Belangrijkste ontwikkelingen van dit jaar:
Cyber Policy Outlook 2026
Dit jaar worden nieuwe Europese regels rond cyberbeveiliging en technologie echt voelbaar in de praktijk. Wetgeving zoals NIS2, de Cyber Resilience Act (CRA), de AI Act en de Data Act gaat leiden tot toezicht, audits en mogelijk boetes. Naleving wordt daarmee geen papieren exercitie meer: organisaties moeten aantoonbaar “in control” zijn.
1. Digitale soevereiniteit krijgt meer gewicht
In Europa zullen overwegingen met betrekking tot soevereiniteit naar verwachting steeds vaker voorkomen in cloudregelgeving, certificeringsschema's en regels voor overheidsopdrachten. De lidstaten zullen de vereisten voor door de EU gecontroleerde activiteiten blijven verfijnen, met name voor SOC-diensten, gevoelige workloads en gegevens die toebehoren aan overheidsinstanties of kritieke sectoren. Overheden stellen dit jaar strengere eisen aan waar data staat, wie erbij kan en welke mate van Europese controle vereist is. Dit speelt vooral bij cloudgebruik en overheidsopdrachten.
Gevolg: organisaties moeten hun data-architectuur en governance hierop inrichten.
2. Handhaving van NIS2 en CRA komt op gang
In de EU gaat NIS2 de handhavingsfase in terwijl de Cyber Resilience Act (CRA) de meeste nieuwe geharmoniseerde normen zal zien worden aangenomen. De operationele impact ervan zal nu echt zichtbaar worden. Toezichthouders gaan actief controleren op risicobeheer, incidentrespons, logging, supply chain governance en bestuurlijke verantwoordelijkheid. Voor producten gelden strengere eisen aan secure development, kwetsbaarhedenbeheer en documentatie (zoals SBOM’s).
Gevolg: aantoonbare processen en volwassen securityprogramma’s worden verplicht.
3. Focus op kritieke infrastructuur
De bescherming van kritieke infrastructuur is een prioriteit in de EU. Energie, transport, gezondheidszorg, financiën, telecommunicatie en water zullen allemaal aan een grondiger onderzoek worden onderworpen.
Europa zal werken aan de afstemming van de NIS2- en CER-richtlijnen, zodat de regelgeving op het gebied van veiligheid en veerkracht minder gefragmenteerd is. Nationale autoriteiten zullen doorgaan met het opzetten van instanties met toezichthoudende bevoegdheden op het gebied van zowel cyber- als operationele veerkracht.
Gevolg: meer audits, strengere eisen aan ketenbeheer en bewijsvoering.
4. Geopolitiek beïnvloedt technologiebeleid
Geopolitieke spanningen zullen het cyber- en digitaal beleid blijven bepalen. Exportcontroles, sancties en leveranciersbeperkingen nemen toe. Overheden letten scherper op buitenlandse investeringen en strategische technologie. Dit zal gevolgen hebben voor cloudinfrastructuur, telecommunicatie, AI-systemen en alle diensten die verband houden met vijandige landen.
Gevolg: inkoop- en securityteams moeten samen beoordelen welke leveranciers en technologieën nog zijn toegestaan.
5. AI-governance wordt onderdeel van security en compliance
Dit jaar zal de EU-AI-wet vormgeven aan de manier waarop organisaties AI-systemen ontwikkelen, implementeren en monitoren. Het lijkt echter waarschijnlijk dat delen van de wet zullen worden aangepast of langzamer zullen worden ingevoerd. Hoewel dit organisaties meer tijd geeft om zich voor te bereiden, zal het ook voor meer onzekerheid en minder duidelijkheid over de definitieve details van de vereisten voor risicovolle systemen zorgen. Uiteraard blijven kritieke sectoren, waaronder de gezondheidszorg, de financiële sector, het transport en delen van het openbaar bestuur, belangrijk voor grondiger onderzoek, ongeacht de timing van de aanpassingen. Voor die sectoren is een voortdurende focus op AI-governance van cruciaal belang.
Gevolg: CISO’s moeten AI opnemen in bestaande governance-, security- en incidentprocessen; juridische teams moeten AI-eisen afstemmen op bestaande wetgeving.
6. Cyberverzekeringen worden strenger
Dit jaar zullen meer verzekeraars bewijs vragen van risicobeheerpraktijken, paraatheid voor incidentrespons, toezicht door derden en afstemming op regelgeving. Organisaties die geen controlevolwassenheid kunnen aantonen, krijgen te maken met hogere premies, een beperktere dekking of uitsluitingen.
Gevolg: zwakke governance leidt tot hogere premies of beperktere dekking.
Wat organisaties nu moeten doen
Breng alle relevante wet- en regelgeving samen in één compliance-aanpak. Zorg voor duidelijke datamapping en afspraken over datalocatie en soevereiniteit. Bereid je voor op audits: documenteer securitymaatregelen, incidentprocessen en leveranciersbeheer. Versterk leveranciersmanagement, inclusief geopolitieke risico’s. Integreer AI-governance in bestaande security- en complianceprocessen. Stem securitymaatregelen af op eisen van cyberverzekeraars.
Kortom: Dit jaar vraagt om aantoonbare compliance en volwassen cyberweerbaarheid van bedrijven. Organisaties die dit nu goed inrichten, verkleinen hun risico op sancties, verstoringen en hogere kosten.
Auteur kennisbijdrage: Alessandro Liotta, Fortinet Regulatory Affairs Lead.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.