Cyber security in 2026
Onderweg naar 2026 is cybersecurity uitgegroeid tot een kernpijler van digitale transformatie. De versnelde adoptie van AI vormt de meest ingrijpende verandering sinds de overstap naar de cloud. Dit zorgt voor disruptie, niet alleen door veranderende bedrijfsstrategieën, maar ook door een snel evoluerende regelgeving.
Om vooruit te komen, moeten organisaties cybersecurity integreren in hun innovatie- en implementatiestrategieën, terwijl ze wendbaar blijven om zich aan te passen aan veranderende dreigingen. Degenen die dat doen, beschermen hun middelen en verkrijgen een concurrentievoordeel in de digitale economie.
"De toekomst van cybersecurity draait niet om de keuze tussen veiligheid en innovatie; het gaat erom beide tegelijkertijd te realiseren. Dit vereist doordachte planning, strategische investeringen en samenwerkingsgerichte benaderingen die cybersecurity erkennen als een gedeelde verantwoordelijkheid."
Jan Matto Partner
In de Europese Unie gaan regelgevingen zoals DORA (Digital Operational Resilience Act) over naar de handhavingsfase, terwijl de NIS2-regelgeving wordt vertaald naar nationale kaders binnen de lidstaten, met implementatiedeadlines die doorlopen tot de zomer van 2026. Deze gefragmenteerde implementatie en snelle ontwikkeling creëren zowel kansen als uitdagingen voor multinationale organisaties.
Daarentegen richt de federale aanpak in de Verenigde Staten zich meer op de uitvoering dan op het creëren van nieuwe regelgeving. De vereisten van het Cybersecurity Maturity Model Certification (CMMC) voor aannemers van het ministerie van Defensie zijn ingevoerd, terwijl initiatieven zoals het Critical Infrastructure Resilience (CIR)-raamwerk zich blijven ontwikkelen. Op staatsniveau blijft het landschap versnipperd, met 220 verschillende cyber- en privacymaatregelen verspreid over 38 staten en 47 afzonderlijke AI-gerelateerde wetsvoorstellen in 23 staten.
De complexiteit van regelgeving wordt door veel professionals in de sector gezien als zowel een last als een kans. Hoewel veel nieuwe regels gericht zijn op het verbeteren van weerbaarheid en bedrijfscontinuïteit, kan de nalevingsdruk een zware belasting vormen voor teams die al onder druk staan.
Naarmate het web van compliance-eisen groeit, zullen organisaties die een afvinkbenadering hanteren moeite hebben om uiteenlopende vereisten en complexe overlappingen te beheren. Om kosteneffectief te blijven in hun compliance-inspanningen, doen bedrijven er goed aan risicogebaseerde beoordelingen te prioriteren. Het rapport van vorig jaar beschrijft hoe je cybersecurity op basis van risico’s kunt benaderen — en deze strategie blijft essentieel voor cyberteams om risico’s te prioriteren en aan te pakken op een manier die compliance ondersteunt, in plaats van te proberen compliance als uitgangspunt voor beveiliging te gebruiken.
_______________
Nu het technologische landschap en de toeleveringsketens van organisaties steeds complexer worden, profiteren organisaties met een sterke cyberstrategie steeds vaker van reputatievoordelen en voorkeursposities binnen de keten. Deze trend is vooral zichtbaar in B2B-markten, waar aanbestedingen en RFP’s (Request for Proposals) standaard uitgebreide cybersecurity-eisen bevatten. Leveranciers die hier niet aan voldoen, worden vaak direct uitgesloten van deelname.
De complexiteit van moderne toeleveringsketens zorgt er regelmatig voor dat organisaties niet precies weten waar hun data zich bevindt of hoe deze wordt verwerkt. Dit creëert kwetsbaarheden — zeker nu AI nieuwe vormen van gegevensdeling introduceert en het digitaliseren van legacy-systemen het aanvalsoppervlak en de afhankelijkheden vergroot. Elke organisatie is nu verantwoordelijk voor cybersecurity binnen haar gehele ecosysteem, zoals ook wordt weerspiegeld in regelgeving zoals DORA en NIS2. Deze gedeelde verantwoordelijkheid stimuleert de adoptie van geavanceerde Third Party Risk Management (TPRM)-frameworks. Monitoringtools die organisaties beoordelen op cybermetrics zorgen voor nieuwe marktdruk. Bedrijven ontdekken dat hun cybervolwassenheid direct bepaalt in hoeverre ze in staat zijn om contracten te winnen, partnerschappen aan te gaan en klantvertrouwen te behouden.
_______________
Kunstmatige intelligentie biedt zowel aanzienlijke kansen als ongekende risico’s in het huidige cybersecuritylandschap. De meeste organisaties adopteren AI-tools in hoog tempo om efficiëntie te vergroten, maar doen dit vaak zonder passende governance-frameworks of voldoende inzicht in de bijbehorende risico’s.
