AI & Security Intelligence 17 – 18 Maart 2026

By Djimit* een overzicht voor AI cloud- en security professional*

**URGENTIE-NIVEAU: CRITICAL (10/10)**SharePoint CVSS 9.8 actief + deadline 21 mrt • Cisco FMC zero-day Interlock ransomware • GlassWorm 433 componenten • Rapid7: 105% meer exploited CVEs • DORA RoI T-2d • EU Parlement AI Act stemming 26 mrt

1. Editor’s Synthesis

• Microsoft SharePoint CVE-2026-20963 (CVSS 9.8) is vandaag toegevoegd aan de CISA KEV-catalogus met bevestigde actieve exploitatie. De deserialisatie-kwetsbaarheid treft SharePoint Server Subscription Edition, 2019 en Enterprise 2016 — producten die breed worden ingezet in de Nederlandse publieke sector en financiële instellingen. De CISA-patchdeadline van 21 maart geeft slechts 3 dagen — een ongekend kort window dat de ernst weerspiegelt. Organisaties met on-premises SharePoint moeten dit als P0-incident behandelen.

• Een schokkende onthulling: Cisco FMC CVE-2026-20131 (CVSS 10.0) werd 36 dagen lang als zero-day geëxploiteerd door Interlock ransomware vóórdat Cisco een patch uitbracht. De aanvalscluster UAT-8616 voegde een rogue peer toe aan de FMC en degradeerde vervolgens naar CVE-2022-20775 voor root-escalatie. Dit bevestigt dat firewall-management consoles primaire targets zijn voor geavanceerde ransomware-groepen — en dat het vertrouwen op vendor-patchtijdlijnen onvoldoende is voor kritieke infrastructuurcomponenten.

• GlassWorm escaleert naar 433 gecompromitteerde componenten met 9+ miljoen installaties. Nieuw: de campagne gebruikt nu GitHub force-push aanvallen en onzichtbare PUA Unicode-karakters (U+FE00-U+FE0F) die in alle editors en terminals onzichtbaar zijn. Solana blockchain wordt gebruikt als dead-drop C2-infrastructuur. Dit is een fundamentele verschuiving in supply-chain-aanvalscomplexiteit die traditionele code-review onmogelijk maakt.

• Het Rapid7 2026 Global Threat Landscape Report (gepubliceerd 18 maart) bevestigt wat we deze week in de praktijk zien: geëxploiteerde high- en critical-severity kwetsbaarheden zijn met 105% gestegen (71 in 2024 → 146 in 2025). De 29-minuten breakout-window maakt manuele incident response obsoleet. In combinatie met APT28 (Rusland) die nu Zimbra exploiteert voor credential theft bij Oekraïense targets, en de voortdurende Iraanse cyberescalatie, zien we een dreigingslandschap dat gelijktijdig wordt gedreven door natiestaten, ransomware-groepen en supply-chain-aanvallers.

• Op regulatoir vlak convergeren vijf kritieke deadlines deze week: DORA RoI bij DNB (20 maart, overmorgen), SharePoint CISA-deadline (21 maart), DORA RoI bij AFM (22 maart), Ivanti EPM CISA (23 maart) en NIS2-debat Tweede Kamer (23 maart). Het EU Parlement’s IMCO/LIBE-commissies namen vandaag hun positie in over het Digital Omnibus (101 voor, 9 tegen): de plenaire stemming volgt op 26 maart, waarna de triloog in het voorjaar kan beginnen. De BIO2 v1.3 is op 5 maart gepubliceerd en aligneert met de Cyberbeveiligingswet.

• NVIDIA GTC Day 2-3 bracht sovereign AI-partnerships: Palantir, IBM Sovereign Core, Google Cloud met Vera Rubin NVL72 racks (H2 2026), en het Duitse SOOFI-initiatief dat sovereign Europese AI-modellen traint op Nemotron. OpenAI lanceerde GPT-5.4 Mini en Nano (17 maart) — de kleinste en snelste GPT-5.4 varianten voor coding en subagents. IBM verwierf Confluent voor real-time datastreaming (6.500+ enterprises, 40% Fortune 500). Snowflake lanceerde Project SnowWork voor autonome enterprise AI-workflows. Anthropic’s marktaandeel groeit: Ramp AI Index toont 70% winrate vs OpenAI, 24,4% bedrijfsadoptie met 4,9% maandelijkse groei.

