Door de redactie – met inzichten van
Danny Zeegers & Harry Van der Plas
Europa, pre 2026. Over de hele Unie raast de digitale transformatie als een tsunami . Banken draaien op algoritmes, ziekenhuizen op AI gestuurd door dure machines met dure sensoren, en business kritische toeleveringsketens rijzen als paddenstoelen uit het niets. Met snelle vooruitgang op enkele maanden kwamen snel nieuwe kwetsbaarheden.
En precies vanwege dat gevaar duwt Europa ons het Compliance tijdperk binnen: het tijdperk van onder andere NIS2.
Maar de overgang verloopt allesbehalve soepel.Dit is een verhaal over ambitie die botst met realiteit, en over organisaties die sterker moeten worden dan ze ooit hadden voorzien en dreigen te verzuipen onder EU en Nationale regelgevingen. Lees even mee hoe het nieuwe denken je bedrijf behoedt van een financiele compliance kater.
Een terugblik van Danny Zeegers en Harry Van der Plas op een kanteljaar in cybersecurity
Het is pas wanneer je terugkijkt, dat je beseft hoe snel de cybersecuritywereld is veranderd. Danny Zeegers en Harry Van der Plas, beiden al decennia lang actief in het hart van het Europese cyberlandschap, verwoorden het treffend: “Bedrijven dachten dat hun TIER 1 compliance voldoende was. Tot ze inzagen dat deze compliance van een andere orde was en een totaal nieuw begin inluidde!”
In het voorbije jaar dreef regulatory compliance onmiskenbaar het grootste deel van alle cybersecurity-investeringen. Niet omdat organisaties plots cyberbewuster waren, maar omdat wetgevers — via NIS2, DORA en sectorale verplichtingen — eenvoudigweg geen ruimte meer lieten om achter te blijven. Wat begon als een verplicht nummer, wordt door de methode van Harry Van Der Plas en Danny Zeegers een onverwachte hefboom.
Compliance gaf het duwtje, maar het effect reikt verder
Zeegers benadrukt hoe opvallend het was dat compliance-uitgaven méér opleverden dan alleen auditrapporten en vinkjes:
“Je zag het in onze implementaties als rode draad bij elk maturity assessment terugkomen: beter risicomanagement, snellere detectie, en een veel robuustere incidentrespons. Organisaties deden het omdat het moest — en realiseerden achteraf bij hun certificatie NIS2 dat ze hierdoor eindelijk controle kregen.”
Dat beeld herkent Van der Plas volledig.
Hij lacht: “Ik heb nog nooit zo veel bestuurders gezien die ineens wisten wat een SIEM, EDR of SOC precies doet. Regelgeving heeft iets in beweging gezet dat securityteams al jaren probeerden uit te leggen.”
Door compliance als katalysator te gebruiken, werd iets duidelijk:
Regelgeving perst organisaties door een noodzakelijke evolutie — en die evolutie brengt voordelen met zich mee die niemand vooraf durfde te claimen.
Van afvinken naar versterken
Wat het duo opvalt, is dat de komende investeringen een ander karakter krijgen. De druk van regelgeving is niet verdwenen, maar de focus verschuift:
- tools moderniseren
- sneller kunnen herstellen na incidenten
- bewustwording structureel verhogen
- interne teams versterken met echte vaardigheden
Volgens Van der Plas ziet Europa een belangrijke mentale shift:
“Waar men vroeger vroeg: ‘Moeten we dit doen?’, hoor ik nu: ‘Hoe maken we dit beter?’ Dat is een omslagpunt in volwassenheid.”
Zeegers vult aan:
“Regelgeving heeft ons niet veiliger gemaakt; ze heeft ons gedwongen om veiliger te wórden. Dat is een belangrijk verschil.”
De richting is duidelijk — en voor het eerst, hoopgevend
De experts zien NIS2 niet als last, maar als een strategische correctie.
Een noodzakelijke reset.
“We staan voor het eerst op een punt waar beleid de markt niet vertraagt, maar vooruitduwt,” zegt Zeegers.
“Organisaties investeren niet langer uit angst voor boetes, maar uit noodzaak om overeind te blijven in een steeds harder wordend cyberklimaat.”
