• Facebook
  • Twitter
  • LinkedIn
  • YouTube
Nieuwsbrief
Contact
2822

Een milde auditor of eentje met de NIS2 mindset …

Toen de auditor te mild was: waarom OpenClaw geen innovatieverhaal is, maar een NIS2-waarschuwing

Het begon niet met een ransomware-aanval. Niet met een datalek. Niet met een boze toezichthouder of een headline in de pers.

Het begon met een behandeling van een risico door het management.

Een extern auditor zit tegenover de CEO van een groot bedrijf. Op tafel ligt de risico-behandeling: kolommen, scores, eigenaars, deadlines, restanten van discussies die ooit als “afgehandeld” waren beschouwd. Tussen de vertrouwde operationele risico’s stond een dossier dat door een alerte interne auditor-consultant was opgetekend. Geen theoretische bedenking, geen technologische AI afkeer, maar een concrete vaststelling: OpenClaw werd ongelimiteerd gebruikt.

De interne auditor had gezien wat anderen liever als enthousiasme lazen: een lokale AI-agent met brede toegangen, persistent geheugen, connectoren naar meerdere datasilo’s, uitbreidbaar via skills van derden, en tegelijk onzichtbaar voor klassieke beheersmaatregelen. Dat was geen gadget. Dat was een compound risk.

De reactie van de CEO kwam snel. Dit was, zo stelde hij, volgens de CISO “angst voor vooruitgang”. Als management volgde ik die redenering. Innovatie mag niet verstikt worden. Het bedrijf mag zijn klant niet verliezen door gebrek aan AI innovatie we moeten vooruit, experimenteren, niet achterblijven.

De externe auditor aarzelde, maar besliste uiteindelijk tot een minor non-conformity.

Dat was waarschijnlijk te mild.

Want precies hier toont zich waarom HarmonyQ risk appetite, visuele weergave van residuele risico’s, en vooral 3D-risicobeheer geen luxe zijn, maar noodzaak. En waarom een strenge auditor in een NIS2-auditproces geen hinderpaal is voor innovatie, maar een essentiële correctie op bestuurlijke zelfoverschatting.

Het echte probleem: OpenClaw is geen gewone app

Wie OpenClaw behandelt als “nog een tooltje”, mist de kern. OpenClaw-achtige agenten zijn geen klassieke applicaties, maar een meta-toegangslaag bovenop bestaande systemen. Ze combineren lokale uitvoering, blijvende geheugenstatus, gebruikersdelegatie, toegang tot e-mail, chats, agenda’s, bestanden, tickets, code repositories en externe extensies. Microsoft waarschuwde expliciet dat OpenClaw moet worden behandeld als untrusted code execution with persistent credentials en dat het niet geschikt is voor een standaard persoonlijk of enterprise workstation.

CrowdStrike publiceerde intussen specifieke content om OpenClaw-installaties te vinden en te verwijderen, precies omdat organisaties eerst zicht moeten krijgen op waar het draait, hoe het draait en of het blootgesteld is. Dat is een belangrijk signaal: dit risico is niet louter academisch, maar al operationeel relevant.

Publieke berichtgeving versterkt dat beeld. Er zijn blootgestelde OpenClaw-instances gerapporteerd, er waren meldingen over kwaadaardige of lekke skills, en onderzoekers beschreven zelfs aanvallen waarbij een kwaadaardige website een lokaal draaiende OpenClaw-instance kon overnemen.

Met andere woorden: dit gaat niet over “mag personeel nieuwe AI proberen?”. Dit gaat over ongecontroleerde, geaggregeerde toegang, uitgevoerd onder echte identiteiten, vaak met beperkte audittrail, en met een blast radius over meerdere platformen tegelijk.

Waarom dit onder NIS2 zwaarder weegt dan het management dacht

NIS2 vraagt van essentiële en belangrijke entiteiten dat zij passende en evenredige technische, operationele en organisatorische maatregelen nemen. Bovendien moeten management bodies die maatregelen goedkeuren, toezicht houden op de uitvoering en kunnen zij aansprakelijk worden gesteld voor inbreuken op die verplichtingen.

Dat is cruciaal. Wanneer een interne auditor een risico signaleert rond een AI-agent die:

  • met echte gebruikersrechten werkt,
  • data uit meerdere omgevingen kan samenbrengen,
  • persistent geheugen heeft,
  • skills van derden kan inladen,
  • en slecht zichtbaar is voor conventionele controles,

dan is een louter culturele reactie — “jullie zijn bang voor vooruitgang” — geen risicobehandeling. Het is een bestuurlijke rationalisatie.