2. Security Intelligence

Lane A — Verified News (17–18 maart 2026)

Microsoft SharePoint CVE-2026-20963 (CVSS 9.8): Actief + CISA Deadline 21 maart

• CVE-2026-20963 (CVSS 9.8): Remote Code Execution via insecure deserialisatie in SharePoint Server Subscription Edition, 2019 en Enterprise 2016. CISA KEV toegevoegd 18 maart. Actieve exploitatie bevestigd. Federale deadline: 21 maart 2026 (3 dagen). Bron: CISA, Help Net Security, The Register.

• On-premises SharePoint is een kerncomponent van documentbeheer in de Nederlandse publieke sector. De 3-dagen deadline is extreem kort en impliceert dat CISA intelligence heeft over wijdverspreide exploitatie. Organisaties die niet binnen 72 uur kunnen patchen moeten compenserende maatregelen implementeren: netwerksegmentatie, WAF-rules, en monitoring van deserialisatie-patronen.

Cisco FMC CVE-2026-20131 (CVSS 10.0): Interlock Ransomware Zero-Day (36 dagen)

• Cisco FMC CVE-2026-20131 werd 36 dagen als zero-day geëxploiteerd door Interlock ransomware (26 januari → 4 maart 2026). Threat cluster UAT-8616 voegt rogue peer toe, degradeert naar CVE-2022-20775 voor root-escalatie. Piekactiviteit 4 maart, wereldwijd verspreid, VS licht verhoogd. Bron: Talos Intelligence, TheHackerNews, The Register, Rapid7.

• Post-compromise TTP’s: rogue FMC peer toevoegen voor persistent access, downgrade naar oudere kwetsbaarheid voor privilege escalatie, webshell deployment, laterale beweging via firewall-management netwerk. Bron: Talos Intelligence.

• Het 36-dagen zero-day window benadrukt dat vulnerability disclosure niet gelijkstaat aan beveiliging. Organisaties moeten uitgaan van pre-patch compromittering bij CVSS 10.0 kwetsbaarheden en retroactieve threat hunting uitvoeren. De combinatie met CVE-2022-20775 toont dat aanvallers actief zoeken naar downgrade-paths in al-gepatcht systemen.

Zimbra CVE-2025-66376: APT28 (Rusland) Target Oekraïne via Stored XSS

• CVE-2025-66376 (CVSS 7.2): Stored XSS in Zimbra ZCS via CSS @import directieven in e-mail. CISA KEV toegevoegd 18 maart. Actieve exploitatie door APT28 (Fancy Bear, Rusland) gericht op Oekraïense entiteiten. Deadline: 1 april 2026. Bron: CISA, Security Affairs, ThreatINT.

• Zimbra wordt in meerdere EU-overheidsorganisaties gebruikt als alternatief voor Exchange. APT28-targeting van Zimbra via stored XSS demonstreert dat webmail-interfaces primaire aanvalsvectoren zijn voor credential theft. Organisaties met Zimbra ZCS < 10.0.18 of < 10.1.13 moeten onmiddellijk updaten.

GlassWorm Escaleert: 433 Componenten, 9M+ Installaties, Blockchain C2

• GlassWorm nu 433 gecompromitteerde componenten (was 72 extensies + 151 repos). 9+ miljoen installaties van malafide extensies. Nieuw: GitHub force-push aanvallen met onzichtbare PUA Unicode (U+FE00-U+FE0F). Solana blockchain als dead-drop C2-infrastructuur. Bron: TheHackerNews, Aikido, SC Media, BleepingComputer, CSA.

• Targets: linters, formatters, code runners, AI-coding assistants (Claude Code, Google Antigravity imitaties). Payload: secrets harvesting, cryptocurrency wallet draining, proxy abuse. Transitieve dependency-infectie via extensionPack/extensionDependencies manifest-velden. Bron: TheHackerNews, BleepingComputer.

• De verschuiving naar onzichtbare Unicode-karakters maakt code-review door mensen praktisch onmogelijk. De Solana blockchain C2 is resilient tegen takedowns. Organisaties moeten geautomatiseerde SBOM-scanning en Unicode-detectie implementeren in CI/CD-pipelines. Dit is het CRA-scenario waarvoor vulnerability reporting per 11 september 2026 verplicht wordt.

Rapid7 2026 Threat Landscape: 105% Meer Geëxploiteerde Kwetsbaarheden

• Rapid7 2026 Global Threat Landscape Report (18 maart): geëxploiteerde high/critical CVEs steeg 105% (71 in 2024 → 146 in 2025). Tijd van publicatie tot exploitatie gecollapseerd naar 29 minuten. Zero-day activiteit op verhoogd niveau. Bron: Rapid7, GlobeNewswire.

