AI & Security Intelligence 21 – 23 Maart 2026

By Djimit* een overzicht voor AI cloud- en security professional*

CRITICAL Urgency: 10/10Oracle Identity Manager CVSS 9.8 emergency patch • 4 CISA-deadlines verstreken dit weekend • 10+ ransomware-slachtoffers zaterdag • ED 26-03 rapportage vandaag • Cyberbeveiligingswet wetgevingsoverleg VANDAAG

1 — Editor’s Synthesis — Weekoverzicht

Dit weekend markeerde een convergentie van vier CISA-deadlines, een emergency Oracle-patch en het wetgevingsoverleg over de Cyberbeveiligingswet in de Tweede Kamer — een unieke druk op zowel security operations als compliance-teams. De combinatie van verstreken deadlines en aanhoudende exploitatie maakt dit weekend tot het meest kritieke van het jaar tot nu toe.
Oracle Identity Manager CVE-2026-21992 (CVSS 9.8) kreeg een zeldzame out-of-band emergency patch op zaterdag 21 maart. De kwetsbaarheid — ontbrekende authenticatie voor een kritieke functie in REST WebServices — stelt ongeauthenticeerde aanvallers in staat tot remote code execution. Organisaties met Oracle Identity Management moeten dit als P0 behandelen.
De vier CISA-deadlines die dit weekend passeerden (SharePoint 21 maart, Cisco FMC 22 maart, SD-WAN ED 26-03 rapportage 23 maart, Ivanti EPMM 23 maart) creëren een uniek compliance-risico. Organisaties die niet tijdig hebben gepatcht staan nu bloot aan zowel actieve exploitatie als potentiële toezichtrechtelijke consequenties. Interlock-ransomware blijft Cisco FMC-kwetsbaarheden actief misbruiken, nu met Solana blockchain C2-infrastructuur.
De weekendactiviteit van ransomwaregroepen bevestigt het patroon: 10+ nieuwe slachtoffers op zaterdagavond, waaronder NightSpire (3), Qilin (3) en ALP-001 (2). De professionele-dienstensector is primair doelwit. Het Rapid7-rapport van vorige week — exploited CVE’s +105% YoY, mediane KEV-tijd 5 dagen — vindt directe bevestiging in de snelheid waarmee dit weekend deadlines en exploitatie convergeerden.
Op het regulatoire front is vandaag de dag: het wetgevingsoverleg over de Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten vindt VANDAAG plaats in de Tweede Kamer. Bij verwachte goedkeuring treedt de wet in werking per 1 juli 2026 — over exact 100 dagen. Parallel: DORA DNB-register is ingediend (deadline 20 maart verstreken), AFM-deadline loopt tot 31 maart, CRA-feedback sluit ook 31 maart, en de Digital Omnibus plenaire stemming is woensdag 26 maart.
In de AI-wereld sloot NVIDIA GTC 2026 af met Vera Rubin als volgende platformgeneratie en een verdubbeling van de omzetprognose naar $1 biljoen. OpenAI lanceerde GPT-5.4 Mini en Nano, terwijl Mistral Small 4 (119B MoE, Apache 2.0) een relevant open-source-alternatief biedt voor enterprise-deployment met Europese digitale soevereiniteit. 72% van Global 2000-bedrijven heeft nu AI-agenten in productie — maar slechts 42% acht zichzelf infrastructureel voorbereid.

2 — Security Intelligence

Lane A — Weekend Verified News (21–23 maart 2026)

Weekoverzicht Lopende Dreigingen

Dit weekend passeerden vier CISA BOD 22-01-deadlines simultaan: SharePoint CVE-2026-20963 (21 maart), Cisco FMC CVE-2026-20131 (22 maart), Cisco SD-WAN ED 26-03 rapportage (23 maart), en Ivanti EPMM CVE-2026-1603 (23 maart). VMware Aria CVE-2026-22719 deadline volgt morgen 24 maart.
Ransomware-activiteit piekte zaterdagavond 22 maart: NightSpire (3 slachtoffers), Qilin (3), ALP-001 (2), plus Shinyhunters-lekken bij Ameriprise Financial en Infinite Campus. Totaal 10+ nieuwe slachtoffers in 24 uur. (Bron: Purple Ops Daily Report)
De convergentie van deadlines en weekendexploitatie benadrukt de noodzaak van 24/7 SOC-capaciteit en geautomatiseerde patchvalidatie. Organisaties zonder weekend-SOC-dekking lopen significant verhoogd risico.

