Wat het AP-position paper betekent voor jouw Cbw (NIS2) audit voorbereiding
“Ik doe dit al 25 jaar zonder monitoring. Waarom moet het nu opeens wel?”
Die vraag kreeg ik onlangs van een directeur van een levensmiddelenbedrijf. Hij meende het serieus. En hij verdient een serieus antwoord.
Mijn antwoord: hij heeft niet 25 jaar lang gezien dat er niets misging. Hij heeft 25 jaar lang niet gekeken. In 2001 maakte dat zakelijk weinig uit. In 2026, met een Cbw (NIS2) audit op de horizon, wel.
Ik schrijf dit stuk omdat ik die vraag steeds vaker hoor. Niet van mensen die het niet snappen, maar van ervaren ondernemers die hun zaak al decennia draaiende houden. Ze hebben gelijk dat het lang goed ging. Ze hebben er alleen nooit bij stilgestaan dat “het ging goed” iets anders is dan “ik wist dat het goed ging”.
Wat er in 25 jaar veranderd is
Drie dingen.
De dreiging is geautomatiseerd. In 2001 koos een aanvaller een specifiek doelwit. Vandaag scant geautomatiseerde software dagelijks miljoenen IP-adressen op kwetsbaarheden, ongeacht of jij interessant bent. Je hoeft geen doelwit te zijn om geraakt te worden. Je hoeft alleen bereikbaar te zijn.
De afhankelijkheid is veelvoudig. Toen was zijn netwerk een lokaal eilandje. Nu hangt zijn ERP aan een cloudleverancier, zijn koel- en temperatuurmonitoring aan een IoT-platform, zijn HACCP-administratie aan een SaaS-tool, en zijn klanten aan EDI-koppelingen. Eén schakel uit, en de keten valt stil.
En dit is niet meer theoretisch. In de afgelopen anderhalf jaar haalden Clinical Diagnostics, de gemeente Epe, Rituals, Basic Fit en Odido het nieuws met diefstal van persoonsgegevens. Zelfs het Openbaar Ministerie kon enkele dagen niet werken na een Citrix-kwetsbaarheid in NetScaler. Exact het type randapparatuur dat in elk MKB als gateway staat, met een management-interface die vaak nog vanuit internet bereikbaar is.
De regelgeving is veranderd. De Cyberbeveiligingswet (Cbw), de Nederlandse uitwerking van de Europese NIS2-richtlijn, treedt naar verwachting in de zomer van 2026 in werking. Vanaf dat moment ben je als bestuurder persoonlijk aansprakelijk voor passende technische en organisatorische maatregelen. Een eerste melding van een significant incident moet binnen 24 uur, een volledige melding binnen 72 uur. “Ik wist het niet” geldt dan niet meer als verweer.
Wat de toezichthouder op 13 mei schreef
Op 13 mei 2026 publiceerde de Autoriteit Persoonsgegevens een position paper voor het rondetafelgesprek over cyberveiligheid in de Tweede Kamer van 20 mei. In dat paper staan drie cijfers die elke bestuurder in een gereguleerde sector zou moeten kennen.
44.000 datalekmeldingen in 2025. Een stijging van ongeveer 38.000 in 2024. Bijna zestien procent meer in één jaar. Dat is het macroplaatje.
33% van de onderzochte organisaties rapporteerde dat incidenten ontstonden door gebrek aan beleid. Dat is de groep waarvan je het verwacht: structuur ontbreekt, dus dingen gaan mis.
40% van de onderzochte organisaties had wél beleid, maar de uitvoering was niet juist, of de uitvoering werd niet voldoende gecontroleerd. Hier zit de groep die op papier alles op orde heeft. Een ISO-handboek in de kast, een AVG-register, een incident-procedure op SharePoint. En toch ging het mis.
Lees dat tweede cijfer nog eens. De grootste groep zit niet in ‘we hebben niets’. De grootste groep zit in ‘het staat op papier, maar wat er onder de motorkap gebeurt, daar zit niemand aan’.
Dat is precies de groep waar ik in de praktijk de meeste tijd mee doorbreng. Niet omdat ze nalatig zijn, maar omdat niemand het ze ooit concreet heeft laten zien.
De AP voegt een conclusie toe die niet voor tweeërlei uitleg vatbaar is. Audits, beveiligingstests en technische waarborgen zijn essentieel om fouten vroegtijdig te detecteren. Beveiliging, schrijft het paper, is een continu proces en geen momentopname.
