• Facebook
  • Twitter
  • LinkedIn
  • YouTube
Nieuwsbrief
Contact
55344

De NIS2-roadmap van Frankrijk: waarom ReCyF 2.5 een ENISA NCAF 2.0 maturiteitslaag nodig heeft

“Alle schilden naar voren… terwijl de achterdeur brandt”

De aanval begon niet gericht op de kritieke infrastructuur van Frankrijk. Hackers hebben ook lessons learned vergadering en een hack improvement lifecycle. Als cowboys binnen stormen of hebberige digitale dieven doen ze niet meer.

De tegenstander, een statelijke hacker-natie, had zijn werk gedaan. Ze wisten precies welke organisaties zich voorbereidden op NIS2, wie een CyberSOC had draaien, wie zijn logging op orde had, en waar de incident response draaiboeken klaar lagen. Ze zagen de investeringen, de frameworks, de complianceprogramma’s, de audits. Ze zagen de verdedigingslinie… en besloten die volledig te negeren.

Hun aandacht ging naar iets anders. Iets dat veel minder zichtbaar is, maar veel fundamenteler. Niet de systemen zelf. Niet de datacenters. Niet de firewalls. Maar de verbindingen ertussen.

De API’s. De leveranciers. De digitale bloedvaten die organisaties met elkaar verbinden en waarop het hele ecosysteem draait. Daar, in die onzichtbare laag, vonden ze wat ze zochten. Want daar kijkt bijna niemand echt. “NIS2 beveiligde de voordeur. De aanvaller kwam binnen via de dienstingang van de leverancier.”

Het begon klein. Zo klein dat niemand het zag aankomen. Een logistieke KMO, een bedrijf zonder naam voor het grote publiek. Geen SOC, geen geavanceerde monitoring, geen continue controle. Gewoon een organisatie die probeerde efficiënt te werken en te overleven in een digitale keten.

Ze hadden een API-koppeling. Niets bijzonders. Gewoon een integratie zoals duizenden anderen. Maar in die koppeling zat alles wat een aanvaller nodig heeft. Een sleutel die nooit veranderde. Geen echte authenticatie. Geen logging. Geen zichtbaarheid. Er moest niets gebroken worden. De aanvaller gebruikte gewoon wat er al was.

Wat daarna gebeurde, leek niet op een klassieke aanval. Het verspreidde zich niet explosief, maar vloeide geruisloos door het systeem. Van de KMO naar een partner, van de partner naar een ERP-systeem, van daar naar de logistieke aansturing. Alles zag eruit zoals het hoorde. Alles leek legitiem. En precies dat maakte het zo gevaarlijk.

We hebben jarenlang systemen gebouwd om indringers tegen te houden. Om aanvallen te detecteren, om afwijkingen te zien. Maar dit was geen indringer. Dit was vertrouwde toegang die zich anders gedroeg.

En terwijl dit zich afspeelde in de keten, gebeurde er binnen organisaties iets anders. Iets stillers. Iets wat niet als risico werd gezien, maar als efficiëntie.

Medewerkers gebruikten AI-tools. Niet de goedgekeurde, niet de gecontroleerde, maar de handige. Ze laadden data op, analyseerden rapporten, automatiseerden processen. Ze deden hun werk beter, sneller, slimmer.

En met elke prompt, elke upload, elke dataset… verliet informatie de organisatie.

“Shadow AI is geen bedreiging omdat het kwaadaardig is. Het is een bedreiging omdat het onzichtbaar is.”

Tegelijkertijd lekte data weg, maar niet via hacks of inbraken. Het lekte via gemak. Via gedeelde mappen, cloudopslag, gekoppelde databronnen. Niemand had nog echt zicht op wat waar stond, wie eigenaar was, of wie toegang had.

De aanvaller hoefde niets te stelen. Hij verzamelde gewoon wat al publiek beschikbaar was. En dan is er nog een ongemakkelijke waarheid. Zelfs in landen die verder staan, waar frameworks bestaan, waar initiatieven zoals Cyfun basismaatregelen bieden, blijft één aspect achter.

Leveranciersbeveiliging. Die blijft nog altijd vrijwillig afhankelijk van de bekwaamheid van de EU SCRM analist die de bevraging doet. Beoordelingen zijn niet afdwingbaar. Software wordt zelden diepgaand getest tegen CRA- of OWASP-standaarden. De keten wordt vertrouwd… zonder dat vertrouwen echt in het belang van de risico’s van het bedrijf gemeten wordt.

Men spreekt van RISK honger, die moet dan wel in een bedorven digitale generatie misleid zijn door digitale obesitas.

