In een interview van juni 2026 met het Franse technologiemedium Clubic beschreef ANSSI-directeur-generaal Vincent Strubel een agenda voor cybergovernance die minder opvalt door welk afzonderlijk punt dan ook dan door hoeveel veeleisende punten er tegelijk op staan (Belfiore 2026). In hetzelfde gesprek ging hij in op de toekomst van versleuteling en rechtmatige toegang, op de kwalificatie van cloudaanbieders, op een post-quantummigratie die jaren tot in het volgende decennium loopt, op een nieuw opgericht coördinerend orgaan voor digitale governance en op een richtlijn die de populatie gereguleerde entiteiten met een factor twintig of meer zal vermenigvuldigen. Aandachtig gelezen is het interview minder een voortgangsrapport dan een portret van een moeilijke positie die met kalmte wordt vastgehouden, en het wijst op iets structureels aan cyberverdediging dat het waard is duidelijk te benoemen. Handhaving en herstel treden naar hun aard achteraf op. Zij kunnen vormgeven aan wat daarna gebeurt, maar zij kunnen het incident dat hen in gang zette niet ongedaan maken. Die ene waarneming plaatst de hele vraag hoe een veel grotere gereguleerde populatie feitelijk verdedigd zal worden in een ander kader, en zij suggereert dat het zinvolle antwoord van particuliere capaciteit niet is om te wachten tot men wordt ingeschakeld, maar om capaciteit vooruit op de behoefte op te bouwen, gericht op een doel dat iedereen in het veld toch al deelt.
Het regelgevingslandschap en wie welk mandaat feitelijk in handen heeft
De Franse cybergovernance en die van de Europese Unie beslaan nu vier overlappende juridische instrumenten, en, wat belangrijk is, geen enkele autoriteit heeft alle vier in handen. Het LPM (loi de programmation militaire) en NIS 2 (de tweede richtlijn inzake netwerk- en informatiebeveiliging) vallen onder het eigen directe mandaat van de ANSSI. Het toezicht op DORA (de Digital Operational Resilience Act) in Frankrijk ligt bij de ACPR (Autorité de Contrôle Prudentiel et de Résolution) voor banken en verzekeraars en bij de AMF (Autorité des Marchés Financiers) voor vermogensbeheerders en marktinfrastructuren (Autorité de contrôle prudentiel et de résolution 2026; Autorité des marchés financiers 2026). Het markttoezicht onder de CRA (Cyber Resilience Act) ligt bij de ANFR (Agence Nationale des Fréquences), waarbij de ANSSI enkel optreedt als aanmeldende autoriteit die verantwoordelijk is voor de accreditatie van conformiteitsbeoordelingsinstanties, een rol die losstaat van het markttoezicht zelf (ANFR 2026; ANSSI 2026a). Als operationele basis voor de NIS 2-naleving publiceerde de ANSSI op 17 maart 2026 het ReCyF (Référentiel Cyber France, versie 2.5), dat twintig verplichte beveiligingsdoelstellingen vastlegt (Ledieu-Avocats 2026).
Deze indeling is van belang om een praktische en om een billijke reden. Praktisch gezien moet een lezer die zich tussen vier kaders beweegt weten tot welke autoriteit hij zich met welke vraag moet wenden. Billijk gezien maakt zij duidelijk dat de ANSSI een nationale houding coördineert over regimes heen die zij niet afzonderlijk beheerst, wat mede verklaart waarom haar positie moeilijk is en niet gebrekkig.
De vorm van een zwaar mandaat op meerdere fronten
De meest accurate manier om het Strubel-interview te lezen is als een beschrijving van gelijktijdigheid. Verscheidene veeleisende programma's lopen op hetzelfde moment, elk volgens zijn eigen klok. De vraag van versleuteling en rechtmatige toegang is er een die Strubel zelf als uiteindelijk politiek en niet technisch typeert, wat de oplossing ervan buiten de technische beheersing van welk agentschap ook plaatst en binnen de tragere machinerie van wetgeving en publiek debat (Belfiore 2026). De post-quantummigratie is een meerjarige cryptografische overgang die elke organisatie raakt die langlevende vertrouwelijke gegevens beheert. De oprichting van een nieuw coördinerend orgaan wijst op een poging om digitale governance te consolideren in plaats van haar verder te laten versplinteren. En onder dit alles loopt de uitbreiding van de reikwijdte van NIS 2, die Strubel omschrijft als een verschuiving van ongeveer 500 gereguleerde entiteiten naar naar schatting 10.000 tot 15.000 (Belfiore 2026).
