AI & Security Intelligence — Week 25, 2026
NieuwsbriefAI & Security Intelligence, Week 25, 2026
15 juni 2026, De week dat supply chain security een board-level risico werd.
1. Editor's Synthesis
Deze week vertellen drie ontwikkelingen samen één verhaal. De Miasma-supply-chainaanval trof 73 repositories en 37 PyPI-wheels, Ivanti Sentry draait met een CVSS 9.9-authenticatieomzeiling actief in het wild, en Langflows path-traversal (CVE-2026-5027) maakt het voor aanvallers mogelijk om willekeurige bestanden te schrijven in AI-orkestratieomgevingen. Wat deze drie incidenten gemeen hebben, is dat ze niet langer via e-mail of endpoint binnenkomen. De primaire dreiging beweegt zich door de pijplijn zelf. Code, containers, modellen en agents worden allemaal via dezelfde supply chain aangevoerd, en die supply chain is nu het aanvalsvlak waarop adversaries opereren.
Dat dit geen toekomstmuziek is, bewijst de timing. Over twee weken treedt de Cyberbeveiligingswet (NIS2) in werking. Over zeven weken vervalt de EU AI Act-deadline voor high-risk AI-systemen. Beide wetten stellen expliciete eisen aan supply-chain-integriteit, incidentrapportage en dreigingsmonitoring. Organisaties die nu geen inventarisatie van hun derde-partij-afhankelijkheden hebben, kunnen over twee weken niet aantonen dat ze "passende en proportionele technische en organisatorische maatregelen" hebben getroffen. NIS2 art. 21 lid 2(c) vereist dat expliciet.
OWASP heeft deze week de AIUC-1 Crosswalk gepubliceerd, een bidirectionele mapping tussen AIUC-1-eisen en de ASI Top-10-risico's voor agentische AI. Het document maakt duidelijk dat de traditionele AppSec-toolkit ontoereikend is voor agentische systemen. Een agent die een MCP-server aanroept, vertrouwt op dezelfde supply chain als de container die de agent draait. Het onderscheid tussen "application security" en "AI security" vervaagt. Daarom draait de nieuwsbrief deze week om één kernbesluit.
Het ene besluit dat Nederlandse CISO's deze week moeten nemen: we voeren voor 1 juli een volledige SBOM-audit uit van alle AI-gerelateerde afhankelijkheden, of we aanvaarden dat we bij een incident geen due diligence kunnen aantonen onder NIS2 art. 21.
2. Nederlandse Context & Impact
NL-RELEVANTIE: HOOG, Cyberbeveiligingswet (NIS2) ingangsdatum 1 juli 2026
Wat: De Cyberbeveiligingswet is door de Tweede Kamer aangenomen op 15 april 2026. De beoogde ingangsdatum is 1 juli 2026. De wet ligt nu bij de Eerste Kamer. Bron: samendigitaalveilig.nl, 12 juni 2026.
Nederlandse impact: Vanaf 1 juli vallen essentiële en belangrijke entiteiten onder de verplichte incidentmelding (binnen 24 uur) en dreigingsmonitoring. Gemeenten, ziekenhuizen, waterschappen, energiebedrijven en financiële instellingen moeten een register van afhankelijkheden bijhouden. De wet kent persoonlijke bestuurdersaansprakelijkheid bij ernstige nalatigheid.
Implicatie: Start nu een gap-assessment tegen NIS2 art. 21. Inventariseer alle kritieke IT-leveranciers en hun subleveranciers. Documenteer de keten tot drie lagen diep.
Regelgeving: Cyberbeveiligingswet (NIS2) art. 21 lid 2(c), passende en proportionele technische en organisatorische maatregelen ter beheersing van de beveiliging van netwerken en informatiesystemen, inclusief supply chain.
NL-RELEVANTIE: HOOG, NCSC waarschuwt voor actief misbruik Ivanti Sentry (CVE-2026-10523, CVSS 9.9)
Wat: Het NCSC publiceerde op 11 juni 2026 een alert over CVE-2026-10523 in Ivanti Sentry. Een authenticatieomzeiling maakt het mogelijk om ongeautoriseerd admin-accounts aan te maken. Proof-of-concept-code is publiek beschikbaar. Getroffen versies: Sentry vóór R10.5.2, R10.6.2 en R10.7.1.
Nederlandse impact: Ivanti Sentry wordt breed gebruikt door Nederlandse zorginstellingen, gemeenten en semi-overheden voor mobiele toegang en VPN-terminatie. De NCSC schat de kans op misbruik als "verhoogd". Een succesvolle aanval levert volledige netwerktoegang op, inclusief toegang tot patiëntgegevens en burgerregisters.
