Cybersecurity awareness en compliance in 2026

Leestijd
5 minuten

Categorie
Trends and Reports

Auteur
Stephanie van Wissen

Samenvatting

In 2026 draait cybersecurity awareness niet om regels opleggen, maar om risicobeheersing. Organisaties moeten zo ingericht zijn dat risicovol gedrag zichtbaar en beheersbaar is.

AI vergroot de aanvalskracht. NIS2 vergroot de bestuurlijke verantwoordelijkheid. Leveranciers en medewerkers hebben diepgaande toegang tot je kritieke systemen.

Dat maakt awareness geen HR- of trainingsvraagstuk, maar een essentiële security control.
Eén die direct bepaalt hoe groot het cyberrisico is, of aan wetgeving wordt voldaan en hoe effectief incidenten worden beheerst.

Mensen zijn onderdeel van je attack surface

Cybersecurity awareness was ooit een checklist.
Leer mensen niet op verdachte links te klikken.
Draai een phishingtest.
Vink het af.

In 2026 werkt dat niet meer.

In 2026 wordt awareness bepaald door drie grote ontwikkelingen:

  1. AI-adoptie
  2. Toenemende regelgeving
  3. De supply chain is open en diep verweven

Alle drie draaien om dagelijkse keuzes van mensen.
En alle drie straffen aannames genadeloos af.

Voor CISOs verandert dit het speelveld.
Awareness is geen HR-initiatief meer.
Het is een security control.

AI wacht niet op toestemming

In 2026 is AI gewoon onderdeel van het dagelijkse werk.

Verbieden werkt niet. Dat heeft de praktijk al bewezen.

AI introduceert geen nieuwe risico’s. Het versnelt de risico’s die er al waren.

  • Dataverlies gebeurt via prompts
  • Toegang lekt via gesprekken
  • Shadow AI creëert blinde vlekken buiten zicht van IT

Niet omdat mensen regels overtreden, maar omdat controls nooit voor dit gedrag zijn ontworpen. Mensen optimaliseren voor snelheid. Als veilige routes onduidelijk zijn, kiezen ze een andere.

Awareness betekent hier dat mensen weten waar de grenzen liggen.
Welke data waar thuishoort.
Welke tools zijn toegestaan.
En waarom sommige shortcuts gevaarlijk zijn.

Zonder die duidelijkheid versterkt AI vooral de zwaktes die er al waren.

NIS2 maakt awareness aantoonbaar

Waar AI verantwoordelijkheden vervaagt, maakt NIS2 ze juist scherp.

In 2026 is NIS2 geen beleid meer, maar dagelijkse praktijk.
Meldtermijnen zijn strak. Toezicht is expliciet.
De verantwoordelijkheid ligt bij het bestuur, maar de uitvoering ligt bij security.

En die verantwoordelijkheid heeft nu echte gevolgen.

Onder NIS2 kunnen organisaties die tekortschieten in risicobeheersing of incidentmelding boetes krijgen tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot €7 miljoen of 1,4% voor belangrijke entiteiten.

Belangrijker nog: NIS2 ziet menselijk gedrag niet als bijzaak.

Uit een human-risk onderzoek uit 2024-2025 blijkt dat menselijk falen een rol speelde bij ongeveer 95% van de datalekken, waarbij slechts 8% van de medewerkers verantwoordelijk was voor zo’n 80% van de incidenten.

Risico is niet gelijk verdeeld. En toezichthouders weten dat.

Aanvallers hebben zich hierop aangepast.
Ze richten zich steeds minder op systemen en steeds meer op mensen, met AI-gegenereerde phishing en deepfakes die inspelen op vertrouwen, tijdsdruk en routinematige beslissingen.

Daarom verwacht NIS2 aantoonbare maatregelen rond training, governance en escalatie. Geen beleid. Bewijs.

Voor CISOs verschuift de vraag dan ook van
“hebben we mensen getraind?”
naar
“herkennen mensen het risico, schalen ze op en handelen ze onder druk?”

