woensdag, 11 februari 2026

Lucifera.eu

Waar de duisternis bezwijkt en het licht zijn eeuwige heerschappij vestigt

Lucifera.eu

Waar de duisternis bezwijkt en het licht zijn eeuwige heerschappij vestigt

Een kritische analyse van de benodigdheden voor het terugdringen van cybercriminaliteit in Nederland

Lucifera014 minuten
Cybercriminaliteit

Cybercriminaliteit vormt een groeiende bedreiging voor Nederland. Digitale systemen en dataverkeer maken het mogelijk om met één druk op de knop grootschalige aanvallen uit te voeren, met verstrekkende gevolgen voor zowel de economie als de samenleving. Met name beleidsmakers en burgers staan voor de uitdaging om de inzet van digitale technologieën af te stemmen op de noodzakelijke veiligheidsmaatregelen. Dit artikel biedt een multidisciplinaire, kritische analyse van de voorwaarden voor een effectieve bestrijding van cybercriminaliteit, met aandacht voor:

  1. Beleidsmatige perspectieven
  2. Technische perspectieven
  3. Juridische perspectieven
  4. Perspectief vanuit bedrijven
  5. Perspectief vanuit burgers

Aan het einde volgt een woordverklaring waarin veelvoorkomende termen uit de cyber­security- en beleidswereld worden toegelicht. De beoogde lezers zijn zowel beleidsmakers (die verantwoordelijk zijn voor wet- en regelgeving en financiering) als burgers (die onderdeel uitmaken van het verdedigingsfront door eigen weerbaarheid en bewustwording).

1. Beleidsmatig: van strategievorming tot uitvoering

1.1 Noodzaak van een integrale nationale cyberstrategie

  • Samenhang tussen beleid en uitvoering: Zonder eenduidige coördinatie tussen ministeries (EZK, BZK, Justitie & Veiligheid), toezichtinstanties (Autoriteit Persoonsgegevens) en uitvoeringsorganisaties (NCSC, DTC) ontstaan lacunes. Een integrale strategie moet zowel de taken voor preventie als handhaving duidelijk definiëren.
  • NLCS 2022–2028 (Nederlandse cybersecuritystrategie): Dit beleidsdocument legt nadruk op “verhoogde weerbaarheid” door:
    • Een heldere governance-structuur onder leiding van het NCSC.
    • Verantwoordelijkheden voor vitale sectoren (energie, water, telecom, gezondheidszorg).
    • Publiek-private samenwerkingsverbanden (bijv. Cyberweerbaarheidsnetwerk).
      – NIS2-implementatie (zie 1.2).
      Kritiek: Tot medio 2025 is gekozen voor gefaseerde financiering. Beleidsmakers moeten garanderen dat budgetten versneld beschikbaar komen, zodat mkb en lokale overheden niet achterlopen.

1.2 Implementatie van Europese richtlijnen (NIS2 & CER)

  • NIS2-richtlijn (Network and Information Security):
    • Verplicht essentiële en belangrijke entiteiten (bijv. ziekenhuizen, energiebedrijven, internetprovider) om basale cybersecuritymaatregelen te nemen en incidenten te melden.
    • Vereist rapportage van zware incidenten binnen 24 uur aan de nationale bevoegde autoriteit (in Nederland: Agentschap Telecom onder CBW).
    • Introduceert hogere boetes (tot € 10 miljoen of 2 % van de wereldwijde jaaromzet bij niet-naleving).
      Huidige status: Nederland heeft de NIS2 in maart 2025 formeel in de Europese richtlijn omgezet via de Cyberbeveiligingswet (CBW), maar voorlopige onduidelijkheden over welke kleine subsidiarissen binnen vitale sectoren onder de richtlijn vallen, leiden tot interpretatieverschillen .
  • CER-richtlijn (Critical Entities Resilience): Gericht op verhoogde weerbaarheid van kritieke infrastructuren.
    • Eist dat lidstaten risico’s in kaart brengen en plannen opstellen om functionaliteit te waarborgen bij ernstige incidenten (niet alleen cyber).
      Kritische opmerking: Nederland heeft nog geen uniform risicoregister op landelijk niveau, waardoor sectorale plannen niet altijd goed op elkaar aansluiten. Beleidsmakers moeten de CER-risicobeoordelingen per sector integreren in één nationaal register.