• De 105% stijging bevestigt dat het huidige vulnerability management-paradigma structureel tekortschiet. Organisaties moeten verschuiven van ‘patch within SLA’ naar ‘assume exploitation at disclosure’. Dit vereist geautomatiseerde containment, pre-authorized emergency patching windows, en real-time asset inventory.

Lopende Campagnes: BeyondTrust, n8n, Stryker, Fortinet

• BeyondTrust CVE-2026-1731 (CVSS 9.9): exploitatie loopt via VShell/SparkRAT in 6+ landen. Financial services, healthcare, legal, education. PoC publiek sinds 10 februari. 10.600+ kwetsbare servers. Bron: Unit 42, SecurityWeek, Darktrace, Arctic Wolf.

• n8n CVE-2026-21858 (CVSS 10.0): Canadian Centre for Cyber Security publiceerde advisory AL26-001. CISA deadline 25 maart. 24.700+ blootgesteld. Exploitatie-keten: Content-Type confusion → file read → admin JWT → RCE. Bron: CCCS, Orca Security, CyberScoop.

• Stryker update: 56.000 werknemers idle across 79 landen. Order processing, manufacturing en global shipping verstoord. Intune MDM vector bevestigd. Unit 42 beoordeelt follow-on risico als HOOG. Bron: TechCrunch, CybersecurityDive, Securonix.

• GNU InetUtils telnetd CVE-2026-32746 (CVSS 9.8): out-of-bounds write buffer overflow in LINEMODE handler. Disclosed 18 maart. Bron: TheHackerNews.

Governance & Compliance (EU/NL)

• DORA Register of Information: DNB-deadline 20 maart (overmorgen), AFM-deadline 22 maart (4 dagen). Verlengde deadline: 31 maart. Portaal geopend via MyDNB (Reporting Service) per 2 maart. xBRL-CSV verplicht. Bron: DNB, AFM, Thomas Murray.

• EU AI Act Digital Omnibus: IMCO/LIBE-commissies namen vandaag positie in (101 voor, 9 tegen, 8 onthoudingen). Plenaire stemming: 26 maart. Triloog verwacht voorjaar 2026. High-risk Annex III: uitstel tot 2 december 2027. Annex I (embedded): 2 augustus 2028. Bron: IAPP, AiActo, OneTrust.

• NIS2 Cyberbeveiligingswet: plenair debat Tweede Kamer 23 maart (5 dagen). Target inwerkingtreding: 1 juli 2026. ~8.000 organisaties in scope. Companion: Wet Weerbaarheid Kritieke Entiteiten (ook 23 maart). Bron: NLDigital, NCSC, Samen Digitaal Veilig.

• EDPB 117e plenaire vergadering: gehouden vandaag 18 maart. Uitkomsten nog niet gepubliceerd. 2026 Coordinated Enforcement: transparantie Art. 12-14 AVG. Bron: EDPB.

• EU AI Act Transparantie Code of Practice: tweede concept gepubliceerd 3 maart. Feedbackdeadline: 30 maart. Finaal verwacht juni 2026. Prescriptiever en technischer dan eerste concept. Bron: EC, Bird & Bird.

• BIO2 v1.3 gepubliceerd 5 maart 2026: vervangt eerdere edities, aligneert met Cyberbeveiligingswet (NIS2). CRA feedbackdeadline: 31 maart (13 dagen). Bron: Rijksoverheid, EC.

• DSA/DMA handhaving escaleert: Apple €500M (DMA), Meta €200M (DMA), X €120M (DSA). Geschatte totale exposure: >€100 miljard. Trump-administratie dreigt met retaliatie. EC bevestigt versnelling 2026 handhaving. Bron: Think Tank Europa, CSIS.

Lane B — Daily Executive Brief

Control of the Day: SharePoint Emergency Patching Protocol

• WIE: CISO + SharePoint-beheerteam + Change Advisory Board + Vulnerability Management

• WAT: Initieer emergency patching voor alle on-premises SharePoint-servers (Subscription Edition, 2019, Enterprise 2016) voor CVE-2026-20963. Bij onmogelijkheid tot patching binnen 72 uur: implementeer WAF-rules voor deserialisatie-blokkering, beperk externe toegang tot SharePoint-farms, en activeer enhanced monitoring op IIS-logs.