Van der Plas besluit:
“Compliance was het duwtje in de rug. Cyberweerbaarheid wordt de bestemming. En iedereen begrijpt nu: je kunt die reis niet uitbesteden of uitstellen.”
Compliance bleek plots geen overbodig budget en een papieren tijger, maar een katalysator voor groei.
Hoewel 70% aangaf dat compliance de belangrijkste reden voor investeringen was, bleek het in werkelijkheid de deur te openen naar meer volwassenheid.
Europa leerde: regelgeving dwingt niet alleen af — ze versterkt.
“Het hondenluikje onder Europa’s stalen deur”
De twee experts kijken elkaar aan en laten een diepe zucht. De bedrijven zijn hardleers, succesvol in zakendoen en EBITDA, maar ze snappen nog niet dat cyberoorlogsvoering een historisch kantelpunt bereikt heeft.
Voor Danny Zeegers en Harry Van der Plas kwam dat moment toen Europa in 2023 de NIS2-richtlijn ontvouwde. Een lijvig document, vol technische verplichtingen en beleidsstructuren, maar voor wie goed kijkt, een uitgesproken diagnose van een sector die al te lang rond haar zwakke plekken heen had gedanst.
Danny vertelt hoe hij tijdens audits de diepgang en de herziening van compliance ontdekte. “Bedrijven hebben firewalls waarin kapitalen zijn geïnvesteerd, redundante datacenters die tot in de perfectie zijn opgebouwd, en een helpdesk die op volle toeren draait,” zegt hij terwijl hij terugblikt. “Maar toen we vroegen wanneer de laatste kritieke patch was toegepast, viel er een stilte. Het antwoord was niets minder dan schokkend.”
Het bracht hem tot een inzicht dat sindsdien een rode draad vormt in zijn lezingen: de sector bouwt stalen deuren, maar vergeet het hondenluikje eronder dicht te doen.
Harry knikt. Hij kent dat beeld maar al te goed. Hij gebruikt het zelfs in trainingen, omdat het zo pijnlijk treffend is. “Mensen denken bij een aanval aan een hypercomplex cyberwapen, een digitale stormram, een geavanceerde natie-staat. Maar de realiteit is veel eenvoudiger. De meeste aanvallen komen binnen via kwetsbaarheden waar al maanden — soms jaren — een patch voor bestaat. Het hondenluikje dus. Klein, onopvallend, maar dodelijk efficiënt.”
Volgens een recent gepubliceerd ENISA-onderzoek van december 2025 neemt NIS2 eindelijk een morele rol op zich. Niet door organisaties te straffen, maar door ze te confronteren met hun realiteit. De richtlijn legt de lat hoger — véél hoger — en dwingt bestuurders na te denken over zaken die ze eerder geneigd waren uit te stellen. Zeegers ziet het als een spiegel die Europa voorgehouden krijgt: de grootste zwaktes liggen in de gebieden die het minst sexy zijn — kwetsbaarheden, patching, business continuity en de beveiliging van toeleveringsketens.
Maar hoe simpel patching ook klinkt, de praktijk is een opeenstapeling van technische en organisatorische pijnpunten. Legacy-systemen die het land draaiende houden kunnen niet zomaar even worden uitgezet. Operationele technologie (OT) werkt in cycli die niet verstoord mogen worden. Grote organisaties opereren in meerdere landen, met verschillende juridische vereisten, verschillende IT-landschappen en verschillende niveaus van maturiteit. En misschien wel de meest onderschatte factor: een schrikbarend tekort aan mensen die weten wat ze doen.
“NIS2 verhoogt de lat, maar het doet dat niet om het leven moeilijker te maken,” zegt Van der Plas. “Het doet het omdat we jarenlang genoegen namen met het absolute minimum. En dat minimum hield ons alleen veilig zolang onze tegenstanders slordig of vriendelijk waren — en dat zijn ze niet meer.”
Zeegers vult aan dat het grootste risico niet ligt in de complexiteit van de aanvallen, maar in de traagheid van de verdediging. “We zien organisaties die drie maanden nodig hebben om een kritieke patch door te voeren. Drie maanden. In cyberspace is dat geen vertraging — dat is een open deur.”