1.3 Financiering en capaciteitsopbouw

  • Gerichte subsidieprogramma’s: Het mkb (99 % van alle Nederlandse bedrijven) scoort gemiddeld laag op basismaatregelen (ca. 65 % compliance op 12 categorieën, tegenover 80 % bij grote ondernemingen). Subsidies (bv. ‘Cybervouchers’) kunnen mkb in de praktijk snel weerbaarder maken:
    1. Vouchers tot € 5 000 voor kwetsbaarheidsscans en implementatieadvies (MFA, patchmanagement, firewall).
    2. Fiscale aftrekpost voor investeringen in securityaudits en awareness­trainingen.
      Aanbeveling: Garandeer structurele toekenning voor drie jaar, met jaarlijkse monitoringsrapportage.
  • Investeren in opsporing en forensische capaciteit:
    1. De politie (Landelijke Eenheid) beheert een gespecialiseerde cybercrime-afdeling inclusief crypto-analyse­laboratorium.
    2. Justitie & Veiligheid maakt € 26 miljoen vrij tot 2027 voor extra personeel en tooling.
      Kritiek: Een groot deel van dit budget gaat naar opsporing, terwijl preventieve projecten (voorlichting en opleidingen) onderbedeeld blijven. Beleidsmakers moeten een deel van het budget expliciet bestempelen voor:
    3. Voorlichtingscampagnes (burgers, mkb).
    4. Regionale capaciteit (veiligheidsregio’s, GGD’s) om rapportages en incidentmeldingen te ontvangen en eerste adviezen te verstrekken (CWN-model).

1.4 Publiek-Private Samenwerking (PPS)

  • Cyberweerbaarheidsnetwerk (CWN): Verzamelt lokaal dreigingsinformatie via partners (GGD, branche­verenigingen), die wordt verrijkt door NCSC en integraal teruggevoerd naar regionale partners.
  • Landelijk detectienetwerk (NDN): Samenwerking NCSC, AIVD, MIVD, sectorpartijen om geavanceerde dreigingen (nationaal en internationaal) snel te delen met vitale sectoren.
    Kritisch punt: Informele communicatiekanalen (Slack-groepen, mailinglijsten) functioneren nog te versnipperd. Er is behoefte aan één beveiligd intelligenceplatform met dual-authorization (goedgekeurd door NCSC) voor alle PPS-deelnemers.

1.5 Continu monitoren en evalueren

  • Nulmeting en periodieke evaluaties: WODC-rapport (februari 2024) benadrukt gebrek aan zicht op vertrouwelijke activiteiten bij inlichtingen- en veiligheidsdiensten. Introduceer een onafhankelijk evaluatieorgaan (combinatie van AP, Onderzoeksraad voor Veiligheid, externe experts) dat jaarlijks publiekelijk rapporteert over:
    1. Mate van NIS2-compliance.
    2. Aantal gerapporteerde incidenten en uitkomst van onderzoeken.
    3. Effectiviteit van preventiecampagnes (KPI’s: stijging cyberbewustzijn bij burgers/mkb, daling succesvolle phishingpogingen).

2. Technisch: versterking van de digitale verdediging

2.1 Fundamentele maatregelen voor alle organisaties

  1. DNSSEC (Domain Name System Security Extensions):
    • Beveiligt DNS-antwoorden tegen manipulatie.
    • Nederland heeft in 2024 een adoptiegraad van 62 % .nl-domeinen met DNSSEC, maar mkb-bedrijven lopen achter.
    • Aanbeveling: Maak DNSSEC voor alle zakelijke .nl-domeinen verplicht vóór 1 januari 2026.
  2. Encryptie in Transit en Rust:
    • In Transit: Verplicht TLS 1.3 (Transport Layer Security) voor alle externe en interne communicatie tussen systemen.
    • In Rust: Data-at-rest moet minimaal AES-256 versleuteld zijn.
    • Aanbeveling: Neem deze standaarden op in aanbestedingscriteria voor overheids­systemen en leidinggevende vitale sectoren.
  3. Security by Design & Zero Trust-architectuur:
    • Security by Design: Beveiligingsprincipes integreren in het ontwerpproces van software en infrastructuur (bijv. threat modelling, code-reviews).
    • Zero Trust: Elke toegang tot netwerk­ resources wordt continu geauthenticeerd en geautoriseerd (microsegmentatie, multifactorautorisatie, continuous monitoring).
    • Aanbeveling: Verplicht bij overheidsprojecten en aanbestedingen dat leveranciers een Zero Trust-conceptueel ontwerp opleveren, inclusief Proof of Concept-rapporten.