Elk van deze zou op zichzelf al een aanzienlijk programma zijn. Samen gedragen, over regimes heen waarvan de ANSSI er slechts twee rechtstreeks beheerst, beschrijven zij een mandaat dat werkelijk moeilijk goed vast te houden is. De ANSSI is openhartig en consistent geweest over hoe zij het vasthoudt: via een houding die begeleiding vooropstelt en door richtlijnen wordt geleid, in plaats van de fictie van een agent achter elke server. Dat is een rationele keuze onder reële beperkingen, en dit stuk neemt haar precies als dat, een legitieme strategie voor een moeilijke opdracht, niet als bewijs dat er iets ontbreekt.
Handhaving is per constructie reactief
Uit dat mandaat volgt een waarneming die structureel is en niet waarderend. Handhaving en herstel zijn naar hun aard dingen die achteraf gebeuren. Een auditbevinding documenteert een toestand die al bestaat. Een sanctie reageert op een inbreuk die zich al heeft voorgedaan. Een herstelbevel herstelt een systeem dat al heeft gefaald. Elk van deze instrumenten is waardevol, en elk geeft vorm aan toekomstig gedrag, maar geen ervan kan terugreiken en de gebeurtenis voorkomen die het in gang zette. Dit is geen eigenschap van de ANSSI of van welke specifieke toezichthouder ook. Het is een eigenschap van handhaving zelf.
Het uitvloeisel is het waard rechtstreeks te benoemen, want het is gemakkelijk over het hoofd te zien. De ANSSI is niet, en kan structureel niet, een herstelagentschap zijn in de zin van een orgaan dat systemen verdedigt op het moment dat een aanval gaande is. Geen enkele handhavingsautoriteit kan dat zijn. Cyberverdediging in realtime, de eigenlijke detectie, indamming en herstel die plaatsvinden terwijl een incident gaande is, wordt uitgevoerd binnen de getroffen organisaties en door de vakmensen en tools die zij op dat moment bij de hand hebben. Handhaving legt de norm vast waaraan die organisaties worden gehouden. Zij komt niet, en kan niet, in de plaats van het vermogen dat zij nodig hebben wanneer de norm wordt getoetst. Dit erkennen is geen kritiek op hoeveel iemand handhaaft. Het is een verduidelijking van waarvoor handhaving dient.
Wat het verdedigen van een twintigvoudig groter ecosysteem vereist
Voeg de twee voorgaande punten samen. De populatie entiteiten van wie verwacht wordt dat zij zichzelf verdedigen groeit met een factor twintig of meer, en het voornaamste instrument dat de staat kan inzetten, handhaving, is per constructie niet in staat de verdediging zelf te verrichten. Verdediging in de praktijk hangt daarom af van iets dat handhaving niet op afroep kan vervaardigen: capaciteit. Mensen die controles kunnen implementeren en bedienen. Tools die bewijs continu maken in plaats van het in een stormloop vóór een audit samen te stellen. Opleiding die een organisatie bereikt voordat zij zich binnen de reikwijdte bevindt in plaats van erna. En dit alles moet vóór de behoefte bestaan, want een vermogen dat na een incident wordt opgebouwd is per definitie voor dat incident te laat opgebouwd.
Publieke richtlijnen zijn een reëel onderdeel van dit antwoord en verdienen als zodanig erkenning. De eigen begeleidingsmaterialen van de ANSSI onder ReCyF, waaronder richtsnoeren, webinars en een in het referentiekader vastgelegde opleidingsverplichting, zijn er rechtstreeks op gericht organisaties te helpen capaciteit op te bouwen voordat de handhavingsdata aanbreken (ANSSI 2026b). Maar de rekenkunde van een twintigvoudige uitbreiding is onverbiddelijk, en geen enkele instelling, hoe goed ook geleid, kan de volledige opleidings-, tooling- en personeelscurve leveren voor een ecosysteem van die omvang binnen de termijn die de regelgeving stelt. Dat is niemands tekortkoming. Het is een gedeeld probleem, en het wordt het best als zodanig behandeld.