Implicatie: Patch Ivanti Sentry naar R10.5.2+, R10.6.2+ of R10.7.1+ vóór woensdag 18 juni. Als patching niet mogelijk is, verwijder de instance uit de productieketen tot de patch is toegepast. Meld de kwetsbaarheid in het NIS2-incidentregister als een "near miss".
Regelgeving: BIO2 maatregel 8.13, beveiliging van netwerkapparatuur; NIS2 art. 23, incidentmelding binnen 24 uur bij actief misbruik.
NL-RELEVANTIE: HOOG, Nederland breidt investeringscreening uit naar AI (FDI-regime)
Wat: Per 8 juni 2026 breidt Nederland het investeringscreeningsregime (Vifo-wet) uit met zes technologiecategorieën, waaronder AI, biotech, halfgeleiders en quantumcomputing. Bron: Concurrences / Bloomberg, 8 juni 2026.
Nederlandse impact: Nederlandse AI-startups en scale-ups die strategische technologie ontwikkelen, vallen onder verplichte screening bij buitenlandse investeringen. De Belastingdienst haalt bovendien IT-diensten in-house voor digitale autonomie. DigiD-aanbestedingen zijn nu exclusief voor EU-bedrijven.
Implicatie: AI-bedrijven met buitenlandse investeerders moeten een Vifo-melding voorbereiden. Overheden die AI-tools inkopen moeten de leveranciersherkomst documenteren. Dit raakt direct aan de AI Act-eis van "transparantie over leveranciersketens" (art. 52).
Regelgeving: Vifo-wet (Wet vestigingsreview investeringen in veiligheid), EU AI Act art. 52, transparantieverplichtingen voor AI-systemen.
NL-RELEVANTIE: MEDIUM, Belastingdienst meldt datalek bij AP vanwege Adobe Analytics
Wat: De Belastingdienst heeft een datalek gemeld bij de Autoriteit Persoonsgegevens. Het lek betreft het gebruik van Adobe Analytics waarbij persoonsgegevens werden doorgegeven aan servers buiten de EU. Bron: security.nl, 12 juni 2026.
Nederlandse impact: Adobe Analytics wordt door tientallen Nederlandse overheden en zorginstellingen gebruikt voor webstatistieken. Dit incident toont aan dat "mainstream SaaS-tools" zonder DPIA alsnog een AVG-boete kunnen opleveren. De AP heeft het afgelopen kwartaal 8 boetes uitgedeeld voor datalekken bij analytics-tools.
Implicatie: Voer een herbeoordeling uit van alle analytics- en tracking-tools in gebruik. Check of de dataverwerkersovereenkomst een EU Data Processing Addendum bevat. Update de DPIA als de tool verwerking buiten de EER doet.
Regelgeving: AVG art. 32, passende technische en organisatorische maatregelen; AP-richtlijn DPIA verplicht bij profiling.
NL-RELEVANTIE: MEDIUM, OpenSSL patcht use-after-free (CVE-2026-45447)
Wat: OpenSSL publiceerde op 9 juni 2026 een security advisory voor CVE-2026-45447, een heap use-after-free in PKCS7_verify(). De kwetsbaarheid treft álle ondersteunde OpenSSL-versies (4.0, 3.6, 3.5, 3.4, 3.0, 1.1.1, 1.0.2). Gemeld door Thai Duong (Calif.io) in samenwerking met Claude en Anthropic Research.
Nederlandse impact: OpenSSL is de TLS-backbone van vrijwel elke Nederlandse webapplicatie, API-gateway en microservice. De kwetsbaarheid kan leiden tot RCE via een speciaal vervaardigd PKCS7- of S/MIME-bericht. FIPS-modules zijn niet getroffen.
Implicatie: Upgrade OpenSSL naar 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21, 1.1.1zh of 1.0.2zq. Test de upgrade in een staging-omgeving met de eigen certificaatketen. Roteer TLS-certificaten na de upgrade als extra voorzorgsmaatregel.
Regelgeving: BIO2 maatregel 8.14, beveiliging van cryptografische sleutels en certificaten; NIS2 art. 21 lid 2(b), beveiliging van netwerk- en informatiesystemen.
3. Het Besluit van de Week
Investeren we voor 1 juli in een volledige SBOM-audit van onze AI-afhankelijkheden, of accepteren we dat we bij een supply-chain-incident geen due diligence kunnen aantonen onder NIS2 art. 21?
