Wat elke CEO zijn CISO vraagt voor vakantie – ON2IT

Wat elke CEO zijn CISO vraagt voor vakantie – ON2IT
Voor de CEO · Voor vakantie · Mei 2026

Wat elke CEO zijn CISO vraagt voor vakantie. Want terwijl je weg bent, landt Mythos.

De preview van Anthropic’s Claude Mythos wordt deze zomer uitgerold. In augustus is het in handen van aanvallers. Het CSA / SANS Mythos-Ready Security Program, ondertekend door meer dan 40 met naam genoemde CISO’s, waaronder Jen Easterly, Bruce Schneier, Heather Adkins en Rob Joyce, noemt het de meest ingrijpende verschuiving in offensieve AI-capaciteiten die de sector ooit heeft gezien. Je beveiligingsteam krijgt dit recht midden in het vakantieseizoen.

Het venster is reëel. NIS2 eerste compliance-auditdeadline: 30 June 2026. Toezichthouders, investeerders en boards verwachten steeds vaker dat organisaties aantoonbaar effectief cybersecuritybestuur en incidentresponsevermogen hebben. Beursgenoteerde bedrijven kunnen meldingsverplichtingen hebben na materiële cybersecurityincidenten. Het zomervenster sluit sneller dan het seizoen.

Stel je CISO deze vijf vragen voordat je met vakantie gaat. Laat ze antwoorden met bewijs, niet met aannames. De getekende bevestiging staat op pagina 8; die is bedoeld om je toezichtsverplichtingen als bestuurder te ondersteunen en blijft in je boarddossier.

1
Laat me zien wat er deze week op het internet is aangesloten. Niet vorig kwartaal. Deze week. Mythos vindt wat jij niet weet dat er bestaat. Een verouderde inventaris is erger dan geen inventaris.
2
Als Mythos uitkomt, hoeveel uur duurt het voor we gepatcht zijn? Geef me een getal, geen proces. Time-to-exploit is nu een kwestie van uren. Als je patch-SLA in weken wordt gemeten, ben je al te laat.
3
Als we vanavond te maken krijgen met een datalek, wie weet het als eerste: wij, onze klanten of de pers? De organisatie die het als eerste weet, bepaalt de respons, de communicatie en het herstel. Detectietijd is responstijd.
4
Wie heeft de sleutels tot onze kroonjuwelen? Loop me door de lijst. Als je CISO niet binnen drie minuten de bevoorrechte identiteiten op naam kan noemen, kan de auditor dat ook niet.
5
Bewijs me dat de blast radius begrensd is. Met bewijs, niet met aannames. “We hebben Zero Trust” is geen bewijs. Een live postuur-scherm wel. Pagina 6 legt uit hoe dat eruitziet.

De rest van deze briefing legt uit hoe goede antwoorden eruitzien, wat het daadwerkelijk stoppen van verspreiding betekent als managed strategie, en hoe één week on-site (SHERPA) je exact laat weten waar je staat, zonder dat je je ergens aan verbindt behalve aan het gesprek. De getekende bevestiging staat op pagina 8.

Uitsluitend voor informatiedoeleinden. Deze briefing geeft een samenvatting van het gepubliceerde CSA / SANS Mythos-Ready Security Program en verwijst naar regelgevende kaders, waaronder NIS2 (EU Directive 2022/2555 en nationale implementaties) en de SEC-openbaarmakingsregels voor cybersecurity (Item 1.05 of Form 8-K). Dit is geen juridisch, fiscaal of boekhoudkundig advies. Lezers dienen gekwalificeerd juridisch advies in te winnen over de toepassing van deze kaders op hun specifieke situatie.
Voor de CFO & General Counsel · One-pager

Je hebt al de tools gekocht. Maar niet de strategie.

US-bedrijven hebben het afgelopen decennium fors geïnvesteerd in netwerk-, endpoint-, identiteits- en cloudsecurity. De tools doen wat er op de verpakking staat. Wat ontbreekt, is de bedrijfsstrategie die ze verbindt met businessrisico, en de operationele discipline om, op verzoek, te bewijzen dat die strategie standhoudt als de board, je auditor of een klant ernaar vraagt. Dat is wat wij managen. Op de controls die je al bezit. Zodat een datalek een datalek blijft, en nooit een boardroom-event wordt.

