TL;DR. Ongeveer 94% van het webverkeer loopt nu over HTTPS en de protocollen daaronder zijn veranderd. TLS 1.3 heeft cleartext metadata verwijderd, QUIC versleutelt bijna de gehele handdruk over UDP en Encrypted ClientHello verbergt de bestemming voor passieve proxies. Moderne SASE-platforms inspecteren selectief en combineren protocolbewuste decodering met categorie-gebaseerde uitsluitingen voor privacy-gevoelig verkeer. De vraag in 2026 is niet langer of je alles moet ontsleutelen, maar welk verkeer echt geïnspecteerd moet worden gezien protocolwijzigingen en EU privacybeperkingen.
Ongeveer 94% van de webverzoeken gebruikt HTTPS in 2026, en de cryptografische protocollen onder het sloticoon zijn geëvolueerd op manieren die legacy inspectie doorbreken. Als je beveiligde webgateway die uitgelegd is voor SASE ontworpen is voor TLS 1.2 over TCP, dan is hij al gedeeltelijk blind. Dit stuk is voor senior IT- en beveiligingsmanagers die kiezen hoe hun Secure Access Service Edge platform moet omgaan met de inspectie trade-offs. We gaan ervan uit dat je al weet wat een beveiligde web gateway doet, dus we richten ons op het deel dat de meeste documentatie van leveranciers wegmoffelt: hoe decryptie eigenlijk werkt op TLS 1.3, wat QUIC doet met proxy-gebaseerde architecturen en waarom selectieve decryptie het heersende model is geworden in Europese implementaties.
Waarom TLS 1.3 legacy-inspectie heeft gebroken
TLS 1.3, gedefinieerd in RFC 8446, is ontworpen met privacy op de eerste plaats. Het verwijdert de cleartext sleuteluitwisseling die in TLS 1.2 werd blootgelegd, versleutelt het servercertificaat direct na de handdruk en verplicht efemere Diffie-Hellman sleutels voor elke sessie. Perfect Forward Secrecy is niet langer optioneel. Out-of-band passieve ontcijfering, waarbij een inspectie-appliance een kopie van de privésleutel van de server bewaarde en het onderschepte verkeer offline ontcijferde, werkt niet langer.
Het gedeelde sessiegeheim wordt onderhandeld met kortstondige ECDHE parameters, ondertekend per sessie en weggegooid als de verbinding eindigt. Als je morgen de lange-termijn sleutel van de server zou compromitteren, zou je niet met terugwerkende kracht verkeer dat gisteren vastgelegd werd, kunnen ontsleutelen. Enterprise inspectie vereist nu een actieve proxy op de SASE gateway die de verbinding beëindigt, ontsleutelt, opnieuw versleutelt naar de bestemming en vertrouwt op beheerde apparaten die de root certificaatautoriteit van de gateway vertrouwen.
In TLS 1.2 kon een inspectie-apparaat de SNI en het certificaat van de server in cleartext ontcijferen. In TLS 1.3 wordt het certificaat versleuteld zodra de sleuteluitwisseling is voltooid. In combinatie met 0-RTT early-data resumption geeft dit proxies minder metadata om mee te werken voordat ze beslissen of ze de verbinding toestaan. Voor onbeheerde apparaten waarop geen root-CA van de onderneming is geïnstalleerd, is TLS 1.3-inspectie geen afstemmingsprobleem. Het is onmogelijk.
Versleuteld ClientHello verandert de SNI-aanname
Het laatste cleartext signaal in een TLS 1.3 verbinding, de SNI uitbreiding in de initiële ClientHello, verdwijnt nu. Versleutelde ClientHello, gespecificeerd in RFC 9849, splitst de handdruk op in een buitenste ClientHello met een generiek dekkingsdomein en een binnenste ClientHello versleuteld met Hybrid Public Key Encryption met een sleutel die de server publiceert via DNS.
De toepassing van ECH is eerder geconcentreerd dan universeel. Cloudflare dwingt ECH af in haar edge, hoewel ongeveer 30% van de door Cloudflare gehoste origins nog steeds geen ECH-configuratie publiceert. Chrome vanaf versie 117 en Firefox onderhandelen beide over ECH wanneer ze de HTTPS resource record onder RFC 9460 omzetten. Edge volgt het gedrag van Chrome.