Onder NIS2 moet een organisatie kunnen aantonen dat haar maatregelen niet alleen bestaan, maar passend zijn voor het werkelijke risicoprofiel. Net daar schiet een traditionele 2D-aanpak tekort. Want in twee dimensies lijkt elk risico nog netjes in een matrix te passen. In de realiteit stapelt OpenClaw risico’s over meerdere lagen: identiteit, endpoint, data governance, third-party risk, monitoring, operationele weerbaarheid, compliance en stakeholdervertrouwen.

En precies daarom volstaat “het staat in het register” niet.

De les van HarmonyQ: residueel risico moet zichtbaar worden, niet weggepraat

In HarmonyQ-termen is OpenClaw geen enkelvoudige control gap, maar een stacked trust displacement event. Vertrouwen verschuift tegelijk over meerdere lagen:

  1. Identity & Access – OAuth grants, API-tokens, gedelegeerde rechten
  2. Endpoint / Runtime – lokale uitvoering zonder klassieke beheersbaarheid
  3. Application / Integration – e-mail, Teams, Slack, agenda’s, repositories
  4. Data Governance – classificatie-omzeiling, brede retrieval, geheugenaccumulatie
  5. Third Party / Supply Chain – skills, extensies, provenance-risico
  6. Monitoring / Detection – moeilijk onderscheid tussen legitieme automatisatie en misbruik
  7. Operational Resilience – impact op detectie, containment en bewijsvoering
  8. Compliance / Legal – GDPR, NIS2, DORA, AI Act
  9. Stakeholder Trust – vertrouwen van raad van bestuur, auditor, klant en toezichthouder

Net daarom is 3D-risicobeheer geen optie, maar een vereiste. De derde dimensie maakt zichtbaar wat klassieke registers verbergen: dat een ogenschijnlijk “beheerst” risico in werkelijkheid een onaanvaardbaar residueel totaalrisico kan hebben zodra meerdere domeinen tegelijk geraakt worden.

Een visuele voorstelling van residuele risico’s doet hier iets wat bestuursnota’s vaak niet doen: ze doorprikt de illusie van controle. Ze maakt zichtbaar dat “minor” op papier nog altijd “major” kan zijn in effect, omdat de impact zich niet netjes binnen één control family laat opsluiten.

Waarom dit ook een GDPR-, DORA- en AI Act-probleem is

De regulatorische relevantie stopt niet bij NIS2.

Onder de GDPR spelen meteen de beginselen van doelbinding, minimale gegevensverwerking, privacy by design/default en beveiliging van verwerking. Een lokale agent met breed toegankelijke mailboxen, chats, agenda’s, bestanden en persistent geheugen staat haaks op dataminimalisatie en gecontroleerde verwerking, tenzij die omgeving uitzonderlijk strikt is afgebakend.

Voor financiële entiteiten maakt DORA het nog scherper. Financiële instellingen moeten beschikken over een degelijk, gedocumenteerd ICT-risicobeheerraamwerk, inclusief bescherming, detectie, respons en beheer van ICT-derdenrisico’s. Een lokale autonome agent met duurzame credentials en ondoorzichtige skill-ketens past daar in de praktijk niet in zonder zware governance, testing, monitoring en contractuele controle.

En ook de AI Act schuift het onderwerp uit de sfeer van experiment naar verantwoordelijkheid. De Europese Commissie geeft aan dat de AI Act progressief van toepassing wordt tot 2 augustus 2027. Belangrijker nog: Artikel 4 over AI literacy is al van toepassing sinds 2 februari 2025, en GPAI-verplichtingen zijn in werking getreden vanaf 2 augustus 2025. Een organisatie kan dus moeilijk geloofwaardig brede interne agentinzet toestaan zonder AI-geletterdheid, rolgebaseerde gebruiksregels en aantoonbare menselijke supervisie.

De fout is dus om OpenClaw te zien als een tooling-discussie.
Het is een governance-discussie.
En in veel gevallen zelfs een evidence-discussie.

Was dit dus een major in plaats van een minor?

Op basis van de beschreven situatie is daar veel voor te zeggen.

