Ben jij klaar voor de nieuwste cybersecurity-eisen in 2025? Vanaf dit jaar veranderen de regels drastisch. Mis deadlines niet en voorkom boetes met dit overzicht:
- Belangrijke deadlines:
- DORA: Vanaf 17 januari 2025 – ICT-incidenten binnen 4 uur melden.
- PCI DSS 4.0: Deadline 31 maart 2025 – strengere beveiligingseisen.
- ISO 27001:2022: Overstap vereist vóór 31 oktober 2025.
- EU Data Act: Ingang per 12 september 2025 – nieuwe regels voor data-uitwisseling.
- NIS2: Verhoogde eisen vanaf Q3 2025.
- Wat je moet doen:
- Stel een compliance matrix op om verplichtingen te beheren.
- Implementeer richtlijnen zoals NIS2 en DORA.
- Werk samen met leveranciers die compliant zijn.
Actie vereist: Zorg dat je organisatie voorbereid is om risico’s en boetes te vermijden. Begin vandaag nog met een plan!
DORA and NIS2: How to Ensure Compliance and Enhance Cyber Resilience
Internationale Standaarden Wijzigingen
Naast de recente EU-regelgeving is het belangrijk om ook de veranderingen in internationale beveiligingsstandaarden goed te begrijpen.
ISO 27001:2022 Vereisten
De overgang naar ISO/IEC 27001:2022 moet uiterlijk op 31 oktober 2025 zijn voltooid. Bijlage A van deze standaard bevat 93 controls, verdeeld over vier categorieën: Organisatorisch, Personeel, Fysiek en Technologisch [2][3].
Hier zijn enkele nieuwe controls die zijn toegevoegd:
| Control | Beschrijving |
| Threat Intelligence | Analyse van bedreigingen in realtime |
| Cloud Services Beveiliging | Bescherming van cloudomgevingen |
| Data Leakage Prevention | Voorkoming van datalekken |
| Secure Coding | Ontwikkelen van veilige softwarecode |
“Veel organisaties hebben deze transitie als een eye-opener ervaren, waarbij hiaten onthuld werden waar zij zich niet van bewust waren, en het biedt een waardevolle kans om de beveiliging te versterken. Ons advies aan organisaties is om deze transitie te benaderen als een kans om niet alleen processen bij te werken, maar ook om hun cyberbeveiligingspositie daadwerkelijk te verbeteren in lijn met de evoluerende risico’s.” – Shirish Bapat, Technical Product Manager bij LRQA [2]
Naast de herziening van ISO 27001 brengen ook de PCI DSS-richtlijnen belangrijke veranderingen met zich mee.
PCI DSS Versie Updates
Vanaf 31 maart 2024 is PCI DSS v4.0 de enige geldige versie. Organisaties hebben tot 31 maart 2025 om volledig aan deze versie te voldoen [4]. Het aantal vereisten is gestegen van 370 naar meer dan 500, met 64 nieuwe eisen [5].
De belangrijkste veranderingen zijn gericht op:
- Continue beveiliging en monitoring
- Meer flexibiliteit in implementatie
- Verbeterde methoden voor validatie
Uit een onderzoek van Gartner blijkt dat tegen 2025 maar liefst 75% van de bedrijven risico loopt op boetes wegens non-compliance [6].
NIST AI Beveiligingsrichtlijnen
Het NIST AI Risk Management Framework (AI RMF) biedt nieuwe richtlijnen voor het aanpakken van risico’s rondom AI. Een opvallende update betreft NIST AI 800-1, dat zich richt op foundation models [7].
Recente incidenten tonen aan hoe belangrijk het is om AI-risico’s zorgvuldig te beheren. Het framework is opgebouwd rond vier kernfuncties:
- Besturen
- In kaart brengen
- Meten
- Beheren
Organisaties wordt geadviseerd een AI bill of materials (AI-BOM) op te stellen, zodat zij beter inzicht krijgen in hun AI-assets [8].
Compliance Tools en Methoden
Nu de recente regelgevingswijzigingen zijn besproken, richten we ons op praktische tools en methoden om compliance te waarborgen. Deze hulpmiddelen ondersteunen bij het implementeren van nieuwe regelgeving en zorgen ervoor dat u snel voldoet aan de vereisten.
Microsoft Defender Compliance Instellingen
Microsoft Defender voor Cloud biedt ondersteuning voor meer dan 30 compliance frameworks, waaronder NIS2 en ISO 27002:2022. Dit wordt mogelijk gemaakt door geautomatiseerde controles en realtime beleidshandhaving.
