NIS2: Wat moet je als ondernemer weten?!
Geplaatst op: 19 maart 2026
De NIS2-richtlijn, die voortbouwt op de eerdere NIS1, vereist dat lidstaten deze wetgeving vandaag (17 oktober 2024) volledig hebben geïmplementeerd. Lidstaten hadden de periode tussen 16 januari 2023 en 17 oktober 2024 om de wetgeving om te zetten in meer specifieke regels en instructies om te voldoen aan de richtlijn. Opvallend is dat sommige landen en sectoren al vooruit hebben gelopen op deze veranderingen en zich al hebben aangepast. In dit artikel bespreken we drie belangrijke aandachtspunten voor directie en andere stakeholders binnen bedrijven, en we bespreken de primaire verplichtingen waar je vanaf vandaag(!) rekening mee moet houden.
Drie belangrijke punten van aandacht
Nu NIS2 van kracht is, zijn er drie essentiële kwesties om over na te denken. Deze gebruiken we ook vaak als voorbeeld wanneer bestuurders of eigenaren ons vragen: “NIS2, wat moet ik hiermee?”
Eigenaarschap: Neem het eigenaarschap over de richtlijnen en verwachtingen van de NIS2. Hiermee leer je écht te begrijpen wat er wordt verwacht, maar vóóral ook welke vrijheid jij hebt als ondernemer om creatief te blijven.
Afbakening: De richtlijnen doen het voorkomen alsof de hele organisatie moet voldoen aan NIS2. Hoewel dit natuurlijk geen kwaad kan, is dit niet per se het geval. In principe geeft de NIS2 aan dat de “Vitale ketens in jouw productieproces” moeten voldoen. Denk hierbij aan de onderdelen in jouw proces die, wanneer ze worden verstoord door kwaadwillenden, kunnen leiden tot maatschappelijke onrust, verstoring van de economie, sterfgevallen, run op banken of andere ‘rampen’ kunnen veroorzaken.
Je hoeft het wiel niet opnieuw uit te vinden. De NIS2 betekent niet dat jij helemaal opnieuw hoeft te starten. Waarschijnlijk heb je al een goede basis staan. Laat je dus niet verleiden door dure consultants of bangmaken door cybersecurity specialisten, maar kijk wat jij pragmatisch op kan lossen. Wat heb je al staan, en waar kan je verder op voortborduren.
NIS2 als drijvende kracht.
Voordat je overhaaste stappen zet, moet je nagaan of je bedrijf tot een essentiële of vitale sector behoort, of dat je een leverancier bent in deze keten. Bijvoorbeeld, organisaties betrokken bij de productie, verwerking en distributie van voedsel moeten voldoen aan NIS2. Dit geldt ook voor toeleveranciers en dienstverleners binnen deze keten. De richtlijn schrijft voor dat dergelijke bedrijven moeten voldoen aan specifieke zorgplichten en meldingsverplichtingen.
Consequenties van het niet naleven
Als je de NIS2-vereisten niet naleeft, kan de bevoegde autoriteit administratieve boetes opleggen of een bestuurlijke maatregel treffen om naleving af te dwingen. Zorgplicht houdt in dat je als organisatie de nodige voorbereidingen treft om NIS2 effectief te implementeren en onderhouden. Het is niet genoeg om alleen een Chief Information Security Officer (CISO) aan te stellen; er moet meer worden gedaan om succes te garanderen.
Zero Trust Strategieën
Artikel 89 van NIS2 bespreekt de implementatie van Zero Trust-principes. Dit betekent dat we technologie inzetten om impliciet vertrouwen dat zich door de jaren heen heeft opgebouwd, strikter te reguleren. Binnen deze strategie wordt elke toegangsaanvraag aan kritieke systemen begeleid door een extra verificatieproces. Biometrische verificatie is tegenwoordig een optie die deze processen voor gebruikers vergemakkelijkt en vereist is binnen NIS2. Dit klinkt allemaal heel lastig, maar in de praktijk is het vrij simpel te integreren. Mark of Pierre komen graag bij je langs om jou de mogelijkheden uit te leggen.
