Interim, IT Auditing, Risk Management, Cybersecurity and Compliance

Nieuws

14 februari 2026 - Singapore meldt inbraak op netwerken telecomproviders
Een groep aanvallers is erin geslaagd vorig jaar om op de netwerken van grote telecomproviders in te breken. Vervolgens heeft het Cyber Security Agency of Singapore de grootste cyber incident response uitgevoerd ooit. Meer dan honderd mensen van verschillende overheidsinstanties zijn 11 maanden bezig geweest om de digitale inbraak te onderzoeken en herstel plaats te laten vinden.
Bij de aanval is gebruik gemaakt van een zero day exploit van een niet nader genoemd product. Vervolgens zijn root kits geïnstalleerd om toegang te behouden.


13 februari 2026 - Odido lekt gegevens van meer dan 6 miljoen klanten uit Salesforce CRM na geslaagde social engineering
Odido heeft haar klanten gewaarschuwd dat sinds vorig weekend duidelijk is geworden dat persoonsgegevens zijn gelekt waaronder naam, adres en het nummer van het ID-bewijs van de klant. De aanvallers hebben toegang verkregen door zich voor te doen als IT medewerkers en echte medewerkers van Odido over gehaald om wachtwoorden te overhandigen en bevestiging van authenticatie te verrichten. Met de informatie onttrokken uit Salesforce kunnen de aanvallers losgeld eisen van Odido, maar natuurlijk ook de klanten benaderen en zich onterecht voordoen als Odido.


4 februari 2026 - Gemeente Amsterdam wil afhankelijkheid van Amerikaanse tech verminderen
De gemeente Amsterdam wil de afhankelijkheid van Amerikaanse bedrijven de komende jaren verminderen, zo beschrijft de gemeente in de Meerjarenstrategie Digitale Autonomie 2026-2030. In 2035 moet de volledig digitale omgeving van de gemeente Amsterdam autonoom zijn waar nodig. Ook staat dan alle gevoelige data van Amsterdammers op Nederlandse of Europese cloudplatforms of on-premises.

In 2030 moet minimaal dertig procent van de cloudopslagdiensten en cloudapplicaties van Nederlandse of Europese leveranciers afkomstig zijn en draaien alle bedrijfskritische processen op Nederlandse of Europese cloudplatforms. De gemeente wil voor de belangrijkste digitale systemen tussen meerdere aanbieders kunnen wisselen, zodat het niet afhankelijk is van één dominante partij.

"Net als andere overheden is Amsterdam sterk afhankelijk geworden van een klein aantal grote, Amerikaanse technologiebedrijven. Dat is niet wenselijk, zeker niet nu de internationale verhoudingen regelmatig op scherp staan", zo laat de gemeente weten. Die stelt dat er door de afhankelijkheid van Amerikaanse techbedrijven verschillende risico's zijn, onder andere voor de continuïteit, veiligheid en keuzevrijheid. Amsterdam wil uiteindelijk weerbaar tegen deze risico's zijn. "Onze dienstverlening moet continue gegarandeerd zijn, met keuzevrijheid in al onze digitale keuzes, en onze data en processen is veilig afgeschermd van externe invloeden." Een goed voorbeeld van risico's op termijn te reduceren om diensten aan burgers in de toekomst te kunnen blijven verantwoorden en te continueren.

De afgelopen jaren zette de gemeente vooral in op alles-in-een oplossingen van met name Microsoft. De gemeentelijke organisatie moet nu in relatief korte tijd geschikt gemaakt worden voor een meer autonome inrichting. "Dat vraagt forse, doch vaak onzichtbare, inspanning", aldus de gemeente. Die zal onder andere gaan zoeken naar alternatieven voor Outlook, Word, Excel, Teams, OneDrive en SharePoint. "Door de dominantie van Microsoft (zowel thuis als op verreweg de meeste kantoor omgevingen) is het voor veel mensen moeilijk voor te stellen, maar al deze functies kunnen ook door andere leveranciers geleverd worden."


4 februari 2026 - IND zoekt in 2026 alternatief voor Zivver 

De Nederlandse Immigratie- en Naturalisatiedienst (IND) wil stoppen met het gebruik van Zivver voor e-mail op basis van de Veilig Mailen-standaard.
Volgens de IND is het na de recente overname van Zivver door een Amerikaanse partij niet uit te sluiten dat gegevens in handen komen van de VS. Het van oorsprong Nederlandse Zivver werd vorig jaar overgenomen door het Amerikaanse Kiteworks.

