DORA, NIS2 en de SEC zijn tot dezelfde conclusie gekomen: backuplogs zijn geen bewijs. Ze willen verifieerbare herstelbaarheid. Cryptografisch bewijs dat uw gegevens daadwerkelijk kunnen worden hersteld. Traditionele back-upsystemen kunnen dit niet bieden.
De vertrouwenskloof waardoor CISO's worden ontslagen
60% van de IT-leiders denkt dat ze in minder dan een dag kunnen herstellen van een ramp. Slechts 35% doet dat daadwerkelijk.
Die kloof is geen testprobleem. Het is een bewijsprobleem.
„Alleen omdat je reservekopietaak is voltooid, wil nog niet zeggen dat je kunt herstellen. Te veel leidinggevenden denken dat een groen vinkje betekent dat ze veilig zijn.” Dat is een expert in een IT-operatieforum die beschrijft wat nalevingsteams op de harde manier ontdekken.
46% van de kleine bedrijven heeft nooit hun back-up- en noodherstelplannen getest. Van degenen die wel testen, vindt 77% fouten. De back-upsoftware zegt „geslaagd”, maar de toepassing werkt niet omdat de configuratiebestanden niet zijn opgenomen. Of de database is beschadigd. Of het herstel duurt drie weken in plaats van drie uur.
Beoefenaars noemen dit „de back-up van Schrodinger”. Het bestaat en bestaat pas als je het echt nodig hebt. En tegen die tijd leg je de kloof uit aan je CFO, je verzekeraar en mogelijk je toezichthouder.
Wanneer „" Schermafbeeldingen of het is niet gebeurd "” het beleid wordt”
Auditors hebben veranderd waar ze om vragen. Ze willen echte herstellogboeken, niet alleen succesrapporten voor back-ups. Verificatie dat workloads daadwerkelijk weer online kunnen komen. Schermafbeeldingen, tijdstempels, volledige testdocumentatie.
Eén beroepsbeoefenaar beschreef dat de verlenging van hun verzekering vastliep omdat de verzekeraar een bewijs wilde hebben van een recente noodhersteltest in zijn financiële database. „Schermafbeeldingen of het is niet gebeurd.” Bij een ander werd de verlenging geblokkeerd totdat ze een video maakten van een Exchange-postvakherstel dat daadwerkelijk werkte.
Verzekeraars hebben geleerd dat back-uprapporten het succes van een herstel niet voorspellen. Het percentage afwijzingen van claims van 40% dwong tot de verschuiving. Nu willen ze bewijs dat ze onafhankelijk kunnen verifiëren.
Grote verzekeraars hebben nu een jaarlijks bewijs van terugvorderbaarheid nodig, niet alleen een back-up van het bestaan. Gedocumenteerde testreparaties van kritieke systemen, geattesteerd door IT of externe auditors. Het niet verstrekken van dit bewijs leidt tot het weigeren van claims, hogere premies of een regelrechte weigering om polissen te verlengen.
The Regulatory Hammer: DORA, NIS2 en de SEC
Drie regelgevingskaders zijn op dezelfde eis samengekomen: bewijs het.
DORA (Digital Operational Resilience Act) treedt volledig in werking op 17 januari 2026. Financiële dienstverleners moeten herstelprocedures ontwikkelen en documenteren, met inbegrip van de manier waarop toegang kan worden verkregen tot gegevens die in het bezit zijn van externe leveranciers en deze kunnen worden teruggegeven. De tests moeten minstens jaarlijks plaatsvinden en voor niet-micro-ondernemingen is een onafhankelijke audit vereist.
De sleutelzin: „Documentatie en praktisch bewijs (daadwerkelijk getest herstel vanaf een back-up) zijn vereist. Alleen beleid, zonder bewezen, beproefde capaciteiten, is onvoldoende.”
Sancties: administratieve boetes tot 2% van de wereldwijde jaaromzet, of opschorting van activiteiten.
NIS2 wordt sinds oktober 2024 in alle EU-lidstaten gehandhaafd. Organisaties moeten bedrijfscontinuïteitsplannen ontwikkelen, documenteren en regelmatig testen met bewijs van effectiviteit. Geen papieren plannen. Geteste herstelbaarheid.
Het uitvoerend management is rechtstreeks aansprakelijk voor tekortkomingen in het toezicht, met mogelijke persoonlijke aansprakelijkheid en een verbod op leidinggevende functies. Boetes bedragen €10 miljoen of 2% van de jaarlijkse wereldwijde omzet.