Question 1
Haal je de strategie die je al betaald hebt uit de security stack die je al bezit?
Question 2
Als de board, je auditor, de SEC of een NIS2-toezichthouder vraagt “heb je nu grip op je beveiliging?” – kun je dan antwoorden met live bewijs, in plaats van een slide?
Question 3
Als er morgen een datalek is, blijft het bij één systeem – of wordt het de 8-K-melding, het NIS2-incidentrapport, de nieuwscyclus en de aandeelhoudersstrijd?
De bottom line

De volgende cyberaanval is geen kwestie van als meer. AI-gedreven aanvallers hebben de tijd van kwetsbaarheid tot exploit teruggebracht van weken naar uren. Toezichthouders, investeerders, klanten en boards verwachten steeds vaker dat organisaties aantoonbaar effectief cybersecuritybestuur en incidentresponsevermogen hebben. Beursgenoteerde bedrijven kunnen meldingsverplichtingen hebben na materiële cybersecurityincidenten. Meer tools kopen lost het probleem niet op. Strategie en operationele discipline wel, toegepast op de tools die je al bezit.

ON2IT beheert je bestaande security-investeringen op basis van één bedrijfsbrede Zero Trust-strategie. Geen rip-and-replace. Geen tweede SASE. Wij zetten de stack waar je al voor betaald hebt om in meetbare weerbaarheid, aantoonbaar live en on demand in AUXO™. Het resultaat: een beperkt incident in plaats van een materiële gebeurtenis. Operationeel risico in plaats van openbaarmakingsrisico.

De briefing hierna beschrijft hoe het werkt, hoe de vier getallen eruitzien die risico daadwerkelijk verlagen, en hoe één week on-site (SHERPA) je exact laat weten waar je staat, zonder een langlopend contract. De getekende bevestiging ter ondersteuning van je toezichtsverplichtingen als bestuurder staat op de voorlaatste pagina.

↓ Ga verder naar de briefing ↓

Je kunt de aanval niet stoppen.
Je kunt de verspreiding wel stoppen.

AI heeft de volgende cyberaanval onvermijdelijk gemaakt. Zero Trust als managed service: het verschil tussen een beperkt incident en een board-level event.
ON2IT – Zero Trust Innovators Mei 2026 Voor US C-Suite & Boards

De vijf vragen op pagina 1 vormen het gesprek. Pagina’s 3 tot en met 7 laten zien hoe goede antwoorden eruitzien. Je hebt al betaald voor de tools. Je hebt al het talent aangetrokken. Je hebt vorig jaar de audit al gehaald. Niets van dat alles stopt wat er aankomt. AI-gedreven aanvallers hebben de time-to-exploit teruggebracht van weken naar uren, zoals het CSA / SANS Mythos-Ready Security Program (april 2026) in detail documenteert. NIS2 wordt actief gehandhaafd; toezichthouders, investeerders en boards verwachten steeds vaker dat organisaties aantoonbaar effectief cybersecuritybestuur hebben; beide scheppen betekenisvolle verantwoordelijkheid voor het managementteam. De volgende cyberaanval is geen kwestie van als. De enige vraag die je werkelijk kunt beïnvloeden is hoe ver die zich verspreidt. Deze briefing beschrijft hoe het stoppen van die verspreiding eruitziet als strategie, hoe het wordt geoperationaliseerd als managed service op de controls die je al bezit, en hoe de eerste stap één week on-site is.

Wat het stoppen van de verspreiding daadwerkelijk inhoudt

Verspreiding stoppen is geen product. Het is een strategie met drie lagen, ingebed als cultuur, geoperationaliseerd via de controls die je al bezit. De lagen volgen deze volgorde; elke laag is het fundament voor de volgende.