Oracle Identity Manager CVE-2026-21992 — CVSS 9.8 Emergency Patch

Oracle heeft op zaterdag 21 maart een out-of-band emergency patch uitgebracht voor CVE-2026-21992 (CVSS 9.8) in Oracle Identity Manager en Web Services Manager. Ontbrekende authenticatie voor kritieke functie stelt ongeauthenticeerde RCE mogelijk via REST WebServices. (Bron: SecurityWeek, Help Net Security, 21-23 maart 2026)
Out-of-band patches van Oracle zijn zeldzaam en signaleren extreme urgentie. Oracle Identity Manager is kerninfrastructuur voor identity governance in grote organisaties. Patch dit weekend nog.

Cisco FMC CVE-2026-20131 — CISA Deadline 22 maart Verstreken

CISA-deadline voor Cisco FMC CVE-2026-20131 (CVSS 10.0) is verstreken op 22 maart. Interlock-ransomware blijft actief exploiteren via deserialisatie-aanval. Aanvalsketen: HTTP-verzoek → Java-code als root → externe callback → ELF-binary → ConnectWise ScreenConnect + custom implants. Solana blockchain C2 waargenomen. (Bron: BleepingComputer, AWS Security Blog, The Hacker News)
Organisaties die deze deadline gemist hebben moeten nu uitgaan van potentiële compromittering. Voer forensisch onderzoek uit op FMC-instanties en controleer op Interlock-IOC’s.

SharePoint CVE-2026-20963 — CISA Deadline 21 maart Verstreken

CISA-deadline voor SharePoint CVE-2026-20963 (CVSS 9.8) deserialisatie-RCE is verstreken op 21 maart. Actieve exploitatie door meerdere actoren. Patch beschikbaar sinds januari 2026. (Bron: CISA KEV, SecurityWeek)
SharePoint is alomtegenwoordig in Nederlandse overheids- en bedrijfsomgevingen. Verifieer patchstatus vandaag; escaleer unpatched instanties naar P0.

Cisco SD-WAN ED 26-03 — Rapportagedeadline VANDAAG

Emergency Directive ED 26-03 vereist dat federale agentschappen VANDAAG (23 maart, 23:59 ET) alle Cisco SD-WAN syslog-data rapporteren aan CISA CLAW. CVE-2026-20127 (CVSS 10.0) werd drie jaar lang uitgebuit door UAT-8616. (Bron: CISA ED 26-03, CSO Online)
Hoewel ED 26-03 formeel alleen voor Amerikaanse federale agentschappen geldt, is de onderliggende kwetsbaarheid universeel relevant. Nederlandse organisaties met Cisco SD-WAN moeten dezelfde patchniveaus hanteren.

Ivanti EPMM Deadlines Verstreken + VMware Aria Morgen

Ivanti EPMM CVE-2026-1603 (authentication bypass) CISA-deadline verstreken vandaag 23 maart. CVE-2026-1281/1340 (elk CVSS 9.8) blijven actief geëxploiteerd. Nederlandse en EU-overheidsdata bevestigd gecompromitteerd. VMware Aria Operations CVE-2026-22719 (CVSS 8.1) deadline morgen 24 maart. Workaround script beschikbaar. (Bron: Palo Alto Unit42, CISA, BleepingComputer)

CISA KEV Toevoegingen 20 maart — Apple DarkSword & Laravel

CISA voegde 20 maart vijf CVE’s toe met deadline 3 april: drie Apple buffer overflows (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) als onderdeel van ‘DarkSword’ iOS-aanvalsketen, plus Craft CMS code injection (CVE-2025-32432) en Laravel Livewire code injection (CVE-2025-54068). (Bron: CISA Alerts, CyberPress)
De DarkSword-keten treft iOS, iPadOS, macOS, watchOS, tvOS en visionOS. Organisaties met BYOD-beleid moeten Apple-updatestatus van werknemersapparaten verifiëren.

ConnectWise ScreenConnect CVE-2026-3564 — NHS Alert

ConnectWise ScreenConnect CVE-2026-3564 (CVSS 9.0): cryptografische handtekeningverificatie-bypass. Cloud-instanties automatisch bijgewerkt; on-premises vereist handmatige upgrade naar v26.1. NHS Digital heeft waarschuwing CC-4756 uitgebracht. (Bron: Help Net Security, BleepingComputer, NHS Digital)
ScreenConnect is breed ingezet door MSP’s. De NHS-waarschuwing benadrukt het zorgsector-risico. Verifieer dat alle on-premises instanties zijn bijgewerkt.