Deadline: 1 juli 2026 (16 dagen)
Escalatiepad:
- Beslist: CISO (go/no-go op SBOM-uitrol)
- Accordeert: CIO (budget en tooling)
- Informeert: Bestuur (risicoprofiel en residual risk-acceptatie)
- Uitvoert: Security-architect + DevSecOps-lead
Aanbeveling: Start maandag met een pilot-SBOM voor de top-10 AI-afhankelijkheden (Langflow, OpenAI SDK, HuggingFace transformers, PyTorch, CUDA, MCP-servers, Ollama, ChromaDB, Guardrails AI, NVIDIA drivers). Gebruik SPDX of CycloneDX formaat. Koppel elke dependency aan een risicoscore (CVSS + exploitbaarheid + data-classificatie). Presenteer de resultaten aan het bestuur vóór 26 juni.
CFO Forward Box NIS2 kent een maximumboete van 10 miljoen euro of 2 procent van de wereldwijde omzet voor essentiële entiteiten, en 7 miljoen euro of 1,4 procent voor belangrijke entiteiten. Bij ernstige nalatigheid kan persoonlijke bestuurdersaansprakelijkheid volgen. Ter vergelijking: de gemiddelde kosten van een supply-chain-breach in 2026 bedragen 4,88 miljoen dollar volgens IBM (Cost of a Data Breach Report 2026). De Miasma-aanval op 73 repositories toont aan dat een enkele gecompromitteerde dependency honderden organisaties treft. Een SBOM-audit kost 15.000 tot 40.000 euro voor een middelgrote organisatie. Dat is 0,3 procent van het potentiële boetebedrag. De verzekeringsbranche begint NIS2-compliance op te nemen als voorwaarde voor cyberverzekeringen. Zonder SBOM en dependency-register loopt u het risico dat uw polis niet uitbetaalt bij een supply-chain-incident.
4. Critical CVE Triage
CVE-2026-10523, Ivanti Sentry (CVSS 9.9, EXPLOITATIE: ACTIEF IN HET WILD) Authenticatieomzeiling in Ivanti Sentry. Ongeautoriseerde aanvaller kan admin-accounts aanmaken en volledige beheerderstoegang verkrijgen. Actief misbruik gemeld door NCSC op 11 juni 2026. PoC-code publiek beschikbaar. Getroffen versies: vóór R10.5.2, R10.6.2, R10.7.1.
NL-relevantie: Ivanti Sentry wordt gebruikt door Nederlandse zorginstellingen, gemeenten en semi-overheden voor veilige mobiele toegang. Een succesvolle aanval levert toegang tot patiëntgegevens en burgerregisters.
Architectuurvraag: Vertrouwt u op één enkele VPN-terminatieappliance voor zowel interne medewerkers als externe leveranciers? Wat gebeurt er als die ene appliance gecompromitteerd raakt? Hebt u een out-of-band managementpad dat niet door dezelfde appliance loopt?
Actie: Patch naar R10.5.2+, R10.6.2+ of R10.7.1+ vóór 18 juni. Verwijder de instance uit productie als patching niet mogelijk is. Documenteer als NIS2 near-miss.
SOC Director Box (CVE-2026-10523) Monitor SIEM-logs voor onverwachte admin-accountcreaties in Ivanti Sentry, vooral accounts met e-maildomeinen die niet in de whitelist staan. Detecteer authenticatiepogingen vanaf niet-toegewezen IP-ranges naar het Sentry-beheerpaneel. Configureer een alert op "CreateAdminUser"-events buiten change-windows. Als u Ivanti Sentry niet centraal logt, is dit het moment om dat alsnog te doen via syslog-forwarding naar uw SIEM.
CVE-2026-5027, Langflow (CVSS 8.8, EXPLOITATIE: PUBLIEKE PoC) Path traversal in Langflows bestandsupload-API (POST /api/v2/files). De filename-parameter wordt niet gezuiverd, waardoor een aanvaller bestanden kan schrijven naar willekeurige locaties op het filesystem via "../"-sequencing. Ontdekt door Tenable Research (TRA-2026-26).
NL-relevantie: Langflow wordt in Nederland gebruikt als AI-orkestratieplatform voor RAG-pipelines en agent-workflows in zorg en overheid. Een succesvolle aanval kan leiden tot model-poisoning of exfiltratie van vertrouwelijke documenten uit de vectorstore.