En dat hondenluikje? Dat blijft openstaan, zelfs wanneer de rest van de deur versterkt wordt met digitaal staal. Het is een paradox waar de sector maar moeilijk mee in het reine komt: we zijn alleen zo sterk als onze zwakste patchcyclus.
NIS2 verandert dat spel. Ineens staat patching niet langer in de categorie ‘operationele taak’, maar onder de noemer ‘wettelijke verplichting’. Het wordt iets waar bestuurders persoonlijk voor moeten instaan, iets dat niet langer van de tafel kan vallen omdat het project van de maand dringender lijkt. In veel bedrijven begint daardoor een verschuiving: patching wordt strategisch, opvolging wordt structureel, en het gesprek verschuift van “kunnen we dit uitstellen?” naar “kunnen we het ons permitteren om dit niet te doen?”
De experts zien dat als een teken van volwassenheid. “Cyberweerbaarheid begint niet bij ingewikkelde tools, maar bij het sluiten van het hondenluikje,” zegt Van der Plas met een glimlach die zowel mild als scherp is. “Je kunt geen veerkracht claimen als je je zwakke plekken blijft ontkennen.”
In hun gesprekken klinkt geen pessimisme, maar eerder een rustige vastberadenheid. Ja, de implementatie van NIS2 is moeilijk. Ja, de uitdagingen zijn structureel. Maar het feit dat Europa zichzelf deze lat oplegt, bewijst dat het eindelijk begrijpt wat cybersecurity werkelijk vereist: discipline, eerlijkheid, en de durf om aan de fundamenten te werken.
Zeegers sluit af met woorden die blijven hangen. “We verliezen niet door de genialiteit van aanvallers, maar door het gemak waarmee ze vinden wat wij al te lang negeren. NIS2 vraagt niet dat we perfect zijn, maar dat we eindelijk eerlijk worden over onze tekortkomingen.”
En misschien is dat wel de essentie van dit hele verhaal: de deur naar Europa’s digitale toekomst staat stevig, breed en goed beveiligd — maar pas wanneer het hondenluikje sluit, kunnen we echt zeggen dat we binnen veilig zijn.
De feiten:
NIS2 duwt organisaties in de juiste richting, maar de realiteit is confronterend: de meeste worstelen met precies de domeinen die het fundament van cyberweerbaarheid vormen.
De grootste struikelblokken voor NIS2 Essentiele bedrijven, waarin faalt men?
- Vulnerability & patchmanagement (50%) – kritieke gaten blijven maanden open.
- Business continuity & disaster recovery (49%) – plannen bestaan vaak, maar werken niet.
- Supply-chain risk (37%) – één zwakke leverancier kan de hele keten neerhalen.
Daarnaast heeft bijna één op de vijf organisaties moeite met awareness, toegangsbeheer en incidentrespons — basics die allang op orde hadden moeten zijn.
NIS2 vraagt geen perfecte cybersecurity.
Het vraagt dat we eindelijk stoppen met uitstellen wat al jaren dringend is.
“Bpost viel… en even later vielen de BENE luchthavens. Niet door hackers, maar door hun leveranciers keten van bedrijfskritische oplossingen.”
Net als zovele cybersecurity-experts hadden Danny Zeegers en Harry Van der Plas deze twee Europese rampen zien aankomen
Er zijn momenten waarop de Europese cyberwereld voelt alsof er een seismische schok doorheen gaat.
Niet door een massale cyberaanval.
Niet door een geopolitieke actor.
Maar door iets veel subtielers — en veel gevaarlijkers.
Toen Bpost kelderde na een storing in de keten van zijn kritieke toepassingen, dachten velen niet langer dat het een geïsoleerd incident was. Ook hier manifesteerde zich een ongelukkige samenloop van omstandigheden. Een intern probleem.
Maar amper enkele maanden later, toen meerdere grote Europese luchthavens tot stilstand kwamen doordat een essentiële applicatie van een externe leverancier volledig faalde, beseften Danny Zeegers en Harry Van der Plas dat dit geen toeval meer was.
