• Facebook
  • Twitter
  • LinkedIn
  • YouTube
Nieuwsbrief
Contact
DALL·E 2025-10-04 08.56.39 - A dramatic seascape showing a fleet of modern warships with bright, reinforced sails labeled 'CyFun®', 'NIS2', and 'Cyber Centre Belgium'. The ships a

Muiterij op de Digital Compliance Bounty – Zeilen aan de horizon – hoop of angst?

De opzet: een schip gebouwd van papier

In de Noordzeese Europese regelgeving vaart een groot schip onder de vlag van NIS2. Het is groot, breed en gepantserd met beleid, richtlijnen en de belofte van veerkracht. Maar als je onderdeks gaat, hoor je luid gekraak. De zeilen zijn van perkament, de touwen zijn beleid en de kaarten worden nog steeds opnieuw getekend terwijl het tij keert.

Bedrijven gaan aan boord van dit schip in de hoop veilig door de storm van cyberrisico’s en regelgeving te komen. Maar velen merken al snel dat ze geen passagiers zijn, maar gedwongen matrozen op een eindeloze reis: eindeloze audits, steeds veranderende controlelijsten en kapiteins die meer bezig zijn met logboeken dan met het doorstaan van echte stormen.

“Niets straalt zozeer ‘zeewaardigheid’ uit als een schip dat volledig is gebouwd van beleidsmappen en plakbriefjes – onzinkbaar, tot iemand niest.”

De stijgende vloed: waarom bemanningen in opstand komen

Net als de zeelieden van weleer die tegen hun wil in dienst werden genomen, zien de IT- en compliance-bemanningen van vandaag zich geketend aan de roeispanen van eindeloze regelgevende reizen. In gedempte tonen in directiekamers, Slack-kanalen en koffiegesprekken na werktijd duikt steeds weer één woord op: muiterij.

De waarschuwingssignalen zijn goed gedocumenteerd. Academische studies, interne rapporten en branche-enquêtes herhalen hetzelfde refrein. Compliance is een sleur geworden, geen vangrail. Succes wordt gemeten in handtekeningen, bewijsmateriaal en het gewicht van de ordners die hoog opgestapeld liggen op de bureaus van auditors, in plaats van in de werkelijke zeewaardigheid van de verdedigingswerken.

Wat begint als een reis van een jaar, loopt vaak uit op een odyssee van drie jaar, waarbij de koers wordt gewijzigd door nieuwe richtlijnen, verschuivende verwachtingen en de sluipende tendens om de reikwijdte steeds verder uit te breiden. Zeelieden die ooit in de missie geloofden, worden al snel moe van het dichten van gaten in een schip dat nooit lijkt aan te meren.

En het ergste van alles is dat er geen kompas is. Leidinggevenden zwaaien met nalevingscertificaten als trofeeën, trots op hun glanzende keurmerken, maar slagen er niet in om beveiliging in de dagelijkse werkzaamheden te integreren. De bemanning blijft achter, eindeloos logboeken herschrijvend, terwijl aanvallers dapper voorbij varen met ontvouwde zwarte vlaggen.

Het resultaat: compliance wordt een “lange adem”-beproeving, die het moreel en het budget uitput.

“Het moreel van de bemanning is het hoogst wanneer de keuze is tussen verdrinken in papierwerk of verdrinken in ransomware – hoe dan ook, neem een snorkel mee.”

De satire benadrukt de absurditeit: compliance zou het risico op verdrinking (door cyberaanvallen) moeten verminderen, maar in de praktijk voegt het vaak een tweede manier toe om te verdrinken . Het moreel van het personeel piekt niet omdat alles goed gaat, maar omdat iedereen de zwarte humor deelt van de keuze hoe ze willen zinken.

De eerste vonken van muiterij

In digitale havens – rondetafelgesprekken van CISO’s, bijeenkomsten van auditors en zelfs rustige Slack-kanalen – gaan de stemmen omhoog:

  • “We hebben het afgelopen kwartaal 300 controles goedgekeurd, maar ons ransomware-draaiboek is nog steeds niet getest.”
  • “We zijn geslaagd voor de audit, maar ik kan je niet vertellen of onze leveranciers vorige week patches hebben geïnstalleerd.”
  • “We zijn archivarissen geworden, geen verdedigers.”