Strategie
Kindervag’s vijfstappenmethodologie, in 2010 door een Forrester-analist in de VS beschreven. Definieer protect surfaces, breng transactiestromen in kaart, bouw Kipling-methodiek-beleid (“wie, wat, wanneer, waar, waarom, hoe”), microsegmenteer, monitor continu. Vendor-agnostisch van opzet. Dit is wat Zero Trust betekent, en wat de meeste Amerikaanse bedrijven nog altijd niet operationaliseren, ondanks dat ze de tools al hebben aangeschaft.
Cultuur
De organisatorische discipline die voorkomt dat de strategie terugvalt in productconfiguratie. SHERPA Onboarding Week installeert die on-site. AUXO™ beheert die over zes managementlagen: Strategie, Beleid, Architectuur, Engineering, Operations, Assurance. Doorlopende betrokkenheid houdt het operationeel, niet aspirationeel. Dit is wat Zero Trust laat beklijven.
Operationalisering
Je bestaande US security-investeringen, beheerd op basis van één Zero Trust-beleid. MDR Prevent™ beheert je netwerk-, endpoint-, identiteits- en SASE-controls op basis van één strategie, continu verhard, continu bewezen. Geen rip-and-replace. Geen tweede SASE. De vendors die je al gekozen hebt, doen nu het werk waarvoor je ze hebt aangeschaft. Dit is wat Zero Trust echt maakt.

11 Mythos-Ready acties. 8 vandaag geleverd. 3 eerlijke antwoorden.

In april 2026 publiceerden meer dan 40 met naam genoemde CISO’s, waaronder Easterly, Schneier, Adkins, Joyce, Reavis en Venables, 11 prioriteitsacties om AI-versnelde kwetsbaarheidsontdekking te overleven. De tabel hieronder geeft aan hoe elke actie vandaag al als onderdeel van MDR Prevent™ wordt geleverd. Acht direct. Twee samen met je engineeringteam. Één via ons partnerecosysteem. Elke bewering is onderbouwd, elke cel is eerlijk over wie wat levert.

# Prioriteitsactie Sev. ON2IT Levering Hoe
PA1 Richt agents op code & pipelines CRIT Partial LLM-gedreven code review via AUXO + partnerecosysteem; volledige VulnOps staat op de roadmap (zie PA11).
PA2 Vereis adoptie van AI-agents CRIT Advise SHERPA Week stelt het adoptiebeleid van de klant en de security-guardrails voor coding agents vast.
PA3 Verdedig je agents CRIT Delivers Agents worden een protect surface in ZT Step 1; Kipling-beleid in ZT Step 4 begrenst tools, blast-radius en escalatie.
PA4 Innovatie & acceleratiegovernance CRIT Delivers SHERPA Week brengt security, legal en engineering on-site samen met een ON2IT CISO + Enterprise Consultant.
PA5 Bereid je voor op continu patchen CRIT Delivers 24×7 GSOC triageert disclosure-golven; AUXO orkestreert wijzigingen zonder het ZT-beleid te doorbreken.
PA6 Actualiseer risicomodellen & rapportage CRIT Delivers SHERPA Week herformuleert boardmetrics rond containment + herstel; GSOC levert de bewijsstroom.
PA7 Inventariseer & reduceer aanvalsoppervlak HIGH Delivers ZT Step 1 (DAAS / Protect Surface) en Step 2 (Transaction Flows): de methodologie is hier speciaal voor ontwikkeld.
PA8 Harden je omgeving HIGH Delivers MDR Prevent™ Configuration-pillar + ZT Steps 3–4: segmentatie, egress filtering, phishing-resistant MFA, Kipling-beleid.
PA9 Bouw een deception-capability HIGH Partial Gedragsmonitoring + IOC-verrijking in GSOC; native canary/honey-token tooling is nog niet geproductiseerd.
PA10 Bouw een geautomatiseerde responscapaciteit HIGH Delivers MDR Prevent™ Expert IR-pillar + AUXO SOAR + vooraf geautoriseerde GSOC-playbooks. Klantrefeentie: <2 hrs MTTC.
PA11 Zet VulnOps op CRIT Partner Continu AI-gedreven kwetsbaarheidsontdekking geleverd via het ON2IT-partnerecosysteem; geïntegreerd in de MDR Prevent™-postuur van de klant.

MDR Prevent™ – drie pillars dragen het zware werk

De Mythos-Ready briefing herhaalt één boodschap: harden, containen, reageren op machinesnelheid. Precies zo is MDR Prevent™ gebouwd. De drie pillars hieronder zitten ingebed in de zes managementlagen van AUXO™ (Strategie, Beleid, Architectuur, Engineering, Operations, Assurance), zodat dezelfde Zero Trust-taal wordt gesproken in de boardroom, het change-ticket en de GSOC.