2.2 Geavanceerde detectie­- en responstechnologieën

  1. Security Information and Event Management (SIEM):
    • SIEM-systemen verzamelen en correlateren logdata (firewalls, servers, applicaties).
    • Cruciaal in kritieke sectoren om vroegtijdig anomalieën te signaleren (bv. abnormaal uitgaand dataverkeer).
    • Aanbeveling: Sectorale NIS2-entiteiten (alleen vitale infrastructuren) verplichten om SIEM actief te gebruiken en connecties met threat–intelligencefeeds te onderhouden.
  2. Endpoint Detection & Response (EDR):
    • Installeert agents op endpoints (werkstations en servers) om realtime verdachte processen, ongebruikelijke bestandswijzigingen en memory-injecties te detecteren.
    • Belangrijk om ransomware- of APT-aanvallen in de bijtijds te isoleren.
    • Aanbeveling: Bedrijven vanaf 50 fte in vitale sectoren moeten EDR verplicht laten draaien. Overheden geven subsidie voor kleine mkb’ers om EDR-oplossingen aan te schaffen.
  3. Network Detection & Response (NDR) / Next-Gen Firewalls:
    • NDR-systemen analyseren netwerk­verkeer om lateral movement (zijdelingse verspreiding) van aanvallers op te sporen.
    • Next-Gen Firewalls bieden Layer 7-inspectie, IPS (Intrusion Prevention System) en deep‐packet inspection.
    • Aanbeveling: Minimumvereiste voor kritieke sectoren, in combinatie met SIEM en EDR, om end-to-end zichtbaarheid te waarborgen.
  4. AI- en Machine Learning-gedreven tools:
    • Anomaliedetectie op basis van gedragsanalyse (User and Entity Behavior Analytics, UEBA).
    • Automatische prioritering van alerts en forensische correlatie.
    • Aanbeveling: Stimuleer PPP-projecten waarbij universiteiten (TU Delft, Universiteit Leiden) en marktfabrikanten (Thales, Fox-IT-dochter Nixu) samenwerken.

2.3 Toeleveringsketen (Supply Chain) veiligheid

  1. Software Bill of Materials (SBOM):
    • Een lijst van alle softwarecomponenten en bibliotheken die in een applicatie of systeem zitten.
    • Maakt het mogelijk om snel te detecteren of een kwetsbare component (bv. log4j) aanwezig is.
    • Aanbeveling: Maak per 2026 een SBOM-verplichting voor alle leveranciers aan overheidsinstanties en energie-/waterbedrijven.
  2. Leveranciersscorecards en certificeringen:
    • Scorecards beoordelen leveranciers op basis van ISO 27001-certificering, onafhankelijke penetratietesten en incidentresponscapaciteit.
    • Aanbeveling: Implementeer een nationaal platform waarin leveranciersscorecards centraal beschikbaar zijn voor mkb en corporates, aangevuld met een keurmerk (bijv. “Keurmerk Veilige Software”).