De openbaarmakingsregels voor cyberbeveiliging van de SEC (van kracht in december 2023 voor grote bedrijven, juli 2024 voor kleinere bedrijven) vereisen dat bedrijven hun processen beschrijven voor het beheersen van cyberbeveiligingsrisico's, waaronder back-up en herstel. In het tweede kwartaal van 2025 heeft de SEC genoegen genomen met $8 miljoen vanwege niet nader genoemde fouten bij het testen van back-ups.
Het patroon is duidelijk. Regelgevers accepteren geen reservelapporten meer als bewijs van naleving. Ze willen bewijs dat auditors onafhankelijk kunnen verifiëren.
Waarom schermafbeeldingen audits niet overleven
De meeste back-up- en DR-gesprekken missen het echte probleem: het probleem is niet de testfrequentie. Het is de aard van het bewijs.
Traditionele back-upsystemen produceren logboeken die door de leverancier worden beheerd. Schermafbeeldingen. Exporteert het dashboard. Certificatie-PDF's. Al dit bewijs heeft dezelfde structurele fout: het vereist vertrouwen.
Een auditor die een succeslogboek voor de back-up bekijkt, moet erop kunnen vertrouwen dat het logboek niet is bewerkt. Vertrouw erop dat de tijdstempels nauwkeurig zijn. Vertrouw erop dat de test daadwerkelijk is uitgevoerd zoals beschreven in het rapport. Vertrouw erop dat het dashboard van de leverancier de realiteit weergeeft, niet wat de leverancier wil dat ze zien.
Dit is een certificeringstheater. De schijn van conformiteit zonder de inhoud van het bewijs.
Wanneer een toezichthouder vraagt „kunt u bewijzen dat uw gegevens kunnen worden hersteld?” en je antwoord is „hier is een screenshot van het dashboard van onze back-upleverancier”, je levert geen bewijs. Je dient een claim in.
Claims zijn precies wat toezichthouders niet meer accepteren.
De structurele kloof: traditioneel bewijs wordt door de leverancier gecontroleerd en kan worden bewerkt. Wettelijke vereisten vereisen nu bewijs dat onafhankelijk verifieerbaar en onveranderlijk is.
Wat verifieerbare herstelbaarheid eigenlijk betekent
Verifieerbare herstelbaarheid betekent de mogelijkheid om - cryptografisch en onafhankelijk - te bewijzen dat gegevens intact, opvraagbaar en herstelbaar zijn.
De verschuiving: van „vertrouw onze logboeken” naar „verifieer onze bewijzen”. In plaats van bewijs dat vertrouwen vereist, hebt u bewijs nodig dat auditors onafhankelijk kunnen verifiëren, zonder uw beweringen of die van uw leverancier te vertrouwen.
Dit vereist een andere bewijsarchitectuur:
Cryptografisch bewijs van gegevensbezit. Opslagproviders bewijzen dat ze uw gegevens bewaren zonder deze opnieuw te verzenden. Wiskundig bewijs dat de gegevens bestaan, intact zijn en kunnen worden opgehaald.
Onveranderlijke auditsporen. Elke gegevensbewerking wordt vastgelegd in een grootboek dat niet kan worden bewerkt, verwijderd of met terugwerkende kracht kan worden gedateerd. Niet door jou, niet door je leverancier, door niemand. De audittrail is het bewijs en het bewijs is onafhankelijk verifieerbaar.
Merkle-bewijzen bieden integriteitsverificatie op blokniveau. Elke wijziging op granulair niveau is detecteerbaar. Als een enkel bit verandert, mislukt het bewijs.
Verificatie in de keten. Wanneer auditsporen op een blockchain staan, verifiëren auditors ze zonder de opslagprovider te vertrouwen. Ze controleren zelf het grootboek. Het bewijs hangt niet af van de eerlijkheid van de verkoper.
Dit is wat toezichthouders bedoelen als ze „praktisch bewijs” en „geteste herstelbaarheid” eisen. Niet vaker testen. Geen betere schermafbeeldingen. Bewijsmateriaal dat onder controle werkt omdat daarvoor geen vertrouwen vereist is in de entiteit die wordt gecontroleerd.
Akave Cloud levert bewijs, geen beloftes
Akave Cloud is gebouwd voor deze regelgevingsomgeving.