Aan de verdedigende kant transformeert AI de cybersecuritycapaciteiten op verschillende belangrijke gebieden:
Maar de offensieve toepassingen van AI brengen grote uitdagingen met zich mee, zelfs voor cyberteams die zelf AI inzetten.
AI stelt aanvallers in staat om bedreigingen op grote schaal te automatiseren en te personaliseren. Van het direct opsporen van kwetsbaarheden tot het genereren van overtuigende phishing campagnes: de risico’s zijn vooral groot voor niet-technische teams.
Misschien wel het meest directe risico komt voort uit "Schaduw AI", het gebruik van AI zonder toezicht of governance vanuit de organisatie. Het concept van “Schaduw IT” is bekend bij cybersecurityteams, maar het wijdverspreide gebruik van AI vergroot de dreiging van deze ongeautoriseerde technologieën aanzienlijk.
Werknemers nemen dagelijks duizenden kleine beslissingen met hulp van AI, waarbij ze vaak gevoelige gegevens invoeren in systemen zonder de gevolgen volledig te begrijpen. Dit vergroot het risico op datalekken, complianceproblemen en onbedoelde blootstelling van bedrijfsinformatie.
Agentic AI — systemen die zelfstandig handelen zonder menselijke tussenkomst — transformeert cybersecurity ingrijpend. Hoewel deze technologie aanzienlijke efficiëntiewinsten belooft, brengt het ook risico’s met zich mee die veel organisaties nog maar net beginnen te begrijpen.
De grootste uitdagingen bij agentic AI liggen in het waarborgen van correcte inputvalidatie en het behouden van zinvol menselijk toezicht.
Hoewel AI zich snel ontwikkelt, blijft de regelgeving gefragmenteerd en pril. In de VS wordt innovatie gestimuleerd met minimale controle, waarbij AI-gebruik in cybersecurity zelfs wordt verplicht. Daarentegen biedt de AI Act van de EU bredere en meer beperkende regelgeving, al is de impact op cybersecurity nog in ontwikkeling. Deze onzekerheid in regelgeving vormt een uitdaging voor organisaties die AI op verantwoorde wijze willen implementeren, zeker nu de markt zich razendsnel ontwikkelt met AI als kern.
Om weerbaar te blijven, mogen organisaties innovatie niet uitstellen, maar moeten ze governanceframeworks invoeren die gelijktijdig met de regelgeving evolueren.
_______________
Hoewel quantum computing momenteel geen directe bedreiging vormt voor de meeste organisaties, is de potentiële impact zo groot dat voorbereiding nu al moet beginnen.
De quantumdreiging verloopt volgens een ander tijdspad dan traditionele cyberrisico’s. Hoewel quantumcomputers die huidige encryptie kunnen kraken nog jaren op zich kunnen laten wachten, maken tegenstanders nu al gebruik van “steal now, decrypt later”-tactieken. Organisaties moeten beginnen met de overgang naar quantumveilige encryptie-algoritmen voordat de dreiging acuut wordt. Het National Institute of Standards and Technology (NIST) biedt al tools en richtlijnen om deze overgang te ondersteunen.Hoewel het misschien nog ver weg lijkt, kunnen en moeten organisaties nu al beginnen met voorbereiding op quantumdeiging via de volgende stappen:
Het “garbage in, garbage out”-principe moet urgenter worden aangepakt dan ooit tevoren, aangezien AI-gedreven beslissingen afhankelijk zijn van hoogwaardige data. Dit maakt governance essentieel voor cyberbeveiliging. Slechte datagovernance creëert risico’s die zich als een kettingreactie uitbreiden en verder gaan dan traditionele zorgen over gegevensbescherming. Tijdens incidenten ontdekken organisaties vaak eerder onbekende data die zijn opgeslagen op niet-gemonitorde locaties met onduidelijke toegangscontroles.
Dit gebrek aan zichtbaarheid creëert niet alleen onbekende aanvalsvlakken — data die niet goed zijn gecatalogiseerd kunnen niet adequaat worden beschermd — maar het kan ook leiden tot compliance-risico’s.
