test
Language

Vijf inzichten uit de ASIS Europe 2026 Keynote van Francis Cepero

P1063540 scaled

In februari 2026 legde hevige sneeuwval de luchthaven van München volledig plat. De vluchten waren geland, maar er reden geen bussen naar de gates. De chauffeurs waren na hun dienst naar huis gegaan en geen enkel systeem meldde dat er geen personeel meer beschikbaar was. 600 passagiers brachten de nacht door in de vliegtuigen.

In oktober 2024 trof de DANA-vloed Valencia. Elk waarschuwingssysteem werkte. Toch stierven er meer dan 220 mensen omdat geen enkel systeem die waarschuwingen vertaalde naar een gecoördineerde respons.

Twee gebeurtenissen, maar hetzelfde structurele falen: het gat dat ontstaat wanneer toegangscontrole, workforce management en IT-beveiliging als geïsoleerde eilanden functioneren.

Dit patroon vormde de kern van de ASIS Europe 2026 keynote door Primion-CEO Francis Cepero. De NIS2-richtlijn zal precies op dit punt toetsen: niet of uw systemen individueel compliant zijn, maar of ze onder druk effectief samenwerken.

1. De zwakke schakel is altijd structureel, nooit technologisch

Noch in Valencia, noch in München was er een tekort aan technologie. Alle benodigde systemen waren aanwezig: de sensoren werkten, alarmen gingen af, de planning liep en de toegangscontrole hield stand. Elk systeem deed wat het moest doen, maar geen enkel systeem kon een actie in een ander systeem triggeren.

Dit patroon ziet men overal waar systemen onafhankelijk van elkaar opereren: op bedrijfscampussen, in ziekenhuizen, logistieke hubs en kritieke infrastructuur. Overal waar toegangscontrole, videobewaking en workforce management naar verschillende dashboards rapporteren, is het structurele gat identiek.

Hoe zeker bent u ervan dat uw systemen in een crisissituatie wél gecoördineerd reageren?

2. Crises verkorten besluitvormingscycli van weken naar uren

Het Cynefin-framework van Dave Snowden laat zien hoe situaties verschuiven van gecompliceerd naar complex en uiteindelijk naar chaotisch. In een crisis vinden deze overgangen plaats binnen enkele uren. Elke fase vereist een andere respons en elke respons vereist real-time zichtbaarheid over toegangscontrole, personeelsplanning en IT-beveiliging — iets wat gescheiden systemen niet kunnen bieden.

De meeste beveiligingsarchitecturen zijn ontworpen voor het ‘gecompliceerde’ domein: duidelijke oorzaak-gevolgrelaties, gedocumenteerde procedures en vaste escalatiepaden. Ze zijn echter niet berekend op het moment dat een situatie chaotisch wordt en toegangscontrole, workforce management en IT-beveiliging gelijktijdig escaleren. Juist dat moment bepaalt of uw architectuur standhoudt of breekt. 

3. Uw dashboard toont data; een crisis vereist coördinatie

Dashboards verzamelen data, maar ze orkestreren geen actie. U ziet wellicht een inbreuk in het ene systeem en een anomalie in de personeelsbezetting in het andere. Of uw organisatie deze signalen kan verbinden en binnen minuten kan handelen, hangt af van de vraag of uw systemen een gemeenschappelijke identiteits- en datalaag delen.

Vier capaciteiten bepalen of uw architectuur onder druk standhoudt:

  • Real-time zichtbaarheid van het personeelsbestand (wie is er op locatie?).
  • Een uniforme identiteitslaag voor medewerkers, aannemers, bezoekers en machines.
  • Geconvergeerde beveiliging over IT, OT en fysieke omgevingen.
  • Dreigingsdetectie die rechtstreeks gekoppeld is aan uw compliancerapportage.

Beheert u al een SIEM of een Security Operations Centre (SOC)? Dan heeft u onder normale omstandigheden waarschijnlijk wel zicht op uw systemen. Maar blijft die zichtbaarheid overeind wanneer alle domeinen gelijktijdig escaleren en uw team moet handelen op basis van informatie waar het SIEM oorspronkelijk niet op ingericht was?

4. Dit is geen concept, maar bewezen praktijk op enterprise-niveau

Theorie is eenvoudig, maar het bewijs is wat telt. Frankfurt Airport is daar het voorbeeld van. Een 18-jarig partnerschap met Fraport omvat 4.302 kaartlezers bij 178 gates, 800 afdelingen en 81.000 beheerde identiteiten uit 70 landen — elk met specifieke fysieke en digitale toegangsrechten. Een tweede referentie, een Europese infrastructuuroperator met 250.000 medewerkers, bevestigt dit patroon op een nog grotere schaal.