GlassWorm Supply-Chain — 433+ Componenten, Solana C2

GlassWorm-campagne omvat nu 433+ componenten over OpenVSX, VS Code Marketplace, GitHub en npm. 9+ miljoen installaties. C2-infrastructuur via Solana blockchain dead-drop resolver met 50+ transacties (november 2025 – maart 2026). Gestolen GitHub-tokens voor force-push van malware. (Bron: The Hacker News, Aikido.dev, Medium)

APT28 Operation GhostMail — Zero-Click Zimbra

APT28/Fancy Bear (GRU) exploiteert Zimbra CVE-2025-66376 als ‘zero-click’ aanval: geobfusceerde JavaScript in HTML-e-mailbody, triggert bij bekijken in browser. Exfiltreert sessietokens (ZMBAuthToken), 2FA-backup-codes, genereert app-specifieke wachtwoorden en activeert IMAP voor persistentie. 90 dagen mailboxtoegang. (Bron: SecPod, Seqrite, CyberPress)
Het zero-click-karakter maakt deze aanval bijzonder gevaarlijk. EU-overheden met Zimbra moeten patches verifiëren en ongeautoriseerde app-wachtwoorden en IMAP-activering auditen.

Nederlandse Overheid — Signal/WhatsApp Kapingcampagne Bevestigd

Nederlandse inlichtingendiensten bevestigen dat Russische staatshackers achter de Signal/WhatsApp-kapingcampagne zitten. Methoden: impersonatie als app-supportteam, verificatiecode-verzoeken, toevoeging van malafide ‘linked devices’ voor surveillance zonder medeweten gebruiker. Doelwitten: overheidsfunctionarissen, militairen, journalisten. (Bron: BleepingComputer, NL Times, TechCrunch, NBC News)
De bevestiging door Nederlandse inlichtingendiensten verhoogt het dreigingsniveau. Implementeer hardware security keys en controleer gekoppelde apparaten in Signal/WhatsApp.

Governance & Compliance (EU/NL)

Cyberbeveiligingswet: wetgevingsoverleg VANDAAG 23 maart in Tweede Kamer. Bij goedkeuring invoering gericht op 1 juli 2026 (T-100 dagen). 8.000-10.000 organisaties in scope. (Bron: Vewin, NLDigital, Samen Digitaal Veilig)
DORA: DNB Register of Information deadline verstreken 20 maart. AFM-deadline verlengd tot 31 maart. DORA-incidentrapportage: 24 uur early warning, 72 uur gedetailleerd rapport. Strengere boetes en persoonlijke aansprakelijkheid digitale risico-officers. (Bron: DNB, AFM)
Digital Omnibus: plenaire stemming 26 maart (woensdag). Machine-leesbare AI-contentmarkering verplicht per 2 november 2026. (Bron: AIACTO.eu)
CRA: feedback op Draft Guidance sluit 31 maart. Rapportageverplichtingen per 11 september 2026; hoofdverplichtingen per 11 december 2027. (Bron: EC Digital Strategy, DLA Piper, Hogan Lovells)
EDPB/EDPS: gezamenlijke opinie 19 maart over CSA2/NIS2-amendementen: steun voor versterking ENISA-rol en ICT-supply-chain-risicobeheer. (Bron: EDPB)
AI Act sandboxes: elke lidstaat moet minimaal één operationele sandbox hebben vóór 2 augustus 2026. AP en RDI hebben gezamenlijk sandbox-voorstel ingediend. NL AI Factory (Groningen): €70M EuroHPC-toekenning, opening 2026. (Bron: AP, Consilium)

Lane B — Weekly Executive Brief

Control of the Week: CISA Deadline Compliance Monitoring

WIE: CISO-office / Vulnerability Management / Compliance-team
WAT: Implementeer een geautomatiseerd CISA BOD 22-01-deadline-tracking-dashboard dat alle KEV-vermeldingen monitort, patchstatus correleert met CMDB-assets, en automatisch escaleert bij naderende deadlines. Hoewel formeel alleen voor US-federale agencies, dient dit als best-practice-benchmark.
WAAR: Vulnerability management platform (Qualys/Tenable/Rapid7) gekoppeld aan CMDB en change management. Dashboard zichtbaar voor SOC, VM-team en CISO-office.
METRIC: Percentage KEV-items geremedieerd vóór CISA-deadline; target: 100% voor CVSS 9.0+, 95% voor CVSS 7.0-8.9. Dit weekend: 5 deadlines, verifieer compliance-percentage.

Failure Mode of the Week: Weekend SOC-dekkingsgat

FAALPATROON: Ransomwaregroepen en APT-actoren timen aanvallen op zaterdagavond/zondag, wetende dat SOC-bezetting minimaal is. Dit weekend: 10+ ransomware-slachtoffers, Interlock FMC-exploitatie, GlassWorm supply-chain-activiteit.
OORZAAK: Veel organisaties hanteren 5×8 SOC-bezetting of beperkte weekend-on-call met vertraagde escalatiepaden. SIEM-alerts worden pas maandagochtend beoordeeld.
TEGENMAATREGEL: Implementeer geautomatiseerde SOAR-playbooks voor kritieke alerttypen (ransomware-indicatoren, CISA KEV-matches, known-bad-IP-matches) die 24/7 autonoom isolatie-acties uitvoeren. Verplicht weekend-on-call met 15-minuten-SLA voor P1-alerts.