Hier wordt de metafoor duidelijker. De bemanning verlaat het schip niet uit luiheid, maar omdat ze de ijsberg eerder zien dan de kapitein.

“Als er ooit piraten aan boord zouden komen, zou de bemanning hen niet met kanonnen tegenhouden, maar met een pdf-bestand van 600 pagina’s waarin wordt aangetoond dat de kanonnen in theorie functioneel zijn.”

De zegen van NIS2 – en de vloek

De NIS2-richtlijn beloofde goud: geharmoniseerde regels, duidelijkheid in alle sectoren en de langverwachte verheffing van cyberbeveiliging van IT-uitgave tot bestuursverantwoordelijkheid. Maar goud trekt piraten aan en de schatkaart is bevlekt.

  • Voor grote ondernemingen: de beloning ligt in het vertrouwen van de markt – bewijs dat je aan de regels voldoet en haal contracten binnen. Maar de kosten van het onderhoud dreigen kleinere divisies te doen zinken.
  • Voor kmo’s: de beloning is overleven – zonder naleving riskeren ze boetes of uitsluiting uit toeleveringsketens. Maar de prijs van een kompas (CISO, auditors, gereedschap) kan hoger zijn dan het schip zelf.

De vloek: zodra je de buit bereikt, verschuift de kist verder weg – DORA, AI Act, sectorale toevoegingen.

“Het is een beetje alsof je een schatkist wint, om vervolgens te beseffen dat de sleutel meer kost dan de kist en dat de kist vooral gevuld is met bonnetjes.”

Op weg naar een nieuw kapiteinschap

Als er muiterij komt, zal dat er niet uitzien als mannen met sabels die de brug bestormen. Het zal er subtieler uitzien:

  • Teams die stilletjes het papierwerk negeren om te werken aan wat echt belangrijk is.
  • Besturen die dashboards met risico’s eisen in plaats van logboeken met bewijsmateriaal.
  • Leveranciers die opkomen en het saaie werk automatiseren, zodat bemanningen kunnen varen in plaats van stempelen.

De meest radicale kapiteins experimenteren al: ze voeren compliance uit als een ‘levende risicokaart’, waarbij elke controle wordt gekoppeld aan een reëel gevaar en een meetbaar resultaat. Ze accepteren dat NIS2 geen eindbestemming is, maar een weersysteem – dus het schip moet wendbaar zijn, niet sierlijk.

“Een revolutie in compliance betekent het inruilen van sabels voor SaaS-dashboards – minder zwaardvechten, meer abonnementsfacturering.”

“De kapitein weet heel goed dat zijn cyberbeveiligingsbedrijf niet zomaar een passagier is op de reis. Ze moeten doorgewinterde navigators zijn op het gebied van veerkracht – het gewicht van het schip in evenwicht houden tussen governance, risico en compliance, en de zeilen trimmen met automatisering, zodat de bemanning zich kan concentreren op de storm die voor hen ligt. Hun expertise strekt zich uit over de hele lengte van het schip, van boeg tot achtersteven, en zorgt ervoor dat veerkracht niet alleen in elkaar is geflanst, maar in elke plank van de Digital Bounty is ingebed.”

Zwarte zeilen aan de horizon: Check the box-compliance

De uitkijk tuurt tegen de zon in en daar – eerst slechts een vage vlek – doemen de zwarte zeilen op. Dit keer geen piraten, maar iets verraderlijkers: de spookvloot van Check-the-Box Compliance.

Deze schepen varen met indrukwekkende discipline. Hun dekken glanzen van de ingevulde formulieren, hun logboeken staan vol met handtekeningen en hun officieren paraderen met ordners alsof het kanonnen zijn. Voor het ongetrainde oog zien ze er onoverwinnelijk uit: ordelijke vloten met rijen matrozen die knikken tijdens jaarlijkse trainingen en plichtsgetrouw op “Ik heb gelezen en begrepen” klikken bij elke nieuwe beleidsupdate.