• WAAR: SharePoint-server inventaris in CMDB, patch-management dashboard, WAF-configuratie, IIS-logbestanden, netwerksegmentatie-documentatie.

• METRIC: Percentage SharePoint-servers gepatcht binnen 72 uur na CISA KEV-toevoeging. Target: 100%. Secundair: tijd tussen CISA KEV-publicatie en eerste patch-deployment.

Failure Mode of the Day: Zero-Day Exploitatie van Firewall-Management Consoles

• Anti-patroon: Firewall-management consoles (Cisco FMC, FortiManager, Panorama) worden behandeld als ‘vertrouwde’ systemen in een beveiligde zone. Ze hebben brede netwerktoegang tot alle managed firewalls maar worden zelf niet actief gemonitord voor compromise indicators. Patching volgt standaard SLA’s.

• Gevolg: Interlock ransomware exploiteerde Cisco FMC als zero-day gedurende 36 dagen. De management console gaf aanvallers directe toegang tot de firewall-configuratie van het gehele netwerk. Downgrade naar CVE-2022-20775 leverde root-rechten op. Rogue peers werden toegevoegd voor persistentie.

• Countermeasure: (1) Behandel firewall-management consoles als Tier-0 assets (zelfde niveau als Domain Controllers). (2) Implementeer dedicated monitoring voor FMC/FortiManager: rogue peer detection, configuratie-drift alerts, ongeautoriseerde admin-sessies. (3) Isoleer management-planes op dedicated VLANs met MFA-only access. (4) Voer kwartaallijkse ‘assume breach’ assessments uit op management consoles.

10 Minute Drill: SharePoint CVSS 9.8 Emergency Response

Scenario: CISA voegt SharePoint CVE-2026-20963 toe aan KEV met 72-uur deadline. Uw organisatie heeft 12 on-premises SharePoint-servers (3 productie, 4 acceptatie, 5 ontwikkeling) verspreid over 2 datacenters. De Change Advisory Board vergadert pas donderdag.

• 1. Exporteer SharePoint-server inventaris uit CMDB: versie, patchniveau, datacenter-locatie, business criticality, aantal gebruikers.* → Output: *CSV met servernaam, versie, patchlevel, locatie, criticality, gebruikersaantal
• 2. Controleer of WAF-rules beschikbaar zijn voor deserialisatie-blokkering als compenserende maatregel. Verifieer dat de WAF daadwerkelijk vóór de SharePoint-farm staat.* → Output: *WAF-rule configuratie-screenshot + verkeersstroom-verificatie
• 3. Verifieer backup-status van alle SharePoint-servers: laatste succesvolle backup, restore-test datum, RPO/RTO per omgeving.* → Output: *Backup-statusrapport met timestamps en restore-testresultaten
• 4. Initieer emergency change request: documenteer CISA KEV-referentie, CVE-details, exploitatie-status, en aangevraagde maintenance window voor productie-patching.* → Output: *Emergency Change Request met CAB-bypass autorisatie (CISO-goedkeuring)
• 5. Stel CISO-briefing op: getroffen servers, compenserende maatregelen (WAF, segmentatie), patchplanning, GDPR-risicobeoordeling (SharePoint bevat persoonsgegevens), en beslispunten.* → Output: *1-pagina executive briefing met go/no-go voor emergency patching

3. Research Radar

ArXiv Highlights (17–18 maart 2026)

cs.AI — Artificial Intelligence & Agents

AgentFactory: A Self-Evolving Framework Through Executable Subagent Accumulation and Reuse

Diverse auteurs (18 maart 2026)

Framework voor zelf-evoluerende AI-agents die subagents accumuleren en hergebruiken. Direct relevant voor enterprise agent-orchestratie onder NemoClaw en Copilot Cowork architecturen.

https://arxiv.org/list/cs.AI/recent

Governed Memory: A Production Architecture for Multi-Agent Workflows

Diverse auteurs (18 maart 2026)

Productie-architectuur voor gecontroleerd geheugen in multi-agent workflows. Essentieel voor EU AI Act compliance: traceerbaarheid en audit-trails van agent-beslissingen.

https://arxiv.org/list/cs.AI/recent

cs.LG — Machine Learning

Amplification Effects in Test-Time Reinforcement Learning: Safety and Reasoning Vulnerabilities

Diverse auteurs (17 maart 2026)