10 Minute Drill (Maandagochtend Prioriteit)

**1. *Open vulnerability dashboard en filter op CISA KEV-items met verstreken deadlines (21-23 maart): SharePoint, Cisco FMC, SD-WAN, Ivanti EPMM → Output: *Screenshot van compliance-status per KEV-item met patch/mitigatie-status
**2. *Exporteer lijst van alle Oracle Identity Manager-instanties uit CMDB; verifieer patch CVE-2026-21992 is toegepast na zaterdag emergency-patch → Output: *Patch-compliance-rapport Oracle IDM met versienummers
**3. *Controleer SIEM/EDR op weekend-alertactiviteit: filter op ransomware-IOC’s, Interlock-indicators, en anomale uitgaande verbindingen tussen za 18:00 en ma 08:00 → Output: *Weekend-alertrapport met triage-status en escalatie-beslissingen
**4. *Bekijk alle Signal/WhatsApp-accounts van sleutelfunctionarissen op onbekende ‘linked devices’; controleer of hardware security keys zijn geactiveerd → Output: *Inventaris gekoppelde apparaten per gebruiker met goedkeuringsstatus
**5. *Bereid statusupdate voor CISO voor: (a) patch-compliance verstreken deadlines, (b) Oracle IDM-patchstatus, (c) weekend-incidentoverzicht, (d) Cyberbeveiligingswet wetgevingsoverleg-resultaat → Output: *Maandagochtend CISO-briefing document v1.0

3 — Research Radar

ArXiv — Cryptography & Security (cs.CR)

vEcho: A Paradigm Shift from Vulnerability Verification to Proactive Discovery with LLMs

Various authors (DAC 2026 accepted)

Gebruikt LLM’s voor geautomatiseerde kwetsbaarheidsontdekking in plaats van alleen verificatie. Paradigmaverschuiving naar proactieve beveiligingsanalyse. Relevant voor security-tooling-evaluatie.

https://arxiv.org/list/cs.CR/current

Benchmarking Post-Quantum Cryptography on ARM Cortex-M0+: ML-KEM and ML-DSA

Various authors (AICTC 2026)

Evalueert quantum-resistente algoritmen op resource-beperkte IoT-apparaten. Kritiek voor planning van post-quantum-migratie in OT/ICS-omgevingen.

https://arxiv.org/list/cs.CR/current

Blockchain-Based Trust Framework for Resilient Cross-Domain UAV Service Orchestration

Various authors

Multi-domein beveiligingsarchitectuur voor UAV-orkestratie. Relevant voor organisaties met drone- en IoT-ecosystemen.

https://arxiv.org/list/cs.CR/current

ArXiv — Artificial Intelligence (cs.AI)

Memori: A Persistent Memory Layer for Efficient, Context-Aware LLM Agents

Various authors

Persistent geheugenlaag voor productie-LLM-systemen. Adresseert efficiëntie- en contextproblemen in enterprise-agentdeplooiing.

https://arxiv.org/list/cs.AI/current

What If Consensus Lies? Selective-Complementary Reinforcement Learning at Test Time

Various authors

Verbeterde multi-agent-besluitvorming door selectief consensus te negeren. Relevant voor betrouwbaarheid van AI-agentsystemen.

https://arxiv.org/list/cs.AI/current

ArXiv — Machine Learning (cs.LG)

MAML-KT: Cold Start Knowledge Tracing via Few-Shot Meta Learning

Various authors

Few-shot meta-learning voor nieuwe gebruikers in kennisvolgsystemen. Enterprise-toepassing: gepersonaliseerde training en competentie-tracking.

https://arxiv.org/list/cs.LG/current

HuggingFace Trending

HunyuanVideo (Tencent) — 13B parameter text-to-video. Presteert beter dan Runway Gen-3 en Luma 1.6.
Mistral Small 4 (Mistral AI) — 119B MoE, Apache 2.0. Unified model voor instruct, reasoning, multimodal en coding.
Nemotron-Cascade 2 (NVIDIA) — 3B geactiveerde params MoE. IMO-goud-benchmark.
MiniMax Agentic Model — Geoptimaliseerd voor complexe workflows en multi-stap-taken.

4 — Open Source & GitHub Discovery

OpenClaw (Python/TypeScript) 60K+ stars — Snelst groeiende open-source project in GitHub-geschiedenis. Van 9K naar 60K+ stars in weken. Personal AI agent framework.
OpenViking (TypeScript) Trending stars — Open-source context-database voor AI-agenten met hiërarchische contextlevering en zelf-evolutie.
Agentic Skills Framework (TypeScript) Trending stars — Skills voor Claude Code, Codex, Cursor. Focus op performance-optimalisatie en agentcoördinatie.
Secure AI Agent Sandbox (Rust/Python) Trending stars — Snelle, uitbreidbare runtime voor veilige AI-agent-executie. Relevant voor enterprise AI-governance.
Adaptive Web Scraping Framework (Python) Trending stars — Unified scraping: van single-request tot full-scale crawls. AI-aangedreven contentextractie.
Shadowbroker (Python) 15K+ stars — OSINT-tool met 15 real-time databronnen. HN score 304. Relevant voor threat intelligence teams.