Dit zijn geen proefprojecten. Het zijn volwaardige productieomgevingen waar geconvergeerde operaties al jarenlang onder reële operationele druk worden getest.

5. NIS2 toetst coördinatie, niet alleen compliance

Veel organisaties richten zich bij de voorbereiding op NIS2 op individuele controles: toegangsbeheer in de ene werkstroom, incidentrapportage in de andere en risicobeoordelingen in een derde. Hoewel noodzakelijk, is dit op zichzelf onvoldoende. NIS2 Artikel 21 vereist dat organisaties aantonen dat hun beveiligingsmaatregelen als een samenhangend systeem functioneren.

In de praktijk zullen auditors niet alleen controleren of u toegangscontrole heeft. Ze zullen vragen wat er gebeurt wanneer een bevestigde identiteitsinbreuk een directe respons vereist over fysieke toegang, IT-systemen en personeelsplanning binnen een vastgesteld tijdsbestek. Als uw antwoord handmatige acties tussen aparte platformen inhoudt, heeft u een gat dat NIS2 juist moet blootleggen.

Keynote:
Van toegangsbeheer naar een sterkere workforce: Een nieuwe visie op beveiliging in het menselijke tijdperk

Download Presentatie
Download Whitepaper

Test uw eigen architectuur

Stel uzelf deze drie vragen vóór uw volgende tabletop-oefening:

  1. Kan uw toegangscontrolesysteem de rechten van een identiteit in zowel de fysieke als de IT- en OT-omgeving intrekken binnen 15 minuten na een inbreuk?
  2. Levert uw workforce-managementsysteem real-time aanwezigheidsdata aan uw beveiligingsteam, of moet er iemand handmatig een spreadsheet controleren?
  3. Reageerden uw systemen automatisch tijdens de laatste crisissimulatie, of viel uw team terug op telefoontjes en e-mail?

Als u een van deze vragen met ‘nee’ heeft beantwoord, beschikken uw systemen wel over capaciteit, maar ontbreekt de onderlinge samenhang. Precies dat gat is waar de volgende crisis — of de volgende NIS2-audit — u zal raken.

Vaak gestelde vragen

Wat is geconvergeerde beveiliging?

Dit brengt toegangscontrole, workforce management, IT-beveiliging en fysieke beveiliging samen in één ecosysteem. In plaats van aparte platformen werkt geconvergeerde beveiliging op een gedeelde identiteits- en datalaag. Hierdoor activeert een wijziging of incident in het ene domein direct de juiste respons in alle andere domeinen.

Wat vereist NIS2 met betrekking tot beveiligingscoördinatie?

NIS2 Artikel 21 vereist dat organisaties maatregelen implementeren die als een geïntegreerd systeem functioneren. Dit omvat incidentrespons over fysieke en digitale omgevingen, waarbij identiteitsbeheer en toegangscontrole naadloos samenwerken met IT- en OT-beveiliging.

Hoe verschilt geconvergeerde beveiliging van een SIEM?

Een SIEM aggregeert logdata en alarmen om overzicht te bieden. Geconvergeerde beveiliging gaat een stap verder: het werkt op een actieve, gedeelde laag waardoor een inbreuk direct een geautomatiseerde respons orkestreert over fysieke toegang en IT-systemen. Waar een SIEM het probleem toont, lost geconvergeerde beveiliging de situatie op.

Andere artikelen

P1063540
| Nieuws

Vijf inzichten uit de ASIS Europe 2026 Keynote van Francis Cepero

Meer lezen
lynn Qn7dUULTZhs unsplash
| Nieuws

Uw jaarlijkse training haalt NIS2 niet, dit verwachten auditors écht! 

Meer lezen
AdobeStock 1228365472
| Nieuws

Mensen presteren het best wanneer systemen vóór hen werken, niet tegen hen

Meer lezen
Happy Business Man iStock 2184295789
| Nieuws

Primion Technology GmbH neemt primion AG Zwitserland over

Meer lezen
Fraport Terminal 3
| Nieuws

Primion rust de nieuwe Terminal 3 van Frankfurt Airport uit met geavanceerde beveiligingstechnologie 

Meer lezen
Primion Belgium Renaming
| Nieuws

Primion kondigt naamswijziging in België aan

Meer lezen