Volgens het persbericht is het de bedoeling dat de overheidsinstantie dit jaar nog overstapt. De IND is nog op zoek naar een 'goed werkend alternatief'. Totdat dat is gevonden, blijft de IND nog gebruikmaken van Zivver.


3 februari 2026 - Ontwikkeling met AI biedt grote kansen 
Op de beurs is zichtbaar dat koersen van software bedrijven sinds kort dalend zijn. Beleggers zien dat de Claude Code geschreven door Anthropic behoorlijke resultaten oplevert. Op dit moment zijn 4% van commits in GitHub door Claude Code geschreven. Claude Code is nog maar net live sinds start van het jaar en begint in een heel rap tempo toe te nemen. Het biedt enorme kansen voor business drivers en processen om voordelen te realiseren.

Tegelijkertijd is ook te zien dat AI binnen tien minuten krachtig misbruik kan maken van onjuist opgeslagen inlog accounts, om met deze credentials na lateral movement rechten te verhogen en een AWS omgeving geheel over te nemen. (Het was binnen achter minuten; bron Sysdig's Threat Research Team).

Terug naar de kansen: kijk gerust de aflevering terug van Eva Jinek met Alexander Klöpping van 3 februari en zie de inzet van AI bij Starbucks bij o.a. in de drive thru bij het aannemen van klantorders.


31 januari 2026 - Betrokkenheid bij afstudeeropdracht naar dilemma's tussen innovatie versus compliance
Recentelijk is Encore Risk & Assurance gevraagd om deel te nemen binnen een referentiegroep met vragen naar dilemma afweging van directies tussen enerzijds innovatie en anderzijds voldoen aan wet- en regelgeving. Het onderzoek wordt uitgevoerd door een relatie die afstudeert aan de IT Auditing opleiding aan de Vrije Universiteit. In een tijd van disruptie en nieuwe initiatieven maar ook behoefte aan guard rails is dit een actuele vraag. Wanneer de resultaten bekend zijn, vindt terugkoppeling plaats ook via deze website. 


20 januari 2026 - EU overweegt supply chains op te schonen door high-risk leveranciers te weren uit kritieke sectoren - Cybersecurity Act 2.0 bouwt voort op NIS2

De Europese Commissie heeft vandaag het voorstel voor de Cybersecurity Act 2.0 gepresenteerd. Dit wetgevingspakket moet de cybersecurity binnen de Europese Unie naar een hoger niveau tillen en de digitale weerbaarheid van lidstaten, bedrijven en burgers verbeteren. Met deze wetgeving reageert Europa op het groeiende aantal cyberdreigingen en de toenemende complexiteit van digitale aanvallen.

De afgelopen jaren is de EU geconfronteerd met een explosieve toename van cyberaanvallen, van ransomware-aanvallen op ziekenhuizen tot grootschalige datalekken bij overheidsinstanties. De bestaande wetgeving bleek onvoldoende om moderne dreigingen adequaat te adresseren. De Cybersecurity Act 2.0 bouwt voort op initiatieven zoals de NIS2-richtlijn en introduceert strengere vereisten voor publieke en private organisaties. De wetgeving erkent dat digitale infrastructuur even kritiek is als fysieke infrastructuur en daarom vergelijkbare bescherming verdient.

Welke concrete maatregelen bevat de nieuwe wetgeving?

Het pakket omvat verschillende componenten voor een robuuster cybersecuritylandschap. Een kernonderdeel is de verplichte certificering van cybersecurityproducten en -diensten binnen de EU.
Bedrijven die security-software, netwerkapparatuur of cloud-diensten leveren, moeten aantonen dat hun producten voldoen aan strikte Europese beveiligingsnormen.
De meldingsverplichtingen voor cyberincidenten worden aangescherpt met kortere rapportagetermijnen.
De EU richt een Europees Cybersecurity Incident Response Fund op voor financiële steun aan lidstaten bij grootschalige cyberaanvallen.
Daarnaast worden verplichte cybersecurity-audits ingevoerd voor kritieke sectoren zoals energie, transport, gezondheidszorg en financiële dienstverlening.