5 — AI Apps & Tools

NVIDIA GTC 2026 Wrap-up — Vera Rubin & $1T Prognose

NVIDIA GTC 2026 (17-21 maart) sloot af met verdubbeling omzetprognose naar $1 biljoen door Blackwell/Vera Rubin-orders door 2027. Vera Rubin platform integreert 7 chips voor real-time physical AI aan de edge. IGX Thor voor enterprise-grade functionele veiligheid nu algemeen beschikbaar. (Bron: NVIDIA Blog, CNBC, TechRepublic)
NemoClaw: enterprise autonomous AI agent platform. AWS deployt 1+ miljoen NVIDIA GPU’s (Blackwell/Rubin) wereldwijd vanaf 2026. Agentic AI vervangt conversational AI als primair deployment-patroon. (Bron: NVIDIA GTC)

OpenAI GPT-5.4 Mini & Nano

GPT-5.4 Mini: 2x sneller dan GPT-5 Mini, nadert GPT-5.4-prestaties op SWE-Bench Pro. Beschikbaar in ChatGPT, API en Codex. Nano: $0.20/1M input tokens, $1.25/1M output — goedkoopste GPT-5.4-variant voor classificatie en data-extractie. (Bron: OpenAI, 9to5Google)

Mistral AI Small 4 + Forge

Small 4: 119B parameters, 128 experts (4 actief per token), 256k context, multimodaal, Apache 2.0. 40% snellere completietijd dan Small 3. Vervangt Mistral Small, Magistral, Pixtral en Devstral in één model. Dag-0 vLLM/llama.cpp-ondersteuning. (Bron: Mistral AI, MarkTechPost)
Small 4 op Apache 2.0-licentie is het sterkste open-source unified model voor Europese organisaties die data-soevereiniteit vereisen. On-premises deployment via Forge-platform.

Anthropic Claude Updates

Upgraded Sonnet met 1M token context (beta). Claude Code Channels: Discord/Telegram-integratie. Claude Partner Network: $100M investeringscommitment door 2026. Verdubbelde gebruikslimieten 13-27 maart. (Bron: Releasebot, VentureBeat)

Enterprise AI Adoption — 72% in Productie

72% van Global 2000-bedrijven heeft AI-agenten in productie (voorbij experimentele fase). Maar slechts 42% acht zichzelf ‘highly prepared’ qua infrastructuur, data, risico en talent. Primaire uitdaging: datakwaliteit en governance-gaps. (Bron: Deloitte State of AI 2026, NVIDIA)
De kloof tussen adoptie (72%) en gereedheid (42%) signaleert significant implementatierisico. Organisaties moeten AI-governance-frameworks implementeren vóór 2 augustus 2026 AI Act-deadline.

6 — Regulatory & Ethics Monitor

Cyberbeveiligingswet — Wetgevingsoverleg VANDAAG

Tweede Kamer houdt vandaag 23 maart wetgevingsoverleg over Cyberbeveiligingswet (NIS2-implementatie) en Wet weerbaarheid kritieke entiteiten (CER-richtlijn). Bij verwachte goedkeuring: inwerkingtreding 1 juli 2026. 8.000-10.000 organisaties in scope. Verplichte incidentrapportage binnen 72 uur. RDI is aangewezen als toezichthouder. (Bron: Vewin, NLDigital, RDI)
Dit is het cruciale wetgevingsmoment. Organisaties moeten nu starten met gap-analyse tegen Cyberbeveiligingswet-vereisten. De implementatieperiode is T-100 dagen.

DORA — Register of Information Status

DNB-deadline verstreken 20 maart. AFM-deadline verlengd tot 31 maart. xBRL-CSV-formaat via MyDNB/AFM Portal. DORA verschuift naar ‘proof over paperwork’: real-time data-driven resilience met geautomatiseerd toezicht. Incidentrapportage: 24 uur early warning, 72 uur detail. Strengere boetes + persoonlijke aansprakelijkheid. (Bron: DNB, AFM, LegalNodes)

Digital Omnibus — Plenaire Stemming Woensdag 26 maart

Europees Parlement stemt woensdag over Digital Omnibus. AI-contentmarkering verplicht per 2 november 2026. Verbod op nudifier-systemen. Hoog-risico AI deadlines uitgesteld: Annex III december 2027, Annex I augustus 2028. (Bron: AIACTO.eu, Consilium)