Elke gegevensbewerking genereert cryptografisch bewijs. Geen logboeken die kunnen worden gewijzigd. Bewijsmateriaal dat bestand is tegen toezicht door de regelgevende instanties omdat auditors dit onafhankelijk kunnen verifiëren.
De basis is eCid (Encrypted Content Identifier), dat zorgt voor fraudebestendige inhoudsadressering. De hash wordt berekend na versleuteling en wiscodering, niet op basis van onbewerkte gegevens. De inhoudsidentificatie zelf wordt een bewijs van integriteit.
PDP (Proof of Data Possession) bewijst dat gegevens bestaan zonder deze opnieuw te verzenden. Opslagaanbieders bewijzen het bezit wiskundig. Dit is het „praktische bewijs” dat DORA nodig heeft.
Voor gedetailleerde verificatie detecteren Merkle-bewijzen elke wijziging op blokniveau. Als een enkel bit verandert, mislukt het bewijs. Uitgebreide verificatie, geen steekproeven.
Verificatielogboeken in de keten op Avalanche L1 creëren een onveranderlijk grootboek van alle gegevensbewerkingen. Alleen metagegevens en statuswijzigingen worden in de keten verwerkt, nooit gebruikersgegevens. Geen tokens, geen volatiliteit. Gewoon een onveranderlijk grootboek. Auditors verifiëren zonder de logboeken van Akave te vertrouwen. Ze controleren de blockchain rechtstreeks. Retentie in de bestuursmodus voegt beveiliging in Worm-stijl toe met administratieve overschrijving die wordt geregistreerd en controleerbaar.
Het resultaat: auditors verifiëren de herstelbaarheid zonder de beweringen van Akave te vertrouwen. Het bewijs is wiskundig, geen getuigenis. Het bewijs is onafhankelijk verifieerbaar, niet gecontroleerd door de leverancier.
Duurzaamheid van 11×9 (99,99999%) via wiscodering en Filecoin-bewijzen. Wiskundig verifieerbaar, niet door de leverancier beloofd.
Met een prijs van $14,99 per TB zonder kosten voor uitstappen is de berekening geschikt voor zware werklasten die veel naleving vereisen. Maar de echte waarde is niet de prijs. Het is het bewijs dat uw auditor kan verifiëren zonder iemands logboeken te vertrouwen.
De weg vooruit
De volledige handhaving van DORA arriveert op 17 januari 2026. NIS2 is al actief. De SEC heeft een precedent geschapen voor de handhaving met een schikking van $8 miljoen.
Het afwijzingspercentage van 40% verzekeringsclaims is geen fluctuatie. Het is de nieuwe basislijn. Verzekeraars hebben geleerd dat back-uprapporten het succes van een herstel niet voorspellen, en ze passen de vereisten dienovereenkomstig aan.
De vraag is niet of u uw procedures voor het testen van back-ups moet verbeteren. Testen is noodzakelijk maar onvoldoende. De vraag is of uw bewijsarchitectuur bewijs oplevert dat auditors onafhankelijk kunnen verifiëren.
Als uw antwoord op „kunt u de herstelbaarheid bewijzen?” is een schermafbeelding van een leveranciersdashboard, waarbij u claims indient, geen bewijs.
Haal je laatste back-up rapport op. Vraag: kan een auditor dit verifiëren zonder het dashboard van uw leverancier te vertrouwen?
Als het antwoord vertrouwen vereist, is de kloof structureel. Onder toezicht van DORA, NIS2 en SEC zijn structurele hiaten niet acceptabel. Ze zijn te repareren. Begin met het bewijs.
Neem contact met ons op
Akave Cloud is een gedistribueerde en schaalbare objectopslag op bedrijfsniveau, ontworpen voor grootschalige datasets in AI, analyses en bedrijfspijplijnen. Het biedt compatibiliteit met S3-objecten, cryptografische verifieerbaarheid, onveranderlijke audittrails en SDK's voor agenten; allemaal zonder uitgassingskosten en zonder leveranciersvergrendeling, waardoor tot 80% op opslagkosten wordt bespaard in vergelijking met hyperscalers.
Akave Cloud werkt samen met een breed ecosysteem van partners die honderden petabytes aan capaciteit beheren, waardoor implementaties in meerdere landen mogelijk zijn en een soevereine data-infrastructuur wordt aangedreven. De stack is ook vooraf gekwalificeerd voor belangrijke bedrijfsapps zoals Snowflake en andere.