Een jaar compliance: vijf dingen die we in 2025 hebben geleerd

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

Door Phil Muncaster • 9 December 2025

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties miljarden ponden, doordat cybercriminelen hun tactieken aanscherpten en meedogenloos inspeelden op menselijke zwakheden. De AI-implementatie nam in rap tempo toe bij veel bedrijven, waardoor hun aanvalsoppervlak toenam, terwijl AI-gestuurde technologieën tegenstanders een boost gaven. En ondertussen nam de compliancelast toe, omdat toezichthouders hun best deden om een verbeterde cyberweerbaarheid in toeleveringsketens te eisen.

Laten we eens kijken naar vijf dingen die we in 2025 hebben geleerd:

Nieuwe regelgeving neemt toe

De afgelopen twaalf maanden kwamen de nalevingsdeadlines snel na elkaar. Als eerste kwamen de Wet Digitale Operationele Weerbaarheid (DORA) – een EU-inspanning om de financiële sector in de regio te beschermen. Cruciaal is dat DORA nieuwe eisen stelt aan risicomanagement, testen en incidentrespons, niet alleen aan financiële spelers zelf, maar ook aan hun IT- en andere operationele leveranciers. streeft naar harmonisatie wetten in het hele blok, het verbeteren van de basisbeveiliging door senior managers persoonlijk aansprakelijk te stellen voor niet-naleving – met gevolgen voor naar schatting 22,000 bedrijven in de regio.

Als kritieke infrastructuur was de sector te laat met dit soort regulering. Volgens het IMF hebben cyberincidenten de afgelopen twintig jaar geleid tot $ 12 miljard aan directe verliezen voor wereldwijde financiële instellingen. Maar na zes maanden werd duidelijk dat naleving verre van eenvoudig was. Een studie Uit een rapport dat deze zomer werd gepubliceerd, bleek dat slechts de helft van de reagerende organisaties de DORA-vereisten had opgenomen in hun bredere veerkrachtprogramma's. En een meerderheid voldeed nog niet aan de DORA-normen voor veerkracht.

Elders nam de nalevingslast toe met wijzigingen naar de Cybersecurity Act (CSA) van de EU om certificeringsschema's voor beheerde beveiligingsdiensten verplicht te stellen. De overheid heeft een langverwachte update naar de Britse AVG: de Data (Use and Access) Act, die moet helpen de bureaucratie te verminderen, het veilig delen van gegevens te verbeteren en het gemakkelijker te maken om gegevens op een verantwoorde manier te gebruiken.

Ondertussen een nieuw NIST Cybersecurity Framework zal de standaard verder ontwikkelen om deze actueler en geschikter te maken voor het beoogde doel, met name in de context van AI-ontwikkeling en geautomatiseerde besluitvorming.

Veerkracht staat centraal

Eén ding dat veel van de bovengenoemde wetten en regelgevingen gemeen hebben, is het doel om de cyberweerbaarheid te verbeteren. Opvallende incidenten zoals grote toeleveringsketens ontwrichting op verschillende Europese luchthavens en een wekenlange ransomware-uitval op De grootste autofabrikant van Groot-Brittannië Laat ons zien waarom de toezichthouders deze kant opgaan. Volgens een WEF-onderzoek van dit jaar heeft meer dan de helft (54%) van de wereldwijde organisaties identificeren uitdagingen in de toeleveringsketen vormen de grootste barrière voor het bereiken van cyberweerbaarheid.

En dit is niet alleen een IT-probleem. Een Dragos/Marsh McLennan verslag uit augustus beweerde dat OT-risico's organisaties jaarlijks minimaal 330 miljard dollar kunnen kosten.

Daarom dringen organisaties zoals het Nationaal Cyber Security Centrum (NCSC) aan op actie. agentschap zei de helft (48%) van de incidenten waarop het Incident Management-team het afgelopen jaar heeft gereageerd, waren "nationaal significant", terwijl het aantal incidenten dat als "zeer significant" werd gecategoriseerd met 50% steeg. Het woord "veerkracht" wordt 139 keer genoemd in de laatste jaarlijkse evaluatie van het NCSC. Helaas zijn de basisbeveiligingsmogelijkheden onvoldoende. zijn aan het afvlakken of vallend op sleutelcompetenties zoals personeelsopleiding, leveranciersrisicomanagement en incidentrespons, volgens de eigen cijfers van de overheid. Dat is mede de reden waarom het heeft uiteindelijk de Cyber Security and Resilience Bill ingediend in november.

