informatie | checklists | risicoanalyse
Home / Cyber due diligence checklist

Cyber due diligence checklist

Deze checklist helpt om het cyberrisico in een deal concreter te maken. Niet alleen de kwetsbaarheid van systemen telt, maar ook de vraag hoe incidenten worden voorkomen, gedetecteerd, begrensd en hersteld.

1. Basismaatregelen

  1. Hoe zijn MFA, toegangsbeheer en rollen ingericht?
  2. Is patching structureel en aantoonbaar belegd?
  3. Worden back-ups getest en gescheiden bewaard?
  4. Zijn kwetsbaarhedenscans of pentesten beschikbaar?

2. Detectie en respons

  1. Is er logging op kritische systemen en accounts?
  2. Bestaat monitoring via SOC, SIEM of MDR?
  3. Is een incidentresponsproces aanwezig en geoefend?
  4. Welke incidenten hebben zich recent voorgedaan?

3. Leveranciers en keten

  1. Welke externe partijen hebben beheer- of toegangsmacht?
  2. Welke cloud-, hosting- of MSP-leveranciers zijn kritiek?
  3. Bestaan assurance-rapporten, beveiligingsafspraken of exit-plannen?
  4. Welke supply chain-risico's zijn relevant onder NIS2?

4. Impact en dealgevolgen

  1. Wat is de impact van ransomware of datadiefstal?
  2. Welke directe investeringen zijn nodig na closing?
  3. Zijn garanties of vrijwaringen nodig in de SPA?
  4. Welke reputatie- of continuïteitsrisico's spelen mee in de waardering?
FAQ

Veelgestelde vragen over Cyber due diligence checklist

Duidelijke antwoorden op veelgebruikte vragen, in gewone taal en in de context van due diligence, risico's en beheersbaarheid.

Waarom gebruikt u een cyber due diligence checklist?

Om gestructureerd te beoordelen welke cyberonderwerpen moeten worden uitgevraagd, welke signalen extra aandacht vragen en waar verdiepend onderzoek zinvol is.

Welke onderwerpen horen in een cyber due diligence checklist?

Denk aan IAM, MFA, logging, patchmanagement, vulnerability management, back-up, incident response, leveranciersrisico, netwerkbeveiliging en herstelvermogen.

Welke documenten wilt u hierbij vaak zien?

Bijvoorbeeld securitybeleid, risicoanalyses, pentestrapporten, auditbevindingen, incidentoverzichten, patchrapportages, back-updocumentatie en leveranciersafspraken.

Is een goede checklist ook relevant als er nog geen incident is geweest?

Juist dan. Het doel is om vooraf te zien waar de weerbaarheid onvoldoende onderbouwd is, in plaats van pas na een incident te ontdekken wat ontbrak.

Hoe leest u de uitkomst van zo'n checklist?

Als een indicator voor waarschijnlijkheid en impact van cyberincidenten, én voor de inspanning die nodig is om tekortkomingen na de deal te herstellen.