Naarmate gegevensdeling complexer wordt, is third-party risk management (TPRM) een essentieel aandachtspunt binnen cyberbeveiliging geworden. Gelaagde toeleveringsketens maken het vaak onduidelijk hoe data worden verwerkt en beschermd, wat de blootstelling vergroot. Effectief TPRM vereist een aantal belangrijke componenten:
Organisaties die hun datagovernance willen verbeteren, kunnen beter beginnen met praktische oefeningen dan met abstracte beleidsontwikkeling. Discussies over bedrijfscontinuïteit kunnen eenvoudig ontstaan, leiders, zowel technisch als niet-technisch, kunnen vragen stellen zoals: “Wat gebeurt er als je telefoon en computer niet werken?” — en zich vervolgens ontwikkelen tot meer diepgaande gesprekken over datadependenties en beschermingsvereisten.Deze gespreksgerichte benadering moet ook worden doorgetrokken naar officiële beleidsdocumenten: cyberteams moeten ervoor zorgen dat het beleid eenvoudig genoeg is voor niet-technische gebruikers om te volgen. Educatie en samenwerking stellen medewerkers in staat om het beleid na te leven en geven governance-teams de bedrijfskennis die nodig is om effectieve maatregelen te ontwerpen.
Het vinden van de juiste balans tussen databeveiliging en het ondersteunen van bedrijfsactiviteiten blijft een kernuitdaging binnen governance. Te strikte beleidsregels leiden vaak tot risicovolle omwegen en het ontstaan van schaduw IT. De meest effectieve aanpak combineert technische controles met culturele initiatieven. Nauwe samenwerking met business units bevordert wederzijds begrip, en compenserende maatregelen zoals monitoring zorgen ervoor dat cyberteams inzicht houden in gebruikersgedrag.
_______________
Het personeel op het gebied van cyberbeveiliging staat voor ongekende uitdagingen nu het vakgebied zich snel ontwikkelt en de vaardigheidskloof groter wordt. Organisaties hebben behoefte aan professionals die zowel traditionele beveiligingsprincipes als opkomende technologieën begrijpen, maar dergelijke expertise wordt steeds zeldzamer en duurder. De rol van Chief Information Security Officer (CISO) is aanzienlijk veranderd. Van CISO's wordt nu verwacht dat ze optreden als bedrijfsleiders in plaats van technische specialisten, en zich bezighouden met naleving van regelgeving, rapportage aan de raad van bestuur en strategische planning.
Deze verschuiving weerspiegelt de transitie van cyberbeveiliging van een technische functie naar een zakelijke enabler. De beloning voor CISO's is dienovereenkomstig gestegen, maar het tekort aan kandidaten met zowel technische expertise als zakelijk inzicht blijft een grote uitdaging. Veel organisaties wenden zich tot virtuele CISO's om tekorten op te vullen en bredere ervaring te bieden.
Een van de grootste personele uitdagingen is het vinden van professionals die zowel kunnen innoveren als managen, vooral binnen middelgrote organisaties. Door het hoge tempo van technologische verandering moeten cybersecurity-experts voortdurend nieuwe technologieën leren, terwijl ze hun kernkennis op peil houden. Deze uitdaging is het grootst in domeinen zoals kunstmatige intelligentie en quantum computing, waar de combinatie van geavanceerde technologie en beveiliging leidt tot complexe eisen die maar weinig mensen volledig begrijpen. Om deze kloof te overbruggen, doen veel organisaties een beroep op vertrouwde adviseurs en consultants om strategie en implementatie te begeleiden, in samenwerking met interne teams.
De traditionele aanpak waarbij individuele cybersecurity-experts worden aangenomen, wordt steeds minder houdbaar. Door toenemende concurrentie stijgen de salarissen tot boven het budget van veel organisaties, terwijl het snelle tempo van technologische ontwikkelingen het voor interne teams lastig maakt om up-to-date te blijven. Automatisering en kunstmatige intelligentie helpen cyberteams om op te schalen, maar gedeelde servicemodellen worden steeds gebruikelijker — vooral bij fusies en overnames, waarbij moederbedrijven of investeringsmaatschappijen cybersecuritycapaciteiten leveren aan hun portfoliobedrijven.
Externe samenwerkingen bieden eveneens waarde: ze zorgen voor implementatie van best practices en vullen expertisehiaten op een kostenefficiëntere manier dan het inhuren van eigen personeel.
_______________
Organisaties gaan verder dan louter technische meetpunten om de effectiviteit van cyberbeveiliging te beoordelen. Ze kijken steeds vaker naar de zakelijke impact, zoals het voorkomen van verstoringen en het mogelijk maken van omzetgroei dankzij sterke beveiliging. Deze verschuiving is cruciaal om financiering veilig te stellen en het rendement op investeringen (ROI) aan te tonen.
De toename van dreigingen en de complexiteit van moderne technologieomgevingen kunnen ervoor zorgen dat cyberbeveiliging voelt als een steeds uitdijend kostenpost. Toch herdefiniëren toonaangevende organisaties cybersecurity steeds vaker als een strategische investering. Veel bedrijven erkennen inmiddels het concurrentievoordeel van sterke cyberpraktijken, die een belangrijk onderscheidend vermogen zijn geworden in B2B-markten waar klanten de beveiliging van leveranciers meewegen in hun eigen risicobeheer.