Voor Nederlandse organisaties verscherpen compliance-eisen substantieel. Bedrijven moeten hun ontwikkelprocessen aanpassen om te voldoen aan certificeringseisen, wat investeringen vergt in security-by-design principes waarbij beveiliging vanaf het begin wordt geïntegreerd.

Welke rol speelt kunstmatige intelligentie in de wetgeving?

De Cybersecurity Act 2.0 besteedt specifieke aandacht aan AI-gestuurde bedreigingen en AI-gebaseerde verdedigingsmechanismen. Bedrijven die AI-systemen voor beveiligingsdoeleinden ontwikkelen, moeten transparantie bieden over hun algoritmes en datagebruik. Dit voorkomt dat AI-systemen onbedoeld kwetsbaarheden introduceren.
De parallel met recente ontwikkelingen is duidelijk: onderzoek toont aan dat generatieve AI een drijvende kracht is achter fraude en impersonatie wat noodzaak van strikte regelgeving rond AI-beveiliging onderstreept.

Wanneer moeten organisaties aan de nieuwe eisen voldoen?

De Cybersecurity Act 2.0 kent een gefaseerde implementatie. De basiseisen treden naar verwachting in 2026 in werking, waarna organisaties een overgangsperiode van 18 tot 24 maanden krijgen. Kritieke infrastructuuroperators krijgen een kortere overgangsperiode. Lidstaten moeten de wetgeving omzetten in nationale regelgeving. Nederland zal waarschijnlijk bestaande wetgeving zoals de Cybersecuritywet aanpassen. 

Bedrijven wordt geadviseerd nu al te beginnen met het in kaart brengen van hun beveiligingspositie en het identificeren van compliance-gaps. De introductie van de Cybersecurity Act 2.0 markeert een belangrijk keerpunt in de Europese aanpak van digitale veiligheid. Organisaties die proactief aan de slag gaan met compliance-voorbereiding, zullen niet alleen juridische risico’s vermijden maar ook hun daadwerkelijke beveiligingspositie verbeteren.

Lees meer op: https://ec.europa.eu/commission/presscorner/detail/en/ip_26_105


31 december 2025 - Terugblik over 2025
Dit jaar was een bewogen jaar waarin DORA van kracht werd, de Cyberbeveiligingswet nog niet werd aangenomen maar er echt aan komt, en een jaar waarin door organisaties hard is gewerkt om de implementatie verder vorm te geven danwel af te ronden voor DORA of NIS2/Cbw. Daarnaast blijven stappen nodig - voor de meeste organisaties - om aantoonbaar te voldoen aan risico's en wet- en regelgeving rondom Artificial Intelligence, de Data verordening en de Cyber Resilience Act die in 2026 van kracht worden/zijn. E.e.a. wordt natuurlijk gestimuleerd door de geopolitieke ontwikkelingen en de lat die hoger wordt gelegd om doelstellingen blijvend te kunnen realiseren in de toekomst. 

Met nieuw buitenland beleid van de VS en met name de opstelling richting Europa, zijn sommige vragen relevanter geworden dan voorheen. Is de afhankelijkheid van technologie van de Big tech in de VS te hoog voor sommige organisaties en hoe wordt omgegaan met deze risico's? Zo is bijvoorbeeld in februari 2025 een hooggeplaatst persoon werkzaam bij het Internationaal Strafhof afgesloten geweest van zijn mailbox door Microsoft na sancties door de VS. Inmiddels is door het Internationaal Strafhof een migratie in gang gezet naar werkplekken van het Europese Open Desk. De CLOUD act van de VS, waarin de overheid toegang kan krijgen tot gegevens van andere landen bij cloud providers was al een dilemma vanuit privacy oogpunt. De afhankelijkheid en het wegvallen van de vanzelfsprekendheid van de VS als partner voor Europese landen en bedrijven geeft extra vragen. Het is niet de rol van ERA om een oordeel te hebben over politiek beleid, maar aan de andere kant is een Risico Analyse en Scenario Planning op zijn plaats om impact in te schatten en mogelijk hier opvolging aan te geven.

Als coalities veranderen, geeft dit ook vragen voor Third Party Risk Management, IT concentratie risico's op directe en indirecte wijze, geo redundantie (leveranciers, subcontractors en landen) en dus weerbaarheid.