SNI filtering, de lichtgewicht techniek waarbij een proxy het bestemmingsdomein uit de onversleutelde ClientHello leest, werkt niet wanneer ECH in het spel is. Twee zakelijke oplossingen zijn in opkomst. De eerste is het pushen van browserbeleid dat ECH uitschakelt op beheerde apparaten, zoals de instelling EncryptedClientHelloEnabled van Chrome. De tweede is om het DNS-pad te controleren: een SASE-gecontroleerde resolver kan HTTPS resource records strippen of NXDOMAIN retourneren voor de records die ECH-sleutels publiceren, waardoor browsers terugvallen op standaard SNI-gedrag. Geen van beide is elegant. Beide werken.
QUIC, HTTP/3 en de blinde vlek van de inspectie
QUIC, gedefinieerd in RFC 9000, is niet TLS over UDP. Het is een nieuw transportprotocol dat TLS 1.3 direct in de verbindingslaag integreert, de meeste pakkethoofding versleutelt inclusief verbindings-ID’s en pakketnummers, en over UDP/443 loopt in plaats van TCP/443. HTTP/3, gespecificeerd in RFC 9114, zit er bovenop. Voor inspectie-architecturen die gebouwd zijn rond TCP proxies, is QUIC een moeilijker probleem dan TLS 1.3.
De adoptie verliep anders dan de eerste voorspellingen deden vermoeden. HTTP/3-verkeer bedraagt ongeveer 21% van alle wereldwijde webverzoeken in Q2 2026, ver onder de door sommigen voorspelde drempel van 30%. HTTP/2 over TCP domineert nog steeds met 51% en HTTP/1.x behoudt ongeveer 28%. De verdeling is regionaal: in Italië ligt het aandeel HTTP/3 boven de 30%, terwijl Nederland en Singapore dichter bij de 8-10% blijven. De services die QUIC hard pushen, Google, YouTube, Gmail, Meta, WhatsApp en delen van Microsofts stack, nemen een onevenredig groot deel van de eindgebruikerstijd voor hun rekening.
Drie architectuurpatronen domineren de reacties van leveranciers op QUIC. Block and fall back laat uitgaande UDP/443 vallen en browsers die HTTP/3 ondersteunen vallen automatisch terug naar TLS 1.3 over TCP. Dit is het dominante patroon, standaard gebruikt in Zscaler, Cato en Palo Alto Prisma Access. Native QUIC proxying beëindigt de inkomende QUIC-stream bij een UDP-bewuste proxy, decodeert de payload en maakt verbinding met de oorsprong via QUIC of gedowngrade naar HTTP/2 over TCP. Cloudflare One ondersteunt dit, net als FortiSASE. UDP-snelheidsbeperking met gedragsanalyse staat niet-geclassificeerde UDP toe, maar past strikte limieten per verbinding en heuristische detectie toe, meestal als een insluitingslaag achter een van de andere twee.
De praktische implicatie voor inkopers in het middensegment: als het antwoord van je SASE-leverancier op de vraag “hoe gaan jullie om met QUIC?” is “we blokkeren het”, dan is dat eerlijk, maar houd rekening met klachten van gebruikers over video- en chatprestaties. Als het antwoord is “we inspecteren het van nature”, vraag dan om documentatie van de proxy-architectuur en welke browser-oorsprong combinaties zijn getest.
Certificaatpinning en de apps die u niet kunt ontsleutelen
Zelfs met ingebouwde QUIC-inspectie en een perfect geïmplementeerde root-CA, zal sommige verkeer niet ontsleutelen. Certificaatpinning op applicatieniveau, waarbij de binary van een app de fingerprint van de openbare sleutel van het verwachte servercertificaat insluit en al het andere weigert, heeft zich ook buiten bankieren verspreid. HTTP Public Key Pinning is afgeschaft sinds 2018, maar pinning binnen native mobiele en desktop apps is springlevend en groeit nog steeds.
Wanneer een SASE proxy een gepinde verbinding onderschept, presenteert hij het gebruikersapparaat een bladcertificaat dat ondertekend is door de root-CA van de onderneming. Browsers accepteren dit. Gepinde apps doen dat niet. Ze vergelijken de openbare sleutel van het certificaat met de vastgecodeerde pin, vinden een mismatch en verbreken de verbinding met een TLS fatale waarschuwing. De gebruiker ziet dat de app geen verbinding kan maken, vaak zonder bruikbare foutmelding.
