nieuw exemplaar van deze RTS zal worden opgesteld en aangeboden voor goedkeuring. Dit betekent dat op dit moment nog niet honderd procent helder is wat de eisen worden ten aanzien van onderuitbestedingen in de pijler third party risk management. 

DORA bestaat uit vijf pijlers. Een organisatie die DORA implementeert en risicogebaseerd haar eigen weerbaarheid centraal stelt, wordt juist compliant voor deze wetgeving. Het is van belang om te voldoen aan deze wet, omdat de dienstverlening aan klanten dan voldoende veilig is georganiseerd en de organisatie  voldoende weerbaar is om te herstellen van cyberaanvallen en andere disrupties.

Vakprofessionals gaan tegenwoordig uit van 'assume breach'. Het is niet de vraag of een organisatie aangevallen gaat worden, maar wanneer. Op welke wijze vindt voldoende snel een gecontroleerd herstel plaats. En kan aangetoond worden onder diverse scenario's dat dit werkt voor het moment dat het nodig is.

Implementatie krijgt voor de meeste financiële instellingen nog verder zijn beslag, veelal via een roadmap om stap voor stap weerbaar te worden.


9 november 2024 - NOREA en ISACA publiceren DORA control framework

Vanuit een werkgroep van NOREA, de Nederlandse orde van register IT auditors, is een DORA control framework beschikbaar gesteld. Het framework beslaat alle requirements uit de DORA wet en bevat 95 controls. Op 6 november is het DORA control framework gepresenteerd door de NOREA taskforce DORA.

Door deze controls uit het framework te mappen aan eigen beheersmaatregelen, wordt duidelijk waar nog aanscherping of aanvulling nodig is op het eigen control framework. 

De download is gratis van professionals voor belanghebbenden en geïnteresseerden. Deze is hier te vinden. 

https://www.norea.nl/dora

Uiteraard kan Encore Risk & Assurance u bij het hanteren van dit framework van helpend advies voorzien. 

Bijgaand enkele foto's van het ISACA Purple Ocean congres in Spant! in Bussum, met onder andere Dwayne Valkenburg (vz ISACA NL), Dimitri van Zantvliet (NS) en Sandeep Gangaram Panday (Schuberg Philis, NOREA taskforce DORA).

  • ISACA2024-1
  • ISACA2024-2
  • ISACA2024-3
  • ISACA2024-4
  • ISACA2024-5



21 oktober 2024 - Implementatie van NIS2 in Nederland loopt vertraging op tot medio 2025

NIS2 is een 'directive', oftewel een richtlijn vanuit Europa. Dit betekent dat ieder land zelf de implementatie organiseert in wetgeving. De NIS2 richtlijn is op 16 januari 2023 in werking getreden voor de Europese lidstaten. Sindsdien loopt er een implementatietermijn, die Nederland en de andere lidstaten 21 maanden de tijd geeft, om de richtlijn om te zetten naar nationale wetgeving. Dat betekent dat de nationale NIS2-implementatiewet, de Cyberbeveiligingswet, eigenlijk op 17 oktober 2024 in werking had moeten treden. Het implementeren van NIS2-richtlijn kost echter meer tijd dan verwacht, waardoor de deadline niet wordt gehaald.

Het nodige wordt gedaan om het implementatieproces vlot te laten verlopen. De Cyberbeveiligingswet zal naar verwachting medio 2025 in werking treden.

NIS2 (oftewel de concept cyberbeveiligingswet) bestaat uit 10 belangrijke elementen die geadresseerd moeten worden om weerbaar te zijn. Dit is redelijk vergelijkbaar met DORA.
Waar NIS2 een algemene wet is voor kritieke sectoren, is DORA een lex specialis speciaal gericht op financiële instellingen zoals banken, (her)verzekeraars, tussenpersonen en pensioenfondsen. In gevallen dat DORA en NIS2 beiden van kracht zijn, prevaleert DORA voor een financiële instelling.

NIS2 is een afkorting van de Network and Information Security 2-richtlijn. NIS2 is de opvolger van de eerste NIS1-richtlijn. In Nederland staat NIS1 ook wel bekend als de NIB richtlijn (netwerk- en informatiebeveiliging). NIB was in Nederland in 2016 geïmplementeerd  in de Wet beveiliging netwerk- en informatiesystemen (Wbni).