Maar studies van de Harvard Business School fluisteren een duisterder waarheid: een vloot die is gebouwd op papierwerk is alleen zeewaardig op kalm water. Wanneer de stormen van echte cyberincidenten losbarsten, splinteren de schepen. De matrozen hebben misschien de veiligheidsdrill uit het hoofd geleerd, maar nooit geoefend. De kanonnen zijn misschien geïnspecteerd, maar nooit afgevuurd. De kapiteins meten naleving aan de hand van het voltooiingspercentage, niet aan de hand van de vraag of de bemanning daadwerkelijk kan vechten.

Dit is de vloek van slechte meetmethoden. Ze brengen de voortgang in kaart aan de hand van hoeveel er van de lijst is afgevinkt, niet aan de hand van de vraag of de bemanning veiliger is. Het is alsof je opschept over een kaart vol met X-en die schatten aangeven, om vervolgens te beseffen dat elke X naar leeg zand leidt.

En dus, terwijl de Black Sails er goed uitzien bij haveninspecties en audits, storten ze in op zee. Ze krijgen lof bij inspecties, maar zinken in stilte wanneer de echte test komt.

 “Niets wekt immers zoveel vertrouwen als een bemanning die het hoofdstuk over phishingbeleid uit het hoofd kan citeren, terwijl ze tegelijkertijd op een e-mail van een Nigeriaanse prins klikt.”

Black Sails aan de horizon: de drijvende vloot van risicoblindheid

Vanaf het achterdek ziet de kapitein weer een onheilspellend tafereel: schepen vol met matrozen, mannen en vrouwen die druk bezig zijn met het dichten van gaten, het schilderen van relingen en het schrobben van dekken. Er wordt koortsachtig gewerkt, maar de koers is nergens. Dit zijn schepen zonder kompas – vloten die varen onder de vloek van zwakke risicobeoordeling en slechte prioritering.

De bevindingen van NAVEX Global bevestigen wat elke zeeman kan zien: wanneer een reis begint zonder een levendige risicokaart, werkt de bemanning overal tegelijk en nergens in het bijzonder. De inspanningen worden versnipperd: ze repareren zeepokken terwijl de romp barst, ze poetsen koper terwijl de hoofdmast scheurt.

Het gevaar is het grootst in de donkere wateren van risico’s van derden. De bemanning houdt het schip in perfecte staat, maar de lading rot weg in vaten die zijn geleverd door een onzorgvuldige handelaar, of de zeilen, genaaid door een niet-gecontroleerde leverancier, scheuren bij de eerste storm. Zonder prioriteitenstelling blijven de grootste kwetsbaarheden van de vloot onopgemerkt, totdat de storm toeslaat en de hele reis verloren gaat.

De ironie is bitter: deze kapiteins verwarren beweging met richting en werken lijstjes met kleine reparaties af terwijl ze de riffen recht voor zich negeren. Hun kaarten staan vol met alle denkbare gevaren, maar zonder volgorde, zonder schaal, zonder prioriteiten. In een poging om alles te ontwijken, sturen ze recht op het ergste af.

 “Niets zegt zo duidelijk ‘wij hechten waarde aan risicobeheer’ als het houden van een brandoefening waarbij het anker wordt gepoetst terwijl het kruitmagazijn al in brand staat.”

Zwarte zeilen aan de horizon: de sirenes van een verkeerd afgestemde cultuur

De zee is kalm, het schip vaart snel en de kapitein straalt bij het zien van de inkomstencijfers, maar benedendeks mompelen de matrozen. Hier ligt namelijk de vloek van misplaatste prikkels: wanneer de toon van bovenaf snelheid, groei en het sluiten van deals prijst, terwijl naleving slechts als bijzaak wordt genoemd.

MIT Sloan Management Review waarschuwt: wanneer het kompas is ingesteld op winst ten koste van alles, leert de bemanning snel welke regels ze moeten volgen en welke ze kunnen omzeilen. Ze ondertekenen het beleid, volgen de trainingen en haasten zich vervolgens weer om vracht sneller, goedkoper en risicovoller te verkopen. Formele programma’s paraderen over het dek, maar wanneer de storm toeslaat, weet niemand meer hoe de zeilen moeten worden gereefd.