De lijst van veelgebruikte toepassingen in 2026 is lang genoeg om het beleidsontwerp vorm te geven in plaats van een hoekgeval te zijn.
| Categorie | Toepassingen die agressief pinnen |
|---|---|
| Berichten | WhatsApp, Signaal, Telegram |
| Mobiele en OS-diensten | Apple iCloud, Apple Push Notification-service, Apple App Store, Google Play-diensten |
| Samenwerking en cloud SaaS | Microsoft Teams, Slack, Salesforce, Zoom, Google Drive, Google Maps |
| Consumentenplatforms | Spotify, Netflix, Discord |
| Financiële diensten | Apps voor mobiel bankieren, Stripe API’s, PayPal |
Pinning beschermt gebruikers tegen malafide of gecompromitteerde certificaatautoriteiten, wat een legitieme zorg is. Het behandelen als een obstakel dat overwonnen moet worden is de verkeerde benadering. Sommige verkeerscategorieën zullen niet worden ontcijferd, ongeacht de mogelijkheden van de leverancier. Moderne SASE-platforms onderhouden dynamisch bijgewerkte bypass-lijsten die gepinde diensten vrijstellen en alternatieve controles vervangen: DNS-laag filtering, IP-reputatie en endpoint posture checks. Dit is een van de redenen waarom selectieve ontsleuteling het in de praktijk beter doet dan volledige ontsleuteling.
Versleutelde DNS omzeilt standaard SASE-beleid
DNS was vroeger de eenvoudigste laag in een beveiligingsstack. UDP/53, duidelijke tekst, eenvoudig te loggen en te filteren. Die aanname gaat niet langer op. Halverwege 2026 gebruikt ruwweg 81-83% van de wereldwijde DNS-query’s versleuteld transport, met DoH op ongeveer 72%, DoT op 10-12% en DoQ marginaal op minder dan 1%. Gewoon UDP/53 is afgenomen tot ongeveer 17%.
Standaardinstellingen van browsers zijn het praktische drukpunt. Chrome en Edge upgraden DNS automatisch naar DoH als de systeemoplosser een bekende grote openbare provider is die dit ondersteunt, zoals Cloudflare 1.1.1.1, Google 8.8.8.8 of Quad9. Beide respecteren het groepsbeleid van de onderneming. Firefox is agressiever: het schakelt DoH standaard in in de meeste regio’s en gebruikt een kanariecontrole op use-application-dns.net om te beslissen of er moet worden uitgeweken naar lokale DNS. Als dat domein NXDOMAIN retourneert, doet Firefox een stap terug. Als het een normaal antwoord teruggeeft, gaat Firefox verder met DoH en negeert de lokale DNS-server volledig.
Voor SASE-platforms die vertrouwen op DNS-laag filtering is dit structureel. Een gebruiker die Firefox draait op een onbeheerde laptop kan DNS-query’s uitvoeren die nooit de bedrijfsresolver raken, nooit gelogd worden en nooit gefilterd worden. Schrijvers van malware hebben dit opgemerkt. DoH-gebaseerde commando- en controlekanalen zijn nu een routinematige veronderstelling bij het reageren op incidenten.
Het verdedigingspatroon is gelaagd. Blokkeer TCP/853 en UDP/853 op de firewall om DoT en DoQ te verwijderen. Zet het Firefox canardomein om naar NXDOMAIN op de bedrijfsresolver. Houd een ontkenningslijst bij van bekende openbare DoH-eindpunten. Filter voor verkeer dat inline wordt gedecodeerd het application/dns-message MIME-type om willekeurige DoH-tunneling te stoppen. Geen van deze maatregelen is op zichzelf waterdicht. Samen herstellen ze genoeg zichtbaarheid om nuttig te zijn.
