De belangrijkste wetten/regelingen

Maar first things first. In onderstaand schema nemen we de belangrijkste wetten en regelingen mee, laten we zien wat ze doen, waarin ze verschillen en wat de volgorde is waarin ze (voor zover bekend) worden ingevoerd.

Waarom vooruitkijken een kans is

Vroeg beginnen met voorbereiden levert organisaties voordelen op.🔸Proactief handelen vergroot het vertrouwen bij klanten, partners en toezichthouders.🔸Strakker risicomanagement verkleint de kans op verstoringen die je bedrijfsvoering platleggen, met minder directe kosten, reputatieschade en herstelwerk.🔸Wie vroeg inzicht heeft en maatregelen neemt, kan zich onderscheiden.🔸En wie nu al nadenkt over veilige producten, leveringsketens en AI-beheer, staat sterker in toekomstige markten.

Wat kun je nú al doen

• Check of jouw organisatie onder bijvoorbeeld NIS2 of de Cbw zal vallen. De DTC-check kan je daarbij helpen.
• Breng in kaart hoe je ervoor staat met risicobeheersing, ketenbeveiliging en AI-systemen. Denk ook aan meldplicht bij datalekken, systeemuitval of ernstige beveiligingsincidenten.
• Product-leveranciers kunnen zich voorbereiden op de CRA-verplichtingen: productinventaris, risicoanalyse, beveiliging van hardware/software, updates.
• AI-gebruikers en ontwikkelaars kunnen kritisch kijken naar welke AI-systemen je gebruikt, of ze onder de AI Act vallen en welke verantwoordelijkheden je hebt. Lees hier hoe je AI in je werkomgeving kunt inzetten en een goed beleid kunt opstellen.
• Zorg dat cybersecurity een vast onderdeel is van bestuurlijke besluitvorming, met duidelijke verantwoordelijkheden, zicht op risico’s en aantoonbare sturing door het management.
• Maak de werkvloer duidelijk dat cybersecurity en weerbaarheid prioriteit hebben, zodat de organisatiecultuur meebeweegt. Lees hier hoe je een sterke security awareness-strategie kan implementeren.

Wees paraat of begin gewoon vandaag nog

De invoering van de AVG liet zien dat Europese regelgeving veel impact kan hebben. Ook bij deze wetten en regels wachtten sommige organisaties af, terwijl de reikwijdte minstens zo groot is: dit keer draait het niet alleen om data, maar om de totale digitale weerbaarheid. Hoe eerder je begint, hoe minder stress in 2026. Voorbereiden kost tijd en maakt je organisatie meteen sterker.

Waarom criminelen de keten aanvallen

Je kan als organisatie je beveiliging goed op orde hebben, maar van je leveranciers weet je dat niet. Door één leverancier aan te vallen, krijgen criminelen toegang tot meerdere klanten of netwerken tegelijk. Dat cascade-effect maakt de keten zo aantrekkelijk.

Aanvallers richten zich op partijen met veel rechten (API’s, beheeraccounts) maar met minder beveiliging. Eén lek bij een leverancier kan zo de poort worden naar vele anderen.

Wat kan er gebeuren in de praktijk

Stel je voor: een aanvaller weet via een kwetsbaarheid bij je HR-dienst in te breken. Daar vindt hij salarisstroken, BSN’s en bankgegevens van je medewerkers. Met die informatie kan hij niet alleen fraude plegen, maar ook uiterst geloofwaardige phishingcampagnes opzetten richting jouw organisatie.

Of denk aan een online boekhoudtool die wordt gegijzeld. Bedrijven kunnen geen facturen meer versturen, geen betalingen registreren en de hele administratie komt tot stilstand. Het gevolg: acute cashflowproblemen en vertraging bij belastingaangiftes.

Ook een logistieke partner kan doelwit zijn van ransomware. Hun systemen voor planning, tracking en douane-afhandeling raken volledig versleuteld. Vrachtwagens staan stil, containers blijven in de haven, en niemand weet precies waar welke zending zich bevindt.

Zelfs een catering- of schoonmaakbedrijf kan onbedoeld een ingang vormen. Wanneer hun planningsapplicatie wordt besmet, kunnen accounts die ook toegang hebben tot klantgebouwen worden misbruikt. Aanvallers krijgen zo niet alleen digitale, maar mogelijk ook fysieke toegang tot je organisatie.