Achter dit timingprobleem ligt een goed ontwikkeld corpus aan managementwetenschap. Werkend in de traditie van systeemdynamica (Sterman 2000) hebben John Sterman en Nelson Repenning aan het Massachusetts Institute of Technology geformaliseerd wat zij de capaciteitsval noemen: een organisatie die investeert in het opbouwen van vermogen ziet haar prestaties eerst wegzakken voordat ze verbeteren, het pad van slechter-vóór-beter, terwijl een organisatie die louter harder werkt kortstondige verlichting boekt voordat de prestaties eroderen, het pad van beter-vóór-slechter, een divergentie die hun model uittekent als twee capaciteitscurven die zich mettertijd van elkaar afscheiden (Repenning and Sterman 2002). Hun eerdere studie benoemt de menselijke hindernis al in de titel: niemand krijgt ooit lof voor het oplossen van problemen die nooit hebben plaatsgevonden (Repenning and Sterman 2001). Afgezet tegen de aanstaande uitbreiding van de reikwijdte van NIS 2 is de implicatie direct. Het vermogen om een twintig keer groter ecosysteem te verdedigen moet worden opgebouwd langs het pad van slechter-vóór-beter, vooruit op de incidenten die het voorkomt en juist wanneer nog geen zichtbare crisis de uitgave rechtvaardigt. Lezers die de dynamiek zelf willen zien, kunnen haar interactief doorlopen in module 13 van de CCI-cursus systeemdynamica, over de capaciteitsval.
De welwillende partner: capaciteit opbouwen zonder te wachten tot men het vraagt
Hier heeft particuliere capaciteit een rol die niet afhangt van het ingehuurd worden om haar te spelen. Een onderneming met opleidingsinhoud, met tooling of met bekwame vakmensen heeft een reden om nu te investeren in het opbouwen en delen van die capaciteit, los van welk specifiek contract, auditopdracht of regelgevende aanleiding ook, om een eenvoudige reden: het gedeelde doel, cyberverdediging die daadwerkelijk functioneert over een ecosysteem dat twintig keer groter is dan het was, wordt door die investering gediend ongeacht wie uiteindelijk waarvoor betaalt. Een partner die vanuit die redenering handelt, die capaciteit bijdraagt omdat het probleem reëel is en niet omdat er een transactie op tafel ligt, is wat dit stuk bedoelt met een welwillende partner. Het woord is letterlijk bedoeld, niet als versiering. De toets ervan is of de bijdrage nuttig is voor een organisatie, of die organisatie ooit klant wordt of niet.
Cambridge Cyber International (CCI) is voornemens als zo'n partner te handelen, en is er open over dat het één bijdrager is onder velen die het zouden kunnen en zouden moeten. Zijn houding is bewust eenvoudig: onderwijzen, opleiden en tooien, in plaats van schuld toewijzen. In de praktijk komt dat neer op twee dingen die het al heeft opgebouwd. Het eerste is zijn Academy, waarvan de opleiding nuttig is voor elke organisatie die de cybervaardigheden opbouwt die haar teams nodig zullen hebben, ongeacht waar die organisatie de rest van haar capaciteit later vandaan haalt. Het tweede is de CySSURANCE-suite, die hetzelfde idee overbrengt naar de toolingzijde door een reeks gereedheidsfuncties op één plek samen te brengen: geautomatiseerde bewijsverzameling, modellering van enterprisearchitectuur, weerbaarheidsberekening, evaluatie van financieel verlies, personeelsbeoordeling, oefeningen op het gebied van informatie- en communicatietechnologie (ICT), geprioriteerd herstel, leveranciersbeheer, auditvoorbereiding en dashboards op bestuursniveau. Samen genomen beantwoorden onderwijs, opleiding en tooling de lasten van auditgereedheid en personeelsbezetting die de uitbreiding van de reikwijdte vermenigvuldigt, en dat is precies het werk dat vóór de behoefte moet worden gedaan in plaats van na een incident. Deze worden hier genoemd als voorbeeld van het argument, niet als het doel ervan. Het argument houdt stand of de lezer nu CCI inschakelt, een van zijn concurrenten inschakelt, of de capaciteit volledig in eigen huis opbouwt.