Configuration

Het platform harden: segmentatie, egress filtering, phishing-resistant MFA, secrets rotation, dependency lockdown, software minimalisatie.

→ PA7 · PA8

Zero Trust Policy

De Kipling-methode toegepast op elke protect surface, inclusief AI-agents als nieuwe asset class. Begrenst de blast-radius vóór exploitatie, niet erna.

→ PA3 · PA8

Expert Incident Response

24×7 GSOC, Nederlands-soeverein, AUXO-georkestreerd. Vooraf geautoriseerde containment-playbooks worden uitgevoerd op machinesnelheid; mensen handelen de zaken af die menselijke regie vereisen.

→ PA5 · PA9 · PA10

Zero Trust 5 stappen: de operationele volgorde

Kindervag’s vijfstappenmethodologie is geen marketingframing. Elke stap voldoet aan specifieke prioriteitsacties; de volgorde is wat het programma uitvoerbaar maakt in plaats van aspirationeel.

  1. Step 1: Definieer de protect surface (DAAS)
    Identificeer de data, assets, applicaties en services die er het meest toe doen, inclusief coding agents en andere AI-systemen als nieuwe asset class.
    voldoet aan PA7 · voeding voor PA3
  2. Step 2: Breng transactiestromen in kaart
    Trace hoe de protect surface daadwerkelijk communiceert met de rest van de omgeving. Zonder dit is segmentatie giswerk.
    ondersteunt PA7 · maakt PA8 mogelijk
  3. Step 3: Architecteer de Zero Trust-omgeving
    Plaats enforcement-punten waar stromen dat vereisen. Hier landen diepe segmentatie en egress filtering, beide expliciet benoemd in de Mythos-Ready briefing.
    voldoet aan PA8
  4. Step 4: Maak Zero Trust-beleid (Kipling-methode)
    Wie, wat, wanneer, waar, waarom, hoe: voor elke stroom, inclusief agent-naar-tool en agent-naar-data-aanroepen. Zo wordt PA3 (“Verdedig je agents”) geoperationaliseerd.
    voldoet aan PA3 · PA8
  5. Step 5: Monitor en onderhoud (GSOC)
    24×7 detectie, respons, patch-orkestratie. Vooraf geautoriseerde containment maakt van “menselijke snelheid in verdediging versus machinesnelheid in aanval” een concrete servicelevelbelofte.
    voldoet aan PA5 · PA10 · gedeeltelijk PA9

Vier getallen. Geen van alle zijn de kosten van een datalek.

Kostenraming na een datalek beschrijft de schade. Die schade volgt pas ná de nieuwscyclus. Wat er daarvóór toe doet, is wat je werkelijk kunt beïnvloeden: of de brand begint, hoe ver die zich verspreidt, wat je kunt bewijzen terwijl hij woedt, en hoe snel die stopt.

Je kunt de brand niet voorkomen. Je kunt wel voorkomen dat die zich verspreidt. De vier getallen hieronder beschrijven precies dat.

4 / 4
Structurele risico’s gesloten
Asset-inventaris, least-privilege, begrenzing van laterale beweging, gedocumenteerde respons: de vier condities die aanwezig waren in >20 breachsimulaties bij Antwerp Management School, allemaal aangepakt in MDR Prevent™.
1 : 1
Blast radius begrensd
Eén compromittering bereikt één protect surface. Architectonische garantie, geen kansberekening. De verspreiding stopt bij de segmentatiegrens.
LIVE
Postuur in AUXO™
Per protect surface, met verkeersstromen, beleidsdrift, MTTD / MTTR. On demand. Het bewijs dat de SEC, je auditor en je board vragen.
<2h
Mean time to contain
Steady state na onboarding, met vooraf geautoriseerde GSOC-playbooks. Als preventie wordt omzeild, is de respons begrensd.

Zie AUXO™ live. Dertig minuten.

Je board vraagt ernaar. Je auditor vraagt ernaar. De SEC’s openbaarmakingsregels voor cybersecurity vragen ernaar. NIS2-toezichthouders vragen ernaar. Ze willen allemaal hetzelfde antwoord: heb je nu grip op je securitypostuur?