CRA — Feedbackdeadline 31 maart

Draft Guidance gepubliceerd 3 maart. Feedback sluit 31 maart. Behandelt: remote data processing, FOSS-uitzonderingen, support-periodes, ‘placed on market’-definitie. Rapportageverplichtingen: 11 september 2026. Hoofdverplichtingen: 11 december 2027. (Bron: EC, DLA Piper, Hogan Lovells)

EU Digitale Soevereiniteit — €100 Miljard Markt

Europese soevereine cloudmarkt groeit van €20 miljard naar verwacht €100+ miljard in 2031. European Edge Continuum live gedemonstreerd op MWC 2026 (Deutsche Telekom, Orange, Telefónica, TIM, Vodafone). EURO-3C project: 70+ organisaties in gefedereerd netwerk. Gaia-X: 180+ actieve dataspaces. 60% van West-Europese CIO’s wil meer lokale cloudproviders. (Bron: Euronews, Deutsche Telekom, NODE Magazine)
De €100 miljard-projectie maakt Europese cloud een strategische investeringscategorie. BIO2 v1.3 en NIS2-vereisten creëren regulatory push naar lokale cloudproviders.

BIO2 v1.3 — Implementatie

BIO2 v1.3 gepubliceerd in Staatscourant 5 maart. Risico-gebaseerde aanpak vervangt BBN-niveaus. Aligneert met ISO 27002:2022 en NIS2 Artikel 21. Overheidsevaluatie implementatie start 2026. v1.4 gepland eind 2027. (Bron: BIO-overheid.nl, Digitale Overheid)

AP — 2026 Handhavingsprioriteiten

Autoriteit Persoonsgegevens prioriteiten 2026: massasurveillance, AI-systemen, digitale weerbaarheid. AP dringt aan op spoedige implementatie AI-verordening in Nederlandse wetgeving. Recente handhaving: €2,7M boete Experian voor ongeautoriseerde kredietwaardigheidsprofiling. (Bron: AP, ICTRecht, Accountant.nl)

7 — The Daily Meta-Prompt

**Scenario: **Het is maandagochtend 24 maart 2026. Vier CISA-deadlines zijn dit weekend verstreken, Oracle Identity Manager heeft een emergency patch, en ransomware-activiteit piekte zaterdagavond. Uw SOC rapporteert verdachte activiteit op meerdere systemen. Voer het volgende maandagochtend incident-response-protocol uit.

Taak 1 — Triage

#CheckStatusPrioriteitOwner1Exporteer SIEM-alerts van za 18:00 t/m ma 08:00; filter op ransomware-IOC’s en CISA KEV-gerelateerde exploitsOpenP0SOC Lead2Verifieer patchstatus Oracle Identity Manager CVE-2026-21992 (emergency patch za 21 maart)OpenP0Platform Team3Controleer Cisco FMC-instanties op Interlock-IOC’s; exporteer FMC-auditlogs sinds 22 maartOpenP0Network Ops4Bekijk SharePoint Server-patchstatus; verifieer compliance met CVE-2026-20963 (deadline verstreken 21 maart)OpenP1M365 Admin5Controleer Signal/WhatsApp van sleutelfunctionarissen op onbekende linked devices na Russische kapingcampagneOpenP1Security Awareness

Taak 2 — Impact Assessment

#ImpactgebiedBeoordelingErnstActie1Identity InfrastructureExporteer Oracle IDM-auditlogs; controleer op ongeautoriseerde accountcreatie via REST WebServicesKritiekEmergency patch + audit2Firewall ManagementBekijk alle FMC-configuratiewijzigingen sinds 1 januari; controleer op Interlock-artefactenKritiekForensisch onderzoek3Collaboration (SharePoint)Verifieer dat alle SharePoint-servers januari-patch hebben; exporteer ongeautoriseerde objectcreatie-logsHoogPatchverificatie4WAN InfrastructureControleer SD-WAN-apparaten op UAT-8616-IOC’s; exporteer NETCONF-audittrailHoogNetwork audit5Communicatie-integriteitAudit Signal/WhatsApp linked devices; controleer 2FA-status van alle C-level en sleutelfunctionarissenHoogDevice-audit

Taak 3 — Maandag Containment Plan

#ActieOwnerDeadlineVerificatie1Verifieer en documenteer patchstatus alle CISA KEV-items met verstreken deadline (SharePoint, FMC, SD-WAN, Ivanti)VM TeamT+2hExporteer patch-compliance-matrix met datumstempel per asset2Pas Oracle Identity Manager emergency patch toe op alle instanties; verifieer versienummerPlatform TeamT+4hExporteer versie-inventaris vóór/na patching3Voer IOC-scan uit op alle Cisco FMC-/SD-WAN-apparaten tegen Interlock- en UAT-8616-indicatorenSOC AnalystT+4hIOC-scanrapport met match/no-match per apparaat4Controleer weekend-SIEM-alerts op gemiste escalaties; triage alle P1/P2-alertsSOC LeadT+3hWeekend-alert-triage-rapport met dispositie per alert5Bereid CISO-briefing voor met compliance-status, weekend-incidentoverzicht en Cyberbeveiligingswet-updateSecurity ManagerT+6hCISO-briefingdocument met actiepunten en deadlines