Oftewel, waarschijnlijk voldoende input voor het jaarplan 2026. 


8 oktober 2025 - Encore Risk & Assurance verzorgt gastcollege op Nyenrode 
Na de start van ERA begin 2024 wordt met veel drive voor opdrachtgevers gewerkt, worden ontwikkelingen bijgehouden en oplossingen bedacht. Maar daarnaast is een nieuwe stap gemaakt, in duo vorm wel te verstaan. Op 8 oktober hebben Willem Vliem en ondergetekende vanuit ERA een dagdeel mogen spreken over IT Risico Management binnen de Leergang Financieel Leiderschap van Finance Academy i.s.m. Nyenrode Business Universiteit.

In de prettige omgeving van Nyenrode in Breukelen - een prachtige locatie - hebben wij een groep van 25 personen meegenomen in Risico Management, IT Continuïteit en Cyberweerbaarheid en de nadruk gelegd op attentiepunten om in de gaten te houden in hun praktijk. Met als resultaat goede discussies over Continuiteit, informatiebehoeften van directie en RvC / RvT, AI ontwikkelingen, quantum computing etc. 

Na dit succes in oktober, staan voor 2026 nieuwe colleges op de rol binnen deze leergang wat een mooi visitekaartje is rondom expertise als ook het in staat zijn dat op een heldere wijze uit te kunnen dragen. 

Foto: Encore Risk & Assurance

1 oktober 2025 - NIS2 control framework beschikbaar gesteld
Vanuit een initiatief van NOREA is een praktisch control framework beschikbaar gesteld om aan de NIS2 eisen te voldoen. De ontwikkeling  van dit control framework heeft plaatsgevonden in samenwerking met NOREA en de Auditdienst Rijk. 

Dit raamwerk kan gezien worden als een positieve ontwikkeling en goede opzet, waarbij het vooral van belang is om risk based invulling te geven aan NIS2 (de Cyberbeveiligingswet) en daarom proportionaliteit terug te laten komen in de precieze implementatie. Het control framework is een goede basis voor een proportionele implementatie.

https://www.norea.nl/nieuws/norea-lanceert-in-samenwerking-met-de-auditdienst-rijk-nis2


12 september 2025 - De Data verordening (Data Act, 2023/2854) is van kracht geworden
De Dataverordening geldt voor fabrikanten en aanbieders van verbonden producten en diensten, gebruikers (bedrijven en consumenten), cloudaanbieders (SaaS, PaaS, IaaS etc.) en overheidsinstanties. Vanaf deze maand is deze verordening van kracht geworden. De EU wil hiermee de 'data economie' versterken.

Er zijn 5 focus punten in deze verordening:

1. Meer controle voor gebruikers van slimme apparaten.
Personen of bedrijven krijgen toegang tot hun data en kunnen deze data kosteloos met derden delen. Dit draagt bij aan een langere levensduur van apparaten.
Als 'data houder' is het nodig om data te delen met derden als dit 'fair' is, 'reasonable' en 'non discriminatory'.
2. Bescherming tegen oneerlijke contractvoorwaarden.
De Data Act verbiedt expliciet om oneerlijke contractuele bedingen tussen partijen vast te leggen. Een grote aanbieder en een kleine klant verdienen beiden een eerlijk contract.
3. Overheidsinstellingen krijgen toegang in noodsituaties
In uitzonderlijke situaties kan de overheid toegang krijgen tot data.
4. Makkelijker wisselen tussen clouddiensten
De Data verordening verplicht aanbieders om interoperabiliteit te waarborgen en overstappen eenvoudiger en goedkoper te maken. Vanaf 2027 mogen providers zelfs geen kosten meer aanrekenen voor het overzetten van data.
5. Strikte regels tegen ongeoorloofde buitenlandse toegang
Niet-persoonsgebonden data die binnen de EU worden opgeslagen, zijn beter beschermd tegen onrechtmatige toegang door derde landen. Zo wordt de digitale soevereiniteit van Europa versterkt.

Een organisatie kan hier succes mee boeken door overeenkomsten en Algemene Inkoop Voorwaarden aan te passen, duidelijkheid te bieden aan klanten welke data wordt verzameld en hoe een klant hier toegang tot kan krijgen, processen en systemen aan te passen en strategieën te maken voor 'interoperabele' systemen. 