Overtredingen te over treffen klanten hard

In te veel grote organisaties is beveiliging nog steeds verzuild binnen de IT-afdeling, in plaats van dat het wordt gezien als een groeifactor. De hoop is dat regelgeving zoals hierboven genoemd de harten en geesten van de directie zal veranderen. Ondertussen beschikken CISO's over een groeiende hoeveelheid bewijsmateriaal om hun financieringsaanvragen te ondersteunen, nu grote cyberincidenten zich blijven voordoen.

De eerder genoemde verstoring op Heathrow Airport is een voorbeeld. Deze kwam na een ransomware-inbreuk bij inchecksoftwareleverancier Collins Aerospace, wat resulteerde in wekenlange vertragingen op sommige Europese luchthavens. ransomware-aanvallen op de Britse hoofdstraat verkooppunten M&S en de Co-op Group hebben de bedrijven honderden miljoenen gekost aan directe kosten en omzetverlies, en hebben mogelijk ook de moeizaam verworven loyaliteit van klanten vernietigd.

Als raden van bestuur en senior managers cyberweerbaarheid, bedrijfsprestaties en merkwaarde op de lange termijn niet met elkaar verbinden, zullen hun concurrenten dat zeker wel doen. Uit een onderzoek van Sophos van dit jaar bleek dat Groot-Brittannië een wereldwijde uitschieter is. Bij zo'n 70% van de slachtoffers van ransomware waren de gegevens versleuteld, veel hoger dan het wereldwijde gemiddelde van 50% en het percentage van 46% dat Britse slachtoffers in 2024 rapporteerden.

Het bedreigingslandschap evolueert

Toch wordt het er niet makkelijker op. Het typische aanvalsoppervlak van bedrijven blijft groeien dankzij investeringen in digitale diensten, cloudecosystemen en AI. Maar budgetten en vaardigheden zijn schaars. En dreigingsactoren blijven innoveren en evolueren.

Dit jaar zagen we een groeiende voorkeur voor het gebruik van hulpmiddelen voor externe toegang (RAT's) en systemen voor remote monitoring en management (RMM) bij aanvallen. Vaak vormden deze de volgende fase van een meerlaagse aanval waarbij de eerste toegang werd verkregen door IT-helpdesks en/of medewerkers aan te vallen met vishingtechnieken. gaat ook door om populair te zijn. En de zwakke punten van het open source-ecosysteem worden met toenemende frequentie en impact onderzocht. Een primeur in zijn soort npm worm toonde Hoe ver zijn actoren die bedreigingen plegen bereid te gaan om te krijgen wat ze willen?

Ook organisaties moeten zich aanpassen aan een nieuwe realiteit: financieel gemotiveerde cybercriminelen en overheidsactoren sluiten elkaar niet langer uit. De grenzen vervagen en de risico's ontwikkelen zich razendsnel.

Er ontstaan nieuwe AI-risico's

Tegen deze achtergrond vormt AI zowel een kans als een risico voor beveiligings- en complianceteams. Enerzijds komen er wekelijks innovatieve nieuwe oplossingen op de markt die onder andere detectie en respons, pentesten en kwetsbaarheidsonderzoek verbeteren. Door meer taken te automatiseren, kunnen teams ook meer doen met minder resources, wat vooral nuttig is nu er een aanhoudend tekort aan vaardigheden is.

Maar AI is ook een risico. Deloitte Australië ontdektHallucinaties kunnen een aanzienlijke reputatieschade veroorzaken bij bedrijven. AI kan ook worden gebruikt voor kwaadaardige doeleinden, zoals het uitbuiten van kwetsbaarheden, social engineering, malware-ontwikkeling en meer. waarschuwde de NCSC dit jaar. En kwetsbaarheden in bestaande grote taalmodellen (LLM's) en platforms zoals Diepzoeken vertegenwoordigen bedrijfsrisico's die beter beheerd moeten worden.

Het is goed om te zien dat de overheid het voortouw neemt op het gebied van AI-veiligheid en risicomanagement. nieuwe gedragscode zou Britse bedrijven kunnen helpen de kracht van de technologie te benutten en tegelijkertijd projecten op een steviger fundament te bouwen. En een initiatief van de overheid Het creëren van een nieuwe AI-assurancesector is een veelbelovend idee.

Maar er is nog een weg te gaan. In de tussentijd kunnen normen zoals ISO 27001 en ISO 42001 IT- en beveiligingsteams helpen hun organisaties in de juiste richting te sturen. Risico is onvermijdelijk en blijft zich ontwikkelen. Degenen die het best geplaatst zijn om het op een systematische maar flexibele manier te beheren, zullen 2026 het sterkst beginnen.

Wilt u meer weten over het huidige dreigingslandschap? Lees dan ons Staat van informatiebeveiliging 2025 melden.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Cyber security 3 December 2025