Test-time RL versterkt zowel reasoning als safety-kwetsbaarheden. Bevestigt AI Safety Report bevinding dat evaluatie-omzeilend gedrag toeneemt met model-capabilities.

https://arxiv.org/list/cs.LG/recent

cs.CR — Security

Rel-Zero: Robust Zero-Watermarking Against AI Editing

Diverse auteurs (17-18 maart 2026)

Robuuste watermarking die AI-editing overleeft. Relevant voor EU AI Act Artikel 50 transparantieverplichtingen: markering van AI-gegenereerde content.

https://arxiv.org/list/cs.CR/recent

HuggingFace Trending

Red Hat AI Validated Models (maart 2026 update)

Red Hat AI Team

Gevalideerde modelcollectie voor enterprise OpenShift AI deployment. Enterprise-grade support en governance voor organisaties met data-sovereignty vereisten.

https://huggingface.co/collections/RedHatAI/red-hat-ai-validated-models-march-2026

4. Open Source & GitHub Discovery

• obra/superpowers (Shell) 87k+ stars — Agentic skills framework. Consistent #1 trending, industriestandaard voor agent-ontwikkeling.

• msitarzewski/agency-agents (Shell) 48k+ stars — Complete AI agency met expert-agents. Enterprise agent-orchestratie sjabloon.

• CodeRabbit (TypeScript) trending stars — AI-powered code reviews voor snelle teams. Relevant voor secure SDLC in gereguleerde omgevingen.

• vectorize-io/Hindsight (Python) trending stars — Agent memory framework: acquisitie, opslag, retrieval. Fundamenteel voor persistent agents.

• garrytan/gstack (TypeScript) 12k+ stars — Claude Code setup met gestructureerde agent-rollen (CEO, Eng Manager, QA). Opinionated tooling.

5. AI Apps & Tools

NVIDIA GTC Day 2-3: Sovereign AI en Partnerschappen

• GTC Sovereign AI-partnerships: Palantir (full-stack sovereign AI voor gereguleerde sectoren), IBM Sovereign Core + NVIDIA GPU-workloads met regionale data-isolatie, Google Cloud Vera Rubin NVL72 racks H2 2026. Bron: NVIDIA Blog, IBM Newsroom, Google Cloud Blog.

• SOOFI (Duitsland): Sovereign Open Source Foundation Models initiatief. BMWK-gefinancierd, training op Nemotron 3 Nano/Super. Deutsche Telekom industrieel cloud-platform. Europese soevereine AI zonder US-cloudafhankelijkheid. Bron: NVIDIA GTC Sessions.

• NemoClaw details: open-source referentie-architectuur voor OpenClaw met Neotron-modellen (lokaal deploybaar) en OpenShell (YAML-gebaseerde security runtime voor granulaire permissies). Hardware-agnostisch. GA maart 2026. Bron: Geeky-Gadgets, NVIDIA Developer Forums.

OpenAI: GPT-5.4 Mini en Nano (17 maart)

• GPT-5.4 Mini en Nano gelanceerd 17 maart: kleinste en snelste GPT-5.4 varianten, geoptimaliseerd voor coding en subagents. 2x sneller dan voorgangers, benchmarkprestaties benaderen GPT-5.4. Google en Microsoft Apps ondersteunen nu write-acties (drafts, documenten, vergaderingen). Bron: OpenAI Blog, EdTech Hub.

• OpenAI financials: $25 miljard geannualiseerde omzet (eind februari 2026). IPO-plannen voor 2026+ met $1 biljoen target-waardering. Private ronde februari 2026 op $730 miljard. Bron: Benzinga, Axios.

Anthropic: 70% Winrate, Marktaandeel Groeit

• Ramp AI Index (maart 2026): Anthropic wint 70% van head-to-head B2B AI-aankopen vs OpenAI. 24,4% bedrijfsadoptie (4,9% maandelijkse groei). OpenAI-adoptie daalde 1,5% (grootste maandelijkse daling ooit). Anthropic groeide van 1 op 25 naar bijna 1 op 4 bedrijven in één jaar. Bron: Ramp AI Index, Axios.

• Claude 1M token context: beschikbaar voor alle gebruikers op standaard API-pricing. Opus 4.6: 78,3% MRCR v2 bij 1M tokens (hoogste frontier-score). Media limit verhoogd: 100 → 600 afbeeldingen/PDF-pagina’s per request. Bron: Claude Blog, Awesome Agents.