 “De prikkels zijn duidelijk genoeg: een bonus voor het sluiten van een deal, een schouderophalen voor het veiligstellen ervan – wat kan er misgaan?”

Zwarte zeilen aan de horizon: minimale bemanning voor naleving

Sommige schepen vergaan niet door hebzucht, maar door afwezigheid. Vanuit de uitkijkpost zie je schepen die worden bemand door minimale bemanningen – drie matrozen waar er dertig nodig zijn. Interne auditors die ook als dekmatrozen fungeren, compliance officers die bijklussen als koks, mandaten die zo vaag zijn als zeemist.

Studies van ScienceDirect bevestigen: onderbezette teams, onduidelijke mandaten en oppervlakkige expertise zorgen ervoor dat schepen onvoorbereid in stormen terechtkomen. De kanonnen zijn er misschien wel, maar er zijn geen kanonniers om ze te bedienen; de kaarten zijn er, maar er is geen navigator om ze te lezen.

 “Waarom zou je een volledige bemanning inhuren als je de helmstok gewoon aan de stagiair kunt geven en hopen dat de zee een lunchpauze neemt?”

Zwarte zeilen aan de horizon: de papieren galjoenen

Er zijn schepen die van veraf indruk maken: grote vloten met versierde rompen, gouden boegbeelden en dekken volgestapeld met perkament. Maar als je dichterbij komt, zie je dat het papieren galjoenen zijn, majestueus in documentatie, maar hol in verdediging.

De waarschuwingen van PwC klinken door: organisaties verdrinken zichzelf in beleid, ISO 27001-handleidingen en eindeloze controles, maar slagen er niet in om deze te operationaliseren in dagelijkse zeemanschap. Beleid wordt opgesteld, ondertekend en op de plank gelegd. De bemanning kan de procedures reciteren, maar oefent ze nooit. Het is een prima marine – totdat de kanonnen terugschieten.

 “Ze zijn met vlag en wimpel geslaagd voor de audit – als de vijand maar zou aanvallen met checklists in plaats van malware.”

Zwarte zeilen aan de horizon: de gestrande sloepen van het KMO/MKB

En tot slot varen de kleinste schepen – dappere sloepen van kleine en middelgrote ondernemingen – moedig dezelfde storm in als galjoenen, maar met een half zeil en geen reserve touw. De beperkingen van kosten, expertise en gereedschap wegen zwaarder op hen dan welke storm dan ook.

SpringerLink en ScienceDirect merken beide op: voor kleinere bedrijven wordt compliance een campagne die met tussenpozen wordt gevoerd – wanneer auditors op de loer liggen of contracten dat vereisen. Tussen de gevechten door wordt de bemanning ontbonden, raken de zeilen versleten en roest het kompas. Er is geen duurzaam ritme van veerkracht, alleen uitputtende pogingen om er voor de volgende inspectie presentabel uit te zien.

 “Kmo’s weten hoe het werkt: sparen voor consultants, in paniek de zeilen repareren, de audit doorstaan en dan bidden dat de piraten het pas volgend jaar merken.”

⚓ Samen vullen deze zwarte zeilen , de horizon, elk een waarschuwing voor de Digital Bounty: gevaar komt niet altijd met kanonnen die vuren. Soms komt het stilletjes binnen, vermomd als drukte, bureaucratie of enkel goede bedoelingen.

De reddingsvloot: een nieuwe horizon van veerkracht

Net als de Digital Bounty gedoemd lijkt om eindeloos rond te cirkelen tussen spookschepen en papieren galjoenen, roept de uitkijk: zeilen aan de horizon – niet zwart, maar wit, blauw en goud.

Het is geen luchtspiegeling. Het Cyber Centre Belgium arriveert, niet als een eenzaam fregat, maar aan het hoofd van een reddingsvloot: schepen bemand met getrainde verdedigers, rompen versterkt met moderne frames en kapiteins gehard door stormen. Deze schepen meten veerkracht niet in logboeken, maar in geteste oefeningen, geslepen kanonnen en gecoördineerde vloten.