3. Juridisch: kader, handhaving en respons

3.1 Uitbreiding en verbetering van strafrechtelijke instrumenten

  1. Wet Computercriminaliteit III (WCC III):
    • Oprichtte de bevoegdheid voor undercover opsporing (heimelijk binnendringen in geautomatiseerde werken).
    • Biedt mogelijkheden voor “terughacken” (counter–hacking), maar de toepassing is aan strikte voorwaarden gebonden.
      Kritiekpunten:
    • Privacy-risico’s: Onvoldoende transparantie over logging en opslag.
    • Ontbreken van decryptiebevel: Merrit dat politie niet altijd versleutelde communicaties kan ontcijferen (bijvoorbeeld Telegram Meta-groepen).
    • Aanbeveling:
      1. Decryptiebevel herintroduceren onder wettelijke zekerheden (proportionaliteitstoets, rechterlijke machtiging), om versleutelde communicatie te kunnen ontsleutelen bij ernstige misdrijven.
      2. Aanpassing toezichtkader: Stel een onafhankelijk toezicht­ orgaan in dat de toepassing van heimelijk binnendringen en decryptie­bevelen toetst (bijv. onder de Autoriteit Persoonsgegevens).
  2. Strafrechtelijke verzwaringen en boetes (NIS2):
    • Organisaties (essentiële en belangrijke entiteiten) riskeren boetes van maximaal € 10 miljoen of 2 % van wereldwijde omzet bij ernstige niet-naleving.
    • Mogelijk wordt bestuurders­aansprakelijkheid geïntroduceerd: bestuursleden persoonlijk aansprakelijk houden voor nalatigheid in cybersecurity-beleid.
    • Aanbeveling: Introduceer expliciet in de CBW een bepaling voor bestuurders­aansprakelijkheid, met minimumvereisten voor bestuurlijke rapportages over cyberrisico’s (equivalent aan Sarbanes–Oxley in de VS).

3.2 Privacywetgeving en datalek­rapportage (AVG/GDPR)

  1. AVG/GDPR-compliance:
    • Organisaties moeten datalekken binnen 72 uur melden aan de Autoriteit Persoonsgegevens (AP).
    • Sommige mkb’ers zijn onvoldoende geïnformeerd over hun meldplicht; meldingen verlopen soms onvolledig of laat.
    • Aanbeveling: Publiceer een eenvoudig, gestandaardiseerd meldformulier en bijbehorende checklist (in samenwerking met de AP), specifiek gericht op mkb en non-profits.
  2. Ethische verplichtingen en burgerrechten:
    • Burgers hebben recht op inzage en verbetering van opgeslagen persoonsgegevens.
    • Bij grootschalige datalekken (zoals betalingsgegevens, medische data) moeten organisaties verplicht een “transparantieprotocol” volgen: directe melding aan betrokkenen, adviezen voor mitigatie (bv. identiteitscontrole) én monitoring door een onafhankelijke data-ombudsman.
    • Aanbeveling: Verplicht organisaties om, naast de verplichte AP-melding, binnen 48 uur alle betrokkenen persoonlijk te informeren wanneer privacygevoelige data is gelekt (bijv. inloggegevens, medische dossiers).

3.3 Internationale samenwerking en uitlevering

  • Europol en Eurojust:
    • Geavanceerde cybercrime-groepen opereren grensoverschrijdend. Nederland participeert in initiatieven zoals het Counter Ransomware Initiative (CRI).
    • Kritische kanttekening: Verdragen met niet-EU-landen (bijv. VS, Canada, Australië) bieden mogelijkheden voor snelle uitlevering van verdachten, maar worden soms vertraagd door bureaucratische complexiteit.
    • Aanbeveling: Bevorder bilaterale afspraken met “trusted partners” (VS, UK) specifiek gericht op cybercrime-uitlevering (versnelde procedures, digitale bewijsoverdracht).
  • Sancties en sanctietoetsing:
    • EU-sancties zijn gebruikt tegen groepen zoals Lazarus (Noord-Korea, achter WannaCry).
    • Aanbeveling: Werk samen met EU-partners om publieke zwarte lijsten van malafide dienstverleners (bulletproof hosting, anonieme VPN’s) op te stellen, en te handhaven via financiële sancties.

