Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Door Phil Muncaster • 6 januari 2026

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgespit, de voorspellingen van experts uit de sector bestudeerd en met sommigen rechtstreeks gesproken om u onze visie op 2026 te presenteren. Hieronder vindt u, in willekeurige volgorde, vijf trends die de sector in de loop van het jaar zullen vormgeven.

AI overal is een voordeel voor zowel aanvallers als verdedigers.

Zoals we in onze Rapport Staat van Informatiebeveiliging 2025AI vormt zowel een bedreiging als een kans voor netwerkbeveiligers. Een bedreiging, omdat kwaadwillende actoren al gebruikmaken van grote taalmodellen (LLM's) voor onderzoek naar kwetsbaarheden, het ontwikkelen van exploits, social engineering, het opsporen van slachtoffers en meer. Maar het biedt ook kansen, zowel vanuit het oogpunt van bedrijfsgroei als van cyberverdediging.

Agentische AI zal in 2026 een voortrekkersrol spelen in deze dynamiek. Hoewel het breed bekritiseerd werd omdat het de rol van AI zou overschatten, zijn de risico's Anthropic gaf in november een waarschuwing af. – van volledig door AI georkestreerde cyberaanvallen – zou dit jaar werkelijkheid kunnen worden. Aan de andere kant worden er grote stappen gezet in SecOps om kennishiaten te overbruggen en de overbelasting van waarschuwingen te verminderen door het gebruik van agentsystemen. Verwacht de reis om het "autonome SOC" vaart te laten maken.

Wij kunnen het ook verwachten de ISO 42001 De standaard zal naar verwachting aan populariteit winnen naarmate meer organisaties hun AI-systemen veilig, ethisch en transparant willen beheren. Volgens gegevens van IO is het gebruik ervan door bedrijven tussen 2024 en 2025 al gestegen van 1% naar 28%. De komende twaalf maanden zou het een mainstream fenomeen kunnen worden, aangezien cybercriminelen het aanvalsoppervlak van AI specifiek als doelwit kiezen.

De nalevingslast neemt toe.

In ons rapport waarschuwen we voor een dreigende "compliancecrisis" voor veel organisaties, die worstelen met een groeiende regelgeving en beperkte middelen. Zo'n 37% geeft toe dat compliance een uitdaging is, en tweederde (66%) zegt dat ze het moeilijk vinden om dit intern te beheren. Ongeveer 85% zegt dat meer afstemming tussen de verschillende rechtsgebieden zou helpen, terwijl tweederde (66%) stelt dat de snelheid waarmee de regelgeving verandert het moeilijk maakt om aan de regels te blijven voldoen.

Helaas zal de situatie op dit vlak in 2026 niet verbeteren. Gezien het feit dat het al meer dan 12 maanden geleden is dat... DORA is van kracht geworden.We zullen zien dat toezichthouders hun klauwen gaan slijpen. NIS2 zal ook echt van kracht worden nadat het in grote delen van Europa in de nationale wetgeving is omgezet. En dan is er nog de Wet inzake gegevensgebruik en toegang, de Britse GDPR-update, die in juni volledig van kracht wordt. En het Britse antwoord op NIS2, de Wetsvoorstel cyberveiligheid en veerkrachtwaarvan verwacht wordt dat het wet wordt.

Sommige afwijkingen van NIS2 zullen "nader onderzoek vereisen", aldus Mark Bailey, partner bij Charles Russell Speechlys, tegenover IO.

"De wet introduceert bijvoorbeeld een bredere definitie van incidenten, wat betekent dat organisaties mogelijk opnieuw moeten beoordelen wat als meldingsplichtig geldt en ervoor moeten zorgen dat interne processen daarop zijn afgestemd", legt hij uit. "Ook de communicatie met klanten en contractuele verplichtingen zullen herzien moeten worden, met name wanneer meldingen van invloed kunnen zijn op gegevens van derden of de verwachtingen ten aanzien van vertrouwelijkheid."

Risico's in de softwareleveringsketen zullen toenemen.

Het open-source-ecosysteem kraakt. In de tweede helft van 2025 zagen we verschillende grote dreigingscampagnes zich verspreiden over npm. Een belangrijke daarvan was IndonesianFoods, een omvangrijke, geautomatiseerde campagne die het register overspoelde met tienduizenden spam-pakketten. Experts waarschuwden dat dezelfde technieken voor nog kwaadaardigere doeleinden gebruikt zouden kunnen worden. Misschien nog zorgwekkender was de Shai-Hulud-worm, waarvan de twee golven op een vergelijkbaar grote schaal leidden tot de blootstelling van geheimen van ontwikkelaars en cloudproviders.