Awareness wordt iets wat je test.
Niet iets wat je zegt dat je doet.

Alles over Zero trust, van a tot z(ero trust)

Zero Trust is overal. Iedereen praat en schrijft erover. Wij hebben daarom de meest essentiële informatie over authentieke Zero Trust in een beknopte guide samengevat. Als je op zoek bent naar gestructureerde informatie over deze security strategy is dit een must-read.

Download de dictionary

Supply-chain risico is nu menselijk gedrag

De derde ontwikkeling komt van buiten de organisatie.

Leveranciers, SaaS-platformen, koppelingen, API’s.
Externe partijen hebben vaak toegang die nauwelijks te onderscheiden is van interne toegang. Soms zelfs meer dan eigen medewerkers.

Recente supply-chainincidenten hebben dat pijnlijk duidelijk gemaakt.
Eén gecompromitteerd account.
Gelekte tokens.
Toegang die zich via vertrouwde koppelingen verder verspreidt.
Klanten geraakt door leveranciers die ze nooit zelf hebben gekozen.

Qua architectuur is dit een Zero Trust-probleem.
In de praktijk is het een mensenprobleem.

Mensen keuren integraties goed.
Mensen geven scopes vrij.
Mensen stellen het intrekken van toegang uit, want: “wat kan er nou gebeuren?”

Awareness stopt daarom niet meer bij de grenzen van de organisatie.
Het betekent begrijpen dat toegang nooit abstract is en vertrouwen nooit vaststaat.

Wat cyber awareness betekent voor CISO’s in 2026

Cybersecurity awareness is geen bewustwordingscampagne meer.

Het betekent dat:

  • risicovol gedrag vroeg zichtbaar wordt
  • veilige keuzes vanzelfsprekend zijn
  • escalatie werkt vóórdat toezichthouders het testen

Effectieve CISOs vertrouwen niet op herhaling of geheugen.
Zij ontwerpen systemen waarin slechte beslissingen niet ongemerkt kunnen ontstaan.

Goedgekeurde AI-tools in plaats van schaduwgebruik.
Least privilege in plaats van impliciet vertrouwen
Geoefende incidentmeldingen in plaats van theoretische draaiboeken.

Awareness wordt onderdeel van hoe de organisatie werkt.

Het stille voordeel

Het hoeft geen spektakel te zijn. Maar het effect wordt zichtbaar.

Incidenten komen eerder boven water.
Rapportages worden scherper.
Beslissingen kennen minder verrassingen.

En als er toch iets misgaat, reageert de organisatie beheerst en doelgericht.
Minder ruis. Meer precisie.

Voor een CISO in 2026 is dát het echte doel.
Niet perfect gedrag, maar voorspelbaar gedrag.

Meer technologie zonder gedragscontrole vergroot het risico.
Awareness is één van de weinige controls die blijft werken naarmate organisaties groter en complexer worden.

Phishing blijft relevant. Maar awareness gaat nu ook over AI-gebruik, toegangsbeslissingen, escalatiegedrag en hoe mensen omgaan met leveranciers en ketenpartners. Het zijn dagelijkse keuzes die direct invloed hebben op risico.

Omdat AI data sneller verplaatst dan traditionele controls kunnen bijhouden. En het wordt vaak informeel gebruikt, buiten vaste processen om. Zonder duidelijke grenzen verspreidt risico zich stil en snel.

NIS2 vraagt om aantoonbare effectiviteit. Organisaties moeten laten zien dat mensen incidenten herkennen en correct reageren. Niet alleen dat ze ooit getraind zijn.

Ja. Toegang wordt door mensen verleend. Inzicht in scopes, privileges en het tijdig intrekken van toegang hoort bij moderne awareness.

Awareness behandelen als uitleg in plaats van als control. Training alleen verandert gedrag niet zolang onveilige keuzes makkelijk en onzichtbaar blijven.