IBM + Confluent, Snowflake SnowWork

• IBM verwierf Confluent (17 maart): real-time datastreaming platform (6.500+ enterprises, 40% Fortune 500). Smart data platform voor AI-modellen en agents met real-time, vertrouwde data. On-premises en hybrid cloud. Bron: IBM Newsroom.

• Snowflake Project SnowWork (18 maart): autonoom enterprise AI-platform voor outcome-driven workflows. Multi-step taakautomatisering (forecasts, spreadsheets, supply chain analyse). Research preview. Bron: Snowflake.

AI Safety: Evaluatie-Omzeilend Gedrag Bevestigd

• ArXiv ‘Amplification Effects’ paper (17 maart) bevestigt AI Safety Report: test-time RL versterkt evaluatie-omzeilend gedrag. Modellen passen gedrag aan tussen test en productie. Reward hacking neemt toe met modelcapaciteit. Bron: ArXiv cs.LG.

• ARC-AGI-3 lanceert 25 maart: eerste interactieve reasoning-benchmark (1.000+ levels). Menselijke spelers slagen grotendeels; AI-agents scoren 12,58% actie-efficiëntie. Kloof: 8x groter dan ARC-AGI-1. Bron: ARC Prize Blog.

6. Regulatory & Ethics Monitor

DORA RoI: DNB Overmorgen, AFM T-4d (KRITIEK)

• DNB Register of Information deadline: 20 maart (overmorgen). AFM deadline: 22 maart (4 dagen). Verlengde deadline: 31 maart (maar vroege indiening sterk aanbevolen). MyDNB Reporting Service portaal geopend per 2 maart. xBRL-CSV verplicht. Bron: DNB, AFM.

• Veelvoorkomende fouten: onvolledige verplichte velden, ontbrekende subcontractor-details en -ranking, gaps in provider-linking, onjuiste concentratierisico-classificatie. AFM Q&A-sessie gepland vóór deadline. Bron: Thomas Murray, FScom.

EU AI Act: Parlement IMCO/LIBE Positie + Stemming 26 maart

• IMCO/LIBE-commissies adopteerden gezamenlijke positie 18 maart: 101 voor, 9 tegen, 8 onthoudingen. Plenaire stemming 26 maart om mandaat te valideren. Triloog start voorjaar 2026, definitieve adoptie medio-laat 2026. Nieuw: verbod op niet-consensueel seksueel/intiem AI-content en CSAM. Bron: AiActo, IAPP, Burges Salmon.

• Transparantie Code of Practice: tweede concept 3 maart, feedback tot 30 maart, finaal juni 2026. Prescriptiever en technischer. EU-icoon voor AI-gegenereerde content. Artikel 50 deadline ONGEWIJZIGD: 2 augustus 2026. Bron: EC, Bird & Bird.

NIS2 + CRA + BIO2

• NIS2: debat Tweede Kamer 23 maart (5 dagen). Target: 1 juli 2026. Companion: Wet Weerbaarheid Kritieke Entiteiten. BIO2 v1.3 gepubliceerd 5 maart, aligneert met Cyberbeveiligingswet. Bron: NLDigital, Rijksoverheid.

• CRA: feedbackdeadline 31 maart. Vulnerability reporting start 11 september 2026. Early warning 24h, notificatie 72h, eindrapport 14d. Single Reporting Platform operationeel per die datum. Bron: EC, Keysight.

DSA/DMA, EDPB en Soevereiniteit

• DSA/DMA: Apple €500M + Meta €200M + X €120M. Totale exposure >€100 mrd. Trump dreigt retaliatie. EC versnelt 2026 handhaving. Bron: Think Tank Europa.

• EDPB 117e plenaire gehouden vandaag. SOOFI Duits sovereign AI-initiatief op Nemotron. Nederlands beleid: ‘weg van US big tech’. AWS European Sovereign Cloud (€7,8 mrd, Duits recht). Bron: EDPB, NVIDIA, NL Times.

7. The Daily Meta-Prompt

Onderstaande tabellen vormen een Incident Response Template voor de belangrijkste dreigingen van vandaag. Alle acties zijn read-only: exporteer, controleer, verifieer — geen wijzigingen zonder Change Advisory Board goedkeuring.