2 augustus 2025 - De volgende fase van de AI Act is van kracht geworden
* 1 augustus 2024 - de AI Act is van kracht geworden. 
* 2 februari 2025 - AI geletterdheid onder personeel is een belangrijk element. Verboden AI systemen die fundamentele waarden van de EU raken, mogen wettelijk gezien niet langer worden gebruikt.
* 2 augustus 2025 - regels zijn van kracht voor General Purpose AI modellen en toezicht houden op de AI Act.

Tip: kijk niet alleen naar de classificatie van een AI model, maar ook naar de rol van de eigen organisatie per AI model. En zorg ook dat de basis op orde is.

25 juli 2025 - Na de AI verordening van vorig jaar is America's AI Action Plan bekend gemaakt
In de EU is vorig jaar de AI verordening tot stand gekomen. Dit betekent dat tussen februari 2025 en 2 augustus 2027 stapsgewijs de AI verordening van kracht wordt in Nederland (direct zonder in de Nederlandse wet aan te nemen). Belangrijke elementen in de AI verordening zijn, geclustered naar key attentiepunten (verkorte weergave van een implementatiedocument van ERA):

A. Randvoorwaarden
- Definieer wat een AI model is binnen een organisatie.
- Governance: taken, rollen en verantwoordelijkheden. 
- Awareness en training.

B. Risk based aanpak
- Beleid, classificeren van AI-modellen en rol van de organisatie (onaanvaardbaar, hoog, beperkt en minimaal risico) en standaarden.

C. Lifecycle.
- Implementeer privacy en security by design. Voer periodiek een risico analyse uit. Werk met multi-disciplinaire teams en houdt doorlopend oversight (logging en monitoring).

D. Scenario's

E. Integratie met het Control Framework, KRI's en In Control Statements
- Formaliseer beheersing in het risico control raamwerk en voer validaties en audits uit.

Het is aan te raden om AI in een organisatie te beoordelen vanuit de verschillende functies die al bestaan (privacy officer, risk manager, FZ, security) en ervaring op te bouwen. Door duidelijkheid te geven welke AI wel is toegestaan en welke niet, kan veilig gebruik plaatsvinden zonder dat vertrouwelijke data gebruikt wordt in het trainen van modellen buiten zicht van de organisatie.

America's AI Action Plan

In Amerika zijn verschillende AI standaarden al van kracht per staat. Op 23 juli is het America's AI Action Plan (AAAP) gepubliceerd door het Witte huis wat vanuit de Federale overheid uniformiteit en snelheid moet bevorderen om AI verder te stimuleren en barrières weg te nemen. Wat opvalt aan dit plan is het volgende:

* De AI race moet door Amerika gewonnen worden en vandaar deze aanzet tot actie als ecosysteem, aldus dit AAAP.

* Pijler 1 verwijst naar het AI Framework wat aangepast zal worden om verwijzingen naar inclusie en duurzaamheid te verwijderen. In Amerika zal een 'try first' cultuur gestimuleerd worden om meer met AI te doen, ondanks bijv. een lage appetite voor het onbekende en een gebrek aan governance en risico mitigatie standaarden in sectoren zoals de Amerikaanse zorg. De kennis over AI zal gestimuleerd worden (empowerment, banen en belastingvoordelen op opleidingen) en investeringen zijn nodig om op basis van open source next gen technologie te ontwikkelen zoals autonome drones, auto's en robotics.

* In pijler 2 wordt focus gelegd op een AI infrastructuur met veel meer energie, data centers en capaciteit voor AI incident response. 

* In pijler 3 wordt geschetst dat AI export mogelijk is van de gehele AI stack naar bondgenoten die aansluiten bij dit Action Plan. Zonder het betrekken van bondgenoten worden deze rivalen, stelt het AAAP. Voorlopers van AI modellen moeten worden ingeschat op 'national security' risico's voor America omdat niet-partner landen soortgelijke modellen gaan ontwikkelen (security vulnerabilities en biosecurity voor kritieke infrastructuur, de maatschappij en economie).

https://whitehouse.gov/wp-content/uploads/2025/07/Americas-AI-Action-Plan.pdf

Al met al een interessante ontwikkeling met de vraag hoe dit verder uit gaat pakken. Amerika lijkt af te stappen van voorzichtigheid en reguleren naar een race winnen op beslissende (decisive) wijze. Het geeft veel vragen o.a. hoe organisaties en toezichthouders in de EU hier verder op acteren. Niet alleen interessant voor cross-border organisaties, maar ook Nederlandse organisaties die lokaal opereren. Velen hebben te maken met directe en indirecte relaties met Amerikaanse bedrijven via de uitbestedingsketen.