De AP staat hierin niet alleen. Cyberveilig Nederland, de branchevereniging van Nederlandse cybersecurity-dienstverleners, beschreef in een eigen position paper van 11 mei een “scherpe stijging” van datalekken in 2025 en 2026, vooral door accountovernames en gestolen inloggegevens. Diezelfde brancheorganisatie noemt monitoring van het netwerkverkeer expliciet als basishygiëne, in één rij met MFA en netwerksegmentatie. Geen luxe, geen extra. Basis. Vertaal dat naar de praktijk: oost-west-verkeer zichtbaar binnen het netwerk en niet alleen aan de perimeter, anomalie-detectie aan op identity-events, en MFA op service-accounts en domain admins. Want dáár grijpt een aanvaller na de eerste foothold.
Drie spanningsvelden bij jouw Cbw (NIS2) audit
Op deze realiteit zie ik bij klanten drie spanningsvelden ontstaan. Wie ze niet adresseert, zakt door de audit of erger.
Beleid en techniek
Een handboek is een belofte op papier. Een auditor toetst dat aan de tien zorgplicht-maatregelen uit de Cbw (NIS2 artikel 21 lid 2), van incidentafhandeling en bedrijfscontinuïteit tot crypto-beleid en supply-chain-security. De details bepalen of dat beleid stand houdt onder druk. De auditor controleert MFA-dekking op admin- en service-accounts, niet alleen op gewone gebruikers via de webportal. Vraagt om het meest recente proefherstel van een kritieke back-up, niet om de back-up-checkbox in het beheerscherm. Toetst of endpoint- en netwerklogging naar een centrale collector worden geforward, met welke retentie, en of de SIEM correlatieregels heeft draaien op de basis-TTP’s. Zonder negentig dagen log-historie en zonder detection-content houdt forensisch onderzoek na een incident op.
En dan zijn er de vragen waar geen vragenlijst antwoord op geeft. Hoe bewijs je in je collaboration tool dat het vier-ogen-principe op kritieke wijzigingen daadwerkelijk werkt: laat me de merge-request-approvals in GitLab/GitHub/enz zien, niet de policy. Hoe is segmentatie geregeld: VLAN’s, fysieke scheiding, of een mengvorm met trunkpoorten waar half de productie aan hangt? En dan loop ik met de auditor mee het datacenter in, waar elke kabel correct getagd hoort te zijn: server-rack 4, blade 2, switchpoort 3, niet ‘die witte rechts’. Bewijs, of het ontbreken ervan. De afstand tussen wat in beleid staat en wat de techniek doet: daar zit de 40% van de AP.
Beleid beschermt tegen verwijten. Techniek beschermt tegen stilstand. De auditor toetst beide, en weegt de tweede zwaarder.
Kosten en operationele continuïteit
Hier lopen bestuursvergaderingen vast. De directeur kijkt naar het maandbedrag voor monitoring en denkt: “Wat krijg ik daarvoor?”
De zakelijke vraag staat de andere kant op. Wat kost een dag waarop je niet weet wat er in je netwerk gebeurt?
In de levensmiddelensector betekent die vraag heel concrete dingen. Een productielijn die acht uur stilstaat omdat het orderbeheersysteem onbereikbaar is. Een batch die de keten uit moet omdat de koelregistratie niet door HACCP komt. Een recall die niet uitvoerbaar is omdat het traceability-systeem geen actuele data heeft. Klanten die bij je concurrent bestellen omdat je niet kunt bevestigen wanneer je levert. Hoeveel uur je op je IT kunt missen voordat je operationele schade oploopt, heb ik eerder uitgewerkt in dit stuk over RTO en RPO.
Weerbaarheid is geen verzekering tegen een abstracte dreiging. Het is de prijs van blijven leveren wanneer de rest van de keten hapert.
De koepelorganisatie GGD GHOR Nederland legde in haar eigen position paper, op 12 mei, vergelijkbare nadruk: de stapeling van AVG, AI Act, EHDS en cybersecuritywetgeving brengt “aanzienlijke uitvoerlasten” met zich mee, en de benodigde expertise is schaars op de arbeidsmarkt. Daarom benadrukt Cyberveilig Nederland in haar paper dat externe IT-partners bij MKB-bedrijven vaak een grote rol spelen in de basishygiëne, en dat heldere afspraken over wie wat doet noodzakelijk zijn.
Nu en later
Het derde spanningsveld is de stilste, en zakelijk vaak het duurste. Doen we het nu, of doen we het straks?