“De zwakste schakel zit niet langer in je organisatie. Die zit in je afhankelijkheden.”

De aanvaller hebben geen haast. Zij observeren, ze begrijpen en synchroniseren. Ze wachten tot het bedrijf schaakmat staat en zelfs een digitale remise niet meer mogelijk is. Tijd beweegt maar in een richting en op een moment staan alle deuren open als bij een digitale opendeurdag.

De nation state hackers krijgen hun bevelen. Mission to launch , falen geen optie. Digitale bommen moeten de aanwezigheid maskeren en forensisch onderzoek tot een speld in een hooiberg maken of het zoeken naar leven in de melkweg. Het aftellen is gedaan…

De aanval wordt ingezet. Niet met een klap. Niet met een blackout. Niet met een zichtbaar incident. Maar met verstoring. Logistiek vertraagt.
Betalingen worden inconsistent. Industriële processen beginnen te schommelen. Data klopt niet meer. Frankrijk viel niet stil. Frankrijk raakt… uit synchronisatie.

En dat is veel gevaarlijker. Want wanneer systemen stoppen, reageer je. Maar wanneer systemen beginnen te twijfelen, wanneer data niet meer betrouwbaar is, wanneer processen net niet meer kloppen… dan ontstaat er iets anders. Onzekerheid.

“De krachtigste cyberaanval is niet degene die systemen breekt. Het is degene die het vertrouwen erin breekt.”

Laat ons duidelijk zijn. Frankrijk is niet onvoorbereid. ReCyF biedt een sterke basis. NIS2 is een enorme stap vooruit. De frontlinie is versterkt, gemonitord en gereguleerd. Maar dit verhaal gaat niet over de frontlinie.

Het gaat over de “achterkant , “The darks side of the digital Moon”.

Want cybersecurity is nog steeds grotendeels gericht op het beschermen van assets. Servers, netwerken, applicaties. Maar de echte strijd verschuift naar iets anders. Naar relaties.

Tussen systemen.
Tussen organisaties.
Tussen API’s.
Tussen data en identiteit.

En daar hebben we nog geen echte controle. Daar hebben we nog geen balans. En precies daar komt een andere benadering binnen. Geen nieuw controlekader, geen extra compliance laag, maar een fundamenteel andere manier van kijken. HarmonyQ ZT9.

Niet als oplossing op zich, maar als herstelsysteem voor balans. Het stelt een andere vraag. Niet of je beveiligd bent, maar of je ecosysteem betrouwbaar is. Of je dat vertrouwen kan meten, kan aantonen, kan sturen.

Het introduceert een universele cyberidentiteit, waardoor interacties over systemen heen traceerbaar worden zonder dat je de echte identiteit moet blootleggen. Het verbindt risico over lagen heen, van identiteit tot infrastructuur en verder tot de volledige supply chain. En het meet niet alleen risico, maar ook vertrouwen tegenover functioneren. Want een systeem kan perfect blijven draaien… terwijl het al aan het falen is.

“Je kan niet beveiligen wat je niet kan meten over vertrouwensgrenzen heen.” En dat is de essentie. De volgende grote cybercrisis in Europa zal geen ransomware-aanval zijn. Het zal geen spectaculaire hack zijn, geen zichtbare instorting. Het zal stil zijn. Verspreid. Gecoördineerd.

Het zal ontstaan in de supply chain, via API’s, via KMO’s, via afhankelijkheden die niemand echt in kaart heeft.

En wanneer het gebeurt… zal alles nog werken. Maar niets zal nog betrouwbaar zijn. Dus ja, hou de schilden omhoog. Investeer in NIS2. Versterk je SOC. Bouw je compliance uit. Maar stel jezelf één vraag. Wie bewaakt de achterkant?

Want als wij daar geen antwoord op hebben… dan heeft iemand anders het al gegeven.

Enisa geeft een blauwdruk voor de NIS2 keuring die draagt tot in de leveranciersborrdeling.

Rebellen hebben de plannen van de Nationstate Hackers gestolen en willen zich beschermen tegen deze digitale Deathstar, Hoe?

De tijd tikt… en de grootste vijand is niet de aanvaller — het is verloren tijd door een vals gevoel van veiligheid.

ReCyF 2.5 geeft organisaties in Frankrijk een schild. Het vertaalt NIS2 naar concrete maatregelen en helpt bedrijven om te beveiligen wat ze bezitten — hun systemen, hun processen, hun frontlinie.