Conclusie
Bedrijven die proactief omgaan met informatiebeveiliging en cyberrisico’s, zullen NIS2 naleving kunnen inzetten als een Unique Selling Point (USP). Dit zal je helpen een stap voor te blijven op de concurrentie en door klanten te worden gezien als bedrijf dat waarde hecht aan kwaliteit, transparantie en eerlijkheid.
Actuele cyberaanvallen
Geplaatst op: 19 maart 2026
Dat cyber security geen ‘ver-van-je-bed-show’ hoeft te zijn, bewijst de lijst met actuele cyberaanvallen.
Via onderstaande link vind je de actuele lijst van recente cyberaanvallen, datalekken en andere dreigingen.
https://www.ccinfo.nl/menu-nieuws-trends/actuele-cyberaanvallen
Cyber security geen ‘ver-van-je-bed-show’ hoeft te zijn, bewijst de lijst met actuele cyberaanvallen.
Via onderstaande link vind je de actuele lijst van recente cyberaanvallen, datalekken en andere dreigingen.
https://www.ccinfo.nl/menu-nieuws-trends/actuele-cyberaanvallen
Aurelia Onderwijs versterkt cybersecurity met lokale expertise Q-Cyber
Geplaatst op: 19 maart 2026
Aurelia Onderwijs, de scholengroep met 5.500 leerlingen verspreid over tien locaties in Noord-Nederland, heeft Q-Cyber uit Emmen geselecteerd voor de versterking van haar cybersecurity. De samenwerking startte met een pilot bij Esdal College en wordt na de zomer hoogstwaarschijnlijk uitgebreid naar alle locaties.
De keuze voor Q-Cyber kwam voort uit de noodzaak om te voldoen aan het Normenkader Informatiebeveiliging en Privacy (IBP) voor het onderwijs. Dit normenkader verplicht onderwijsinstellingen onder meer tot het implementeren van adequate beveiligingsmaatregelen en het regelmatig testen van kwetsbaarheden in hun ICT-infrastructuur.
“We zochten een partner die niet alleen technische expertise heeft, maar ook begrijpt hoe onze organisatie werkt,” zegt Merijn Bos, Adviseur Privacy en gegevensbeheer bij Aurelia Onderwijs. “Q-Cyber combineert cybersecurity-kennis met lokale betrokkenheid. Dat maakt het verschil.”
Roel-Jan Kuipers, hoofd ICT bij Aurelia Onderwijs, benadrukt de toegevoegde waarde: “Door de expertise van Q-Cyber komen beleid en techniek eindelijk bij elkaar. Ze vertalen complexe beveiligingsvraagstukken naar concrete maatregelen die we daadwerkelijk kunnen implementeren.”
Praktijkgerichte aanpak
De pilot bij Esdal College in Emmen omvatte vier onderdelen: een analyse van de digitale footprint van de school, penetratietesten van het wifi-netwerk, scanning van de netwerkinfrastructuur en diepgaand onderzoek van kritieke systemen. Deze aanpak leverde concrete inzichten op in kwetsbaarheden en verbeterpunten.
Mark Kolk, directeur van Q-Cyber, benadrukt het belang van maatwerk: “Elke school heeft een unieke ICT-omgeving. Standaardoplossingen werken niet. We testen daadwerkelijk de systemen ter plekke en vertalen technische bevindingen naar praktische aanbevelingen.”
De penetratietests richtten zich specifiek op het wifi-netwerk, dat door duizenden leerlingen en docenten wordt gebruikt. “We hebben getest of het mogelijk was om via de draadloze verbinding toegang te krijgen tot interne systemen,” legt Kolk uit. “Dit type onderzoek is essentieel voor compliance met het IBP-normenkader.”
Compliance en continuïteit
Het Normenkader IBP verplicht onderwijsinstellingen tot het implementeren van norm 10 (kwetsbaarheden worden beheerst) en norm 11 (technische maatregelen beschermen systemen en data). De werkzaamheden van Q-Cyber dragen direct bij aan het voldoen aan deze eisen.
“De rapportages zijn helder en werkbaar”, aldus Bos. “We krijgen niet alleen een lijst met problemen, maar ook prioriteiten en concrete stappen voor verbetering. Dat helpt ons bij het nemen van beslissingen over ICT-investeringen.”