Tegenargumenten en beperkingen
Het voor de hand liggende bezwaar is dat een onderneming die haar eigen aanbod als welwillende bijdrage beschrijft, eenvoudigweg reclame maakt met betere manieren. Het bezwaar verdient een echt antwoord en geen geruststelling. Het antwoord is een toets die de lezer kan aanleggen: helpt de bijdrage een organisatie die nooit iets koopt? Opleiding die de gereedheid van een team verhoogt of het nu tot een contract leidt of niet, richtlijnen die accuraat zijn of ze nu te gelde worden gemaakt of niet, en eerlijkheid over wanneer een concurrent of een eigen bouw de betere keuze is, doorstaan die toets alle; een middel dat nutteloos is tenzij het wordt gekocht, zakt ervoor. Lezers zijn gerechtigd dit stuk, en CCI, aan die maatstaf te houden.
Een tweede bezwaar is dat particuliere capaciteit geen vervanging kan zijn voor publiek gezag, en dat ook niet moet proberen. Dit is juist, en niets hier stelt dat voor. Het argument is aanvullend, niet vervangend. Het mandaat van de ANSSI, het stellen van normen en de coördinatie zijn precies de dingen die particuliere actoren niet kunnen en niet moeten leveren. De stelling is enger: dat de realtimeverdediging die handhaving niet kan verrichten uit capaciteit wordt opgebouwd, en dat die capaciteit uit meer dan één richting kan en moet worden bijgedragen.
Een derde en prozaïsche beperking betreft de bron. Een interview is geen juridisch instrument, en specifieke cijfers en data, waaronder de exacte reikwijdtegetallen en de status van de NIS 2-omzettingswet, moeten tegen de primaire teksten worden geverifieerd zodra die definitief zijn. Het tijdschema van de omzetting in het bijzonder berust bij het Franse parlement en niet bij enig uitvoerend agentschap. Niets hiervan verandert het structurele argument, dat niet op één enkele datum berust, maar het is een reden om bijzonderheden te verifiëren voordat men ernaar handelt.
Implicaties voor praktijk of beleid
Voor een bestuur of een CISO is het praktische gevolg van verdediging behandelen als iets dat vóór de behoefte wordt opgebouwd in plaats van achteraf afgedwongen, een verandering in de volgorde. Capaciteitsbeslissingen, wie wordt opgeleid, welke tooling bewijs continu maakt, hoe de personeelsbezetting schaalt, schuiven naar voren, vóór de handhavingsdatum in plaats van als reactie erop. Concreet betekent dat: beginnen met de gereedheid van het personeel voordat opname in de reikwijdte is bevestigd, continue bewijsverzameling behandelen als een blijvend vermogen in plaats van een sprint vóór de audit, en de personeelsplanning afstemmen op een arbeidsmarkt die precies dan het krapst zal zijn wanneer de grootste cohort nieuw gereguleerde entiteiten naar dezelfde vaardigheden grijpt.
Voor particuliere actoren met relevante capaciteit is de implicatie een uitnodiging om vooruit op de vraag bij te dragen: onderwijs, opleiding en tooling nuttig te maken los van een verkoop, en daar duidelijk over te zijn. De Academy van CCI en zijn CySSURANCE-suite worden in die geest aangeboden, als opties tussen meerdere in plaats van als de enige weg, en de keuze van aanbieder doet er veel minder toe dan het feit dat capaciteit wordt opgebouwd voordat zij nodig is.