4. Vanuit bedrijven: uitdagingen en verantwoordelijkheden

4.1 MKB als risicofactor én kansenbrenger

  • Beperkte middelen en expertise:
    • Veel mkb’ers kennen de basismaatregelen (firewalls, antivirus) wel, maar weten niet hoe ze deze effectief implementeren.
    • 84 % van mkb-ondernemers noemt gebrek aan kennis als hoofdobstakel; 56 % geeft aan geen idee te hebben hoe een risicoanalyse uit te voeren .
    • Kansen: Mkb is flexibel en kan snel nieuwe technologieën adopteren als er duidelijke richtlijnen en subsidiemogelijkheden zijn.
  • Belemmeringen:
    • Hoge kosten voor geavanceerde tools: EDR, SIEM, NDR, en Security Operations Center (SOC)-diensten zijn relatief duur.
    • Onzekerheid over Return on Investment (ROI): Mkb kan niet altijd aantonen hoeveel een incident zou kosten, waardoor investeringen in cybersecurity worden uitgesteld.
    • Ketenrisico’s: Wanneer een mkb-leverancier van een vitale sector wordt gehackt (bv. een ICT-partner van een ziekenhuis), heeft dat grote gevolgen voor de uiteindelijke dienstverlener.
  • Aanbevelingen voor bedrijven & beleidsmakers:
    • Centrale mkb-ondersteuning via NCSC-loket:
      • Bied one-stop-shop-platform voor gratis risicoprofielen, sjablonen voor beleid en subsidietoegang.
      • Zorg dat mkb binnen 24 uur antwoord krijgt op simpele vragen (bijv. “hoe zet ik tweefactorauthenticatie op?”).
    • Cyber-verzekeringen op maat:
      • Ontwikkel samen met verzekeraars gestandaardiseerde polissen voor mkb, waarbij premiekorting wordt gegeven aan bedrijven die basismaatregelen (ISO 27001, NIST CSF) hebben geïmplementeerd.
      • Voorzie in “cyber-hygiene-checklists” als voorwaarde voor acceptatie (bijv. minimale patchupdatefrequentie, back-upstrategie).
    • Samenwerkingsverbanden en keteninitiatieven:
      • Stimuleer clusters binnen branches (ziekenhuizen, logistiek, agrifood) om gezamenlijk in threat intelligence en gemeenschappelijke SOC-diensten te investeren (kostenbesparing door schaalvoordelen).
      • Koppel mkb-aanbieders aan grotere corporates via “buddy-programma’s” waar grotere bedrijven kennis delen en mkb-locaties mogen aansluiten op hun SIEM-infrastructuur.

5. Vanuit burgers: bewustwording, zelfbescherming en inspraak

5.1 Cyberbewustzijn en digitale geletterdheid

  • Actuele stand van zaken:
    • Slechts 29 % van burgers voelt zich goed geïnformeerd over cyberrisico’s; 42 % van Nederlanders is ooit slachtoffer geweest van phishing, 11 % van ransomware (2024) .
    • Er bestaat een kenniskloof tussen digitale generaties (jongeren vs. ouderen).
  • Noodzakelijke maatregelen:
    • Nationaal voorlichtingsprogramma ‘CyberSense’:
      • Gericht op eenvoudige, interactieve content (game-achtige scenario’s, korte video’s, quizzen) om herkenning van phishing en veilige wachtwoordpraktijken te promoten.
      • Samenwerking met GGD’s om lokaal in buurthuizen en bibliotheken workshops te organiseren.
    • Curriculum voor digitale geletterdheid:
      • Begin al in de onderbouw van de basisschool met basisbegrippen (sterke wachtwoorden, malwareherkenning).
      • Maak cyberveiligheid verplichte module in VMBO en MBO-opleidingen.
    • Transparantie bij datalekken:
      • Verplicht organisaties om bij een datalek met privacygevoelige data (inloggegevens, medische dossiers, bankgegevens) binnen 48 uur alle betrokkenen persoonlijk en in begrijpelijke taal te informeren, én gratis ondersteuning te bieden (bv. kredietmonitoring).

5.2 Burgerparticipatie en meldpunten

  • Centrale meldknop & belangrijk telefoonnummer (0800-1600):
    • Burgers kunnen verdachte e-mails, websites of telefonische oplichters (spoofing) melden.
    • Meldingen worden samengebracht in een nationaal dataplatform dat threat intelligence voedt en input levert voor campagne-aanpassingen.
  • Beschermingsmaatregelen voor kwetsbare groepen:
    • Ouderen en mensen met verstandelijke beperkingen zijn extra vatbaar voor online fraude (rommelsoftware, neptelefoontjes).
    • Aanbeveling: Stel “digitale buddies” (vrijwilligers) aan die periodiek langs de alleenstaande ouderen gaan om hen te helpen instellingen (bv. antivirus, wachtwoordbeheer) up‐to-date te houden.