Maar het nieuwe ENISA National Capabilities Assessment Framework 2.0 stelt een andere, moeilijkere vraag: Is het hele land klaar? Niet alleen bedrijven, maar het volledige ecosysteem — governance, samenwerking, supply chain, crisisrespons.
Je kan het hier raadplegen: https://www.enisa.europa.eu/publications/national-capabilities-assessment-framework-20

Artikelthese

Frankrijk zou ReCyF 2.5 moeten gebruiken als operationele baseline voor beveiligingsmaatregelen, maar ENISA NCAF 2.0 als nationale maturity- en roadmapscorekaart. ReCyF vertelt organisaties wat ze moeten implementeren; NCAF 2.0 vertelt Frankrijk of het nationale NIS2-ecosysteem voldoende volwassen is.

NCAF 2.0 is rechtstreeks afgestemd op NIS2 en is ontworpen om lidstaten te helpen hun nationale cybersecuritycapaciteiten te beoordelen, ontbrekende elementen in de nationale cyberbeveiligingsstrategie (NCSS) te identificeren, zich voor te bereiden op peer reviews en hun strategische en operationele maturiteit te verbeteren. Het raamwerk structureert de beoordeling in 20 doelstellingen, verdeeld over vier clusters: capaciteitsopbouw, samenwerking, governance en regelgevend/beleidskader.

De huidige context in Frankrijk is bijzonder relevant: ANSSI stelt dat NIS2 het regulatoire toepassingsgebied aanzienlijk uitbreidt en heeft ReCyF gepubliceerd als een praktisch referentiekader om toekomstige entiteiten te helpen voldoen aan de NIS2-beveiligingsdoelstellingen. ReCyF is momenteel standaard niet-bindend, maar kan wel gebruikt worden tijdens ANSSI-controles.

De NIS2-roadmap van Frankrijk: waarom ReCyF 2.5 een ENISA NCAF 2.0 maturiteitslaag nodig heeft

Vergelijking: ReCyF 2.5 vs NCAF 2.0

DimensieReCyF 2.5ENISA NCAF 2.0
HoofdrolCybersecuritybaseline op entiteitsniveauNationaal maturiteitskader voor capaciteiten
Beantwoorde vraag“Welke beveiligingsmaatregelen moeten organisaties implementeren?”“Is het Franse nationale cyber-ecosysteem volwassen, gecoördineerd en meetbaar?”
Beste toepassingNIS2-compliance, controles, technische en organisatorische maatregelenNationale roadmap, governance, peer review, maturiteitsopvolging
Relevantie voor FrankrijkOperationele referentie van ANSSI voor toekomstige NIS2-entiteitenBenchmark om de Franse NIS2-implementatie te toetsen aan EU-maturiteitsverwachtingen
Risico op lacunesKan verworden tot een checklistKan te strategisch blijven zonder koppeling aan ReCyF-bewijslast

SWOT-analyse voor Frankrijk

Sterktes:
Frankrijk beschikt over een sterke nationale cyberautoriteit, CERT-FR, een ANSSI-strategie 2025–2027 en ReCyF als praktische NIS2-referentie. De strategie van ANSSI focust expliciet op collectieve cyberweerbaarheid, expertise, Europese/internationale samenwerking en maatschappelijke impact.

Zwaktes:
De omzetting van NIS2 in Frankrijk is vertraagd. De Europese Commissie heeft op 7 mei 2025 een met redenen omkleed advies uitgebracht wegens het niet volledig notificeren van de implementatie. Sommige details rond bevoegde autoriteiten waren nog niet vastgesteld. Dit creëert onzekerheid voor organisaties.

Kansen:
ReCyF kan uitgroeien tot de Franse “gemeenschappelijke taal” voor KMO’s, belangrijke en essentiële entiteiten, leveranciers, auditors en toezichthouders. NCAF 2.0 kan dit vertalen naar een nationaal dashboard met maturiteit per sector, incidentrapportagebereidheid, supply chain maturiteit, governance en crisisbeheer.

Bedreigingen:
Het grootste risico is gefragmenteerde implementatie. Grote kritieke organisaties worden snel volwassen, terwijl KMO’s, leveranciers en lokale publieke entiteiten achterblijven. NCAF 2.0 wijst er specifiek op dat lidstaten moeite hebben met stakeholdercoördinatie, het meten van effectiviteit, het aanpassen van actieplannen en het vermijden van one-size-fits-all benaderingen.

Belangrijkste lacunes in de Franse NIS2-roadmap

Er is nood aan duidelijkheid rond governance, met name over bevoegde autoriteiten, escalatiepaden, sectorcoördinatie en toezichthoudende rollen. Daarnaast bestaat er een KMO-kloof: ReCyF moet vertaald worden naar vereenvoudigde en betaalbare implementatieprofielen.