Belangrijke functies zijn:
| Functie | Toepassing | Voordeel |
| Continuous Auditing | Automatische controle van cloudbronnen | Direct inzicht in de compliancestatus |
| Workflow Automation | Automatische remediation triggers | Snelle respons op afwijkingen |
| Custom Controls | Maatwerk auditregels | Afstemming op interne policies |
“De exemptie op kosten voor dataoverdracht naar het internet sluit aan bij de Europese Data Act en is toegankelijk voor alle Azure-klanten wereldwijd en vanuit elke Azure-regio.” – Microsoft [11]
Hierna bespreken we Azure Security Updates voor aanvullende complianceconfiguraties.
Azure Security Updates
Microsoft heeft de EU Data Boundary voor Microsoft Cloud afgerond. Hierdoor wordt gegarandeerd dat alle data-opslag en -verwerking binnen de EU- en EFTA-regio’s blijft [9].
Aanbevelingen:
- Regionale Services Configuratie
Gebruik Azure-services binnen een EU Data Boundary-regio om te voldoen aan EU-regelgeving [1]. - Data Residency Instellingen
Configureer Azure Resource Manager om ervoor te zorgen dat professionele servicedata binnen de EU-grenzen blijft [10].
Daarnaast biedt Paradigm Security oplossingen voor specifieke compliance-uitdagingen.
Paradigm Security: Compliance Tools
Paradigm Security richt zich op de nieuwe PCI DSS 4.0-vereisten, met speciale aandacht voor API-beveiliging. Uit cijfers blijkt dat 92% van de financiële dienstverleners in 2023 problemen ondervond met API-beveiliging [12].
Belangrijke oplossingen voor compliance monitoring zijn:
| Beveiligingsaspect | Nieuwe PCI DSS 4.0-eis | Implementatie |
| Authenticatie | Minimaal 12 tekens voor wachtwoorden | Geautomatiseerde wachtwoordbeleid |
| Vulnerability Scanning | Geauthenticeerde interne scans | Continuous monitoring systeem |
| API-beveiliging | Real-time monitoring | Geïntegreerd logging platform |
“Hoewel DORA specifiek gericht is op financiële instellingen, bevat het een mandaat voor financiële bedrijven om alleen samen te werken met derden die ook kunnen aantonen dat ze compliant zijn, vanwege de gemeenschappelijkheid van aanvalstypen die gericht zijn op de supply chain.” – Leigh Glasper, directeur cyber advisory bij BlueVoyant [1]
Conclusie
Hier is een beknopte samenvatting van de belangrijkste veranderingen in de regelgeving en een praktisch actieplan om direct mee aan de slag te gaan.
Overzicht van Belangrijkste Wijzigingen
Het compliancelandschap is in Q1 2025 flink veranderd. Hier zijn de belangrijkste updates:
| Regelgeving | Belangrijkste Impact |
| EU AI Act | Strengere controle op AI-systemen |
| DORA | Verhoogde digitale weerbaarheid voor financiële instellingen |
| Data Act | Nieuwe regels voor data-uitwisseling |
| NIS2 | Verhoogde eisen voor cybersecurity |
“The US appears to be moving towards a light touch regulatory regime around the ethics, security and privacy of AI, while the EU has taken a more prescriptive and cautious approach with its EU AI act which enters into force in 2025.” – David Ferbrache, MD at Beyond Blue and former head of cyber at the UK MoD [1]
Deze veranderingen vereisen een gerichte aanpak om aan de nieuwe eisen te voldoen.
Actieplan
- Stel een compliance matrix op
- Breng alle verplichtingen in kaart.
- Zoek naar overlappende verantwoordelijkheden binnen de organisatie.
- Combineer vereisten voor cybersecurity, databescherming en AI in één overzicht.
- Verbeter risicobeheer
- Implementeer de richtlijnen van NIS2.
- Maak gebruik van Virtual CISO-diensten om expertise in te brengen.
- Schakel gespecialiseerde consultants in voor compliance-ondersteuning.
- Beheer leveranciers effectief
- Voer grondige due diligence uit vóór het afsluiten van nieuwe contracten.
- Herzie bestaande contracten om te voldoen aan nieuwe regelgeving.
- Zorg ervoor dat compliance-eisen expliciet in contracten worden opgenomen.
Met deze stappen kunnen organisaties niet alleen voldoen aan de nieuwe regelgeving, maar ook hun algehele beveiliging verbeteren.
