• Facebook
  • Twitter
  • LinkedIn
  • YouTube
Nieuwsbrief
Contact
24278

De Virtualisatie-Afrekening – We worden met CRA eindelijk volwassen

Er waait een nieuwe wind door Europa’s digitale fundamenten — en het is geen zuchtje. Het is een storm. Met de introductie van de komende ETSI EN 304 635, de aanstaande geharmoniseerde norm onder de Cyber Resilience Act, worden alle bekende hypervisors, containers en orchestrators plots onderworpen aan een toetssteen die velen nooit zagen aankomen.

“This is not a revision. This is a reckoning.”

Voor technologiehoofden, solution architects en consultants die jaren gebouwd hebben op Microsoft Hyper-V, VMware ESXi/vSphere, KVM of containerplatformen zoals Kubernetes, Podman en Docker, voelt het alsof iemand de grondvesten van het datacenter heeft verschoven.
Niet een beetje verschoven — verplaatst.

“Virtualisatie was jarenlang de onzichtbare werkpaardlaag. Vanaf nu is ze de geteste, gecontroleerde en verantwoordelijke laag.”

Waarom dit anders is dan alle vorige compliance-golven

Deze norm verandert virtualisatie van een infrastructuurkeuze naar een regulatoir gecontroleerd product met verplichte security-assurance.
Waar hypervisors vroeger enkel “best practices” moesten volgen, krijgen ze nu:

  • verplichte side-channel mitigaties,
  • verplichte remote attestation,
  • verplichte secure defaults,
  • verplichte image signing,
  • verplichte supply-chain assurance,
  • verplichte isolation guarantees op SCL-niveau,
  • én een audit-trace die juridisch afdwingbaar wordt.

“Where we once spoke about ‘hardening guides’, Europe now demands cryptographically verified truth.”

Impact voor Microsoft- en VMware-consultancybedrijven

Als je je business bouwt op virtualisatie en cloudplatformen, dan raakt deze norm niet alleen je technologie — maar je dienstmodel, processen, offerteaanpak én complianceverantwoordelijkheid.

1. Technologie-Impact

  • Hyper-V mist momenteel de volledige remote attestation-eisen.
  • ESXi ondersteunt wel TPM-integratie, maar geen end-to-end runtime attestation.
  • VMware en Microsoft moeten alle clusters verplicht naar “secure-by-default” brengen.
  • Kubernetes moet strenger worden dan ooit (no more exposed API servers, no more anonymous access).

Consultants zullen:

  • migratiepaden moeten hertekenen,
  • “legacy unsecure modes” moeten uitfaseren,
  • default installaties grondig moeten veranderen,
  • nieuwe architecturale patronen moeten pushen,
  • klanten moeten begeleiden naar attestation-capable hardware.

“What was optional yesterday becomes illegal tomorrow.”

CRA Kruispunten met DORA & NIS2

Waarom is dit zo explosief voor regulated industries?

DORA (Financial Entities)

DORA vereist:

  • ICT risk management,
  • ICT security testing,
  • ICT third-party assurance,
  • ICT operational resilience,
  • én supply chain integrity.

Deze ETSI-norm introduceert exact dezelfde thema’s:

  • remote attestation = continuous integrity assurance
  • mandatory image signing = supply chain control
  • secure default hypervisor config = operational resilience
  • mandatory high-availability for certain SCL-levels

“Under DORA, you don’t just run a hypervisor. You must prove it’s trustworthy — continuously.”

DORA FE’s zullen geen virtualisatieplatformen meer mogen gebruiken die niet CRA-conform zijn onder deze norm.

NIS2 (Important & Essential Entities)

NIS2 verplicht:

  • strenge security controls,
  • governance & maatregelen,
  • supply chain assurance,
  • incident reporting,
  • risicogebaseerde beheersing.

Virtualisation platforms vormen de kern van:

  • OT/ICS clusters
  • telecom-infrastructuur
  • cloud workloads
  • productieclusters
  • zorg, energie, water, voeding, transport

ETSI EN 304 635 raakt al deze domeinen.

“For NIS2 entities, virtualization becomes a regulated dependency, not an IT choice.”

NIS2 Essential Company?
Je moet SCL 2 of SCL 3 eisen bij je leveranciers.

NIS2 Important?
Je moet aantoonbare CRA-conformiteit afdwingen in je SLA’s.

Tijdslijn van de impact (realistisch scenario)

MomentGebeurtenisGevolg
2025–2026ETSI-norm in OJEU gepubliceerdVERPLICHTE CRA-conformiteit begint
12–24 maanden na OJEU publicatieCRA implementatiefasehypervisors en container stacks moeten aantoonbaar conform zijn
2027Volledige handhaving CRA + NIS2 + DORAniet-conforme producten mogen niet op de markt gebracht worden
2028Audits, boetes, toezicht, product recallsconsultancybedrijven krijgen enorme compliance-vraag

Praktisch:

Microsoft, VMware, Proxmox, Kubernetes-distributies, Docker…
⬆ moeten in 2025–2026 hun producten aanpassen.

Jij als consultancybedrijf
⬆ krijgt tussen 2026–2028 een explosie in vragen voor:

  • migraties
  • hardening
  • compliance assessments
  • architecture redesigns
  • high-assurance SCL3-implementaties
  • supply chain security audits

“Virtualisatiebedrijven die dit omarmen krijgen een gouden decennium.
Wie wacht, krijgt een compliance-tsunami.”

Conclusie: de aardverschuiving is onvermijdelijk

De tijd dat virtualisatie een stille laag was onder applicaties is voorbij.
Hypervisors, containers, orchestrators en management stacks worden:

  • een gereguleerde technologie,
  • met auditable security-eisen,
  • die juridisch afdwingbaar zijn,
  • en rechtstreeks onderdeel van DORA en NIS2 assessments.

Consultancybedrijven in het Microsoft- of VMware-ecosysteem staan voor een historische kans:

**“The invisible becomes visible.

The foundational becomes regulated.

And the organizations who understand this first…
will become the trusted guides of a new digital era.”**

Laat een reactie achter

Deel dit artikel

Aanbevolen artikels

Meer items

Blijf up to date met NIS2.news

Schrijf je in voor de nis2.news nieuwsbrief en mis nooit het laaste nieuws over NIS2