AI & Security Intelligence, Week 27, 2026

Productiedatum: Maandag 29 juni 2026
Geldig voor: Week 27 (29 juni, 5 juli 2026)

---

1. Editor's Synthesis

Deze week markeert een omslagpunt in hoe we AI-tooling beveiligen. Drie ontwikkelingen vallen samen: de Trivy supply chain attack escaleert met een tweede golf (maart 2026), Flowise AI krijgt een CVSS 9.9 RCE via MCP-server configuratie, en CISA voegt recordaantal CVE's toe aan de KEV-catalogus waaronder meerdere AI-gerelateerde kwetsbaarheden. Samen vertellen ze één verhaal: de tooling die uw security team vertrouwt, vulnerability scanners, AI-orchestratieplatforms, CI/CD pipelines, is zelf het dreigingsoppervlak geworden.

Het ene besluit dat Nederlandse CISO's deze week moeten nemen: stop met het behandelen van AI-tooling als "veilige infrastructuur". Flowise (CVSS 9.9, elke accountrol kan RCE uitvoeren) en Trivy (compromised credentials leidden tot malicious releases) bewijzen dat security tooling geen vrijbrief krijgt. Uw vulnerability scanner kan zelf de supply chain attack vector zijn.

De combinatie met CISA's KEV-explosie (1629 actief misbruikte CVE's, waarvan 6 deze week toegevoegd) betekent dat patch management niet langer wekelijks kan zijn. NIS2 art. 21 lid 2(c) vereist snelle respons op kwetsbaarheden, met KEV-status is "binnen 30 dagen patchen" niet meer acceptabel. Deze week publiceert DjimIT een diepte-analyse over detection engineering voor AI-agents, direct gekoppeld aan deze dreigingen.

---

2. Nederlandse Context & Impact

NL-RELEVANTIE: HOOG, Trivy Supply Chain Attack (CVE-2026-33634, CVSS 8.8)

Wat: Op 19 maart 2026 publiceerde een threat actor met compromised credentials een malicious Trivy v0.69.4 release, force-pushde 76 van 77 versietags in aquasecurity/trivy-action naar credential-stealing malware, en verving alle 7 tags in aquasecurity/setup-trivy. Dit is een voortzetting van de supply chain attack die eind februari begon.

Nederlandse impact: Trivy is standaard in vrijwel elke Nederlandse CI/CD pipeline, van ministeries tot zorginstellingen. Elke organisatie die aquasecurity/trivy-action@0.34.2 of lager gebruikt in GitHub Actions heeft mogelijk compromised secrets. De attack richtte zich specifiek op tpcp-docs repositories als fallback exfiltratie mechanisme.

Implicatie: Directe actie vereist onder NIS2 art. 21 lid 2(c). Upgrade naar trivy-action 0.35.0+, pin GitHub Actions naar immutable commit SHA (niet versietags), en roteer álle secrets die toegankelijk waren voor affected pipelines. Check workflow logs van 19-20 maart 2026 op compromittering.

Regelgeving: NIS2 art. 21 lid 2(c) "snelle respons op kwetsbaarheden", BIO2 B.3.3 "supply chain security", NORA AR3.2 "secure software development".

---

NL-RELEVANTIE: HOOG, Flowise AI Remote Code Execution (CVE-2026-56274, CVSS 9.9)

Wat: Flowise voor versie 3.1.2 bevat meerdere OS command injection vulnerabilities in de Custom MCP Server feature. Een attacker met elk Flowise account (elke rol) of API access met view/update permissions kan een malicious MCP server configureren die willekeurige commands uitvoert op de Flowise host.

Nederlandse impact: Flowise wordt gebruikt door Nederlandse gemeenten, zorginstellingen, en consultancybureaus voor interne AI-agenten. De CVE is extreem kritiek: geen admin rechten nodig, elke gebruiker kan RCE uitvoeren. VulnCheck classificeert dit als CRITICAL (9.9) met actieve exploitatie.

Implicatie: Upgrade naar Flowise 3.1.2+ vóór woensdag 1 juli. Inventariseer alle Flowise instanties, ook development en testomgevingen. Disable Custom MCP Server feature als upgrade niet direct mogelijk is.

Regelgeving: NIS2 art. 21 lid 2(c), BIO2 B.3.3, AI Act art. 15 "technical robustness" (voor high-risk AI systemen die Flowise gebruiken).