De meeste organisaties antwoorden met een beleidsdocument, een slide of de audit van vorig kwartaal. Documenten beschrijven intentie. Ze beschrijven geen staat. AUXO™ wel. Elke protect surface zichtbaar in real time, met verkeersstromen, beleidsdrift, MTTD en MTTR. Dertig minuten. We lopen met je door één van jouw protect surfaces. Je ziet hoe live postuur eruitziet.

Vraag een 30-min AUXO-demo aan

“De volgende cyberaanval is geen kwestie van of. Het is een kwestie van hoe ver die zich verspreidt, en of het antwoord in een alinea past of in een 8-K.” — ON2IT, Mei 2026
De Eerste Stap op de Startbaan

Één week. On-site. Je weet precies waar je staat, en je bent al in beweging.

SHERPA Onboarding Week is hoe we starten. Een ON2IT CISO en Enterprise Consultant komen vijf werkdagen naar jou toe. We lopen door je stack, brengen je protect surfaces in kaart, vinden je blootstellingen en zetten een live AUXO™-weergave van je omgeving op voor het einde van de week. Je vertrekt niet met een rapport. Je vertrekt met een strategie, een blootstellingslijst en momentum: precies wat je CEO nodig heeft om Vraag 5 met een Ja te tekenen.

Het zomervenster telt. De Mythos-preview wordt dit seizoen uitgerold. De NIS2-deadline voor de eerste audit is 30 June. Seniore consultingcapaciteit is per kwartaal beperkt. Eerder aanvragen betekent eerder aan de beurt.

Van → Naar
Van niet weten waar je staat, naar weten; en van stilstaan, naar in beweging zijn
De hele week bij je
ON2IT CISO + Enterprise Consultant, on-site, vijf werkdagen
Je vertrekt met
Gedocumenteerde Zero Trust-strategie, blootstellingslijst, live AUXO™-postuurweergave
Capaciteit, by design
Seniore consultingtijd is eindig. Per kwartaal is er ruimte voor een beperkt aantal SHERPA-engagements.
Vraag naar de volgende SHERPA-slot of neem contact op via us@on2it.net · US telefoonnummer & adres: [invullen voor publicatie]
Referenties: “The AI Vulnerability Storm” (CSA / SANS / OWASP, april 2026); Antwerp Management School breachsimulatie-onderzoek (Bobbert & Timmermans); NIS2 (EU Directive 2022/2555); SEC Item 1.05 of Form 8-K US Editie · Mei 2026 ON2IT · Zero Trust Innovators · on2it.net
Cybersecurity Bestuurlijk Toezicht Bevestiging · Pre-Vakantie 2026

De Vijf Vragen, Gesteld en Beantwoord.

Deze bevestiging legt vast dat de CEO de vijf onderstaande vragen vóór de zomervakantie 2026 aan de CISO heeft gesteld, dat de CISO op basis van actueel bewijs heeft geantwoord, en dat eventuele remediatiehiaten zijn voorzien van een datum en een eigenaar. Dit document is bedoeld om in de boardstukken te worden opgenomen. Het is bedoeld ter ondersteuning van, niet als vervanging voor, de toezichts- en cybersecuritygovernanceverplichtingen van bestuurders. Het vormt geen juridisch advies. Specifieke regelgevende interpretatie dient te worden verkregen via gekwalificeerd juridisch advies.

