Een structureel veilige IT-omgeving vereist doorlopende validatie

In het tweede kwartaal (Q2) van 2026 treedt de Cyberbeveiligingswet (Cbw) naar verwachting in werking. Als Nederlandse implementatie van de Europese NIS2-richtlijn stelt deze wet verplichtingen aan organisaties in de aangewezen essentiële en belangrijke sectoren (zie regelhulpenvoorbedrijven.nl/NIS-2-NL/). Belangrijke wijzigingen zijn de bestuurlijke aansprakelijkheid, een 24-uurs meldplicht voor incidenten, toezicht op de leveranciersketen en de verplichting om de bedrijfscontinuïteit (BCM) te borgen.

Met deze wet is cybersecurity niet slechts een IT-kwestie, maar een directe verantwoordelijkheid voor het bestuur. Het gaat niet langer alleen om de techniek, maar om de inrichting van de governance: het vastleggen van beleid, rollen en verantwoordelijkheden om risico’s te beheersen. Voor een bestuurder betekent dit dat cybersecurity integraal onderdeel wordt van de overkoepelende organisatiestrategie.

Voor de aangewezen organisaties betekent dit naleving van de zorgplicht en striktere borging van bedrijfscontinuïteit. Echter, de Cyberbeveiligingswet (Cbw) staat in de praktijk niet op zichzelf. Organisaties moeten voldoen aan een combinatie van wettelijke kaders, sectorspecifieke normen zoals ISO 27001, NEN 7510 (zorg) of de BIO (overheid), en eigen kwaliteitseisen aan een architectuur. Dit vraagt om een aanpak waarbij het geheel aan eisen en risico’s herleidbaar wordt vertaald naar een veilige en beschikbare IT-omgeving en beheersbare afspraken met een Managed Service Provider. Niet eenmalig, maar structureel.

Doorlopende validatie

Omstandigheden veranderen voortdurend, en daarmee ook de eisen en risico’s. Vaak worden security-architectuurkeuzes gemaakt bij de initiële inrichting van een IT-omgeving en blijven daarna ongewijzigd. Een IT-omgeving die aanvankelijk voldeed aan alle eisen, kan door nieuwe wetgeving – zoals de komende Cyberbeveiligingswet (Cbw) –, een gewijzigd dreigingsbeeld of bedrijfsprocessen die meer gevoelige gegevens verwerken, onvoldoende beschermd raken. De bestaande beheersmaatregelen zijn dan eenvoudigweg niet meer toereikend, met als mogelijk gevolg dat bedrijfscontinuïteit of patiëntveiligheid onbedoeld in het geding komt.

Om een IT-omgeving structureel veilig en weerbaar te houden, is doorlopende validatie noodzakelijk. Dit betekent dat de architectuur en afspraken periodiek worden getoetst aan actuele wet- en regelgeving, dreigingen en (primaire) bedrijfsprocessen. Om hierop grip te houden, staan drie principes centraal.

1. Ken uw IT-omgeving en de actuele risico’s

Het voorkomen van incidenten begint bij het begrijpen van wat er beschermd moet worden. Dit principe omvat het identificeren van alle assets, datastromen en de afhankelijkheden in de keten. In de context van de Cyberbeveiligingswet (Cbw) betekent dit bovendien dat u niet alleen verantwoordelijk bent voor uw eigen IT-omgeving, maar ook moet aantonen dat uw leveranciers hun zaken op orde hebben.

Door eisen, risico’s en bedrijfsprocessen systematisch opnieuw te beoordelen, blijven beheersmaatregelen afgestemd op de huidige situatie. Een jaarlijkse audit is hierbij niet voldoende; het vraagt om een aanpak waarbij de security-architectuur regelmatig wordt getoetst aan de risicobereidheid van de organisatie. Organisaties die dit regelmatig doen, zijn beter in staat de IT-omgeving weerbaar en flexibel te houden, zonder dat werkzaamheden die hieruit voortvloeien leiden tot omvangrijke projecten.

2. Stuur op wat er daadwerkelijk gebeurt

Naast preventieve maatregelen vraagt structurele veiligheid om doorlopend inzicht in het daadwerkelijke gedrag van de IT-omgeving. Dit betekent dat verkeersstromen, gebruikershandelingen en configuraties realtime worden gemonitord op afwijkingen ten opzichte van de beoogde situatie. Door ook kwetsbaarheden actief te monitoren, ontstaat een actueel en objectief beeld van de weerbaarheid. Dit betekent dat u niet stuurt op de vraag “zijn we veilig?”, maar op “zien we wat er gebeurt?”. Organisaties die realtime monitoring toepassen, signaleren sneller afwijkingen en verzamelen hiermee de nodige inzichten om proactief bij te sturen voordat een dreiging een incident wordt.

3. Focus op weerbaarheid en herstel

Omdat incidenten nooit volledig uit te sluiten zijn, richt het derde principe zich op het beperken van de gevolgen en een snel herstel. Dit vraagt om een architectuur die dynamisch reageert en automatisch ingrijpt om verdere verspreiding te voorkomen. De keten is pas compleet als er ook een bewezen strategie is voor herstel. Hoe snel kunnen kritieke bedrijfsprocessen weer worden opgestart na een calamiteit? Dit vereist niet alleen technische back-ups, maar ook geteste plannen voor bedrijfscontinuïteit die in lijn zijn met de (wettelijke) hersteltijden. Organisaties die toegang en rechten continu verifiëren en hun herstelprocessen periodiek testen, zien de impact op kritieke bedrijfsprocessen aanzienlijk verminderen.

Veiligheid als structureel proces

Structurele veiligheid vereist dat de regie op risico’s verder gaat dan het simpelweg beheren van systemen. De vraag is niet of uw IT-omgeving ooit veilig is opgeleverd, maar of de gemaakte keuzes in het verleden nog bestand zijn tegen de uitdagingen van vandaag. Wanneer heeft u voor het laatst getoetst of de gemaakte keuzes nog steeds aansluiten bij wat de huidige situatie nodig heeft?

Dit artikel is onderdeel van een reeks. Vanaf januari 2026 schrijf ik regelmatig over uitdagingen rondom regievoering over IT-omgevingen, waarbij ik vanuit alle fasen van de IT-lifecycle vraagstukken behandel.