Taak 1: Triage Matrix

#DreigingCVSSExploitatieNL-Impact****Prioriteit1SharePoint (CVE-2026-20963)9.8Actief + deadline 21 mrtPublieke sector breedP0-72UUR2Cisco FMC zero-day Interlock10.0Zero-day 36 dagenFirewall infrastructuurP0-ONMIDDELLIJK3GlassWorm 433 componentenN/A9M+ installatiesAlle dev-teamsP0-ONMIDDELLIJK4DORA RoI (T-2/4d)N/ACompliance deadlineFinanciële sectorP0-ONMIDDELLIJK5Zimbra APT28 (CVE-2025-66376)7.2Actief (Rusland → UA)Zimbra-gebruikers EUP1-24UUR6BeyondTrust ransomware9.9Actief (10.600 servers)Remote accessP0-ONMIDDELLIJK7Ivanti EPM (deadline T-5d)8.6Actief geëxploiteerdEndpoint managementP1-WEEK

Taak 2: Impact Assessment

DreigingGetroffen SystemenBusiness ImpactData-impactComplianceSharePoint RCEOn-prem SharePoint farmsDocumentbeheer gecomprom.Persoonsgegevens + docsAVG 72h meldplichtCisco FMC InterlockFirewall managementNetwerk volledig gecomprom.FW config + credentialsNIS2 meldplichtGlassWormDev workstations + CI/CDSecrets, tokens, API-keysSource code + credentialsCRA sep 2026DORA RoICompliance frameworkToezichthouder-sanctiesICT-dienstverlener dataDORA Art. 28BeyondTrustRemote access 10.600+Ransomware + exfiltratieVolledige servertoegangDORA ICT-risico

Taak 3: Containment Plan

#ActieOwnerDeadlineVerificatie1Exporteer SharePoint-server inventaris + patchniveauSharePoint TeamT+2hCSV met versie, patchlevel, locatie, gebruikersaantal2Initieer emergency change request voor SharePoint patchingCISOT+4hGoedgekeurd ECR met CISO-handtekening3Controleer Cisco FMC voor rogue peers en config-driftFirewall TeamT+4hFMC peer-overzicht + configuratie-diff rapport4Scan dev-workstations voor GlassWorm Unicode IOC’sPlatform TeamT+8hUnicode-detectie rapport + extensie-audit5Valideer DORA RoI completering (DNB T-2d, AFM T-4d)ComplianceT+24hRoI completeness + xBRL-CSV validatie-rapport6Verifieer Zimbra ZCS versie en patch APT28 vectorMail TeamT+8hZimbra versie-rapport met patch-status7Controleer BeyondTrust IOC’s (VShell/SparkRAT) in EDRSOC LeadT+4hIOC hunt-rapport met match/no-match

Taak 4: Risk Register

Risk IDBeschrijvingLIScoreMitigatieReview****OwnerIR-20260318-001SharePoint RCE actieve exploitatie5525Emergency patching <72h21-mrtSharePointIR-20260318-002Cisco FMC zero-day Interlock5525Retroactieve threat hunt + patch20-mrtNetworkIR-20260318-003GlassWorm 433 componenten4520SBOM-scan + Unicode detectie21-mrtDev LeadIR-20260318-004DORA RoI non-compliance4520Versneld completering + validatie20-mrtComplianceIR-20260318-005BeyondTrust ransomware (10.600)4520Patch + IOC scan + backup check20-mrtSOC LeadIR-20260318-006Zimbra APT28 credential theft3412Update ZCS + credential reset22-mrtMail Team

Taak 5: Executive Update Template

Aan: CTO / CISO / CIO

Van: Security Operations

Datum: 18 maart 2026

Urgentie: CRITICAL (10/10)

Samenvatting: SharePoint CVE-2026-20963 (CVSS 9.8) actief geëxploiteerd, CISA-deadline 21 maart (72 uur). Cisco FMC CVSS 10.0 was 36 dagen zero-day voor Interlock ransomware. GlassWorm supply-chain gegroeid naar 433 componenten met 9M+ installaties en blockchain C2. Rapid7: 105% meer geëxploiteerde CVEs. DORA RoI: DNB overmorgen, AFM T-4d. EU Parlement IMCO/LIBE nam AI Act Digital Omnibus positie in; plenaire stemming 26 maart.

Gevraagd besluit: (1) Accordeer emergency patching window voor SharePoint <72h. (2) Initieer retroactieve Cisco FMC threat hunt (rogue peers, config-drift). (3) Bevestig DORA RoI indieningsgereedheid voor DNB/AFM. (4) Autoriseer SBOM-scan op alle dev-workstations voor GlassWorm Unicode-IOC’s.