Deze scenario’s laten zien dat een aanval via de keten vaak onzichtbaar begint, maar enorme gevolgen kan hebben zodra de domino’s beginnen te vallen.

Vertrouwen vraagt om verantwoordelijkheid

Elke organisatie maakt deel uit van een IT-keten. Je werkt altijd met leveranciers en partners: van software en cloud tot telecom, salarisadministratie of logistiek. Elke schakel kan een risico zijn, ook wij.

Als IT-beheerder hebben wij toegang tot kritieke systemen en processen, en daarmee zijn we zelf óók een potentiële ingang voor aanvallers. Dat erkennen we.

Juist daarom nemen we onze rol in de keten uiterst serieus. Vertrouwen ontstaat niet door mooie beloftes of contracten, maar door continu te laten zien dat we risico’s minimaliseren: door transparant te zijn, te investeren in beveiliging en alert te blijven op nieuwe dreigingen.

Dus, wat mag je van ons verwachten?

Niemand kan absolute veiligheid beloven. Wie dat wel doet, schept een vals gevoel van veiligheid. Wat we wél kunnen beloven, is dat we onze verantwoordelijkheid als schakel in jouw IT-keten serieus nemen.

Dat betekent dat we voortdurend investeren in de beste beveiligingsmaatregelen en die ook structureel toepassen op alle plekken waar wij toegang hebben. Denk aan streng toegangsbeheer, actieve monitoring, onafhankelijke audits en duidelijke incidentprocedures.

Beveiliging is voor ons geen bijzaak, maar een kernonderdeel van onze dienstverlening. Zo maken we het risico dat je via ons loopt zo klein mogelijk.

Zo versterk je zelf de keten

Je kunt risico’s nooit volledig uitsluiten, maar je kunt ze wél beheersen. Dat vraagt om duidelijke eisen en actief samenwerken met je leveranciers.

• Kijk kritisch naar je keten: vraag hoe leveranciers omgaan met MFA, patchbeheer, incidenten en audits.
• Leg afspraken vast: veranker beveiliging in contracten en stel cyberclausules verplicht.
• Vraag bewijs: laat leveranciers aantonen welke maatregelen ze nemen, bijvoorbeeld met certificeringen of auditrapporten.
• Blijf evalueren: risico’s veranderen, dus beoordeel leveranciers regelmatig opnieuw.
• Werk samen: deel kennis, trainingen en awareness zodat iedereen in de keten sterker wordt.

Security awareness dossier

Steeds meer van bovenstaande maatregelen worden ook wettelijk verplicht, onder andere via de Cyber Resilience Act (CRA) en NIS2. In ons volgende artikel laten we zien hoe deze regels organisaties niet beperken, maar juist helpen de keten te verstevigen.

Wat is een deepfake precies?

Deepfake is een samentrekking van deep learning en fake. Met AI wordt beeld, video of audio zo bewerkt dat het lijkt alsof iets of iemand echt is. Dat kan een nagemaakte stem zijn, een gemanipuleerd gezicht of zelfs een volledig verzonnen video.

De techniek kan creatieve toepassingen hebben, bijvoorbeeld in films of op sociale media. Maar ze wordt ook misbruikt om mensen en organisaties te misleiden. Denk aan nepvideo’s tijdens verkiezingen om de publieke opinie te beïnvloeden of aan beelden die worden gebruikt voor chantage: betaal, anders verspreiden we dit valse materiaal.

Hoe AI social engineering versterkt

Ook in het bedrijfsleven vergroten deepfakes de geloofwaardigheid van pogingen om vertrouwen te winnen en hiërarchie of urgentie uit te buiten. Voice-phishing, het voorbeeld in de intro – een nagemaakte stem van de directeur die je belt met een dringend verzoek – laat dat al goed zien.

Maar ook klassieke phishing wordt er krachtiger door. Zo kan een deepfake in een videocall met een leverancier of partner al voldoende zijn om een aangepast rekeningnummer of gewijzigde procedure zonder argwaan te accepteren.

Doordat AI enorme hoeveelheden informatie uit sociale media, nieuws en databanken kan filteren en samenvatten kan het zeer effectief doelwitten profileren voor aanvallen. Zoals bijvoorbeeld het automatisch laten schrijven van overtuigende, super-gepersonaliseerde phishingberichten die veel geloofwaardiger zijn dan generieke pogingen.