In het midden vaart het CyFun®-schip, met zijn vlag hoog gehesen. In tegenstelling tot de vervloekte vloten doet CyFun® niet alsof de zee kalm is. In plaats daarvan biedt het een stapsgewijze methodologie, stabiel als een kompas, waarbij bedrijven niet in theorie maar in de praktijk worden getraind. Het is opgebouwd rond drie volwassenheidsniveaus – Basis, Belangrijk en Essentieel – en stippelt een pad uit dat elke organisatie kan volgen, of het nu gaat om een kleine kustvaarder of een wereldwijd galjoen.

Waar de papieren marines faalden, integreert CyFun® echte verdediging:

  • Duidelijke, gestructureerde vereisten die zijn gebaseerd op het CyberFundamentals Framework.
  • Richtlijnen verrijkt met NIST CSF 2.0, CMMC 2, ISO/IEC 27001 & 27002, IEC 62443 en de CIS Critical Security Controls.
  • Een praktische routekaart om de meest voorkomende cyberrisico’s te verminderen, gegevens te beschermen en de digitale veerkracht met vertrouwen te vergroten.

Dit is geen symbolische redding. Op 17 oktober 2025 begint een nieuw hoofdstuk met de release van CyFun 2025. Sterker, scherper en in overeenstemming met de NIS2-richtlijn vaart het verder met een versterkte romp, gebouwd op de nieuwe NIST2/CSF2-structuur en CMMC 2-afstemming, en vertrekt het vanuit zijn nieuwe haven op cyfun.eu.

De boodschap is duidelijk:
CyFun® is niet zomaar een compliance-schip. Het is de marine die bedrijven altijd al nodig hadden: het verandert muiterij in meesterschap en leidt vloten naar veerkracht, niet naar ondergang.

Satirische noot ter afsluiting: “Eindelijk een vloot die vecht met kanonnen in plaats van klemborden.”

Mindspin aan het roer: de armada’s voorbijstreven – De Belgische CCB-armada heerst over de NIS2-Noordzee.

En hierin schuilt de genialiteit van de nieuwe vloot: hij is ontworpen om budgetvriendelijk te zijn.
Niet elke handelaar kan zich een oorlogsschip veroorloven, noch elke start-up een slagschip – maar CyFun® stippelt een route uit die zelfs het kleinste schip kan volgen. De stapsgewijze aanpak zorgt ervoor dat de veerkracht toeneemt zonder de schatkist te plunderen: eerst de zeilen repareren, dan de mast versterken en vervolgens de romp verstevigen.

De vloot doet meer dan alleen op rustige zeeën varen. Ze houdt ook de wacht:

  • Het biedt praktische hulp bij incidenten wanneer de kanonnen bulderen.
  • Het geeft vroegtijdige waarschuwingen bij datalekken voordat deze uitgroeien tot stormen.
  • Het scant de donkere wateren van het web op gestolen vracht en waarschuwt kapiteins voordat de piraten deze op zwarte markten verkopen.

De tijdlijn is geen eindeloze zwerftocht. De eerste bedrijven voldoen al aan NIS2 vanaf april 2025 – het bewijs dat de reis mogelijk is. En de eerste verificatiegolf van NIS2-bedrijven komt in april 2026, waardoor de vloot verantwoording moet afleggen.

En dus vaart de Bounty niet in wanhoop, maar in triomf: hij laat de Nederlandse Armada achter zich, die zonder deadlines vaart, en haalt de Franse Armada in, die vastzit aan een verre horizon met de deadline van ANSI in december 2028.

De Digital Compliance Bounty, ooit muiterig en stuurloos, vaart nu aan het hoofd van de reddingsvloot – het bewijs dat veerkracht, ooit een last, het trotsste vaandel op zee kan worden.

 “Waarom wachten tot 2028 om erachter te komen dat je een lek hebt, als je vandaag de romp kunt repareren en voorbij je buren kunt varen die met compliancecertificaten zwaaien als overwinningsvlaggen?”

Laat een reactie achter

Deel dit artikel

Aanbevolen artikels

Meer items

Blijf up to date met NIS2.news

Schrijf je in voor de nis2.news nieuwsbrief en mis nooit het laaste nieuws over NIS2