Samenvattend

Het terugdringen van cybercriminaliteit in Nederland vereist een gecoördineerde, multidimensionale aanpak waarin beleidsmakers, technici, juristen, bedrijven én burgers hun verantwoordelijkheden nemen. De kernpunten zijn:

  1. Beleidsmatig
    • Versnelde en eenduidige implementatie van NIS2/CER (Cyberbeveiligingswet).
    • Duidelijke governance onder NCSC, DTC en CSIRT.
    • Gerichte financiering (cybervouchers, mkb-subsidies, preventiebudgetten).
    • Continue evaluatie en sturing via een onafhankelijk evaluatieorgaan.
  2. Technisch
    • Verplichting voor DNSSEC, TLS 1.3, AES-256, Security by Design en Zero Trust.
    • Breed gebruik van SIEM, EDR, NDR en AI-gedreven detectie-tools in vitale sectoren.
    • Transparantie en verificatie in toeleveringsketens via SBOM’s en leveranciers-scorecards.
  3. Juridisch
    • Uitbreiding WCC III met een gecontroleerd decryptiebevel en onafhankelijke toetsing.
    • Hoge boetes en bestuurlijke aansprakelijkheid conform NIS2.
    • Praktische AVG/GDPR-handvatten voor mkb (gestandaardiseerde meldformulieren).
    • Versnelde internationale uitleverings- en sanctieprotocollen.
  4. Bedrijven (vooral MKB)
    • Centrale mkb-ondersteuning (NCSC-loket), cybervouchers en fiscale prikkels.
    • Keteninitiatieven met gedeeld threat intelligence en gezamenlijke SOC-diensten.
    • Cyberverzekeringen op basis van concrete cyber-hygiene-checks.
    • Actieve deelname aan brancheverenigingen voor gezamenlijke audits.
  5. Burgers
    • Nationaal voorlichtingsprogramma en lokale workshops.
    • Verplichte digitale geletterdheid in onderwijs.
    • Transparante, begrijpelijke datalekmeldingen en gratis nazorg.
    • Meldpunten (0800-1600) en ondersteuning voor kwetsbare groepen.

Zonder deze integrale benadering blijft het risico op grootschalige aanvallen, zoals ransomware-uitbraken bij ziekenhuizen of datalekken bij financiële instellingen, te groot. Alleen door heldere beleidskaders, geavanceerde technische oplossingen, juridisch robuuste instrumenten, betrokken en weerbare bedrijven én digitaal weerbare burgers kan Nederland cybercriminaliteit op de lange termijn effectief terugdringen.

