Cyber Due Diligence: Digitale Risico's Scannen voor M&A

DueSight Intelligence• 13 maart 2026• 10 min leestijd CybersecurityM&ANIS2

Snel antwoord Cyber due diligence is het scannen van digitale risico's van een bedrijf vóór een overname of samenwerking. Dit omvat: open poorten en kwetsbaarheden (externe exposure-analyse), datalekken (Have I Been Pwned), SSL/TLS-configuratie, DNS-beveiliging en NIS2-reviewcontext. Gemiddelde kosten van een data breach na overname: €4.45 miljoen. DueSight voert deze scans automatisch uit.

Inhoudsopgave

Waarom cyber DD bij M&A?
NIS2-richtlijn: wat verandert er?
5 checks voor cyber DD
Externe exposure-analyse: wat ziet een aanvaller?
Have I Been Pwned: datalekken
SSL/TLS en DNS-beveiliging
Data breach na overname: cases
Veelgestelde vragen

In 2017 ontdekte Verizon na de overname van Yahoo dat 3 miljard accounts gehackt waren — de overnameprijs daalde met $350 miljoen. Marriott erfde in 2018 een data breach van Starwood Hotels die 500 miljoen gasten trof. Cyber due diligence had dit kunnen voorkomen.

1. Waarom Cyber DD bij M&A?

€4.45M

Gem. kosten data breach

277

Dagen om breach te detecteren

83%

Bedrijven met kwetsbaarheden

$350M

Yahoo overnamekorting

Bij een overname erf je niet alleen activa en personeel — je erft ook digitale schuld:

Onontdekte breaches — Gemiddeld 277 dagen om een breach te detecteren
Verouderde systemen — Legacy software met bekende kwetsbaarheden
Compliance-gaps — Niet voldoen aan AVG, NIS2 of sectorspecifieke eisen
Shadow IT — Ongeautoriseerde systemen en diensten

2. NIS2-Richtlijn: Wat Verandert Er?

De Network and Information Security Directive 2 (NIS2) is sinds oktober 2024 van kracht in de EU. De richtlijn breidt de cybersecurity-verplichtingen drastisch uit:

Meer sectoren — Naast energie en transport nu ook: voedsel, afval, chemie, ICT-diensten, post, ruimtevaart
Supply chain security — Bedrijven moeten de cybersecurity van hun leveranciers beoordelen
Bestuurlijke aansprakelijkheid — Bestuurders zijn persoonlijk aansprakelijk voor naleving
Meldplicht — Significante incidenten binnen 24 uur melden
Boetes — Tot €10 miljoen of 2% van de wereldwijde jaaromzet

⚠ NIS2 Impact: Due diligence bij overnames moet nu expliciet cyber-risico's en NIS2-reviewcontext van het doelbedrijf beoordelen. Dit is geen optional — het is een bestuurdersverantwoordelijkheid.

3. De 5 Checks voor Cyber Due Diligence

#	Check	Tool	Wat het vindt
1	Open poorten & services	Externe exposure-analyse	Exposed databases, RDP, verouderde servers
2	Data breaches	Have I Been Pwned	Gelekte credentials van medewerkers
3	SSL/TLS configuratie	SSL Labs / DueSight	Zwakke encryptie, verlopen certificaten
4	DNS-beveiliging	DNS queries	Ontbrekende SPF, DKIM, DMARC, DNSSEC
5	Subdomain enumeration	crt.sh / DueSight	Vergeten test-omgevingen, shadow IT

4. Externe exposure-analyse: wat ziet een aanvaller?

Externe exposure-analyse laat zien welke internet-connected apparaten, poorten en services publiek bereikbaar zijn. Het scant voortdurend het internet en catalogiseert welke poorten open staan, welke software draait, en welke kwetsbaarheden aanwezig zijn.

Wat DueSight zoekt via externe exposure-analyse:

Open databases — MongoDB, Elasticsearch, Redis zonder authenticatie
RDP/VNC — Remote desktop poorten open naar het internet
Verouderde webservers — Apache 2.2, IIS 6.0 met bekende exploits
IoT-apparaten — Cameras, printers, industriele systemen
Known CVE's — Software met publiek bekende kwetsbaarheden

5. Have I Been Pwned: Datalekken

Have I Been Pwned (HIBP) aggregeert data uit 700+ publieke data breaches. DueSight controleert of e-mailadressen van het doelbedrijf voorkomen in gelekte databases.

Waarom dit belangrijk is bij DD:

Gelekte wachtwoorden = credential stuffing risico
Veel hits = zwak wachtwoordbeleid
Executive accounts in breaches = spear phishing risico

6. SSL/TLS en DNS-beveiliging

SSL/TLS analyse

Certificaat geldigheid en uitgever
Protocol versie (TLS 1.2 minimum, TLS 1.3 aanbevolen)
Cipher suites (geen RC4, geen 3DES)
HSTS header aanwezig?

DNS-beveiliging

SPF — Voorkomt e-mail spoofing
DKIM — Verifieert afzender authenticiteit
DMARC — Beleid voor afhandeling van spoofed e-mail
DNSSEC — Voorkomt DNS-hijacking

7. Data Breach na Overname: Cases

Case	Wat gebeurde	Kosten
Yahoo/Verizon (2017)	3 miljard accounts gehackt vóór overname	-$350M overnameprijs
Marriott/Starwood (2018)	500M gasten gegevens gelekt sinds 2014	£18.4M GDPR-boete
SolarWinds (2020)	Supply chain attack via software update	$40M+ incident response

Cyber due diligence met korte richttijd

DueSight combineert externe exposure-analyse, HIBP, SSL en DNS-configuratie automatisch voor elk bedrijf.

Voorbeeldrapporten bekijken →

8. Veelgestelde Vragen

Is cyber due diligence verplicht bij overnames?

Niet wettelijk verplicht als zodanig, maar onder NIS2 zijn bestuurders persoonlijk aansprakelijk voor cybersecurity. Een overname zonder cyber DD kan dus bestuurdersaansprakelijkheid opleveren als er achteraf een breach ontdekt wordt.

Hoe lang duurt een cyber DD scan?

Een handmatige cyber DD door een securitybedrijf duurt 2-4 weken en kost €10.000-€50.000. DueSight's geautomatiseerde scan heeft een korte richttijd en zet de belangrijkste checks op een reviewroute.

Wat als de target veel kwetsbaarheden heeft?

Dat is juist waardevol om te weten vóór de deal. Je kunt: (1) de overnameprijs verlagen, (2) remediatie-kosten meenemen in de waardering, (3) specifieke garanties opnemen in het koopcontract, of (4) afzien van de deal.