De samenwerking kenmerkt zich door korte lijnen en snelle respons. Q-Cyber’s vestiging in Emmen zorgt voor lokale beschikbaarheid, wat bijdraagt aan vertrouwen bij beveiligingsincidenten of urgente vragen.
Uitbreiding naar alle locaties
Na de succesvolle pilot plant Aurelia Onderwijs uitbreiding van de cybersecurity-assessment naar alle tien schoollocaties. De gefaseerde aanpak moet in het schooljaar 2025-2026 worden afgerond.
“We hebben bewezen dat onze methodiek werkt in de onderwijsomgeving,” zegt Kolk. “De combinatie van technische expertise en begrip voor de onderwijssector maakt ons een betrouwbare partner voor scholen in de regio.”
Voor Aurelia Onderwijs markeert de samenwerking een stap naar proactieve cybersecurity. “We gaan van reageren naar voorkomen,” concludeert Bos. “Met Q-Cyber hebben we een partner gevonden die ons helpt om digitaal veilig onderwijs te blijven bieden.”
Over Aurelia Onderwijs
Aurelia Onderwijs ontstond uit de fusie van RSG Ter Apel, De Nieuwe Veste en Esdal College. De scholengroep biedt onderwijs aan 5.500 leerlingen op tien locaties in Drenthe, Groningen en Overijssel, van praktijkonderwijs tot gymnasium.
Over Q-Cyber
Q-Cyber is een cybersecurity-specialist gevestigd in Emmen, gespecialiseerd in penetratietesten, kwetsbaarheidsonderzoek en continue compliance. Het bedrijf beschikt over certificeringen zoals Certified Ethical Hacker (CEH) en CISSO
Shai-Hulud Worm: Zelfs Cybersecurity Giants Zijn Kwetsbaar
Geplaatst op: 18 september 2025
Een nieuwe, geavanceerde cyberdreiging genaamd ‘Shai-Hulud’ heeft het npm-ecosysteem getroffen en toont aan dat zelfs de grootste spelers in cybersecurity kwetsbaar zijn. Deze zelfreplicerende worm heeft minstens 187 npm-packages gecompromitteerd, waaronder packages gekoppeld aan CrowdStrike, een van de meest vooraanstaande cybersecurity bedrijven ter wereld.
Wat is npm en Waarom is het Zo Gevaarlijk?
npm (Node Package Manager) is de grootste software registry ter wereld met meer dan 2 miljoen herbruikbare codepakketten. Ontwikkelaars gebruiken deze packages om hun software sneller te bouwen. Het probleem? npm voert automatisch ‘postinstall’ scripts uit wanneer een package wordt geïnstalleerd – zonder dat de ontwikkelaar dit doorheeft. Criminelen misbruiken dit door kwaadaardige code in deze scripts te verbergen.
Hoe Werkt de Shai-Hulud Worm?
De worm is een toonbeeld van moderne cybercriminaliteit. Zodra een geïnfecteerd package wordt geïnstalleerd, start het een geraffineerd aanvalsproces:
Credential Harvesting: De worm scant het systeem naar gevoelige informatie zoals GitHub tokens, npm credentials en cloud-toegangssleutels. Het gebruikt hiervoor de populaire security tool TruffleHog.
GitHub Exploitation: Met gestolen GitHub credentials injecteert de worm kwaadaardige GitHub Actions in alle toegankelijke repositories. Deze actions stelen secrets en exfiltreren data via webhooks. Nog erger: de worm maakt private repositories publiek door kopieën te maken met een ‘-migration’ achtervoegsel.
Zelfreplicatie: Het meest alarmerende aspect is de wormfunctionaliteit. Als npm-credentials worden gevonden, verspreidt de malware zichzelf automatisch naar alle packages die door de ontwikkelaar worden onderhouden. Het sorteert packages op populariteit om de impact te maximaliseren.
CrowdStrike: Grote Naam, Grote Kwetsbaarheid
De betrokkenheid van CrowdStrike bij deze aanval is een harde wake-up call. Packages gelinkt aan dit cybersecurity bedrijf werden gecompromitteerd, waardoor aanvallers indirect toegang kregen tot ontwikkelomgevingen van een bedrijf dat gespecialiseerd is in het voorkomen van dit soort aanvallen. Dit toont aan dat een grote naam of reputatie als security-expert geen garantie biedt voor veiligheid.
