Cegeka introduceert een methode en dashboard om cyberweerbaarheid meetbaar te maken bij Europese organisaties. Het Belgische IT-bedrijf rolt de aanpak uit in Nederland en België. Het systeem levert scores, trends en concrete acties voor bestuur en IT-teams. Dit speelt terwijl NIS2, DORA en de Europese AI-verordening ingrijpende gevolgen hebben voor overheid en bedrijfsleven.
Cegeka biedt meetkader
Cegeka presenteert een uniform meetkader voor cyberweerbaarheid: het vermogen om aanvallen te voorkomen, te detecteren, te beantwoorden en te herstellen. De aanpak combineert techniek, processen en gedrag van medewerkers. Zo ontstaat één samenhangend beeld voor bestuurders, risicomanagers en securityteams. Het doel is sturen op feiten in plaats van aannames.
Typische indicatoren zijn bijvoorbeeld de tijd tot detectie en herstel, patchsnelheid en het slagen van back-up- en hersteltests. Ook gedragssignalen, zoals deelname aan phishingtraining, kunnen meetbaar worden gemaakt. De data komen doorgaans uit bestaande beveiligingstools en registraties. Daardoor sluit het aan op de praktijk zonder alles opnieuw te moeten inrichten.
De uitkomsten worden samengebracht in een weerbaarheidsscore met duidelijke drempelwaarden. Organisaties kunnen eigen normen kiezen of zich spiegelen aan branchegemiddelden. Zo wordt prioriteren eenvoudiger en zijn verbeteracties aantoonbaar. Dat helpt bij besluitvorming op directieniveau.
Cyberweerbaarheid is het vermogen van een organisatie om aanvallen te weerstaan, snel te herstellen en door te werken.
Dashboard koppelt naar risico’s
Het dashboard vertaalt technische details naar bedrijfsrisico’s. Kwetsbaarheden en incidenten worden gekoppeld aan kritieke processen en systemen. Zo is direct zichtbaar welke risico’s de continuïteit raken. Verkeerslichtkleuren en trends maken de status in één oogopslag duidelijk.
De aanpak sluit aan op gangbare raamwerken zoals NIST CSF en ISO 27001, en maakt dreigingen inzichtelijk met MITRE ATT&CK. Dat helpt bij eenduidige rapportage richting audit en bestuur. Securityteams behouden detail, terwijl managers overzicht krijgen. Iedereen stuurt vanuit dezelfde taal en definities.
Ook ketenrisico’s krijgen een plek, zoals afhankelijkheden van cloud- en SaaS-diensten. Leveranciersmaatregelen en contracteisen zijn te koppelen aan de weerbaarheidsscore. Dit maakt third-party risk management concreet. Daarmee wordt de zwakste schakel sneller zichtbaar.
Aansluiting op NIS2 en DORA
De timing is relevant voor Europa. Lidstaten voeren NIS2 vanaf 2024/2025 in, met zwaardere zorgplichten voor essentiële en belangrijke entiteiten. In de financiële sector geldt vanaf 2025 ook DORA, de Europese verordening voor digitale operationele weerbaarheid. Beide vragen om aantoonbare beheersing en rapportage van ICT-risico’s en incidenten.
Een meetbaar kader helpt om beleid, controles en incidentprocessen te onderbouwen. Scores en trends ondersteunen interne audits en toezichtgesprekken. Voor organisaties verkleint dit de afstand tussen beleid en uitvoering. Het maakt investeren en prioriteren verdedigbaar richting bestuur en toezichthouders.
Waar persoonsgegevens worden verwerkt, blijft de AVG leidend. Dataminimalisatie en passende versleuteling zijn basisvereisten. Loggings- en rapportagefuncties moeten alleen noodzakelijke gegevens bevatten. Zo blijft weerbaarheidsmeting in lijn met privacyregels.
Sturen met heldere KPI’s
Concreet sturen gebeurt met een beperkt aantal KPI’s. Denk aan mean time to detect, mean time to respond, patch- en configuratiegraad, MFA-dekking en herstelbaarheid van back-ups. Deze indicatoren zijn begrijpelijk en controleerbaar. Ze laten bovendien effectief gedrag zien, niet alleen papierwerk.
Door elk kwartaal te meten, ontstaat een trend die investeringen onderbouwt. Een dalende responstijd of stijgende herstelgraad maakt effect zichtbaar. Blijft een KPI achter, dan volgt gericht verbeterwerk. Zo worden projecten geen doel op zich, maar leveren ze aantoonbare risicoreductie op.
Dezelfde set helpt bij leverancierssturing. Inkoop en security kunnen eisen eenduidig toetsen en bespreken. Resultaten worden onderdeel van contractgesprekken. Dit versterkt de hele keten in plaats van alleen de eigen omgeving.
Automatisering en AI beperkt
Securitymetingen zijn deels geautomatiseerd; algoritmen signaleren patronen in logdata. Toch blijft menselijk duiden nodig, bijvoorbeeld om valse meldingen te voorkomen. Het meetkader van Cegeka is daarom bedoeld als combinatie van tooling en expertise. De mens blijft eindverantwoordelijk voor risicokeuzes.
De Europese AI-verordening stelt eisen aan transparantie en documentatie bij inzet van kunstmatige intelligentie. Voor intern gebruikte analyses en dashboards is dat vooral een plicht tot uitleg, logging en risico-inschatting. Organisaties doen er goed aan de gebruikte modellen, datastromen en validatie vast te leggen. Daarmee voorkomen zij verrassingen bij audits en incidentonderzoek.
Belangrijk is uitlegbaarheid richting bestuur en toezichthouders. Een score moet te herleiden zijn tot meetpunten en aannames. Zo blijft vertrouwen in het systeem bestaan, ook wanneer uitkomsten minder goed uitpakken. Transparantie voorkomt overreliance op zwarte dozen.
Grenzen en verantwoordelijkheden
Een weerbaarheidsscore is geen garantie. De kwaliteit hangt af van datadekking, scope en testdiscipline. Zonder regelmatige hersteltests en oefeningen blijft het beeld onvolledig. Meten moet daarom samengaan met toetsen en verbeteren.
Ketenafhankelijkheden blijven een struikelblok. Resilience van cloud- en MSP-diensten werkt direct door in de eigen score. NIS2 en DORA verplichten tot strengere leverancierstoetsing en contractafspraken. Dat vraagt eigenaarschap buiten de IT-afdeling.
Bestuurders houden de regie over risicobereidheid en investeringen. Securityteams vertalen dit naar concrete controles en metingen. Externe partners zoals Cegeka kunnen versnellen, maar de verantwoordelijkheid blijft bij de organisatie. Zo wordt cyberweerbaarheid een vast onderdeel van bedrijfsvoering, niet een project met einddatum.
