Herken je dit? Onze maatschappij lijkt nieuwe technologieën snel en zonder beperkingen te adopteren en houdt vaak pas rekening met de beveiliging als het uit de hand dreigt te lopen. Regelgevers proberen dan gaten in de beveiliging te dichten, bijvoorbeeld door middel van NIS2, lang nadat systemen zijn gebouwd.

Dit roept een belangrijke vraag op: Is cybersecurity een kernthema in uw digitale transformatie, of slechts een bijzaak? In deze nieuwsbrief onderzoekt Dirk Jan van den Heuvel, Managing Director bij Secura, de hoge kosten van dit soort reactieve beveiliging en geeft hij zijn visie op hoe dit op te lossen.

Worsteling met transformatie

"De enige constante is verandering.” Dit gold 2500 jaar geleden, en geldt nog steeds. Onze wereld verandert en we worstelen vaak om slim om te gaan met transformatie. Of het nu gaat om de energietransitie, de opkomst van elektrische voertuigen of de toepassing van AI, het algemene patroon lijkt te zijn: we handelen te laat en reageren reactief. Eerst omarmen we nieuwe technologieën zonder grenzen. Vervolgens, als de risico's te groot worden, gooien we alles overhoop om controles op te leggen.

We halen altijd alles in

Ik zie hetzelfde patroon bij digitalisering. Eerst sloegen we alle gevoelige gegevens op in databases - om ons later de privacyrisico's te realiseren en regelgeving zoals GDPR in te voeren. Daarna verplaatsten we gegevens naar de cloud, om ons vervolgens af te vragen wie er eigenlijk de controle over heeft. Nu worden overheden wakker geschud door het feit dat kritieke infrastructuur sterk afhankelijk is van gekoppelde IT-systemen, terwijl cyberbeveiliging vaak een bijzaak is. Deze vertraagde reactie is precies de reden waarom NIS2 nu wordt afgedwongen.

Sommigen zeggen misschien: “NIS2 kwam net op tijd; gelukkig zijn er in de westerse wereld nog geen grote cyberincidenten geweest.” Maar in de tussentijd zijn talloze legacysystemen en organisaties gebouwd zonder rekening te houden met beveiliging. Zelfs met NIS2-controles zullen ze niet zo veilig zijn als wanneer cyberbeveiliging vanaf het begin deel uitmaakte van hun basis.

De echte uitdaging is om te beslissen of cyberbeveiliging een kernelement van digitale transformatie moet zijn of slechts een dekmantel voor kwetsbaarheden die al bestaan.

We moeten de cyclus van reactieve cyberbeveiliging doorbreken

We moeten deze cyclus doorbreken. Wachten tot risico's uitgroeien tot crises is niet duurzaam - zeker niet met de opkomst van IoT, AI en verdere digitale transformaties. Cyberbeveiliging is geen probleem dat kan worden opgelost met snelle oplossingen. Toch is dit de manier waarop we het benaderen, als een laag verf om barsten in de fundering te bedekken.

A call for proactive security

At Secura / Bureau Veritas Group , we advocate for a proactive, integrated approach to cybersecurity. This means embedding security at every level—human, technical, and organizational—starting at the design phase.

Key principles we follow include:

• Defense in depth: Multiple layers of protection.
• Least privilege: Limiting access to only what’s necessary.
• Separation of duties: Avoiding single points of failure.
• Security by design: Building systems with security as a core principle.
• Simplicity: Reducing complexity to minimize vulnerabilities.

These principles are not just best practices—they are essential to avoid the costly mistakes of reactive security. Making cybersecurity a core function rather than a cover for inadequate systems will define the future of digital resilience.

The time to act is now

The cybersecurity community must shift its mindset from reaction to prevention. This requires not only developers and users of connected technology to change, but also suppliers of cybersecurity solutions.

At Secura/Bureau Veritas, we’re ready to help you embed security into your digital transformations from day one. Let’s work together to move beyond reaction—and start building resilience.