1
Laat me zien wat er deze week op het internet is aangesloten. Niet vorig kwartaal. Deze week.
Antwoord CISO (huidige toestand, met bewijs)
Hiaat, indien aanwezig
Gesloten voor (datum)
2
Als Mythos uitkomt, hoeveel uur duurt het voor we gepatcht zijn? Geef me een getal, geen proces.
Antwoord CISO (doeluren, met bewijs onderbouwd)
Hiaat, indien aanwezig
Gesloten voor (datum)
3
Als we vanavond te maken krijgen met een datalek, wie weet het als eerste: wij, onze klanten of de pers?
Antwoord CISO (detectiecapaciteit, MTTD, escalatiepad)
Hiaat, indien aanwezig
Gesloten voor (datum)
4
Wie heeft de sleutels tot onze kroonjuwelen? Loop me door de lijst.
Antwoord CISO (inventaris bevoorrechte identiteiten, reviewcadans)
Hiaat, indien aanwezig
Gesloten voor (datum)
5
Bewijs me dat de blast radius begrensd is. Met bewijs, niet met aannames.
Antwoord CISO (segmentatiebewijs, live postuur, AUXO™ of equivalent)
Hiaat, indien aanwezig
Gesloten voor (datum)
Chief Executive Officer – heeft de vragen gesteld
Naam
Handtekening
Datum
Chief Information Security Officer – heeft geantwoord met bewijs
Naam
Handtekening
Datum
Belangrijk. Deze bevestiging is bedoeld ter ondersteuning van, niet als vervanging voor, de toezichts- en cybersecuritygovernanceverplichtingen van bestuurders. Het vormt geen juridisch advies en voldoet op zichzelf niet aan enige specifieke regelgevende vereiste. Specifieke regelgevende interpretatie en openbaarmakingsbeslissingen dienen te worden verkregen via gekwalificeerd juridisch advies.
Opgesteld door ON2IT B.V. met verwijzing naar het CSA / SANS Mythos-Ready Security Program (april 2026). Verspreiding binnen de ondertekende organisatie is toegestaan met bronvermelding. © ON2IT 2026.
Voor de CISO · Hoe dit document te gebruiken

De getekende bevestiging is het sterkste budgetinstrument dat je hebt tot en met Q4.

Als je al een tijdje vraagt om budget, mensen of bestuurlijke bevoegdheid voor cybersecuritywerk en dat niet krijgt, is het document op de vorige pagina het meest bruikbare artefact dat je dit jaar in handen krijgt. Dit is waarom, en hoe je het gebruikt.

  • Laat het gesprek vóór vakantie plaatsvinden. De vijf vragen zijn gemakkelijker te stellen in mei of juni dan in september, als er al een datalek heeft plaatsgevonden. Zodra de vragen op papier staan, ondertekend, gedateerd en ingediend, volgt het gesprek over het dichten van de hiaten vanzelf.
  • Wees specifiek over de hiaten. De velden “Hiaat, indien aanwezig” en “Gesloten voor (datum)” zijn de plek waar je budgetgesprek leeft. Een getekende CEO-bevestiging die zegt “Q4 is wanneer we vraag 4 sluiten” is het sterkste commitment-instrument dat je hebt. De CEO kan niet stilletjes uitstellen wat hij of zij heeft ondertekend en gedateerd.
  • Gebruik de regelgevende framing. Toezichthouders, investeerders en boards verwachten steeds vaker dat organisaties aantoonbaar effectief cybersecuritybestuur hebben. Cybersecurityincidenten kunnen significante regelgevende, reputationele en zakelijke gevolgen hebben. Je CEO heeft de vragen meer nodig op de registratie dan jij. Je doet ze een dienst door aan te dringen op het gesprek.
  • Verwijs naar het document richting Q4. Kwartaalse boardupdates kunnen nu verwijzen naar de getekende bevestiging als baseline: “We hebben toegezegd vraag 4 te sluiten voor 30 september. Hier de huidige voortgang.” Dat maakt van cybersecurity een terugkerend “geef meer uit”-debat een fiduciaire mijlpaal die de board al heeft goedgekeurd.
  • Als de antwoorden ongemakkelijk zijn, is dat de bedoeling. Een getekende bevestiging met drie “Ja”-antwoorden en twee eerlijke hiaten is véél geloofwaardiger, en véél beter verdedigbaar, dan vijf aspirationele “Ja”-antwoorden. Boards en auditors zoeken naar de kloof tussen governancedocumenten en de werkelijkheid. Eerlijke documentatie dicht die kloof.

Een afsluitende noot. Als je hulp nodig hebt bij het beantwoorden van Vraag 5 met live bewijs in plaats van aannames, is dat precies waarvoor SHERPA Onboarding Week er is. Één week on-site, een ON2IT CISO en Enterprise Consultant, en een live AUXO™-postuurweergave van je omgeving aan het einde van de week. Zie de vorige pagina voor het aanbod. Seniore consultingcapaciteit is per kwartaal beperkt; eerder aanvragen betekent eerder aan de beurt.