Vanuit het eerder aangehaalde raamwerk worden vraagstukken behandeld om als organisatie goede AI stappen te maken, en daarbij principes zoals transparantie, uitlegbaarheid en fairness hoog te houden.


8 juni 2025 - Nieuw tijdspad verwacht voor de Cyberbeveiligingswet (NIS2)
De Cyberbeveiligingswet is op 2 juni naar de Tweede Kamer gestuurd. Deze wet implementeert NIS2 binnen Nederland, waar we als land achterlopen op Europa, omdat het de bedoeling was dat op 17 oktober 2024 NIS2 in de wetgeving van iedere EU lidstaat geïmplementeerd zou zijn.

Door de val van het kabinet Schoof op 3 juni kan de Cyberbeveiligingswet eigenlijk niet meer goed behandeld worden door de Tweede Kamer. De Tweede Kamer zal eerst moeten bepalen welke wetten behandeld kunnen worden en welke controversieel zijn. En op 4 juli start het zomerreces.

Het meest realistische tijdspad is dat behandeling plaatsvindt na het zomerreces, dus na 1 september. Behandeling wordt vervolgens enigszins opgehouden door de verkiezingen omdat dan een verkiezingsreces van een maand in zal gaan. En in de maanden daarna kan behandeling doorgaan. 

Bij elkaar opgeteld leidt dit tot een verwachting dat de cyberbeveiligingswet in de eerste helft van 2026 van kracht wordt, of zelfs later in 2026. 

Het advies blijft om door te gaan met implementatie (aanscherpingen), gezien het dreigingsbeeld voor organisaties in deze sectoren. En juist een veilige / weerbare organisatie kan straks aantonen compliant te zijn aan wet- en regelgeving. 


4 april 2025 - Kent u deze al? Een DORA incident wel of niet moeten melden bij de toezichthouder?
Incidenten onder DORA die majeur zijn worden gemeld aan de toezichthouder. Om te bepalen of een incident meldenswaardig is, is een classificatieschema ontwikkeld door NOREA. 

Dit schema is gebaseerd op criteria uit DORA. Klik hier voor dit praktische incident classificatie schema.
Het schema geldt voor alle financiële instellingen onder DORA, voor zowel toezicht vanuit DNB en de AFM.

https://www.norea.nl/dora/dora-incident-classification-tool


31 maart 2025 - De technische standaard voor DORA over subcontracting van ICT is aangenomen en gepubliceerd.
De aanpassing in deze RTS subcontracting is gedaan waarmee deze in lijn is gebracht met DORA level 1. De belangrijkste aanpassing is het laten vervallen van artikel 5, waarmee eerder als eis werd gesteld dat inzicht werd verkregen in alle onderaannemers van de financiële instelling. 

Andere aanpassingen in deze RTS zijn veelal tekstueel en geen inhoudelijke aanpassing.


17 januari 2025 (updated 31 januari 2025) - DORA is live gegaan 

De Digital Operational Resilience Act (DORA) is vanaf vandaag van kracht voor financiële instellingen en het toezicht hierop vanuit De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM). DORA is op 16 januari 2023 in werking getreden, maar er liep een toegestane implementatietermijn van 2 jaar.

DORA is een Act, oftewel een verordening, hetgeen betekent dat deze een direct ingaande werking heeft voor alle Europese lidstaten. Naast de level 1 verordening (2022/2554) zijn op level 2 diverse RTS-en en ITS-en beschikbaar gekomen. De meeste van deze documenten zijn goedgekeurd en gepubliceerd. 

De RTS ten aanzien van onderuitbesteding is op dit moment afgekeurd door de Europese Commissie. De Europese toezichthouders (EBA, EIOPA en ESMA) hebben het besluit tot afkeuren van deze RTS door de Europese Commissie geaccepteerd. Een nieuw exemplaar van deze RTS zal worden opgesteld en aangeboden voor goedkeuring. Dit betekent dat op dit moment nog niet honderd procent helder is wat de eisen worden ten aanzien van onderuitbestedingen in de pijler third party risk management. 