Architectuurvraag: Draait uw Langflow-instance met root-privileges of als een beperkte service-account? Hebt u een filesystem-overlay (bijvoorbeeld tmpfs voor uploads) die voorkomt dat een gecompromitteerde Langflow-container bestanden buiten zijn eigen directory kan schrijven?
Actie: Upgrade naar Langflow 1.9.0 of later. Als upgrade niet mogelijk is, implementeer een WAF-regel die "../"-sequenties blokkeert in de filename-parameter van POST /api/v2/files.
CVE-2026-45447, OpenSSL (CVSS 8.8, EXPLOITATIE: THEORETISCH) Heap use-after-free in PKCS7_verify(). Een speciaal vervaardigd PKCS7- of S/MIME-ondertekend bericht kan een use-after-free triggeren, wat leidt tot heap-corruptie en potentieel RCE. Treft álle ondersteunde OpenSSL-versies. Gemeld door Thai Duong (Calif.io / Anthropic Research).
NL-relevantie: OpenSSL is de TLS-backbone van vrijwel elke Nederlandse webapplicatie, API-gateway en microservice. De kwetsbaarheid kan worden getriggerd via e-mailgateways, documentbeheersystemen of API-endpoints die PKCS7- of S/MIME-berichten verwerken.
Architectuurvraag: Verwerkt uw applicatielaag PKCS7- of S/MIME-berichten direct in de applicatie, of delegeert u die verwerking naar een dedicated e-mailgateway met sandboxing? Hoe snel kunt u OpenSSL upgraden in een microservice-architectuur waar honderden containers elk hun eigen OpenSSL-versie meenemen?
Actie: Upgrade naar OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21, 1.1.1zh of 1.0.2zq. Roteer TLS-certificaten na de upgrade. Test de eigen certificaatketen in staging.
CVE-2026-47291, Microsoft HTTP.sys (CVSS 9.8, EXPLOITATIE: THEORETISCH) RCE-kwetsbaarheid in Microsoft HTTP.sys, de kernel-mode HTTP-listener die Windows IIS, Windows Update en diverse Windows-services gebruiken. De kwetsbaarheid maakt het mogelijk om code uit te voeren via een speciaal vervaardigd HTTP-verzoek, zonder authenticatie. Onderdeel van Microsoft Patch Tuesday, 10 juni 2026.
NL-relevantie: Windows Server met IIS wordt breed gebruikt in Nederlandse gemeenten, provincies, zorginstellingen en onderwijs. Windows Update zelf gebruikt HTTP.sys, wat betekent dat zelfs servers die geen IIS draaien kwetsbaar kunnen zijn als HTTP.sys actief is.
Architectuurvraag: Draait HTTP.sys op servers die direct aan het internet blootgesteld zijn, of loopt al het verkeer via een reverse proxy of WAF? Hebt u een asset-register dat onderscheidt tussen "IIS-servers" en "Windows-servers met HTTP.sys"?
Actie: Installeer Microsoft Patch Tuesday-updates van 10 juni 2026. Prioriteit: internet-facing Windows-servers, gevolgd door interne IIS-servers. Herstart is vereist.
CVE-2026-45602, Microsoft DHCP Server (CVSS 9.0, EXPLOITATIE: THEORETISCH) RCE-kwetsbaarheid in de Windows DHCP Server-service. Een niet-geauthenticeerde aanvaller op hetzelfde netwerksegment kan een speciaal vervaardigd DHCP-verzoek sturen om code uit te voeren op de DHCP-server. Onderdeel van Microsoft Patch Tuesday, 10 juni 2026.
NL-relevantie: Windows DHCP is de standaard in veel Nederlandse organisaties. Een gecompromitteerde DHCP-server kan aanvallers in staat stellen om DNS-verkeer om te leiden, rogue IP-adressen uit te delen en netwerksegmenten te lateraliseren.
Architectuurvraag: Staat uw DHCP-server in een beveiligd netwerksegment, of deelt het segment met gebruikers-VM's en BYOD-apparaten? Hebt u DHCP-snooping geconfigureerd op switch-niveau om rogue DHCP-servers te detecteren?
Actie: Installeer Microsoft Patch Tuesday-updates van 10 juni 2026. Test DHCP-failover na de patch. Configureer DHCP-snooping op core-switches als dat nog niet gebeurd is.