"Open-source ecosystemen vormen de perfecte testomgeving voor dit soort automatisering: probleemloze publicatie, minimale controle en een enorm aanvalsoppervlak", vertelt Brian Fox, CTO van Sonatype, aan IO. "Aanvallers hebben dat door. Tenzij we onze verdediging net zo snel ontwikkelen, zullen deze zelfverspreidende wormen de standaard worden in plaats van de uitzondering."

Randolph Barr, CISO bij Cequence Security, voegt daaraan toe dat AI deze trend zal versnellen.

"Het feit dat de [IndonesianFoods]-payloads inactief waren, maakt dit scenario nog zorgwekkender," vertelt hij aan IO.

"De aanvallers namen de tijd om vertrouwen en verspreiding op te bouwen, zodat ze het later als wapen konden gebruiken. Dat is een grote verandering: je hebt niet op de eerste dag kwaadaardige code nodig om later aanzienlijke risico's te creëren. Dus zeker zullen pogingen die sterk geautomatiseerd en wormachtig zijn en misbruik maken van de omvang en beschikbaarheid van pakketregisters, toenemen in plaats van afnemen."

Vaardigheden en budgetten zullen naar verwachting achterblijven.

Volgens de laatste ISC2 Onderzoek naar de beroepsbevolking op het gebied van cyberbeveiliging, Het tekort aan gekwalificeerd personeel op het gebied van cyberbeveiliging blijft zorgwekkend groot. Meer dan een kwart (27%) van de wereldwijde respondenten gaf aan dat er veel vraag is naar vaardigheden op het gebied van governance, risicobeheer en compliance (GRC). Stagnatie van budgetten en een gebrek aan talent helpen hier niet bij. Volgens ISACA's Staat van cyberbeveiliging Uit onderzoek blijkt dat meer dan de helft van de professionals (54%) aangeeft dat teams ondergefinancierd zijn, terwijl 58% melding maakt van een structureel personeelstekort.

Chris Dimitriadis, hoofd wereldwijde strategie van ISACA, vertelt IO dat de kloof tussen snel veranderende bedreigingen en traag bewegende investeringen in 2026 groter zal worden.

"Van cybersecurity- en compliance-teams wordt verwacht dat ze een veel grotere verantwoordelijkheid dragen voor AI-governance en de afstemming op regelgeving naarmate nieuwe standaarden van kracht worden. Hoewel regelgeving een welkome stap is in de richting van het versterken van de digitale weerbaarheid, brengt het ook aanzienlijke operationele druk met zich mee, vooral omdat meer dan een kwart van de organisaties geen plannen heeft om in 2026 mensen aan te nemen voor functies op het gebied van digitaal vertrouwen", voegt hij eraan toe.

“Voor cybercompliance-teams brengt 2026 een zwaardere werkdruk, hogere verwachtingen en een steeds complexer wordend landschap met zich mee. AI-tools zullen essentieel zijn, maar technologie alleen kan de kwetsbaarheidskloof niet dichten. Veerkracht zal afhangen van mensen – organisaties die investeren in bredere talentontwikkelingstrajecten, continue bijscholing en AI-vaardige teams zullen in staat zijn krachtige technologieën om te zetten in zinvolle, praktische bescherming.”

Continue naleving en automatisering creëren waarde

Nu het dreigingslandschap zo snel verandert, het aantal potentiële aanvalsoppervlakken toeneemt en de regelgeving complexer wordt, standaarden zoals ISO 27001 zullen in 2026 steeds meer prioriteit krijgen. Hun beste praktijken vormen de basis van de meeste cybersecuritywetgeving die momenteel wordt aangenomen, wat de naleving zal vereenvoudigen. Maar in het geval van ISO 27001 bewegen ze zich ook naar een model van "continue naleving" dat organisaties zal helpen hun cyberweerbaarheid in de komende jaren te verbeteren.

De Plan-Do-Check-Act (PDCA)-cyclus bevordert continue monitoring, meting en aanpassingsvermogen – cruciale aspecten in deze volatiele tijden. Met beperkte vaardigheden en middelen zullen veel organisaties zich wenden tot automatisering om deze voordelen te benutten. Door machines het zware werk te laten doen, zoals het monitoren van beveiligingsmaatregelen, het bijhouden van auditsporen, rapporteren en het herinneren aan deadlines, kunnen overbelaste teams zich concentreren op het werk dat er echt toe doet.

Dit is slechts een klein voorproefje van wat u de komende 12 maanden kunt verwachten. Beveiligings- en compliance-teams zullen ongetwijfeld voor flinke uitdagingen komen te staan. De teams die compliance zien als een continu proces van verbetering, en niet als een eenmalige jaarlijkse inspanning, zullen hier het best in slagen.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster

Cyber security 3 December 2025