Het was een patroon.
Een patroon dat zij al jaren zagen groeien.
“Het waren niet de aanvallen die hen deden vallen. Het was hun vertrouwen.”
Zeegers vertelt het alsof hij het gisteren nog zag gebeuren. De terminals vol gestrande reizigers. De schermen die zwart bleven. Het bagagesysteem dat niet meer opstartte omdat een kleine module — beheerd door een leverancier waarvan niemand ooit een echte security-audit had gedaan — vastliep.
“De schaal was anders, maar het mechanisme was identiek aan Bpost,” zegt hij.
“Een ketenpartner met beperkte maturiteit, een kritieke applicatie die nooit grondig getest was, en een organisatie die al die jaren op goed vertrouwen draaide.”
Harry knikt langzaam.
“We zeggen het al jaren: organisaties kelderen niet door cyberaanvallen, maar door hun supply chain. De grootste storingen zijn geen explosies, maar implosies.”
De vinger-in-de-lucht-doorlichting — dat was opnieuw de boosdoener.
Kritieke systemen werden beoordeeld op assumpties, niet op feiten.
Op “het zal wel veilig zijn”, niet op bewijs.
En net zoals bij Bpost, waren de gevolgen niet lokaal, maar systemisch.
“Luchthavens draaien blijkbaar op software vergelijkbaar met kaas met gaten”
Voor buitenstaanders lijkt een luchthaven een vesting van technologie, redundantie en strikte procedures.
Maar voor cyberexperts is het een kwetsbaar ecosysteem, opgebouwd uit:
- tientallen leveranciers,
- honderden softwarecomponenten,
- duizenden integraties,
- en onnoemelijk veel afhankelijkheden die nooit centraal worden beheerd.
Zeegers verwoordt het scherp:
“Je kunt TSA-checkpoints, perimeterbeveiliging en een leger aan camera’s hebben. Maar als één slecht onderhouden third-party applicatie besluit te crashen, ligt het hele systeem plat. En je kunt er niets tegen doen, omdat je nooit hebt gecontroleerd wat je precies kocht.”
Het ENISA-rapport geeft hem gelijk:
meer dan 37% van Europese organisaties noemt supply-chain risk management de moeilijkste NIS2-verplichting, ondanks het feit dat 90% beweert controles te hebben ingevoerd.
Het probleem is niet de afwezigheid van beleid —
het is de afwezigheid van diepgang.
Contracten zijn geen audits.
Certificaten zijn geen waarborgen.
En vertrouwen is geen beveiliging.
“De ramp bij de luchthavens was een Bpost-scenario met vleugels.”
Waar Bpost wekenlang post- en pakketstromen zag stilvallen, gebeurde in de luchthavens hetzelfde op minuten:
een cryptische foutmelding in een leveranciersmodule →
een domino-effect in alle afhankelijkheden →
bagagebanden stopten →
vluchten werden geannuleerd →
duizenden mensen stranden →
en niemand wist precies waarom.
“Het meest tragische,” zegt Harry, “was dat de luchthaven zelf niet wist waar het misging, omdat de kritieke applicatie niet van hen was. Ze hadden geen map, geen dashboard, geen inzicht. Alleen afhankelijkheid.”
En daar draait het hele verhaal om.
Afhankelijkheid zonder zichtbaarheid is geen samenwerking — het is gijzeling.
“NIS2 waarschuwde ons. En Bpost en de luchthavens bewezen waarom.”
De experts verwijzen naar dezelfde drie domeinen waarin het ENISA-rapport aangeeft dat Europa het zwaarst tekortkomt:
- patching en kwetsbaarheidsbeheer
- business continuity
- supply-chain governance
Bij Bpost leidden die tekortkomingen tot een nationale logistieke crisis.
Bij de luchthavens tot een continentale transportchaos.
Het pijnpunt is identiek:
kritieke systemen werden nooit écht doorgelicht, alleen oppervlakkig beoordeeld.
Danny herinnert zich de woorden van een luchthaven-CIO:
“We wisten dat de leverancier geen pentests deed, maar we hadden geen tijd om hen te vervangen. We dachten: wat kan er misgaan?”