---

NL-RELEVANTIE: HOOG, CISA KEV Catalog Explosie (6 nieuwe CVE's deze week)

Wat: CISA voegde 6 nieuwe CVE's toe aan de Known Exploited Vulnerabilities catalogus deze week, waaronder CVE-2026-20230 (Cisco Unified Communications, SSRF → root), CVE-2026-12569 (PTC Windchill, RCE), en CVE-2026-48907 (Joomla JCE, actief misbruikt in ransomware).

Nederlandse impact: Nederlandse organisaties met Amerikaanse vendor lock-in (Cisco, PTC, Fortinet) zijn direct blootgesteld. CISA BOD 22-01 vereist patching binnen de due date, voor federale agencies, maar Nederlandse CISO's gebruiken KEV als prioriteringsframework onder NIS2.

Implicatie: Patch alle KEV-CVE's vóór de due date (meestal 3-7 dagen na toevoeging). CVE-2026-20230 heeft due date 28 juni 2026, gisteren. Directe escalatie naar CIO als patching niet haalbaar is.

Regelgeving: NIS2 art. 21 lid 2(c), BIO2 B.3.3, CISA BOD 22-01 (voor organisaties met US-activiteiten).

---

NL-RELEVANTIE: MEDIUM, OWASP Top 10 for Agentic Applications 2026

Wat: OWASP publiceerde de definitieve Top 10 for Agentic Applications 2026, het eerste gestandaardiseerde framework voor agentic AI security. De publicatie is van 9 december 2025, maar krijgt deze week renewed attention na de Flowise en Trivy incidenten.

Nederlandse impact: Nederlandse CISO's kunnen OWASP ASI Top-10 direct opnemen in ISMS-dossiers als referentiekader voor AI-agent governance. De crosswalk met NIS2 art. 21 en BIO2 is expliciet gemaakt.

Implicatie: Gebruik OWASP ASI Top-10 als audit-framework voor AI-agent implementaties. Koppel aan NIS2 compliance reporting.

Regelgeving: NIS2 art. 21, BIO2, AI Act art. 9 "risk management system".

---

NL-RELEVANTIE: MEDIUM, EU AI Act Digital Omnibus Wijziging

Wat: De Digital Omnibus-wetgeving stelt de high-risk AI Act deadline uit naar 2 december 2027, maar Article 50 transparantievereisten blijven op 2 augustus 2026 staan. Boetes tot €35 miljoen of 7% wereldwijde omzet blijven van kracht.

Nederlandse impact: Nederlandse organisaties met high-risk AI systemen (zorg, financiën, overheid) krijgen 18 maanden extra, maar moeten nog steeds aan transparantievereisten voldoen binnen 5 weken.

Implicatie: Start Article 50 compliance nu, technische documentatie, logging, menselijk toezicht. High-risk classificatie assessment vóór 15 juli.

Regelgeving: EU AI Act art. 50 "transparency obligations", art. 99 "penalties".

---

NL-RELEVANTIE: LAAG, GitHub Trending AI Security Repos

Wat: NVIDIA SkillSpector (2.3K stars deze week) is een security scanner voor AI agent skills. Anthropic Cybersecurity Skills repo (5.2K stars) mapt 817 cybersecurity skills naar MITRE ATT&CK en NIST CSF 2.0.

Nederlandse impact: Nederlandse AI-developers kunnen deze repos gebruiken voor security testing, maar zijn geen vervanging voor formele compliance.

Implicatie: Evalueer SkillSpector voor AI-agent security testing in development pipelines.

Regelgeving: NORA AR3.2 "secure software development".

---

3. Het Besluit van de Week

Investeren we in AI-tooling security hardening, of accepteren we dat onze vulnerability scanner zelf de aanvalsvector is?

Deadline: Vrijdag 3 juli 2026, eind van de werkweek.

Escalatiepad: CISO besluit → CIO accordeert budget → Security Operations implementeert → Board wordt geïnformeerd via NIS2 compliance rapport.

Aanbeveling: Stop met het behandelen van security tooling als "vertrouwde infrastructuur". Pin alle GitHub Actions naar immutable commit SHA's (niet versietags). Upgrade Flowise naar 3.1.2+ of disable Custom MCP Server. Roteer alle secrets die toegankelijk waren voor CI/CD pipelines met Trivy. Documenteer deze besluiten in uw ISMS-dossier onder NIS2 art. 21.