Er is ook een bewijskloof: organisaties moeten weten hoe ze kunnen aantonen dat ze ReCyF correct implementeren tijdens ANSSI-controles. Op maturiteitsniveau ontbreekt een gelaagde benadering: er moeten NCAF-achtige maturiteitsniveaus komen in plaats van enkel een compliant/niet-compliant beoordeling. De supply chain blijft een zwakke schakel: ReCyF moet beter gekoppeld worden aan procurement, third-party risk management en kritieke leveranciersborging.

Ook incidentrapportering moet verder geoperationaliseerd worden, met duidelijke templates, tijdslijnen, feedbackloops en leerprocessen. Tot slot ontbreekt een metrieklaag: nationale KPI’s voor adoptie, cyberhygiëne, incidenttrends, responstijden en sectorale maturiteit moeten worden gepubliceerd.

Aanbevolen roadmap voor Frankrijk

In 2026 moet de focus liggen op het stabiliseren van ReCyF, het publiceren van sectorprofielen, het bevestigen van bevoegde autoriteiten, het openen van entiteitsregistratie en het definiëren van bewijslastverwachtingen.

In 2027 moet de overgang gemaakt worden van bewustmaking naar toezicht, met sectorale audits, maturiteit in incidentrapportering, leveranciersborging en ondersteuningsprogramma’s voor KMO’s.

In 2028 moet NCAF 2.0 gebruikt worden als nationale maturiteitsscorekaart voor NIS2, met scoring per cluster zoals governance, samenwerking, capaciteitsopbouw en regulatoir beleid.

Conclusie

Het succes van NIS2 in Frankrijk zal niet gemeten worden door het bestaan van ReCyF alleen, maar door de mate waarin ReCyF meetbaar, sectorspecifiek, auditbaar en continu verbeterd wordt via een nationaal maturiteitsmodel in lijn met NCAF 2.0.

NIS2 bouwt versterkte kastelen. Maar moderne aanvallen richten zich niet op het kasteel. Ze richten zich op het ecosysteem.

Waar ReCyF stopt

ReCyF biedt een sterke basis van controles, duidelijke beveiligingsverwachtingen en een goede afstemming met de doelstellingen van NIS2.

Maar het lost nog niet alles op. Vertrouwen tussen entiteiten blijft moeilijk te valideren. Governance van API-ecosystemen is beperkt. Realtime zekerheid over leveranciers ontbreekt. En identiteit over systemen heen blijft gefragmenteerd.

Het herstellen van balans – HarmonyQ ZT9

Hier is een nieuwe laag nodig. Geen extra controlekader. Maar een architectuur van vertrouwen. HarmonyQ ZT9 introduceert een gelaagd risicomodel met negen verticale lagen van identiteit tot ecosysteem, en eenentwintig domeinen inclusief financiële en leveranciersrisico’s, gecombineerd met CIAL- en vertrouwensscores.

Het brengt een Universele Cyber Identiteit, waardoor acties over systemen heen traceerbaar worden zonder echte identiteiten bloot te leggen, essentieel voor API-ecosystemen en SaaS-ketens.

Daarnaast meet het model vertrouwen tegenover functioneren, waarbij vertrouwen van stakeholders en bedrijfscontinuïteit in balans worden gebracht en fragiliteit zichtbaar wordt vóór falen optreedt.

Het dwingt organisaties om verder te kijken dan verklaarde compliance en evolueert naar meetbaar vertrouwen, met zicht op API’s, leveranciers, datastromen en externe diensten.

Kerninzicht

Je kan niet beveiligen wat je niet meet over vertrouwensgrenzen heen.

Belangrijke waarschuwing

De volgende grote cybercrisis in Europa zal geen ransomware-aanval zijn. Geen DDoS. Geen directe inbraak bij een kritieke operator.

Het zal een gecoördineerde test zijn om te zien in welke mate Europa het inzicht van Enisa en compliance experten begrepen heeft. We kunnen vandaag timmeren aan een Zero trust susteem dat desynchronisatie-aanvallen via de supply chain onmogelijk maakt. Gericht enterprise risk management en een echte risk honger gekruid met de zero trust mindset. Gedaan met zwakke API-governance, onbeheerde KMO’s en onzichtbare digitale afhankelijkheden. Bedrijven vecht voor uw toekomst.

Laat een reactie achter

Deel dit artikel

Aanbevolen artikels

Meer items

Blijf up to date met NIS2.news

Schrijf je in voor de nis2.news nieuwsbrief en mis nooit het laaste nieuws over NIS2