De Cyberbeveiligingswet treedt in de zomer van 2026 in werking. De AP kondigde in datzelfde paper aan dat zij ICT-leveranciers preventief gaat controleren op hun digitale beveiliging. De druk komt dus niet alleen van de auditor van je klant, ook van de toezichthouder van je leverancier. Voor je klanten geldt hetzelfde: aanbestedingen in 2026 vragen steeds vaker om aantoonbare technische volwassenheid, niet om een verklaring op papier.
Wie nu investeert, kiest het tempo en de scope. Wie wacht, krijgt het tempo opgelegd door een incident, een audit, of een klant die om een certificaat vraagt en daar geen vier maanden op kan wachten.
De volgorde die bij dit beeld past
Wat hieruit volgt is geen nieuwe methodiek. Het is de juiste volgorde.
Eerst weten wat technisch waar staat. Een nulmeting. Geen interviewronde, geen vragenlijst, maar een feitelijke inventarisatie van wat er draait, welke versies, welke instellingen, welke logging. Dat is de enige manier om vast te stellen of je in de 33%-groep zit, in de 40%-groep, of vaker dan je denkt in beide tegelijk.
Daarna pas maatregelen kiezen, risico-gestuurd. Niet op basis van een standaardhandboek, maar op basis van wat de nulmeting aantoont. Dit is ook wat de AVG en de Cyberbeveiligingswet beide eisen: maatregelen afgestemd op het werkelijke risico, niet op een algemeen sjabloon. Bij FidelSec leggen we dat vast in een traject dat aantoonbaar is, bijvoorbeeld richting ISO 27001, zodat je niet alleen veiliger bent maar het ook kunt bewijzen.
En vervolgens permanent monitoren. Niet omdat het mode is, maar omdat het de enige manier is om te weten of de maatregelen die je zes maanden geleden trof, vandaag nog steeds werken. Beveiliging is een continu proces, schrijft de AP. Een toezichthouder die dat zegt, geeft je de zakelijke rechtvaardiging die je in de bestuursvergadering nodig hebt.
Tot slot
Terug naar de directeur van het levensmiddelenbedrijf. Zijn vraag was eerlijk, en hij verdient een eerlijk antwoord. Vijfentwintig jaar zonder monitoring is geen prestatie. Het is een blinde vlek waar de wereld in de tussentijd omheen is gegroeid. Dat is geen verwijt. Het is een uitnodiging om de volgende vijfentwintig jaar wél te zien wat er gebeurt.
Muhammed Akbulut
Cyber Security Expert
De meest weerbare bedrijven die ik tegenkom, hebben één ding gemeen. Ze hebben nagedacht over het moment dat het misgaat. Niet uit angst, maar vanuit eigenaarschap. Ze weten wat er op hun netwerk draait, ze weten wat ze kwijt kunnen raken, en ze hebben dat op papier én in de techniek geregeld. Dat maakt het verschil.
In mei 2026 hebben vier autoriteiten dezelfde diagnose op tafel gelegd: de Autoriteit Persoonsgegevens, Cyberveilig Nederland, GGD GHOR Nederland en de Inspectie Gezondheidszorg en Jeugd. Het beleid zit bij veel organisaties op orde. De techniek eronder vaak niet.
Benieuwd of jouw organisatie in de 33%-groep zit, in de 40%-groep, of allebei tegelijk? Bij FidelSec doen we vrijblijvend een eerste technische check als opstap naar je Cbw (NIS2) audit voorbereiding. Geen vragenlijst, wel een feitelijk beeld van wat er op je netwerk staat. Stuur een bericht via LinkedIn of plan een gratis consult.
Meer weten?
Klaar om cyber security en compliance eenvoudig en toegankelijk te maken?
Bronnen
- Autoriteit Persoonsgegevens: position paper t.b.v. rondetafelgesprek Cyberveiligheid en informatiebeveiliging, Tweede Kamer, 13 mei 2026. https://www.tweedekamer.nl/downloads/document?id=2026D21931
- Cyberveilig Nederland: position paper voor hetzelfde rondetafelgesprek, 11 mei 2026. https://cyberveilignederland.nl/actueel/input-cyberveilig-nederland-aan-rondetafelgesprek-over-cyberveiligheid
- GGD GHOR Nederland: position paper voor hetzelfde rondetafelgesprek, 12 mei 2026. Te vinden bij de agenda van het rondetafelgesprek: https://www.tweedekamer.nl/debat_en_vergadering/commissievergaderingen/details?id=2026A02097
- Cijfers over beleid en uitvoering: Datalekkenrapportage AP 2024, zoals geciteerd in het AP-position paper (zie bron 1).