CFO Forward Box

Financiële impact van niet-handelen: NIS2 boetes tot €10 miljoen of 2% wereldwijde omzet voor het niet voldoen aan art. 21 lid 2(c) "snelle respons op kwetsbaarheden". Incidentkosten bij supply chain compromise: €500K-2M gemiddeld voor Nederlandse MKB, €5-15M voor enterprise (inclusief forensics, notificaties, reputatieschade). Verzekeringsimplicaties: cyberverzekeraars vragen expliciet naar KEV patching status, niet-patchen binnen due date kan claim denial betekenen. ROI van hardening: €50K-150K eenmalig voor SHA-pinning en secret rotation vs. €2M+ incidentkosten.

---

4. Critical CVE Triage

CVE-2026-56274, Flowise AI (CVSS 9.9, EXPLOITATIE: actief)

Flowise voor 3.1.2 bevat OS command injection in Custom MCP Server feature. Elke accountrol (geen admin nodig) kan willekeurige commands uitvoeren op de host. VulnCheck classificeert als CRITICAL met actieve exploitatie.

NL-relevantie: HOOG, Flowise gebruikt door Nederlandse gemeenten en zorginstellingen.

Architectuurvraag: Vertrouwt u op één AI-orchestratieplatform voor ál uw interne agenten? Wat is uw fallback als Flowise compromised is?

Actie: Upgrade naar 3.1.2+ vóór woensdag 1 juli. Disable Custom MCP Server als upgrade niet direct mogelijk is.

SOC Director Box (CVE-2026-56274)

SIEM-detectie: zoek naar MCP server configuraties met docker build, npx --yes, of shell operators (|, ;, &) in Flowise logs. Alert op elke Flowise gebruiker die Custom MCP Server wijzigt. Correlatie: Flowise config change → outbound network connection naar onbekende IP.

CVE-2026-33634, Trivy (CVSS 8.8, EXPLOITATIE: in-the-wild)

Supply chain attack: malicious Trivy v0.69.4 release, 76/77 trivy-action tags gecompromitteerd, credential theft via tpcp-docs fallback repo. In CISA KEV catalog.

NL-relevantie: HOOG, Trivy standaard in Nederlandse CI/CD pipelines.

Architectuurvraag: Pin je GitHub Actions naar commit SHA of naar versietags? SHA-pinning is de enige veilige optie na deze attack.

Actie: Upgrade naar trivy-action 0.35.0+, pin naar SHA, roteer alle secrets, check logs 19-20 maart 2026.

SOC Director Box (CVE-2026-33634)

SIEM-detectie: alert op GitHub Actions workflow runs met tpcp-docs repo creatie, outbound calls naar onbekende IPs tijdens CI/CD runs, of secret access logs buiten normale patronen. Correlatie: Trivy scan job → unexpected network egress.

CVE-2026-20230, Cisco Unified Communications Manager (CVSS 9.8, EXPLOITATIE: actief)

SSRF vulnerability die file writes naar OS mogelijk maakt → privilege escalation naar root. In CISA KEV, due date 28 juni 2026 (gisteren verstreken).

NL-relevantie: MEDIUM, Cisco UCM gebruikt door Nederlandse enterprise en overheid.

Architectuurvraag: Staat uw Cisco UCM direct exposed aan internet, of achter een zero trust gateway?

Actie: Patch direct, due date verstreken. Isolate UCM achter ZTNA als patching niet direct mogelijk is.

CVE-2026-12569, PTC Windchill/FlexPLM (CVSS 9.1, EXPLOITATIE: actief)

Improper input validation → remote code execution. In CISA KEV, due date 5 juli 2026.

NL-relevantie: MEDIUM, PTC Windchill gebruikt in Nederlandse manufacturing en high-tech.

Architectuurvraag: Heeft uw PLM-systeem directe internet exposure? Waarom?

Actie: Patch vóór 5 juli. Isolate achter reverse proxy met WAF.

CVE-2026-48907, Joomla JCE Editor (CVSS 9.8, EXPLOITATIE: ransomware)

Actief misbruikt in ransomware campagnes. In CISA KEV, due date 10 juli 2026.