Taak 4 — Risk Register (Week-Cumulatief)

Risk IDBeschrijvingLIScoreMitigatieReview****OwnerIR-20260323-001Oracle IDM CVSS 9.8 emergency patch — potentiële ongeautoriseerde toegang4520Emergency patching + auditlog-review24-03Platform LeadIR-20260323-002Cisco FMC CVSS 10.0 deadline verstreken; Interlock-ransomware actief5525Patch + forensisch onderzoek op IOC’s24-03Infra LeadIR-20260323-0034 CISA-deadlines verstreken zonder bevestigde compliance4416Compliance-matrix opstellen + gap remediation25-03CISOIR-20260323-004Weekend ransomware-golf (10+ slachtoffers) — SOC-dekkingsgat4416SOAR-playbook + weekend-escalatie-SLA27-03SOC ManagerIR-20260323-005Cyberbeveiligingswet T-100 dagen — compliance-gereedheid3412Gap-analyse starten; RDI-registratie voorbereiden01-04ComplianceIR-20260323-006DORA AFM-deadline 31 maart — register-indiening3412xBRL-CSV voorbereiden; AFM Portal-indiening31-03Risk OfficerIR-20260323-007Signal/WhatsApp kaping NL-overheid door Russische staatshackers339Hardware keys + linked device audit25-03Security Awareness

Taak 5 — Executive Update Template

**Aan: **CISO, CTO, VP Engineering, Compliance Officer

**Onderwerp: **[CRITICAL] Maandagochtend Briefing — Weekend Security & Compliance Convergentie

**Status: **Vier CISA-deadlines zijn dit weekend verstreken. Oracle Identity Manager heeft emergency patch ontvangen. Weekend ransomware-activiteit: 10+ nieuwe slachtoffers. Cyberbeveiligingswet wetgevingsoverleg heeft vandaag plaatsgevonden.

**Impact: **(1) Compliance-risico door verstreken CISA-deadlines (SharePoint, Cisco FMC/SD-WAN, Ivanti). (2) Oracle IDM CVSS 9.8 emergency patch vereist onmiddellijke toepassing. (3) Interlock-ransomware blijft Cisco FMC exploiteren. (4) Cyberbeveiligingswet nadert inwerkingtreding T-100 dagen.

**Vervolgacties: **1) Patch-compliance-matrix voor alle verstreken deadlines (T+2h). 2) Oracle IDM patching (T+4h). 3) Cisco FMC/SD-WAN forensisch onderzoek (T+4h). 4) Weekend-alert-triage (T+3h). 5) Cyberbeveiligingswet gap-analyse opstarten (deze week). 6) DORA AFM-indiening voorbereiden (deadline 31 maart).

**Volgende update: **24 maart 2026, 16:00 CET

8 — Sources & Distribution Assets

Bronnen per Categorie

Lane A — Security

CISA Known Exploited Vulnerabilities Catalog — cisa.gov/known-exploited-vulnerabilities-catalog
CISA Emergency Directive ED 26-03 — cisa.gov/news-events/directives/ed-26-03
CISA Alerts 19-20 maart 2026 — cisa.gov/news-events/alerts
SecurityWeek — securityweek.com (Oracle IDM, Langflow, SharePoint)
BleepingComputer — bleepingcomputer.com (Cisco FMC, ScreenConnect, GlassWorm, Signal/WhatsApp NL)
The Hacker News — thehackernews.com (Interlock, SD-WAN, Ivanti)
Help Net Security — helpnetsecurity.com (Oracle IDM, Cisco FMC, ScreenConnect)
AWS Security Blog — aws.amazon.com/blogs/security (Interlock/MadPot)
Purple Ops Daily Report — purple-ops.io (Weekend ransomware)
Rapid7 2026 Threat Landscape — rapid7.com
Unit42/Palo Alto — unit42.paloaltonetworks.com (Ivanti EPMM)
The Record/Recorded Future — therecord.media (Ivanti NL/EU)
SecPod, Seqrite, CyberPress — Operation GhostMail APT28 analyse
NL Times, TechCrunch, NBC News — Signal/WhatsApp kapingcampagne NL
NHS Digital — digital.nhs.uk (ScreenConnect CC-4756)
NCSC-NL — advisories.ncsc.nl
CERT-EU — cert.europa.eu/publications