Niet omdat OpenClaw per definitie verboden technologie zou zijn, maar omdat de combinatie van factoren hier wijst op onvoldoende risicobehandeling van een reëel, meervoudig en bestuurlijk onderschat risico. Als productie- of brede workforce-inzet effectief was toegelaten, of als OpenClaw draaide op developer workstations met echte bedrijfsaccounts en gevoelige data, dan is dat volgens de beschikbare publieke guidance niet aanvaardbaar. Microsoft raadt standaardwerkstations expliciet af; CrowdStrike behandelt het als een actueel operationeel risico; publieke rapportering toont dat blootstelling en misbruik geen hypothetische scenario’s meer zijn.

De enige situatie waarin een aanvaardbaar residueel risico verdedigbaar is, is een afgesloten sandbox met synthetische of laaggeclassificeerde data, laaggeprivilegieerde testidentiteiten, geen onbeheerde OAuth-grants, geen publieke marketplace-skills, begrensd of gewist geheugen, volledige logging en reviewability, human-in-the-loop voor impactvolle acties, en een directe kill switch met credential rotation. Buiten zo’n ring-fenced piloot blijft het residuele risico moeilijk verdedigbaar als “laag”.

Dat maakt de mildheid van de auditor paradoxaal zichtbaar: zelfs zijn minor had al de juiste intuïtie, maar niet de juiste zwaarte.

Waarom de strengheid van de auditor waarde toevoegt

De toegevoegde waarde van een strenge auditor zit niet in het uitdelen van zwaardere labels. Ze zit in het corrigeren van bestuurlijke vertekening.

Management kijkt graag naar intentie: “we wilden innoveren.”
Een auditor moet kijken naar effect: “wat is de werkelijke residuele blootstelling?”
Management kijkt graag naar adoptie: “iedereen gebruikt dit al.”
Een auditor moet kijken naar beheersbaarheid: “kan dit aantoonbaar binnen proportionele maatregelen worden gehouden?”
Management kijkt graag naar gebruiksgemak.
Een auditor moet kijken naar bewijs, logging, scope, revocability en blast radius.

Dat is exact waarom een stevige audit onder NIS2 waardevol is. NIS2 is niet ontworpen om mooie beleidsstukken te belonen, maar om te toetsen of organisaties operationeel kunnen verantwoorden hoe zij risico’s beheersen. Wanneer een auditor doorprikt dat een risico als “angst voor vooruitgang” werd geherformuleerd, doet hij wat het auditproces moet doen: hij brengt de discussie terug van cultuur naar controle.

En dat is geen rem op innovatie. Dat is de voorwaarde om innovatie niet te laten ontsporen tot een compliance-incident.

De beleidsles: niet verbieden en vergeten, niet toelaten en hopen

De juiste positie is niet “ban and ignore”. Een zuiver verbod zonder governance duwt gebruik naar de schaduw. Maar “allow by default” is al even onverdedigbaar.

De volwassen positie is: controlled prohibition with governed exception handling.

Met andere woorden:

  • standaardverbod op OpenClaw-achtige lokale agentic runtimes op corporate en BYOD-toestellen voor business processing;
  • uitzondering enkel via security-goedgekeurde, geïsoleerde piloot;
  • focus op identiteiten, data-classificatie, connector scopes, token governance en immutabele logging;
  • expliciete risk appetite en expliciete board-beslissing over wat wél en niet aanvaardbaar is.

Dat is de plaats waar HarmonyQ een meerwaarde toont. Niet als extra dashboard. Maar als bestuurlijk instrument om zichtbaar te maken waar residuele risico’s werkelijk liggen, hoe zij zich stapelen, en waar een “minor” in feite het voorportaal van een “major” is.

Slot

De bezorgde interne auditor had het gevaar gezien.
De CISO had het geminimaliseerd.
Het management had het geloofd.
De externe auditor had ingegrepen — maar niet hard genoeg.

Misschien is dat precies de les.

In een tijdperk waarin AI-agenten zich voordoen als productiviteit, maar zich gedragen als meta-toegangslagen met persistent geheugen en zwakke zichtbaarheid, is de strengheid van de auditor geen formaliteit. Ze is een correctief op collectieve blindheid.

Onder NIS2 is dat geen overreactie.
Dat is governance.

Laat een reactie achter

Deel dit artikel

Aanbevolen artikels

Meer items

Blijf up to date met NIS2.news

Schrijf je in voor de nis2.news nieuwsbrief en mis nooit het laaste nieuws over NIS2