En waarom uw IT-afdeling dat probleem niet alleen kan oplossen. De meeste organisaties die serieus bezig zijn met NIS2 richten zich op wat ze kennen: het IT-landschap. Servers, werkplekken, Microsoft 365, cloudomgevingen. Begrijpelijk — maar in food, manufacturing en energie zit een tweede wereld. Een wereld van PLC's, SCADA-systemen, besturingsnetwerken en remote verbindingen naar machineleveranciers. Operationele Technologie — OT. En die wereld wordt bij NIS2-implementaties

Vorige week zag ik op LinkedIn de berichten voorbijkomen over Delve. Een Amerikaanse compliance-startup, gewaardeerd op $300 miljoen, ontmaskerd via een anoniem whistleblower-onderzoek. 494 valse audit-rapporten. ISO 27001, SOC 2, HIPAA, GDPR — allemaal nep. Auditconclusies geschreven voordat er ook maar één control was getoetst. Bewijsmateriaal gefabriceerd voor medewerkers die nooit waren onboarded. Certificeerders die tekenden wat er voor hen lag. Ik las het, en dacht twee

Elke organisatie heeft al AI-gebruik — de meeste weten het alleen niet. De AI Act verplicht organisaties tot risicogebaseerd beleid, ongeacht of dat beleid al is vastgesteld. Dit stappenplan helpt u dat gestructureerd op te bouwen, met NIS2 als aanvullend kader voor organisaties die onder die wet vallen. Het probleem dat al bestaat Terwijl u vergaderde over AI-beleid, uploadde uw technische dienst innovatieplannen naar een gratis AI-tool. Dit is geen hypothetisch scenario. He

Gepubliceerd door Erik Bos | MijnItManager.nl | Interim CIO, Informatiebeveiliging & Compliance Er zijn datalekken waarbij systemen worden gehackt, servers worden gegijzeld of medewerkers op phishinglinks klikken. Die verschijnen in het nieuws, worden gemeld bij de AP en leiden tot crisisoverleg. En dan zijn er de andere datalekken - de stille, structurele, bijna onzichtbare. De kraan die al maandenlang druppelt terwijl niemand ernaar kijkt. AI-integraties in browsers zijn z

Ik begeleid bedrijven in kortdurende NIS2-implementatietrajecten, grotendeels gebaseerd op ISO 27001-richtlijnen plus de verplichte extra elementen uit de NIS2-richtlijn. Het proces is overzichtelijk: Risico-analyse met de directie  - Welke systemen zijn kritiek? Wat zijn de grootste dreigingen? Interviews met sleutelfunctionarissen  - IT, kwaliteit, operatie, HR, finance Gap-analyse  - Waar staan we nu, waar moeten we naartoe? Beleid op maat schrijven  - Geen standaard templ

Door Erik Bos, Interim CIO & Security Compliance Specialist De paradox van uitbesteden Organisaties besteden hun IT uit om ontzorgd te worden. Maar steeds vaker zie ik dat de "ontzorging" zich omkeert in een blinde vlek: niemand checkt of de Managed Service Provider (MSP) zelf wel veilig werkt. Het gevolg? Een significant deel van alle ransomware-aanvallen komt via een dienstverlener binnen. Niet via phishing. Niet via kwetsbaarheden in je eigen systemen. Maar via de partij d

De grootste misvatting die ik de afgelopen 15 jaar in de Zorg-ICT ben tegengekomen? "Criminelen zijn niet geïnteresseerd in onze cliënten; we hebben immers geen miljoenen op de bank staan." De harde cijfers vertellen een ander verhaal. De zorgsector is momenteel een van de zwaarst getroffen sectoren door ransomware in Europa, met een stijging van maar liefst 25%  in het afgelopen jaar. En dat is geen toeval. Voor een cybercrimineel is een zorginstelling geen plek van barmhart

Publieke wifi is niet je grootste cybersecurity risico Door Erik Bos | Interim CIO & Security Compliance Specialist Iedereen kent het advies. "Gebruik nooit openbare wifi, want hackers liggen op de loer." Het wordt geroepen op awareness-trainingen, staat in beveiligingspolicies en wordt klakkeloos herhaald door IT-afdelingen die het gevoel willen hebben dat ze iets nuttigs doen. Maar eerlijk? Voor de meeste organisaties is dit gevaar zwaar overdreven. En de obsessie ermee kos

Altios BV behaalt ISO27001-certificering Niemand begint aan ISO27001 omdat het leuk is... Maar sommige organisaties laten zien hoe waardevol het kan zijn. Recent begeleidde ik  Altios Cloud Experts  bij het ontwikkelen en implementeren van hun ISMS (Information Security Management System) voor ISO27001.  ISO27001 is de internationale norm voor informatiebeveiliging, die steeds vaker door klanten wordt vereist en waarmee tevens invulling kan worden gegeven aan het overgrote de

AI vergoot je cybersecurity risico's, maar op en een andere manier dan je waarschijnlijk denkt. Door Erik Bos | Interim CIO & Security Compliance Specialist De uitspraak verscheen in een presentatie. Het verwees zelfs naar een gerenommeerde onderzoeksinstelling, geleverd met de vanzelfsprekendheid van een vaststaand feit. En iedereen knikte. Dat is het moment waarop ik onrustig word. Niet omdat de uitspraak per se kwaadwillig was. Maar omdat ze iets blootlegt wat ik in boardr

In 2023 werd ik benaderd door een bedrijf dat tegen wat tegenslag was aangelopen in hun voornemen ISO27001, de internationale norm 📜 voor informatiebeveiliging, te implementeren. Een bedrijf nog wel dat zelf hoogwaardige diensten levert rondom informatiebeveiliging zoals consultancy, SOC (Security Information Center) en SIEM (Security Information and Event Management), Custodian.Rondom de techniek van Informatiebeveiliging hoefde ik Custodian niets bij te brengen, sterker no