5. Sector Radar
Overheid
Observatie: De Cyberbeveiligingswet (NIS2) treedt 1 juli 2026 in werking. Gemeenten en provincies moeten dan een register van kritieke IT-afhankelijkheden bijhouden en incidenten binnen 24 uur melden. De Belastingdienst haalt IT-diensten in-house voor digitale autonomie. DigiD-aanbestedingen zijn nu exclusief voor EU-bedrijven.
Actie: Inventariseer voor 1 juli alle SaaS-tools, cloudleveranciers en AI-applicaties die persoonsgegevens verwerken. Documenteer herkomst, subverwerkers en data-residentie per tool. Koppel aan het NIS2-afhankelijkheidsregister.
Zorg
Observatie: Het NCSC waarschuwde deze week voor actief misbruik van Ivanti Sentry (CVE-2026-10523, CVSS 9.9). Zorginstellingen gebruiken Ivanti Sentry breed voor veilige toegang tot EPD-systemen en ChipSoft-koppelingen. Een succesvolle aanval levert directe toegang op tot patiëntgegevens.
Actie: Patch Ivanti Sentry vóór 18 juni. Als patching niet mogelijk is, schakel de externe toegang tijdelijk uit en gebruik een alternatieve VPN-oplossing. Meld de kwetsbaarheid bij het Z-CERT als near-miss onder NEN 7510.
Financieel
Observatie: Nederland breidde per 8 juni 2026 het investeringscreeningsregime (Vifo-wet) uit naar AI en strategische technologie. Financiële instellingen die AI-tools inkopen of AI-startups financieren, moeten nu rekening houden met verplichte screening bij buitenlandse investeringen.
Actie: Review het vendor-due-diligence-proces voor AI-leveranciers. Voeg een "Vifo-checklist" toe die herkomst van investeerders, IP-eigendom en datasoevereiniteit beoordeelt. Koppel aan DNB-richtlijnen voor IT-risicomanagement.
Energie
Observatie: OpenSSL CVE-2026-45447 treft álle ondersteunde versies. Energiebedrijven gebruiken OpenSSL in SCADA-gateways, remote terminal units en industriële firewalls. Hoewel FIPS-modules niet getroffen zijn, draaien veel OT-systemen op oudere OpenSSL-versies (3.0, 1.1.1, 1.0.2) die wel kwetsbaar zijn.
Actie: Inventariseer alle OT-systemen die OpenSSL gebruiken. Plan de upgrade in een onderhoudsstop. Test de upgrade in een OT-testomgeving vóór productie. Documenteer de patch als onderdeel van de NIS2-beveiligingsmaatregelen voor kritieke infrastructuur.
6. Regulatory Pulse
Cyberbeveiligingswet (NIS2)
Status: aangenomen door Tweede Kamer op 15 april 2026. Beoogde ingangsdatum 1 juli 2026. Wet ligt nu bij Eerste Kamer. Bron: samendigitaalveilig.nl, 12 juni 2026. De overheid houdt vast aan Q2 2026. Nog 16 dagen tot de deadline.
EU AI Act
Deadline voor high-risk AI-systemen: 2 augustus 2026 (7 weken). Stibbe rapporteerde deze week dat de uitvoeringspraktijk zwaarder blijkt dan verwacht en dat organisaties worstelen met de compliance-vereisten. De EU Code of Practice on Transparency of AI-Generated Content is in consultatie. Organisaties die generatieve AI inzetten voor contentcreatie moeten voor 2 augustus een transparantielabelsysteem hebben geïmplementeerd.
OWASP / Agentic Security
OWASP publiceerde de AIUC-1 Crosswalk op 25 mei 2026, een bidirectionele mapping tussen AIUC-1-eisen en de ASI Top-10-risico's voor agentische AI. De State of Agentic AI Security and Governance 2.01 verscheen op 1 juni 2026. De Practical Guide for Secure MCP Server Development blijft actueel (februari 2026). SANS publiceerde deze week de Agentic AI Threat Map, die aantoont dat 8 van de 10 OWASP ASI-toprisico's identity- of autorisatiefouten betreffen.
Crosslink: Lees de diepgaande analyse van DjimIT over agentic AI security architecturen op djimit.nl/blog/agentic-ai-security-systeemarchitectuur-247-papers. Voor SOC-maturiteit en detection engineering, zie djimit.nl/blog/detection-engineering-volwassenheidsmodel-soc.
Overige regelgeving
- AVG / AP: De Belastingdienst meldde een datalek bij de AP vanwege Adobe Analytics-gebruik (12 juni 2026). Dit benadrukt dat zelfs mainstream analytics-tools een AVG-risico vormen als de dataverwerkersovereenkomst geen EU DPA bevat.