Selectieve ontsleuteling is de best practice voor 2026
Volledige inspectie van elke versleutelde sessie is niet langer het doel. Het is technisch nauwelijks mogelijk op schaal en zelfs waar het mogelijk is, zijn de kosten voor privacy en regelgeving zelden evenredig. Moderne SASE-implementaties maken gebruik van selectieve ontsleuteling: een beleid beslist per verkeerscategorie of de sessie wordt afgesloten voor inspectie, de ontsleuteling wordt omzeild of een alternatieve controle wordt toegepast. NIST SP 800-52 Rev 2 en ENISA richtlijnen wijzen beide in deze richting.
| Categorie verkeer | Decryptie actie | Alternatieve controle | Redenering |
|---|---|---|---|
| Financieel en gezondheidszorg | Niet ontsleutelen | DNS-filtering, IP-reputatie, TLS-metagegevens | Gevoelige referenties en PII; GDPR proportionaliteit |
| Gesanctioneerde SaaS (Microsoft 365, Zoom, Salesforce) | Ontcijfering omzeilen | API-gebaseerde CASB, huurderbeperkingen | Vermijdt pinning-fouten en overhead |
| Algemeen webverkeer | Ontcijferen en inspecteren | Inline antivirus, URL-filtering, sandboxing | Grootste bron van levering van malware |
| Cloudopslag en bestandsdeling | Ontcijferen en inspecteren | Inline DLP, bestandstypecontroles | Kanaal voor exfiltratie van gegevens |
| Onbeheerde bronnen of bronnen met hoog risico | Niet decoderen | Browser isolatie | Sluit het onbekende in in plaats van het te inspecteren |
De uitsluitingenlijst onderscheidt een geloofwaardig 2026 beleid van een 2018 beleid. Bankieren, gezondheidszorg en persoonlijke e-mail zijn niet alleen uitgezonderd vanwege pinning, maar ook vanwege EDPB-richtlijnen voor werkplekmonitoring en het proportionaliteitsbeginsel in artikel 5 GDPR. Gesanctioneerde SaaS valt in een aparte categorie omdat het juiste inspectiepunt de API van de provider is, niet het netwerk. Voor verkeer dat niet kan worden ontsleuteld en niet moet worden vertrouwd, verplaatst browserisolatie het risicogebied naar een wegwerpbare cloudcontainer in plaats van te proberen te inspecteren wat er op de draad staat.
Spanningen in privacy en regelgeving in EU-jurisdicties
De technische capaciteit om te ontsleutelen is niet hetzelfde als de wettelijke bevoegdheid om ontsleuteling in te zetten. In elke grote EU jurisdictie heeft TLS-inspectie te maken met medezeggenschap van ondernemingsraden, GDPR proportionaliteit en de interactie met NIS2 logging. Een uitrol die deze beperkingen negeert, brengt het risico met zich mee dat de inspectielogboeken juridisch niet-ontvankelijk zijn in een arbeidsgeschil, waardoor een groot deel van het operationele doel teniet wordt gedaan.
De Duitse Betriebsrat heeft een bindend medezeggenschapsrecht op grond van artikel 87, lid 1, punt 6, van de wet op de ondernemingsraden over elke technische maatregel waarmee het gedrag van werknemers kan worden gecontroleerd. TLS-decodering komt hiervoor in aanmerking. Een eenzijdige invoering zonder een ondertekende Betriebsvereinbarung is juridisch nietig. Nederland werkt op vergelijkbare wijze via de Ondernemingsraad krachtens artikel 27, lid 1, onder l), van de Wet op de Ondernemingsraden, waar de ondernemingsraad een instemmingsrecht heeft in plaats van alleen een raadplegingsrecht. Frankrijk gebruikt het Comité social et économique krachtens de artikelen L2311-1 en L2312-8 van de Code du travail; het inzetten van personeel zonder formeel advies van het Comité social et économique kan worden vervolgd als délit d’entrave, met strafrechtelijke aansprakelijkheid voor de werkgever.
België regelt het toezicht op elektronische communicatie via CAO 81. CAO 81 staat monitoring toe voor vier specifieke doeleinden: het voorkomen van illegale of lasterlijke handelingen, het beschermen van bedrijfsgeheimen, het garanderen van netwerkbeveiliging en het controleren of de bedrijfsregels worden nageleefd. Continu geïdentificeerd toezicht is standaard verboden. De werkgever moet eerst een onregelmatigheid op een geaggregeerd niveau detecteren, de werknemer op de hoogte stellen en dan pas overgaan tot gerichte tracking. Deze volgorde bepaalt direct hoe decryptie logging geconfigureerd moet worden: standaard pseudonimiseren, alleen identificeren na een gemarkeerde gebeurtenis.