Lane B — Executive Brief

NIST Cybersecurity Framework (CSF) 2.0 — nist.gov/cyberframework
CIS Controls v8.1 — cisecurity.org/controls

Research & AI

ArXiv — arxiv.org (cs.CR, cs.AI, cs.LG)
HuggingFace — huggingface.co/blog
NVIDIA GTC 2026 — blogs.nvidia.com/blog/gtc-2026-news
OpenAI — openai.com/index (GPT-5.4 Mini/Nano)
Mistral AI — mistral.ai/news (Small 4)
Anthropic — releasebot.io/updates/anthropic
Deloitte State of AI 2026 — deloitte.com
CNBC, TechRepublic — GTC 2026 analysis

GitHub & Tools

GitHub Trending — github.com/trending
ByteByteGo — blog.bytebytego.com

Regulatory

DNB DORA — dnb.nl/en/sector-news/supervision-2026
AFM DORA — afm.nl/en/sector/themas/dora
Vewin — vewin.nl (Wetgevingsoverleg 23 maart)
NLDigital — nldigital.nl (Cyberbeveiligingswet)
Samen Digitaal Veilig — samendigitaalveilig.nl
RDI — rdi.nl/onderwerpen/cyberveiligheid
Digitale Overheid — digitaleoverheid.nl (BIO2)
Consilium — consilium.europa.eu (AI Act, Digital Omnibus)
AIACTO.eu — aiacto.eu (Digital Omnibus)
EC Digital Strategy — digital-strategy.ec.europa.eu (CRA)
DLA Piper, Hogan Lovells — CRA guidance analysis
EDPB — edpb.europa.eu (CSA2/NIS2 opinie)
AP — autoriteitpersoonsgegevens.nl (2026 prioriteiten)
Euronews, Deutsche Telekom, NODE Magazine — EU digitale soevereiniteit

Distribution Assets

LinkedIn Post (max 3000 tekens)

🔴 CRITICAL WEEKEND EDITIE: Tech & Security Intelligence — 21–23 maart 2026

Het meest kritieke weekend van 2026 tot nu toe:

⚠️ Oracle Identity Manager CVE-2026-21992 (CVSS 9.8) — Zeldzame out-of-band emergency patch op zaterdag
⚠️ 4 CISA-deadlines verstreken: SharePoint 9.8, Cisco FMC 10.0 (Interlock ransomware), SD-WAN ED 26-03, Ivanti EPMM
⚠️ 10+ nieuwe ransomware-slachtoffers zaterdagavond — weekend SOC-dekkingsgat uitgebuit
⚠️ APT28 Operation GhostMail: zero-click Zimbra-exploit, 90 dagen mailboxtoegang
⚠️ NL overheid: Russische staatshackers achter Signal/WhatsApp-kaping bevestigd

Regulatory convergentie:

Cyberbeveiligingswet wetgevingsoverleg VANDAAG (T-100 dagen tot invoering)
DORA DNB-deadline verstreken; AFM tot 31 maart
Digital Omnibus plenaire stemming woensdag 26 maart
CRA feedback tot 31 maart

AI week: GTC 2026 wrap-up ($1T prognose), GPT-5.4 Mini/Nano, Mistral Small 4 (119B Apache 2.0), 72% Global 2000 met AI-agenten in productie.

Rapid7: exploited CVE’s +105% YoY. Mediane tijd tot KEV: 5 dagen. Verdedigers hebben geen marge meer.

#CyberSecurity #CISO #NIS2 #DORA #EUAIAct #WeekendEdition #Ransomware #ZeroDay #DigitalSovereignty #Cyberbeveiligingswet

CISO Flash Card

PrioriteitItemActieP0 — NUOracle IDM CVE-2026-21992 emergency patchPas emergency patch toe; audit REST WebServices-logsP0 — NUCISA-deadlines verstreken (FMC, SharePoint, SD-WAN, EPMM)Patch-compliance-matrix; forensisch onderzoek bij non-complianceP0 — 24hWeekend SIEM-alert-triageTriage alle P1/P2-alerts za-zo; controleer op ransomware-IOC’sP1 — 24hVMware Aria CVE-2026-22719 deadline morgen 24 maartPas workaround toe of patch; verifieer migratie-exposureP1 — 48hSignal/WhatsApp linked device auditAudit alle C-level; activeer hardware security keysP2 — WeekCyberbeveiligingswet gap-analyse startenInventariseer scope; plan gap-assessment (T-100 dagen)P2 — 31 maartDORA AFM-register + CRA feedbackFinaliseer xBRL-CSV; dien CRA-feedback inP3 — MonitorDigital Omnibus stemming 26 maartVolg plenaire stemming; bereid AI-contentmarkering voor

AI & Security Intelligence 21 – 23 Maart 2026

DjimIT Nieuwsbrief