Hij zucht.
“Alles. Alles kon misgaan.”
“Europa’s digitale toekomst valt of staat met de kleinste leverancier”
De experts zijn het erover eens dat wat we zagen bij Bpost en in de luchthavens geen incidenten waren, maar symptomen. Symptomen van een continent dat afhankelijk werd van technologie, maar niet van transparantie.
Voor elke grote speler die denkt dat zijn security op orde is, waarschuwen Zeegers en Van der Plas hetzelfde:
Je bent nooit beter beveiligd dan jouw minst volwassen leverancier.
En dat is geen theoretisch risico meer — het is een bewezen feit.
Harry voegt eraan toe:
“We hoeven geen Hollywoodhackers te vrezen. We moeten bang zijn voor het gebrek een Secure Development by Design waar iedereen vol vertrouwen over kijkt.”
Europa en bedrijven staan in 2026 op een kruispunt.
De ene weg leidt naar een gefragmenteerd, kwetsbaar digitaal continent.
De andere naar een Europa waarin cyberweerbaarheid gedeeld, systemisch en diep ingebed is — zelfs bij de kleinste leverancier.
NIS2 is het kompas. De bestemming hangt af van de keuzes die jullie vandaag maken.
Wanneer Danny Zeegers en Harry Van der Plas eind 2025 terugkijken op de turbulente jaren waarin NIS2, DORA en GDPR de Europese digitale wereld hertekenden, klinkt er verrassend veel optimisme in hun stem. Niet omdat de uitdagingen verdwenen zijn, maar omdat ze zien hoe organisaties door die druk sterker zijn geworden.
Harry zegt het met een glimlach:
“We hebben gezien hoe compliance soms voelde als een verplicht nummer. Maar dit jaar zagen we iets nieuws: bedrijven die ontdekten dat compliance het verschil maakt tussen overleven en excelleren.”
Danny vult aan:
“Het mooiste is dit: organisaties die eerst worstelden met NIS2, zijn nu de organisaties die sneller reageren, beter samenwerken en meer vertrouwen krijgen van klanten. Compliance maakte hen niet trager — het maakte hen slimmer.”
Volgens beide experts is dit het keerpunt waar Europa op zat te wachten. Niet langer een continent dat achter de feiten aanloopt, maar één dat proactief bouwt aan een veilig digitaal fundament. En ze benadrukken dat deze groei niet alleen door technologie komt, maar vooral door mensen die verantwoordelijkheid opnemen, samenwerken en durven verbeteren.
“Compliance heeft ons gedwongen te kijken naar wat écht belangrijk is,” zegt Harry.
“Het heeft zwakke plekken zichtbaar gemaakt, maar vooral: het heeft kansen zichtbaar gemaakt.”
Ze zijn blij dat hun klanten en bedrijven door hun NIS2-inspanningen:
- sneller herstellen van incidenten,
- efficiëntere processen ontwikkelen,
- veiliger cloudoplossingen adopteren,
- sterker uit leveranciersrelaties komen,
- en een cultuur van vertrouwen opbouwen.
Danny zegt het eenvoudig:
“Je ziet het in elke audit: organisaties die compliance omarmen, bloeien.”
En dat is volgens hen de essentie van 2025: het inzicht dat beveiliging en bedrijfswaarde geen tegenstelling vormen, maar elkaar versterken.
Regelgeving bleek geen rem, maar een katalysator.
“Cybersecurity is niet langer de afdeling van ‘nee’,” lacht Harry.
“Het is de afdeling die organisaties vooruit helpt. Compliance is de brandstof die dat mogelijk maakt.”
En hun boodschap aan alle bedrijven, groot en klein?
“Zie compliance niet als last, maar als kans.
Niet als een verplichting, maar als een hefboom.
Niet als het einde van innovatie, maar als de basis waarop innovatie veilig kan groeien.”
Danny sluit af met woorden die elke bestuurder zou moeten horen:
“De toekomst zal altijd onzeker zijn. Maar een organisatie die compliant is, is geen organisatie die zich verstopt achter regels — het is een organisatie die klaar is voor alles wat komt.”