Sterker nog, grote leveranciers zijn juist aantrekkelijkere doelwitten. Het compromitteren van een bedrijf zoals CrowdStrike heeft een veel grotere impact en levert aanvallers toegang op tot een schat aan waardevolle informatie en systemen van hun klanten.
De Nieuwe Realiteit
De Shai-Hulud worm markeert een nieuw tijdperk van geautomatiseerde supply chain-aanvallen. Enkele cruciale lessen:
Zero Trust is Essentieel: Vertrouw geen enkele externe component, ongeacht de bron. Elke package moet worden beschouwd als een potentieel risico.
Automatisering is Tweesnijdend: De automatisering die ontwikkeling efficiënt maakt, wordt door aanvallers misbruikt. Postinstall scripts moeten met extreme voorzichtigheid worden behandeld.
Verdediging in de Diepte: Implementeer meerlaagse beveiliging: scan packages, monitor netwerkverkeer op verdachte verbindingen, beperk rechten van build-processen en roteer regelmatig credentials.
Conclusie
De aanval op het npm-ecosysteem is een duidelijke waarschuwing. Aanvallers worden slimmer en hun methoden geavanceerder. De software-industrie moet collectief actie ondernemen om de supply chain te beveiligen. Als we dat niet doen, zal de volgende worm nog destructiever zijn. De boodschap is helder: in een wereld waar software wordt geassembleerd uit honderden externe componenten, bevindt de zwakste schakel zich vaak buiten de muren van je eigen organisatie. Zelfs de grootste cybersecurity bedrijven zijn niet immuun.
Nu zowel blauw, als rood bij Q-Cyber
Geplaatst op: 7 februari 2025
Met de toevoeging van AdaHop Cyber Security breidt Q-Cyber de cybersecuritydiensten nog verder uit. Met het aantrekken van Kevin Zwaan heeft Q-Cyber nu een Red team ethical hacker erbij. Het “Red team” in cyber security functioneert als gesimuleerde aanvaller. Zij kijken waar de cyber security te kraken is en op welke wijze zij binnen kunnen komen. Dit gaat verder dan een ‘kijkje in de code’. De red-teamer doet dit op verschillende wijze:
Pentesten – proberen toegang te krijgen tot de systemen, netwerken of applicaties.
Social engineering – Het team probeert medewerkers van een bedrijf te misleiden en gevoelige informatie te laten delen of toegang te verschaffen, denk bijvoorbeeld ook aan phishing of vishing.
On-premise penetratie – Simpelweg kijken hoe makkelijk je op locatie van een bedrijf bij gegevens kan komen.
Het “Red team” legt dus potentiële veiligheidsrisico’s bloot bij bedrijven door zich in te leven in kwaadwillende. Het “Blue team” van Q-Cyber zorgt voor de verdediging van een bedrijf. Zij reageren op incidenten en monitoren en detecteren bijzonderheden. Samen met het red team kunnen zij dus een zo goed mogelijke verdediging neerzetten welke constant aangescherpt moet worden.
Met het aantrekken van Adahop Cyber Security verstevigt Q-Cyber de dienstverlening op het gebied van cyber security en kunnen zij alle facetten aanbieden voor een veilige en voorspelbare cyber omgeving.
Dat beaamt ook Pierre Kleine Schaars, mede-eigenaar van Q-Cyber: Met het integreren van Adahop hebben we het ontbrekende stukje binnen onze Q-Cyber strategie gevonden. Een ervaren hacker die zijn kennis ter beschikking wil stellen en op een ethische manier klanten wil én kan helpen is schaars. We zijn dan ook zeer blij dat het ons gelukt is, zodat we deze skill kunnen implementeren in onze virtual CISO-strategie. Kevin Zwaan, oprichter en eigenaar van AdaHop Cyber Security vult aan: Met het Q-Cyber team ben ik in staat om mijn red team kwaliteiten toe te voegen aan een team dat met hun holistische aanpak klanten op alle fronten kan helpen. Door de integratie met Q-Cyber en daarmee de schaalbaarheid, ben ik in staat om nóg meer klanten écht te helpen. Het DNA van mij match perfect met dat van Q-Cyber, het voelde echt als een warm bad.