Richtsnoeren 05/2020 van de EDPB over werkplekmonitoring versterken dat een ondertekende arbeidsovereenkomst de inzet niet vrijstelt van GDPR. De verwerking heeft nog steeds een wettelijke basis nodig, moet nog steeds voldoen aan de beginselen van artikel 5 en vereist nog steeds een gegevensbeschermingseffectbeoordeling krachtens artikel 35. Praktisch gezien is de DPIA waar de selectieve decryptie-uitsluitingslijst uiteindelijk wordt gedocumenteerd en verdedigd.
NIS2 voegt een laag toe die vaak verkeerd wordt gelezen. Artikel 21 vereist dat essentiële en belangrijke entiteiten effectieve dreigingsdetectie en logging implementeren. Het specificeert geen volledige TLS-decodering. Het CyberFundamentals raamwerk van de CCB, dat Belgische organisaties gebruiken om aan te tonen dat ze voldoen aan NIS2, gaat uit van een risicogebaseerde visie en accepteert gepseudonimiseerde of geaggregeerde logs als bewijs van detectiecapaciteit. De combinatie van de detectie-eis van NIS2 en de minimaliseringsrichtlijnen van EDPB drijft praktische implementaties in de richting van precies het selectieve patroon dat hierboven is beschreven.
Hoe SASE-platforms de inspectie in 2026 aanpakken
De belangrijkste SASE leveranciers hebben zich gevestigd in herkenbare patronen en de verschillen zijn belangrijk bij het vergelijken van platforms.
| Verkoper | QUIC afhandeling | TLS 1.3 inspectie | Versleutelde DNS-benadering |
|---|---|---|---|
| Zscaler internettoegang | Blokkeer UDP/443, forceer TCP fallback | Native via cloud proxy | DNS Control blokkeert DoH-eindpunten, retourneert ServFail voor HTTPS RR’s |
| Cato netwerken | Standaard blokkeren via app controleregels | Ingebouwd in single-pass engine | Recursieve DNS-controles blokkeren het ophalen van ECH-sleutels |
| Cloudflare één | Native QUIC en HTTP/3 inspectie via UDP proxy | Native aan de rand | ECH-beheer op randniveau of DNS-laagstrip |
| Palo Alto Prisma Toegang | Blokkeer UDP/80 en UDP/443, forceer TCP fallback | Native via NGFW single-pass | URL-filtercategorieën blokkeren openbare DoH en DoT |
| FortiSASE | Configureerbaar: blokkeren of native inspectie | Ingebouwd in SSL-inspectieprofiel | FortiOS controleert blokkeren DoT, DoQ, DoH en ECH extensies |
Er is een duidelijke architecturale tweedeling zichtbaar. Leveranciers die gebouwd zijn op TCP proxy erfgoed (Zscaler, Cato, Palo Alto) behandelen QUIC als iets om te blokkeren. Leveranciers met een edge of NGFW erfgoed uitgebreid voor UDP (Cloudflare, Fortinet) inspecteren het direct. Geen van beide is verkeerd, maar de keuze heeft gevolgen voor de gebruikerservaring op QUIC-intensieve services en voor de operationele complexiteit van het beleid. Vraag elke leverancier om documentatie over welke specifieke origines ze hebben getest onder elke modus.
Jimber hanteert een cloud-native benadering met selectieve ontsleuteling die per verkeerscategorie kan worden geconfigureerd. Het platform handelt TLS 1.3-beëindiging van nature af en ondersteunt QUIC-blokkering met beleidsgestuurde fallback voor organisaties die de voorkeur geven aan het eenvoudigere operationele model. Het SASE-platform van Jimber integreert browserisolatie voor verkeer dat niet mag worden gedecodeerd maar ook niet mag worden vertrouwd, en koppelt de DNS-laag aan beleid per gebruiker en per apparaat. NIAC-hardware breidt dezelfde controles uit naar agentloze apparaten zoals printers, IP-camera’s en industriële apparatuur die geen endpoint agents kunnen installeren. Authenticatie op deze oppervlakken maakt gebruik van wederzijdse TLS, zodat het beleid op dezelfde manier wordt toegepast op beheerde laptops en op een IT-OT brug in een fabriek. Omdat de infrastructuur is gebouwd en wordt beheerd binnen de jurisdictie van de EU, begint het DPIA-gesprek vanuit een sterkere positie dan bij platforms die hun hoofdkwartier in de VS hebben en die verplichtingen moeten aangaan met betrekking tot het verblijf van gegevens in het kader van de CLOUD Act. Voor organisaties die overstappen van inspectie op basis van apparatuur naar controle via de cloud, behandelt ons stuk over Firewall-as-a-Service de bredere architectuurcontext.
