Bedrijven in Nederland en België melden opnieuw meer cyberaanvallen, van gerichte phishing tot ransomware. Beveiligingsspecialisten benadrukken deze week dat de eindgebruiker niet de schuldige is als het misgaat. Organisaties moeten hun systemen en processen verbeteren, met meer automatisering en duidelijke verantwoordelijkheden. Dat is extra urgent door NIS2 en de Europese AI-verordening, met gevolgen voor overheid en bedrijven.
Schuld niet bij gebruiker
Menselijke fouten blijven gebeuren, zeker bij slimme phishingmails die door kunstmatige intelligentie zijn geschreven. De kern van de verdediging hoort daarom niet bij de medewerker te liggen. Bedrijven moeten fouten opvangen met technische maatregelen en goed ingerichte processen.
“Mensen maken nu eenmaal fouten; systemen moeten daarop ontworpen zijn.”
Begin bij sterke basisbeveiliging. Gebruik phishing‑bestendige multi‑factor authenticatie, zoals FIDO2‑sleutels. Beperk rechten tot wat nodig is, en scheid kritieke rollen.
Training blijft nuttig, maar is geen wondermiddel. Security awareness is de laatste verdedigingslijn, niet de eerste. Meet het effect en pas beleid aan op echte risico’s.
Basisbeveiliging vaak onder niveau
Veel organisaties missen nog overzicht van hun apparaten en software. Zonder actueel inventaris is patchen traag en blijft kwetsbare software openstaan. Dat maakt het werk van aanvallers makkelijk.
Segmentatie van netwerken beperkt de schade als iemand toch binnenkomt. Back‑ups horen offline en moeten regelmatig worden getest op herstel. E‑mail- en webfilters vangen bekende dreigingen vroeg af.
Leveranciersrisico is een blinde vlek. Eén zwakke schakel in de keten kan de hele organisatie raken. Vraag daarom om basismaatregelen en herstelplannen bij elke belangrijke IT‑partner.
Leg verantwoordelijkheden vast aan de top. Bestuurders horen risico’s te begrijpen en middelen vrij te maken. Zonder eigenaarschap blijft beveiliging versnipperd.
AI vergroot aanval én verdediging
Aanvallers gebruiken generatieve modellen om foutloze phishing in elke taal te maken. Spraakklonen en deepfakes maken telefonische fraude overtuigender. Ook kunnen datamodellen helpen bij het zoeken naar zwakke plekken.
Verdedigers zetten algoritmen in om afwijkend gedrag te zien. Endpoint‑detectie (EDR) en uitgebreide monitoring (XDR) gebruiken patronen om bedreigingen sneller te vinden. SIEM en SOAR koppelen meldingen aan automatische acties, zoals het isoleren van een laptop.
Nieuwe hulpen, zoals Microsoft Copilot for Security, Google Gemini‑integraties in Mandiant, of CrowdStrike’s assistent, beloven snellere analyses. Toch kunnen taalmodellen hallucineren en fouten maken. Menselijke controle blijft daarom nodig.
Let op privacy en de AVG bij gedragsanalyse. Verwerk zo min mogelijk persoonsgegevens en versleutel logdata. Een gegevensbeschermingseffectbeoordeling (DPIA) helpt keuzes te onderbouwen.
NIS2 en AI‑verordening dwingen actie
NIS2 verplicht veel meer sectoren in de EU tot risicobeheer en snelle meldingen. Organisaties moeten ernstige incidenten binnen 24 uur signaleren en binnen 72 uur melden. Bestuurders worden expliciet verantwoordelijk en kunnen worden beboet.
In Nederland vervangt nieuwe wetgeving op het moment van schrijven de huidige Wbni om NIS2 uit te voeren. Bedrijven doen er goed aan nu al beleid, contracten en rapportagelijnen aan te passen. In België en andere EU‑landen loopt dezelfde omzetting.
De Europese AI‑verordening raakt ook security‑tools die AI inzetten. De meeste toepassingen vallen niet in de hoogste risicoklasse, maar documentatie, datakwaliteit en transparantie worden belangrijker. Inkoop moet toetsen of leveranciers aan de regels voldoen.
Voor overheid en vitale sectoren geldt extra druk om aantoonbaar “state of the art” te werken. Bewijslast hoort niet alleen op papier te staan, maar in meetbare controles. Logboeken, tests en audits worden daarmee cruciaal.
Voorbereiding op incident loont
Een incidentresponsplan scheelt kostbare uren als het misgaat. Oefen met “tabletops” wie wat doet, van IT tot communicatie. Leg contactgegevens vast van NCSC‑NL, CERT.be, politie en forensische partners.
Back‑ups moeten snel en betrouwbaar terug te zetten zijn. Test herstel van cruciale systemen minstens elk kwartaal. Bespreek vooraf standpunten over wel of niet betalen van losgeld.
Datalekken moeten onder de AVG binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld. Bepaal wanneer je betrokkenen informeert en wat je dan zegt. Transparantie beperkt reputatieschade en juridische risico’s.
Met duidelijke rollen, basismaatregelen en slimme inzet van AI verklein je de kans op uitval. De eindgebruiker hoeft dan niet de laatste muur te zijn. Dat is beter voor mensen, voor compliance en voor de continuïteit van de organisatie.