Druk vanuit compliance en spraakmakende incidenten versterken deze focus. Cyberteams die de waarde van digitale weerbaarheid kunnen kwantificeren en communiceren, krijgen veel meer draagvlak binnen de organisatie.
Niet alleen klanten, maar ook verzekeraars en financiële instellingen nemen cyberweerbaarheid mee in hun beoordelingen. Zij bieden duidelijke financiële prikkels voor sterke beveiligingsprogramma’s.
De meest succesvolle organisaties stappen af van traditionele beveiligingsstatistieken en richten zich op het meten van succes op manieren die direct verband houden met bedrijfsresultaten en waarde voor stakeholders. Dit omvat onder andere:
Organisaties die investeren in proactieve cyberbeveiligingsmaatregelen behalen consequent betere resultaten dan organisaties die een reactieve aanpak hanteren. Aangezien middelen zelfs bij grote organisaties beperkt zijn, kunnen de volgende investeringsstrategieën helpen om het rendement op investering (ROI) te optimaliseren en risico’s te minimaliseren:
_______________
Als we vooruitkijken naar 2026 en verder, zal echte cyberweerbaarheid verder gaan dan traditionele beveiligingsmaatregelen. Security by Design zal verschuiven van een best practice naar een zakelijke noodzaak. Organisaties zullen moeten aantonen aan toezichthouders, klanten en verzekeraars dat beveiliging vanaf het begin is geïntegreerd, en niet achteraf is toegevoegd. Dit wordt vooral cruciaal bij opkomende technologieën zoals kunstmatige intelligentie, waarbij ontwerpkeuzes pas in de productie fase hun beveiligingsimplicaties kunnen onthullen. Organisaties die deze principes negeren, lopen risico op verminderde effectiviteit, negatieve marktperceptie en compliance-problemen.
Het hoge tempo van verandering vereist ook governance-frameworks die snel kunnen meebewegen, terwijl ze hun kernprincipes behouden. Weerbare organisaties bouwen structuren die grensoverschrijdend werken, continu leren en nieuwe dreigingen anticiperen.
Naarmate het landschap versnelt, zullen de meest veerkrachtige organisaties zich richten op technologie-agnostische capaciteiten, waaronder het toepassen van risicogebaseerde benaderingen, het creëren van leveranciersneutrale architecturen en het ontwikkelen van vaardigheden binnen het personeelsbestand die verder gaan dan specifieke tools.
“De meest veerkrachtige organisaties richten zich op governance-strategieën die snelle schaalvergroting mogelijk maken. Ze moeten in staat zijn om nieuwe technologieën en businessmodellen te integreren zonder dat volledige herziening van hun raamwerk nodig is.”
Paul Truitt Principal, Cybersecurity Practice Leader
Weerbaarheid in 2026 vereist dat organisaties verder kijken dan hun eigen grenzen en de beveiliging van hun volledige zakelijke ecosysteem meenemen in hun strategie. Dit omvat niet alleen traditionele partners in de toeleveringsketen, maar ook technologieleveranciers, dienstverleners en zelfs concurrenten binnen gedeelde infrastructuren.
_______________
Het cybersecuritylandschap in 2026 zal zowel ongekende uitdagingen als bijzondere kansen bieden. Organisaties die deze uitdagingen strategisch benaderen — door opkomende technologieën te omarmen, sterke governance te behouden, te investeren in mensen en capaciteiten, automatisering slim in te zetten en beveiliging te zien als een zakelijke enabler in plaats van een beperking — zullen aanzienlijke concurrentievoordelen behalen.
De weg vooruit vereist enkele kern ccommitments:
Organisaties die floreren, zullen cybersecurity niet zien als een beperking, maar als een sleutel tot innovatie. Door beveiliging te verankeren in hun DNA, kunnen zij opkomende technologieën benutten en tegelijkertijd het vertrouwen van stakeholders behouden. Richting 2026 en verder zal succes afhangen van de voorbereiding vandaag: het bouwen van de juiste capaciteiten, partnerschappen en governance om een complex, evoluerend dreigingslandschap te navigeren en nieuwe kansen te benutten.
Deze website maakt gebruik van cookies.
Sommige zijn noodzakelijk, andere helpen ons bij het analyseren van het gebruik van de website, dienen advertenties of zorgen voor een gepersonaliseerd websitebezoek.
In onze privacy policy vindt u meer informatie over de cookies die wij gebruiken.
Zonder deze cookies functioneert deze website niet optimaal.
Deze cookies helpen ons deze website te verbeteren door informatie te vergaren over het gebruik hiervan.
Met behulp van deze cookies kunnen wij de relevantie van onze advertenties vergroten.