NL-relevantie: LAAG, Joomla minder gebruikt in enterprise, maar wel bij MKB en non-profit.

Architectuurvraag: Waarom draait uw public-facing website op een CMS met known ransomware exploitatie?

Actie: Upgrade JCE Editor of migrate naar headless CMS met API-gateway.

---

5. Sector Radar

Overheid

Observatie: Gemeenten en ministeries gebruiken Flowise voor interne AI-agenten, vaak zonder formele security review. De CVE-2026-56274 (CVSS 9.9) maakt elke Flowise gebruiker een potentiële ingress naar gemeentelijke netwerken. Actie: CIO's van alle gemeenten: inventariseer Flowise instanties vóór woensdag 1 juli en upgrade of disable. BIO2 B.3.3 vereist supply chain security assessment.

Zorg

Observatie: Zorginstellingen met NEN 7510 certificering moeten AI-tooling opnemen in ISMS. Flowise en Trivy zijn nu expliciet onderdeel van de supply chain die onder NEN 7510 valt. Actie: Update NEN 7510 ISMS-dossier met CVE-2026-56274 en CVE-2026-33634 als nieuwe dreigingen. Documenteer mitigaties onder "technical robustness".

Financieel

Observatie: DNB-supervisie vraagt expliciet naar KEV patching status in cybersecurity assessments. Niet-patchen binnen due date is een bevinding. Actie: CISO's bij banken en verzekeraars: documenteer KEV patching compliance in maandelijkse DNB-rapportage. Due date misses = escalatie naar board.

Energie

Observatie: OT/IT-convergentie in energiesector maakt CVE-2026-20230 (Cisco UCM) relevant, unified communications lopen vaak op OT-netwerken. Actie: Inventariseer Cisco UCM op OT-netwerken. Patch of isolate achter data diode. CSR-rapportage vereist disclosure van OT-security incidents.

---

6. Regulatory Pulse

Cyberbeveiligingswet (NIS2 implementatie)

Status: Wetsvoorstel ingediend bij Tweede Kamer op 4 juni 2025. Verwachte behandeling Eerste Kamer na zomerreces 2026. Inwerkingtreding: 1 oktober 2026 (verwacht). Concrete impact: Organisaties moeten vóór 1 oktober 2026 compliance framework operationeel hebben. KEV patching binnen due date wordt expliciet genoemd in AMvB.

EU AI Act

Status: Digital Omnibus stelt high-risk deadline uit naar 2 december 2027. Article 50 transparantie blijft 2 augustus 2026 (5 weken). Concrete impact: Start Article 50 compliance nu, technische documentatie, logging, menselijk toezicht. High-risk classificatie assessment vóór 15 juli.

OWASP Agentic Security

Status: OWASP Top 10 for Agentic Applications 2026 is live (9 december 2025). AIUC-1 crosswalk met NIS2/BIO2 gepubliceerd. Concrete impact: Gebruik OWASP ASI Top-10 als audit-framework voor AI-agent implementaties. Neem op in ISMS-dossier.

AVG/AP Enforcement

Status: Belastingdienst schond privacywetgeving met Adobe Analytics (gemeld 26 juni 2026). AP heeft nog geen boete opgelegd, maar staatssecretaris bevestigt schending. Concrete impact: DPIA-update verplicht voor organisaties met Adobe Analytics. AVG art. 35 "data protection impact assessment".

---

7. CISO Flash Card

DEZE WEEK (maandag 29 juni, vrijdag 3 juli)

1. Upgrade Flowise naar 3.1.2+, of disable Custom MCP Server feature. Deadline: woensdag 1 juli.
2. Pin GitHub Actions naar commit SHA, niet versietags. Check alle workflows met aquasecurity/trivy-action.
3. Roteer secrets, alle secrets die toegankelijk waren voor CI/CD pipelines met Trivy.
4. Patch CVE-2026-20230 (Cisco UCM), due date 28 juni verstreken, direct patchen.
5. Documenteer besluiten, neem CVE-mitigaties op in ISMS-dossier onder NIS2 art. 21.

DEZE MAAND (juli 2026)

1. Start Article 50 AI Act compliance, technische documentatie, logging, menselijk toezicht.
2. OWASP ASI Top-10 assessment, audit alle AI-agent implementaties tegen de Top 10.
3. KEV patching SLA update, verander van "30 dagen" naar "binnen due date" (3-7 dagen).
4. Board briefing, informeer board over supply chain risk en NIS2 compliance status.

