Security awareness trends 2026
2026, een nieuw jaar met nieuwe security trends. Of toch niet? We hebben onderzoek gedaan naar welke security awareness ontwikkelingen er spelen in de wereld en bij onze opdrachtgevers. Dit hebben we gebundeld tot concrete trends met bijbehorende actiepunten. Gewapend met deze inzichten uit het Nederlandse cybersecurity landschap kan jij jouw security awareness klaarstomen voor een succesvol 2026!
De trends die we vooral tegenkomen voor 2026 zijn als het ware een verlengstuk van 2025. Er zijn daarbij twee grote thema’s die op de voorgrond staan: compliance en AI. Natuurlijk zijn dit geen onbekende trends. Toch brengt de grote stroom aan ontwikkelingen een nieuwe laag onzekerheid met zich mee voor organisaties. Het zijn de onderliggende, complexere vraagstukken die maken dat (C)ISO’s, privacy officers en IT-managers dit jaar intensief met deze thema’s bezig zullen zijn.
AVG, ISO 27001, NEN 75001, BIO2, DORA… De termen vliegen soms stuurloos door de directiekamer. Waarin zit te overlap en waarin moeten we als organisatie nog stappen zetten? En wanneer ben je nu precies compliant? Het leidt tot onduidelijkheid en gaat vaak gepaard met weerstand of passiviteit. Hierdoor gaan compliancy-richtlijnen vaak hun doel voorbij.
Dion Duighuisen, security awareness expert bij Awaretrain: “veel organisaties die we spreken hebben te kampen met onzekerheid rond de komst van NIS2. NIS2 zal naar verwachting in Q2 van 2026 actief worden als de Cyberbeveiligingswet (Cbw) binnen Nederland. Ze zijn voorzichtig qua definitieve datum, gezien de NIS2 al enige tijd op zich heeft laat wachten en meerdere keren is uitgesteld.”
De Rijksoverheid en het Nationaal Cybersecurity Center (NCSC) roepen organisaties op om nu al voor te bereiden op deze nieuwe wet- en regelgeving. Hierbij kan je denken aan:
Om succesvol de eerste stappen te zetten richting compliance, zijn er een aantal gratis tools in het leven geroepen waar jouw organisatie gebruik van kan maken. Met deze tools krijg je inzicht in je volwassenheidsniveau en ontdek je in hoeverre je invulling geeft aan de Cbw:
“Het lijkt op het eerste gezicht duidelijk wat organisaties te doen staat. In de praktijk blijkt echter het tegenovergestelde, zoals ook BNR beschrijft. Door het herhaaldelijk uitstel en de onduidelijke communicatie, verspreid over verschillende bronnen, belanden organisaties in een wirwar van inconsistente informatie”, vertelt Dion.
Leveranciers en bestuurders zitten daardoor met de handen in het haar: met NIS2 worden zij verantwoordelijk voor verplichtingen waarvoor zij onvoldoende houvast en ondersteuning ervaren.
Dennie Spreeuwenberg, CEO van Awaretrain, ziet op dit gebied vooral veel werk liggen voor organisaties die nog niet bewust bezig zijn met cybersecurity. “De grootste impact van NIS2 en andere compliance wetgeving zal uiteindelijk voelbaar zijn bij organisaties waar cyberveiligheid nog geen hoge prioriteit heeft. Dit zijn vaak organisaties met een beperkt bewustzijn van cyberdreigingen of met onvoldoende draagvlak om hier structureel mee aan de slag te gaan. Voor hen zal de invoering leiden tot extra werkdruk. Zeker wanneer zij in korte tijd grote stappen moeten zetten.”
In 2026 zijn we allesbehalve AI-moe. Integendeel: AI is booming! Waar veel organisaties eerder nog worstelden met de vraag “we moeten iets doen met AI, maar wat?”, ontstaat nu steeds vaker ruimte voor een gerichte AI-aanpak. Ook binnen cybersecurity biedt kunstmatige intelligentie volop kansen. Tegelijkertijd geldt: hoe behendiger cybercriminelen worden met AI, hoe crucialer het voor organisaties wordt om weerbaar te zijn. Criminelen lopen namelijk vaker voor op organisaties. Daarnaast hebben organisaties er nog een extra uitdaging bijgekregen: het beheersen van shadow AI.
Cyberdreigingen zoals social engineering, phishing en ransomware worden dankzij AI geavanceerder. De afgelopen twee jaar is het aanbod van kwaadaardige AI-tools op de zwarte markt verdrievoudigd. In combinatie met gestolen data, verkregen uit datalekken wat ook wordt verhandeld op dezelfde markt, vormt dit een goudmijn voor kwaadwillenden.
Binnen enkele seconden zijn cybercriminelen in staat om een geloofwaardige stem na te bootsen of een overtuigende phishingmail te sturen. Daarnaast bestaan er ook AI-tools die moeiteloos organisaties scannen op kwetsbaarheden. Het toekomstbeeld wordt nog grimmiger wanneer agentic AI wordt ingezet, waarbij cyberaanvallen grotendeels geautomatiseerd en razendsnel worden uitgevoerd.
Gelukkig hoeven organisaties niet machteloos toe te kijken vanaf de zijllijn. Goedaardige AI kan juist worden ingezet om weerbaarder te worden tegen deze golf aan AI-aanvallen. Door AI bewust in te zetten, speel je het spel mee en houd je je technische beveiliging op niveau. Denk aan het automatiseren van detectie- en analysewerk of aan voorspellende cybersecurity die dreigingen vroegtijdig signaleert en proactief met tegenmaatregelen komt.
Vanuit een veiligheidsperspectief roept dat soms vragen op: ‘is het wel veilig om AI in te zetten om data te beschermen?’. Maar de omgekeerde vraag daarin is minstens zo relevant: ‘wat gebeurt er als je géén AI inzet? Mits je het zorgvuldig toepast en goed inricht, is AI een noodzakelijke technische schakel in moderne cyberbeveiliging.
Naast externe dreigingen schuilt er ook een risico in het interne gebruik van (AI)-tools door medewerkers. Ongeoorloofd gebruik kan leiden tot datalekken, verlies van intellectueel eigendom en beveiligingsrisico’s.
Dit zijn geen theoretische scenario’s. Volgens Gartner zullen deze incidenten steeds vaker voorkomen. Recentelijk zagen we er al een paar voorbeelden van in het nieuws voorbijkomen van Nederlandse organisaties die te maken hebben gehad met shadow AI wat leidde tot datalekken en beveiligingsrisico’s.
We vroegen Barry Rokven, security officer bij Awaretrain om zijn visie op dit onderwerp: “Een duidelijk beleid rondom toegestane AI-tools, gecombineerd met heldere communicatie over de risico’s van niet-goedgekeurde toepassingen, is onmisbaar. Alleen zo voorkom je dat shadow IT en shadow AI ongemerkt uitgroeit tot een serieus beveiligingsprobleem.”
“Hoewel AI een steeds grotere rol speelt, blijft de menselijke factor cruciaal. Dat geldt zowel voor het verantwoord gebruik van AI als voor het omgaan met snel veranderende cyberdreigingen”, vertelt Dennie. Het continu trainen en alert houden van medewerkers is essentieel om een sterke securitycultuur te creëren. Zo ben je als organisatie niet alleen voorbereid op de risico’s van vandaag, maar ook op de risico’s van morgen. Dennie: “Ik ben erg benieuwd wat het nieuwe jaar gaat brengen op gebied van digitale soevereiniteit.”
Trainingsmodules
Klanten wereldwijd
Medewerkers getraind
Stap aan boord bij Awaretrain voor structurele security awareness.