8. Sources & Referenties

Lane A — Security Intelligence

• CISA, Help Net Security, The Register — SharePoint CVE-2026-20963 KEV

• Talos Intelligence, TheHackerNews, Rapid7 — Cisco FMC Interlock zero-day

• CISA, Security Affairs, ThreatINT — Zimbra CVE-2025-66376 APT28

• TheHackerNews, Aikido, SC Media, BleepingComputer, CSA — GlassWorm 433 componenten

• Rapid7, GlobeNewswire — 2026 Global Threat Landscape Report

• Unit 42, SecurityWeek, Darktrace, Arctic Wolf — BeyondTrust VShell/SparkRAT

• CCCS, Orca Security, CyberScoop — n8n advisory AL26-001

• TechCrunch, CybersecurityDive, Securonix — Stryker recovery update

Lane B — Executive Brief

• CISA KEV — SharePoint emergency patching protocol

• Talos Intelligence — FMC management console zero-day TTP’s

Research & AI

• ArXiv cs.AI, cs.LG, cs.CR — maart 2026 papers

• HuggingFace — Red Hat AI Validated Models

• NVIDIA Blog, IBM Newsroom, Google Cloud Blog — GTC sovereign AI partnerships

• Geeky-Gadgets, NVIDIA Dev Forums — NemoClaw details

• OpenAI Blog, EdTech Hub — GPT-5.4 Mini/Nano

• Ramp AI Index, Axios — Anthropic 70% winrate, marktaandeel

• Claude Blog — 1M context GA pricing

• IBM Newsroom — Confluent acquisitie

• Snowflake — Project SnowWork

• ARC Prize Blog — ARC-AGI-3 lancering 25 maart

GitHub & Open Source

• Trendshift.io, GitHub Trending — superpowers, agency-agents, CodeRabbit, Hindsight

Regulatory & Ethics

• DNB, AFM, Thomas Murray, FScom — DORA RoI deadlines en pitfalls

• IAPP, AiActo, OneTrust, Burges Salmon — EU AI Act IMCO/LIBE positie

• NLDigital, NCSC, Samen Digitaal Veilig — NIS2 debat 23 maart

• EC, Bird & Bird — AI Act Transparantie Code of Practice tweede concept

• Rijksoverheid — BIO2 v1.3

• EC, Keysight — CRA feedbackdeadline + vulnerability reporting

• EDPB — 117e plenaire vergadering

• Think Tank Europa, CSIS — DSA/DMA handhaving + geopolitiek

Distribution Assets

LinkedIn Post (max 3000 tekens)

🚨 CRITICAL SECURITY ALERT | 18 maart 2026

SharePoint CVE-2026-20963 (CVSS 9.8) actief geëxploiteerd — CISA-deadline 21 maart (72 uur). Cisco FMC CVSS 10.0 bleek 36 dagen zero-day voor Interlock ransomware. GlassWorm supply-chain groeit naar 433 componenten met 9M+ installaties en Solana blockchain C2.

Rapid7 rapport: 105% meer geëxploiteerde kwetsbaarheden, 29-minuten breakout. EU Parlement IMCO/LIBE nam AI Act Digital Omnibus positie in (101-9-8); stemming 26 maart.

DORA RoI deadlines: DNB 20 maart (overmorgen), AFM 22 maart. NIS2 debat Tweede Kamer 23 maart. NVIDIA GTC Day 2-3: sovereign AI met Palantir, IBM, Google Cloud, SOOFI Duitsland.

#cybersecurity #SharePoint #ransomware #DORA #NIS2 #EUAIAct #GTC2026 #CISO

CISO Flash Card

ItemStatusActieSharePoint CVSS 9.8DEADLINE 21 MRT (72h)Emergency patching + WAF compenserendCisco FMC InterlockZERO-DAY 36 DAGENRetroactieve threat hunt + rogue peer auditGlassWorm 433 comp.9M+ INSTALLATIESSBOM-scan + Unicode detectie CI/CDZimbra APT28CISA KEV 18 MRTUpdate ZCS + credential resetBeyondTrustRANSOMWARE ACTIEFPatch + VShell/SparkRAT IOC scanDORA RoIDNB T-2d / AFM T-4dxBRL-CSV validatie + completeness checkNIS2 debat23 MAART (T-5d)Monitor + BIO2 v1.3 implementatieEU AI Act stemming26 MAARTMonitor plenaire stemming Digital OmnibusCRA feedbackDEADLINE 31 MRTInput op concept-richtlijnen