Woordverklaring

  1. AVG (Algemene Verordening Gegevensbescherming)
    Europese privacywetgeving die regels stelt voor het verwerken van persoonsgegevens en onder meer een meldplicht bij datalekken voorschrijft.
  2. AES-256 (Advanced Encryption Standard met een sleutelgrootte van 256 bits)
    Een sterke methode voor data-encryptie, zowel voor data-in-transit als data-at-rest. Beschouwd als vrijwel onkraakbaar.
  3. API (Application Programming Interface)
    Een set regels waarmee softwarecomponenten met elkaar kunnen communiceren. In cybersecuritycontext ook kwetsbaarhedenbron (bijv. onbeveiligde endpoints).
  4. AVG/GDPR-compliance
    Het naleven van alle eisen uit de AVG/GDPR, zoals het melden van datalekken binnen 72 uur en het minimaliseren van data­verzameling.
  5. Boeteplafonds NIS2
    NIS2 stelt dat niet-naleving door essentiële/ belangrijke entiteiten kan leiden tot boetes tot € 10 miljoen of 2 % van de wereldwijde jaaromzet (het hoogste bedrag).
  6. CBW (Cyberbeveiligingswet)
    Nederlandse wetgeving die de NIS2-richtlijn in de nationale context implementeert. Reguleert rapportageverplichtingen, bestuurlijke boetes en handhavings­bevoegdheden.
  7. CER (Critical Entities Resilience)
    EU-richtlijn voor het borgen van de weerbaarheid van kritieke infrastructuur tegen gevarieerde dreigingen (niet alleen cyber).
  8. Decryptiebevel
    Bevoegdheid voor politie/justitie om verdacht versleutelde communicaties te ontcijferen, mits onder strikte voorwaarden en met rechterlijke machtiging.
  9. DNSSEC (Domain Name System Security Extensions)
    Beveiliging van DNS door digitale ondertekening van DNS-records, waarmee man-in-de-middle-aanvallen op DNS-niveau worden voorkomen.
  10. EDR (Endpoint Detection & Response)
    Software die verdachte activiteiten op endpoints (werkstations, laptops, servers) detecteert en daarop reageert (bijvoorbeeld isolatie, quarantaine).
  11. GDPR (General Data Protection Regulation)
    Engelse afkorting voor de AVG (zie definitie 1).
  12. Heimelijk binnendringen
    Term uit de WCC III, waarmee opsporingsdiensten onder strikte voorwaarden en met rechterlijke toestemming computersystemen heimelijk mogen binnendringen om bewijs te verzamelen of verdachten te volgen.
  13. Infra­structuur (vitale infrastructuur)
    Fysieke en digitale assets die cruciaal zijn voor de continuïteit van de maatschappij (energiecentrales, telecomkabels, watervoorziening, ziekenhuizen).
  14. ISO 27001
    Internationale norm voor een Information Security Management System (ISMS). Legt eisen op voor opzet, implementatie, onderhoud en doorlopende verbetering van informatiebeveiliging.
  15. MFA (Multi-Factor Authentication)
    Tweefactorauthenticatie of meervoudige verificatie: een methode waarbij gebruikers twee (of meer) onafhankelijke factoren moeten presenteren om in te loggen (bijv. wachtwoord én sms-code).
  16. NCSC (Nationaal Cyber Security Centrum)
    Domeinspecialistisch kennis- en coördinatiecentrum onder de vlag van het Ministerie van Veiligheid en Justitie dat verantwoordelijk is voor advisering, crisismanagement, dreigingsinlichtingen en voorlichting.
  17. NDR (Network Detection & Response)
    Technologie die netwerkverkeer continu analyseert om geavanceerde bedreigingen en laterale bewegingen in kaart te brengen.
  18. Nulmeting NLCS
    Eerste meting langs opge­gestelde KPI’s om te bepalen hoe cyberveilig Nederland staat op thema’s als governance, bewustwording en technische weerbaarheid. Wordt jaarlijks herhaald.
  19. Ransomware
    Malware die bestanden op een geïnfecteerde computer of netwerk versleutelt en losgeld eist (vaak in cryptovaluta) voor de decryptiesleutel.
  20. SIEM (Security Information and Event Management)
    Een systeem dat logdata verzamelt, correleert en analyseert om dreigingen vroegtijdig te detecteren. Valideert verdacht gedrag aan de hand van configurabele rules of AI-algoritmes.
  21. SBOM (Software Bill of Materials)
    Gedetailleerde lijst van alle componenten (inclusief bibliotheken en afhankelijkheden) die in software of firmware zijn verwerkt. Essentieel voor supply chain-beheer van kwetsbaarheden.
  22. Threat Intelligence
    Gegevens over actuele bedreigingen (IP-adressen, domeinen, malware-signaturen) die organisaties gebruiken om hun verdediging te verbeteren. Meestal beschikbaar via openbare of gesloten feeds.
  23. WCC III (Wet Computercriminaliteit III)
    Nederlandse wet (in werking sinds 2021) die de politie bevoegdheden verleent voor proactief en heimelijk opsporen, onder andere door ondercover onderzoek op digitale systemen.
  24. Zero Trust
    Beveiligingsprincipe waarbij geen enkele gebruiker, apparaat of netwerksegment standaard wordt vertrouwd. Toegang wordt continu gevalideerd op basis van identiteit en context (locatie, tijdstip, apparaatstatus).

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Gerelateerd nieuws