DORA bestaat uit vijf pijlers. Een organisatie die DORA implementeert en risicogebaseerd haar eigen weerbaarheid centraal stelt, wordt juist compliant voor deze wetgeving. Het is van belang om te voldoen aan deze wet, omdat de dienstverlening aan klanten dan voldoende veilig is georganiseerd en de organisatie  voldoende weerbaar is om te herstellen van cyberaanvallen en andere disrupties.

Vakprofessionals gaan tegenwoordig uit van 'assume breach'. Het is niet de vraag of een organisatie aangevallen gaat worden, maar wanneer. Op welke wijze vindt voldoende snel een gecontroleerd herstel plaats. En kan aangetoond worden onder diverse scenario's dat dit werkt voor het moment dat het nodig is.

Implementatie krijgt voor de meeste financiële instellingen nog verder zijn beslag, veelal via een roadmap om stap voor stap weerbaar te worden.


9 november 2024 - NOREA en ISACA publiceren DORA control framework

Vanuit een werkgroep van NOREA, de Nederlandse orde van register IT auditors, is een DORA control framework beschikbaar gesteld. Het framework beslaat alle requirements uit de DORA wet en bevat 95 controls. Op 6 november is het DORA control framework gepresenteerd door de NOREA taskforce DORA.

Door deze controls uit het framework te mappen aan eigen beheersmaatregelen, wordt duidelijk waar nog aanscherping of aanvulling nodig is op het eigen control framework. 

De download is gratis van professionals voor belanghebbenden en geïnteresseerden. Deze is hier te vinden. 

https://www.norea.nl/dora

Uiteraard kan Encore Risk & Assurance u bij het hanteren van dit framework van helpend advies voorzien. 

Bijgaand enkele foto's van het ISACA Purple Ocean congres in Spant! in Bussum, met onder andere Dwayne Valkenburg (vz ISACA NL), Dimitri van Zantvliet (NS) en Sandeep Gangaram Panday (Schuberg Philis, NOREA taskforce DORA).

  • ISACA2024-1
  • ISACA2024-2
  • ISACA2024-3
  • ISACA2024-4
  • ISACA2024-5



21 oktober 2024 - Implementatie van NIS2 in Nederland loopt vertraging op tot medio 2025

NIS2 is een 'directive', oftewel een richtlijn vanuit Europa. Dit betekent dat ieder land zelf de implementatie organiseert in wetgeving. De NIS2 richtlijn is op 16 januari 2023 in werking getreden voor de Europese lidstaten. Sindsdien loopt er een implementatietermijn, die Nederland en de andere lidstaten 21 maanden de tijd geeft, om de richtlijn om te zetten naar nationale wetgeving. Dat betekent dat de nationale NIS2-implementatiewet, de Cyberbeveiligingswet, eigenlijk op 17 oktober 2024 in werking had moeten treden. Het implementeren van NIS2-richtlijn kost echter meer tijd dan verwacht, waardoor de deadline niet wordt gehaald.

Het nodige wordt gedaan om het implementatieproces vlot te laten verlopen. De Cyberbeveiligingswet zal naar verwachting medio 2025 in werking treden.

NIS2 (oftewel de concept cyberbeveiligingswet) bestaat uit 10 belangrijke elementen die geadresseerd moeten worden om weerbaar te zijn. Dit is redelijk vergelijkbaar met DORA.
Waar NIS2 een algemene wet is voor kritieke sectoren, is DORA een lex specialis speciaal gericht op financiële instellingen zoals banken, (her)verzekeraars, tussenpersonen en pensioenfondsen. In gevallen dat DORA en NIS2 beiden van kracht zijn, prevaleert DORA voor een financiële instelling.

NIS2 is een afkorting van de Network and Information Security 2-richtlijn. NIS2 is de opvolger van de eerste NIS1-richtlijn. In Nederland staat NIS1 ook wel bekend als de NIB richtlijn (netwerk- en informatiebeveiliging). NIB was in Nederland in 2016 geïmplementeerd  in de Wet beveiliging netwerk- en informatiesystemen (Wbni).