DIT KWARTAAL (Q3 2026)

1. AI-tooling security hardening, implementeer SHA-pinning, secret rotation, en network segmentation voor alle AI-platforms.
2. Detection engineering voor AI-agents, bouw SIEM-regels voor MCP-configuraties, outbound egress, en credential theft.
3. Zero trust architectuur review, waarom heeft uw AI-tooling directe internet exposure?

---

8. Compliance Artifact

╔══════════════════════════════════════════════════════════╗
║ NIS2 AUDIT ARTIFACT, WEEK 27, 2026                     ║
║                                                         ║
║ Gemonitorde dreigingen: 5 CVEs + 1 supply chain attack  ║
║   + Trivy credential theft, Flowise RCE (CVSS 9.9)      ║
║                                                         ║
║ Genomen besluit: AI-tooling is niet langer "veilige     ║
║ infrastructuur", SHA-pinning en secret rotation        ║
║ verplicht voor alle CI/CD pipelines.                    ║
║                                                         ║
║ Verantwoordelijke: CISO                                 ║
║ Deadline: vrijdag 3 juli 2026                           ║
║                                                         ║
║ □ Upgrade Flowise naar 3.1.2+ of disable MCP Server     ║
║ □ Pin GitHub Actions naar commit SHA (niet tags)        ║
║ □ Roteer alle secrets van affected CI/CD pipelines      ║
║ □ Patch CVE-2026-20230 (Cisco UCM), due date verstreken║
║ □ Documenteer mitigaties in ISMS-dossier                ║
║ □ Board geïnformeerd via NIS2 compliance rapport        ║
║ □ Compliance-dossier bijgewerkt                         ║
║                                                         ║
║ Paraaf CISO: ___________    Datum: ___________          ║
║                                                         ║
║ Dit document is onderdeel van de aantoonbare            ║
║ due diligence onder NIS2 art. 21 / BIO2 B.3.3 /         ║
║ AI Act art. 15. Referentiekader: OWASP ASI Top-10      ║
║ 2026, CISA KEV Catalog (29 juni 2026).                  ║
║ Bewaar in uw ISMS-dossier.                              ║
╚══════════════════════════════════════════════════════════╝

---

9. Forward naar uw collega's

CTO Forward Box (CVE-2026-33634, CVE-2026-56274)

GitHub Actions pinning naar commit SHA is nu verplicht, niet optioneel. aquasecurity/trivy-action@0.34.2 is gecompromitteerd. Architectuurvraag: waarom gebruiken we mutable tags voor security tooling? Actie deze week: audit alle GitHub workflows, pin naar SHA, implementeer branch protection rules die SHA-pinning afdwingen. Deadline: vrijdag 3 juli.

CAIO Forward Box (EU AI Act Article 50)

Article 50 transparantievereisten blijven op 2 augustus 2026 staan, 5 weken. High-risk deadline is uitgesteld, maar transparantie niet. Actie deze week: inventariseer alle AI-systemen, classificeer high-risk vs. limited-risk, start technische documentatie. Deadline: 15 juli voor classificatie, 2 augustus voor compliance.

CPO Forward Box (Belastingdienst Adobe Analytics)

Belastingdienst schond AVG met Adobe Analytics, AP heeft nog geen boete opgelegd, maar schending is bevestigd. DPIA-update verplicht onder AVG art. 35 voor organisaties met Adobe Analytics. Actie deze week: check of uw DPIA third-party analytics dekt. Zo niet: DPIA-aanvulling vóór vrijdag 3 juli.

---

Bronnen: NVD (CVE-2026-56274, CVE-2026-33634), CISA KEV Catalog (29 juni 2026), OWASP GenAI Security Project, GitHub Trending (29 juni 2026), security.nl (26 juni 2026), EU Official Journal (Digital Omnibus).

Crosslinks: Detection Engineering voor AI-Agents, OWASP ASI Top-10 Diepte-analyse, Zero Trust voor AI-Infrastructure.

---

Deze nieuwsbrief is een audit-waardig compliance artifact. Bewaar in uw ISMS-dossier onder NIS2 art. 21 / BIO2 B.3.3.