Schaduw-IT en NIS2: hoe beheer en beveilig je onbekende digitale assets?
Gepubliceerd op 12 juni 2026
Inleiding
Een marketingbureau zet in 2023 voor een campagne actie.jouwbedrijf.nl op, gekoppeld aan een extern platform. De campagne eindigt, het abonnement op het platform wordt opgezegd — maar het DNS-record blijft staan. Twee jaar later registreert iemand anders dezelfde platformnaam, en serveert vanaf dat moment content onder jóuw domeinnaam. Phishingmails "namens" jouw bedrijf zien er ineens volkomen legitiem uit.
Dit scenario heet een subdomain takeover, en het illustreert het kernprobleem van dit artikel: de gevaarlijkste systemen zijn niet de systemen die je beheert, maar de systemen waarvan je niet meer weet dat je ze hebt. Dat is schaduw-IT — en onder NIS2 is het niet langer alleen een technisch probleem, maar een compliance-probleem. Schaduw-IT is daarmee onderdeel van een groter geheel: het beheren van je volledige externe aanvalsoppervlak, oftewel EASM.
Waarom schaduw-IT de grootste blinde vlek is onder NIS2
NIS2 en de Cyberbeveiligingswet vragen om passende maatregelen voor alle netwerk- en informatiesystemen die de dienstverlening raken — niet alleen voor de systemen die toevallig in het CMDB staan. Asset management is expliciet onderdeel van de zorgplicht in artikel 21. Een risicoanalyse die gebaseerd is op een onvolledig assetregister, is daarmee zelf een bevinding.
En registers zíjn onvolledig. Schaduw-IT ontstaat niet door onwil maar door snelheid: een team koppelt een SaaS-tool, een ontwikkelaar zet een demo-omgeving online, een bureau richt een campagnesite in, een overgenomen bedrijfsonderdeel neemt zijn eigen domeinen mee. Iedere keer wordt het externe aanvalsoppervlak groter, en vrijwel nooit wordt het register bijgewerkt. Het formele beeld en de werkelijkheid groeien structureel uit elkaar — en een aanvaller scant de werkelijkheid, niet het register.
De gevaren van een onbeheerd extern aanvalsoppervlak
Subdomain takeover
Het scenario uit de inleiding. Een DNS-record (vaak een CNAME) wijst naar een externe dienst — een hostingplatform, een cloudbucket, een SaaS-tool — die inmiddels is opgezegd. Wie de externe dienst opnieuw claimt, controleert daarmee content onder jouw subdomein: voor phishing, malwareverspreiding of het stelen van sessiecookies die voor *.jouwbedrijf.nl gelden. Voorkomen: ruim DNS-records op als onderdeel van het opzegproces van iedere externe dienst, en monitor doorlopend op records die naar niet-geclaimde diensten wijzen.
Blootgestelde beheerpanelen
Een database-admintool die "tijdelijk even" open is gezet voor een leverancier. Een routerinterface op een verlopen IP-allowlist. Een CI/CD-omgeving van een vertrokken ontwikkelaar. Beheerpanelen die rechtstreeks aan het internet hangen zijn voor aanvallers de kortste route naar binnen — vaak voorzien van standaardwachtwoorden of bekende kwetsbaarheden, en per definitie onbewaakt als niemand weet dat ze er staan. Voorkomen: beheerinterfaces horen achter een VPN of IP-beperking; doorlopende poortscans van je eigen adresruimte laten zien wanneer er toch iets opduikt.
Verlopen en vergeten SSL/TLS-certificaten
Een verlopen certificaat op een vergeten subdomein lijkt onschuldig — er draait toch niets belangrijks? Maar het signaal is tweeledig. Voor je klanten en ketenpartners: deze organisatie heeft haar beheer niet op orde. Voor een aanvaller: hier wordt niet meer gekeken, dit is onbeheerd terrein. Bovendien verraden Certificate Transparency-logs (openbaar) ieder certificaat dat je ooit aanvroeg — aanvallers gebruiken ze als gratis inventarislijst van je subdomeinen. Jij kunt diezelfde logs gebruiken om je eigen vergeten assets terug te vinden.
Een proactieve aanpak: continuous attack surface management
De gemene deler van deze drie gevaren: ze ontstaan ná de laatste audit en wachten niet op de volgende. Een jaarlijkse inventarisatie verliest het dus altijd van de werkelijkheid. Het alternatief is het extern aanvalsoppervlak doorlopend te beheren, in een cyclus van vier stappen:
| Stap | Wat gebeurt er | Resultaat |
|---|---|---|
| 1. Ontdekken | Doorlopend zoeken naar domeinen, subdomeinen, IP's en diensten — van buitenaf, zoals een aanvaller | Het werkelijke aanvalsoppervlak, inclusief schaduw-IT |
| 2. Vergelijken | Het gevonden beeld naast het formele register leggen | De blinde vlekken, expliciet gemaakt |
| 3. Beoordelen | Per onbekende asset: van wie is dit, moet dit online, is het kwetsbaar? | Eigenaar en besluit per asset |
| 4. Hercontroleren | Geverifieerd vaststellen dat opruimen of herstellen is gebeurd | Aantoonbaar gesloten bevindingen |
Stap 1 is precies het verkenningswerk dat een aanvaller ook doet — DNS-enumeratie, Certificate Transparency-logs, poortscans — maar dan in jouw opdracht en met de resultaten in jouw dashboard. Stap 2 tot en met 4 maken er een beheerproces van: iedere ontdekte asset krijgt een eigenaar en een besluit, en dat besluit is herleidbaar vastgelegd. Daarmee voed je niet alleen je beveiliging maar ook je NIS2-dossier: een organisatie die kan laten zien dat onbekende assets binnen dagen worden ontdekt en beoordeeld, geeft precies de invulling aan asset management die de zorgplicht vraagt — zie ook scannen is geen NIS2-compliance over hoe scanresultaten compliance-bewijs worden.
Conclusie
Schaduw-IT verdwijnt niet door beleid; ieder bedrijf met meer dan een handvol medewerkers bouwt het op. Het verschil zit in de ontdekkingstijd: bij organisaties die hun externe aanvalsoppervlak doorlopend monitoren, leeft een vergeten subdomein dagen — bij organisaties die jaarlijks inventariseren, jaren. En het zijn precies die jaren waarin een subdomain takeover, een open beheerpaneel of een verlopen certificaat van theoretisch risico tot incident wordt.
Benieuwd wat er werkelijk aan jouw domein hangt? Exposentry brengt je externe aanvalsoppervlak van buitenaf in kaart — subdomeinen, open poorten, certificaten, softwareversies — en monitort het doorlopend, met herleidbaar bewijs per bevinding. Start een eerste scan of bekijk de pakketten en tarieven: de vergeten assets die de scan vindt, zijn er nu al.
Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert NL-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.