FAQ
Kunnen SASE-platforms QUIC-verkeer inspecteren in 2026?
Sommige kunnen dat van nature, andere niet. Cloudflare One en FortiSASE ondersteunen inline QUIC en HTTP/3 inspectie via UDP-bewuste proxies. Zscaler, Cato en Palo Alto Prisma Access blokkeren UDP/443 om browsers te dwingen terug te vallen op TCP-gebaseerde TLS 1.3.
Verhindert TLS 1.3 de inspectie van ondernemingsverkeer?
Nee, maar het verandert de manier waarop inspectie werkt. TLS 1.3 verplicht Perfect Forward Secrecy, dus passieve out-of-band decodering is niet langer mogelijk. Inspectie vereist nu een actieve proxy die de verbinding beëindigt op een beheerd apparaat dat de root-CA van de onderneming vertrouwt.
Wat is Encrypted ClientHello en heeft het invloed op SASE implementaties?
ECH, gespecificeerd in RFC 9849, versleutelt de Server Name Indication met een sleutel die de server publiceert in DNS. Het verbreekt SNI-gebaseerde filtering voor onbeheerde apparaten. SASE platformen beperken ECH meestal door browserbeleid af te dwingen op beheerde apparaten of door HTTPS resource records te strippen bij de DNS resolver van de onderneming.
Welke toepassingen gebruiken certificate pinning die decryptie voorkomt?
Bekende voorbeelden zijn WhatsApp, Signal, Apple iCloud en Push Notification-diensten, Microsoft Teams, Slack, Salesforce, Zoom, Google Drive, Spotify, Netflix en de meeste apps voor mobiel bankieren. Vastgemaakte applicaties detecteren het vervangende certificaat dat een SASE-proxy presenteert en weigeren verbinding te maken.
Is volledige TLS-decodering vereist voor NIS2-compliance?
Nee. Artikel 21 van NIS2 vereist effectieve detectie en registratie van bedreigingen, geen volledige ontsleuteling van elke sessie. Het CyberFundamentals-raamwerk van de CCB accepteert selectieve ontsleuteling in combinatie met gepseudonimiseerde registratie als bewijs van detectievermogen, mits de aanpak is gerechtvaardigd door het risico.
Hoe omzeilt DNS over HTTPS bedrijfsfilters?
DoH verpakt DNS queries in standaard HTTPS op TCP/443, waardoor ze niet te onderscheiden zijn van normaal webverkeer zonder inline TLS inspectie. Vooral Firefox voert een auto-upgrade naar DoH uit en kan bedrijfsresolvers volledig omzeilen. Maatregelen zijn onder andere het blokkeren van bekende DoH-eindpunten, het retourneren van NXDOMAIN voor canarische domeinen en het filteren van het MIME-type application/dns-message.
Wat is selectieve TLS-decodering en wanneer moet het gebruikt worden?
Selectieve decryptie past decryptiebeleid toe per verkeerscategorie, waarbij gevoelige categorieën zoals bankieren, gezondheidszorg en gesanctioneerde SaaS worden uitgezonderd, terwijl algemeen webverkeer en cloudopslag worden geïnspecteerd. Dit zou de standaardaanpak moeten zijn voor elke organisatie die werkt onder GDPR of EU ondernemingsraad kaders, omdat het direct de proportionaliteits- en minimalisatieverplichtingen aanpakt en tegelijkertijd zinvolle inspectie behoudt.
Encryptie-inspectie in 2026 is minder een kwestie van technische capaciteit geworden en meer een kwestie van welk verkeer echt geopend moet worden. Protocolwijzigingen hebben de makkelijke paden afgesloten en de EU privacywetgeving heeft de meeste brute paden afgesloten. Een SASE platform dat TLS 1.3 beëindiging van binnenuit afhandelt, een bewuste keuze maakt over QUIC, selectieve ontsleuteling configureerbaar per categorie ondersteunt en browser isolatie integreert voor verkeer dat niet ontsleuteld kan of mag worden, geeft teams in het middensegment een verdedigbare positie onder zowel NIS2 als ondernemingsraad toezicht. Als je wilt zien hoe Jimber dit configureert voor een Europese mid-market omgeving, boek dan een demo en we nemen het beleidsraamwerk met je door.