- Vifo-wet: Uitbreiding naar AI, biotech, halfgeleiders en quantumcomputing per 8 juni 2026. Impact op investeringsstromen en vendor-due-diligence.
7. CISO Flash Card
DEZE WEEK
- Patch Ivanti Sentry naar R10.5.2+, R10.6.2+ of R10.7.1+ vóór 18 juni 2026. Documenteer als NIS2 near-miss.
- Installeer Microsoft Patch Tuesday-updates van 10 juni 2026 op álle Windows-servers. Prioriteit: internet-facing IIS-servers en DHCP-servers.
- Upgrade OpenSSL naar 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21, 1.1.1zh of 1.0.2zq. Roteer TLS-certificaten na de upgrade.
- Upgrade Langflow naar 1.9.0+ of blokkeer "../"-sequenties in POST /api/v2/files via WAF.
- Start een pilot-SBOM voor de top-10 AI-afhankelijkheden in SPDX- of CycloneDX-formaat.
DEZE MAAND
- Voltooi een gap-assessment tegen NIS2 art. 21 voor alle kritieke IT-afhankelijkheden. Inventariseer de keten tot drie lagen diep.
- Voer een herbeoordeling uit van alle analytics- en tracking-tools (Adobe Analytics, Google Analytics, Hotjar, etc.). Verifieer EU DPA en data-residentie.
- Configureer DHCP-snooping op core-switches om rogue DHCP-servers te detecteren.
- Review het vendor-due-diligence-proces voor AI-leveranciers en voeg een Vifo-checklist toe.
DIT KWARTAAL
- Implementeer een SBOM-generatiepijplijn in CI/CD voor alle applicaties die AI-componenten gebruiken. Koppel SBOM's aan een vulnerability-scanningtool (bijvoorbeeld Trivy, Snyk).
- Ontwerp een out-of-band managementpad voor kritieke netwerkapparatuur (VPN, firewalls, switches) dat niet door dezelfde appliance loopt als de productietoegang.
- Evalueer de adoptie van de OWASP AIUC-1 Crosswalk als normatief kader voor agentische AI-beveiliging in de organisatie.
8. Compliance Artifact
╔══════════════════════════════════════════════════════════╗
║ NIS2 AUDIT ARTIFACT, WEEK 25, 2026 ║
║ ║
║ Gemonitorde dreigingen: 5 CVEs + 3 incidenten ║
║ + Miasma supply chain (73 repos, 37 PyPI wheels) ║
║ + Ivanti Sentry actief misbruik (NCSC alert 11 juni) ║
║ + Langflow path traversal (Tenable TRA-2026-26) ║
║ + OpenSSL use-after-free (alle versies) ║
║ + Microsoft Patch Tuesday (6 CVEs CVSS ≥9.0) ║
║ Genomen besluit: SBOM-audit top-10 AI-afhankelijkheden ║
║ vóór 1 juli 2026 ║
║ Verantwoordelijke: CISO ║
║ Deadline: 26 juni 2026 (presentatie bestuur) ║
║ ║
║ □ SBOM pilot top-10 AI-afhankelijkheden (SPDX/CDX) ║
║ □ Ivanti Sentry gepatcht of uit productie verwijderd ║
║ □ Microsoft Patch Tuesday toegepast op alle servers ║
║ □ OpenSSL upgrade + certificaatrotatie voltooid ║
║ □ Langflow geupgrade naar 1.9.0+ of WAF-regel actief ║
║ □ Board geïnformeerd over NIS2-deadline 1 juli ║
║ □ Compliance-dossier bijgewerkt (NIS2 art. 21) ║
║ ║
║ Paraaf CISO: ___________ Datum: ___________ ║
║ ║
║ Dit document is onderdeel van de aantoonbare ║
║ due diligence onder NIS2 art. 21 / BIO2 / AI Act. ║
║ OWASP AIUC-1 Crosswalk (25 mei 2026) bijgevoegd. ║
║ Bewaar in uw ISMS-dossier. ║
╚══════════════════════════════════════════════════════════╝
AI & Security Intelligence wordt elke maandagochtend geproduceerd door DjimIT. Vragen, opmerkingen of een diepgaande analyse nodig? Neem contact op.
Deze nieuwsbrief bevat strategische duiding op basis van publiek beschikbare bronnen. Elke claim is gebaseerd op een verifieerbare bron. CVE's zijn gecontroleerd via NVD of vendor advisories. Geen verzonnen nummers, geen generieke claims zonder bron.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.