Een structureel veilige IT-omgeving vereist doorlopende validatie

In het tweede kwartaal (Q2) van 2026 treedt de Cyberbeveiligingswet (Cbw) naar verwachting in werking. Als Nederlandse implementatie van de Europese NIS2-richtlijn stelt deze wet verplichtingen aan organisaties in de aangewezen essentiële en belangrijke sectoren. Belangrijke wijzigingen zijn de bestuurlijke aansprakelijkheid, een meldplicht, toezicht op de leveranciersketen en de verplichting om de bedrijfscontinuïteit te borgen.

Bestuurders kunnen niet volstaan met vertrouwen op bestaande IT-maatregelen, maar moeten expliciet kunnen aantonen waarom de gekozen inrichting vandaag nog passend is bij hun risicobereidheid. Met deze wet verschuift cybersecurity van een IT‑kwestie naar een directe verantwoordelijkheid voor het bestuur. Het gaat niet langer alleen om de techniek, maar om de inrichting van de governance: het vastleggen van beleid, rollen en verantwoordelijkheden om risico’s te beheersen. Voor een bestuurder is cybersecurity daarmee een integraal onderdeel van de overkoepelende organisatiestrategie.

Voor de aangewezen organisaties vertaalt dit zich naar naleving van de zorgplicht en een striktere borging van de bedrijfscontinuïteit. De Cyberbeveiligingswet (Cbw) bouwt voort op bestaande informatiebeveiligingsnormen. Organisaties in de zorg kunnen invulling geven aan de zorgplicht via de NEN 7510:2024, terwijl overheidsinstellingen de BIO2 hanteren. Beide sluiten aan op ISO 27001:2022.

De Cyberbeveiligingswet (Cbw) voegt hier echter dwingende eisen aan toe: expliciete bestuurlijke aansprakelijkheid, een strikte meldplicht voor incidenten (eerste melding binnen 24 uur), streng toezicht op de leveranciersketen en formele borging van bedrijfscontinuïteit.

Dit vraagt om een aanpak waarbij dit geheel aan eisen herleidbaar wordt vertaald naar een veilige IT-omgeving en beheersbare afspraken met een Managed Service Provider. Niet eenmalig, maar structureel.

Doorlopende validatie

Omstandigheden veranderen voortdurend en daarmee ook de eisen en risico’s. Vaak worden security-architectuurkeuzes gemaakt bij de initiële inrichting van een IT-omgeving en blijven deze daarna ongewijzigd. Een IT-omgeving die aanvankelijk voldeed aan alle eisen kan onvoldoende beschermd raken door nieuwe wetgeving (zoals de komende Cyberbeveiligingswet), een gewijzigd dreigingslandschap of bedrijfsprocessen die meer gevoelige gegevens verwerken. De bestaande beheersmaatregelen zijn dan niet meer toereikend, met als mogelijk gevolg dat de bedrijfscontinuïteit of (bijvoorbeeld) de patiëntveiligheid onbedoeld in het geding komt.

Om een IT-omgeving structureel veilig en weerbaar te houden, is doorlopende validatie noodzakelijk. Daarbij worden de architectuur en afspraken periodiek getoetst aan actuele wet‑ en regelgeving, dreigingen en (primaire) bedrijfsprocessen. Doorlopende validatie is geen operationele maatregel, maar een manier voor het bestuur om beleid, risico’s en technische keuzes op elkaar af te stemmen. Om hierop grip te houden, staan drie principes centraal.

1. Ken uw IT-omgeving en de actuele risico’s

Het voorkomen van incidenten begint bij het begrijpen van wat er beschermd moet worden. Dit principe omvat het identificeren van alle assets, datastromen en de afhankelijkheden in de keten. Dit omvat zowel inzicht van binnenuit als van buitenaf (op wat zichtbaar is voor aanvallers), ondersteund door actuele dreigingsinformatie. In de context van de Cyberbeveiligingswet (Cbw) betekent dit bovendien dat u niet alleen verantwoordelijk bent voor uw eigen IT-omgeving, maar ook moet aantonen dat uw leveranciers hun zaken op orde hebben.

Door eisen, risico’s en bedrijfsprocessen systematisch opnieuw te beoordelen, blijven beheersmaatregelen afgestemd op de huidige situatie. Een jaarlijkse audit is hierbij niet voldoende; het vraagt om een aanpak waarbij de security-architectuur regelmatig wordt getoetst aan de risicobereidheid van de organisatie en het actuele dreigingslandschap. Organisaties die dit regelmatig doen, zijn beter in staat de IT-omgeving weerbaar en flexibel te houden, zonder dat werkzaamheden die hieruit voortvloeien leiden tot omvangrijke projecten.

Elke architectuurkeuze – expliciet of impliciet – is een vertaling van de risicobereidheid van het bestuur, ook wanneer die afweging nooit formeel is vastgelegd. Wanneer deze keuzes niet periodiek worden gevalideerd, verschuift de discussie onvermijdelijk van “hebben we de juiste maatregelen genomen?” naar “waarom hebben we niet eerder bijgestuurd?”.

2. Stuur op wat er daadwerkelijk gebeurt

Naast preventieve maatregelen vraagt structurele veiligheid om doorlopend inzicht in het daadwerkelijke gedrag van de IT-omgeving. Om dreigingen te detecteren is realtime monitoring van verkeersstromen, gebruikershandelingen en configuraties nodig. Door ook kwetsbaarheden actief te monitoren, ontstaat een actueel en objectief beeld van de weerbaarheid. De sturing verschuift daarmee van de vraag “zijn we veilig?” naar “zien we wat er gebeurt en sturen we bij?”.

Organisaties die realtime monitoring toepassen, signaleren sneller afwijkingen en verzamelen hiermee de nodige inzichten om proactief bij te sturen voordat een dreiging tot een incident leidt. Door expliciet een eigenaar aan te wijzen, wordt er niet alleen geobserveerd, maar ook daadwerkelijk bijgestuurd.

3. Focus op weerbaarheid en herstel

Omdat incidenten nooit volledig uit te sluiten zijn, richt het derde principe zich op het beperken van de gevolgen en een snel herstel. Dit vraagt om een architectuur die dynamisch reageert en automatisch ingrijpt om verdere verspreiding te voorkomen.

De keten is pas compleet als er ook een bewezen strategie is voor herstel. Hoe snel kunnen kritieke bedrijfsprocessen weer worden opgestart na een calamiteit? Dit vereist niet alleen technische back-ups, maar ook het testen van herstelscenario’s en het simuleren van aanvallen om de effectiviteit van de plannen voor bedrijfscontinuïteit aan te tonen. Organisaties die regelmatig op weerbaarheid en herstel toetsen, zien de impact op kritieke bedrijfsprocessen aanzienlijk verminderen.

Veiligheid als structureel proces

Structurele veiligheid vereist dat de regie op risico’s verder gaat dan het simpelweg beheren van systemen. De vraag is niet of uw IT‑omgeving ooit veilig is ingericht, maar of uw organisatie expliciet stuurt op de risico’s die zij bereid is te accepteren. Kunt u aantonen dat deze keuzes bewust zijn gemaakt?

Dit artikel is onderdeel van een reeks waarin vraagstukken rondom regievoering over IT-omgevingen vanuit alle fasen van de IT-lifecycle centraal staan.