Voor de publiek-private relatie als geheel is de implicatie een wisseling van register. Het productieve kader is een gedeeld doel, cyberverdediging die in de praktijk werkt, in plaats van een afrekening van wie wel of niet genoeg heeft gedaan. De praktische uitdrukking ervan is rechttoe rechtaan: vooruit op de behoefte onderwijzen, opleiden en tooien, in plaats van achteraf schuld toewijzen. Handhaving en bijdrage zijn geen concurrenten. Zij zijn verschillende delen van dezelfde onderneming.
Conclusie
De ANSSI houdt een werkelijk moeilijke opdracht vast, vier juridische regimes, een politiek debat dat zij niet alleen kan oplossen, een meerjarige cryptografische migratie, een nieuw coördinerend orgaan en een gereguleerde populatie die twintigvoudig groeit, en zij houdt die opdracht vast met een coherente, op richtlijnen gerichte strategie die onder reële beperkingen is gekozen. Haar positie eerlijk lezen leidt tot een structurele conclusie in plaats van een kritische: omdat handhaving pas na een incident kan optreden, wordt de verdediging die er op het moment toe doet vooraf opgebouwd, uit capaciteit die vóór de behoefte moet bestaan. Die capaciteit is een gedeeld probleem, groter dan welke afzonderlijke instelling ook, en er wordt het best aan tegemoetgekomen door iedereen die eraan kan bijdragen, uit meer dan één richting, in dienst van een doel dat het hele veld toch al gemeenschappelijk heeft. De zinvolle houding voor particuliere capaciteit is dan niet om te wachten tot men wordt ingeschakeld, maar om vooruit op de vraag op te bouwen en te delen, zonder iets bepaalds in ruil te verwachten, want een beter verdedigd ecosysteem is de ruil. Cyberverdediging wordt vóór het incident opgebouwd. Het werk dat de moeite waard is, is het opbouwen.
Waar te beginnen
Als uw teams cybergereedheid opbouwen voor wat komen gaat, is de CCI Academy een open startpunt, of u nu ooit verder met CCI werkt of niet. Haar opleiding is op zichzelf nuttig. Beschouw haar als een open deur in plaats van een bestemming.
Referenties
Agence Nationale des Fréquences (2026). Cyber Resilience Act. https://www.anfr.fr/proteger/equipements-radio-electriques/cyber-resilient-act
ANSSI, cyber.gouv.fr (2026a). Cyber Resilience Act. https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act/
ANSSI, cyber.gouv.fr (2026b). NIS 2: l'ANSSI poursuit et renforce sa dynamique d'accompagnement. https://cyber.gouv.fr/actualites/nis-2-lanssi-poursuit-et-renforce-sa-dynamique-daccompagnement/
Autorité de contrôle prudentiel et de résolution (2026). FAQ sur la directive et le règlement DORA. https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora/faq-sur-la-directive-et-le-reglement-dora
Autorité des marchés financiers (2026). The Regulation on Digital Operational Resilience in the Financial Sector (DORA). https://www.amf-france.org/en/news-publications/depth/dora
Belfiore, G. (2026). Chiffrement vs Police: "Le choix sera politique", prévient le patron de l'ANSSI. Clubic. https://www.clubic.com/dossier-618682-interview-anssi.html
Ledieu-Avocats (2026). ANSSI, projet de décret NIS2 "mesures techniques" v2.5, ReCyF du 17 mars 2026. https://ledieu-avocats.fr/anssi-projet-decret-nis2-mesures-techniques-v2-5-recyf-du-17-mars-2026/
Repenning, N. P., and Sterman, J. D. (2001). Nobody ever gets credit for fixing problems that never happened: creating and sustaining process improvement. California Management Review, 43(4), 64 to 88. https://doi.org/10.2307/41166101
Repenning, N. P., and Sterman, J. D. (2002). Capability traps and self-confirming attribution errors in the dynamics of process improvement. Administrative Science Quarterly, 47(2), 265 to 295. https://doi.org/10.2307/3094806
Sterman, J. D. (2000). Business Dynamics: Systems Thinking and Modeling for a Complex World. Boston: Irwin McGraw-Hill. https://systemdynamics.org/product/business-dynamics-systems-thinking-and-modeling-for-a-complex-world/