Hoe je je kunt wapenen

Een waterdichte oplossing is er niet, maar organisaties kunnen zich wel beter voorbereiden. Zo zijn duidelijke regels over wanneer een financiële transactie mag plaatsvinden erg belangrijk. En extra validatiestappen bij onverwachte verzoeken, zoals een tweede check via mail of telefoon. Deze maken fraude al veel lastiger.

Daarnaast helpt het om medewerkers te trainen met realistische scenario’s, zodat ze leren herkennen hoe een deepfake of geraffineerde phishingpoging eruit kan zien. Geef daarbij extra aandacht aan de mensen die toegang hebben tot financiële middelen of beslissingsbevoegdheid. En minstens zo belangrijk is de bedrijfscultuur. Medewerkers moeten zich veilig voelen om bij twijfel een verzoek te kunnen controleren.

Ook de technologie kan hierbij ondersteunen: beveiligingsleveranciers maken zelf gebruik van AI om patronen te herkennen en afwijkingen te registeren, sommigen ontwikkelen ook al detectiesystemen voor deepfakes.

Wat te doen als het misgaat

Gaat het toch mis, dan is snel handelen cruciaal. Verzamel bewijs in de vorm van mails, opnames of screenshots en meld het bij het platform waar de deepfake of phishing plaatsvond. Neem vervolgens contact op met de autoriteiten, zoals de politie of Fraudehelpdesk, zodat zij onderzoek kunnen doen.

Security awareness dossier

De aanval hoeft niet frontaal te komen, het kan ook binnensluipen via je leveranciers. In ons volgende artikel behandelen we supply chain-aanvallen.

Het nieuwe cyberlandschap

De wereld van cyberdreigingen ziet er vandaag heel anders uit dan een paar jaar geleden. Volgens het World Economic Forum is het aantal cyberaanvallen sinds 2021 meer dan verdubbeld. Bedrijven – groot én klein – krijgen steeds vaker te maken met ransomware, phishing en datalekken. Maar er zijn ook nieuwe ontwikkelingen die extra aandacht verdienen.

Nieuwe ontwikkelingen

De komende weken nemen we je mee langs vier thema’s die volgens ons bepalend zijn voor de manier waarop we naar cybersecurity moeten kijken. Deze artikelen maken deel uit van ons eerder opgestelde security awareness-dossier.

1. AI als wapen én als verdediging

Cybercriminelen zetten kunstmatige intelligentie in voor geavanceerde phishingmethodes en zelfs automatisch gegenereerde malware. Tegelijkertijd kan AI ons helpen sneller bedreigingen te herkennen en verdachte patronen op te sporen.
In ons eerste verdiepingsartikel laten we zien hoe AI cybercriminaliteit naar een nieuw niveau tilt – maar ook hoe het ons helpt bij de verdediging.

2. Deepfakes en social engineering

De menselijke factor blijft de zwakste schakel. Medewerkers worden misleid via slimme e-mails, neptelefoontjes of overtuigende deepfake-video’s. Het herkennen van deze aanvallen vraagt meer bewustzijn dan ooit.
In het tweede artikel laten we zien hoe social engineering evolueert in een tijdperk van deepfakes – en hoe je jezelf en je collega’s hiertegen kunt wapenen.

3. Keten- en supply-chain aanvallen

Niet alleen grote bedrijven zijn doelwit, maar ook hun leveranciers en partners. Aanvallers zoeken de zwakste plek in de keten om toegang te krijgen tot waardevolle systemen.
In het derde stuk bespreken we hoe je de keten beter kunt beveiligen – en waarom zelfs kleine bedrijven hierin een groot verschil kunnen maken.

4. Wetgeving & compliance

Wetgeving speelt een steeds grotere rol. Nieuwe Europese regels zoals NIS2 en de Cyber Resilience Act verplichten bedrijven aantoonbaar hun cybersecurity op orde te hebben.
Organisaties die nu investeren in security én compliance versterken niet alleen hun verdediging, maar ook hun positie in de markt. In ons vierde artikel leggen we uit hoe je dit slim aanpakt.

Houd MEOS in de gaten!

Deze maand nemen we je - via updates op onze LinkedIn-pagina- stap voor stap mee naar een veiligere digitale toekomst. Niet alleen met theorie, maar vooral met praktische handvatten en voorbeelden die je direct kunt vertalen naar je eigen organisatie.

Security awareness hoeft niet ingewikkeld te zijn – zolang je alert blijft en meebeweegt met nieuwe ontwikkelingen.