De cybersecurity begint 2026 met een steeds moeilijker te verhullen tegenspraak: beveiligingsteams vertrouwen meer dan ooit op automatisering en Kunstmatige Intelligentie (AI), maar tegelijkertijd geven ze toe dat de werkelijke voorbereidheid van organisaties niet mee-evolueert met de groei van de bedreigingen.
Dit is de kernfoto die ontstaat uit het 2026 State of Cybersecurity Report: Bridging the Divide van Ivanti, gebaseerd op antwoorden van meer dan 1.200 cybersecurityprofessionals wereldwijd. Het rapport beschrijft een kloof die het bedrijf aanduidt als “Cybersecurity Readiness Deficit”: een achterstand in voorbereiding die jaar na jaar wijder wordt, gedreven door toename van aanvallen, de complexiteit van het SaaS-ecosysteem, regelgevingdruk en vooral de versnelde inzet van AI door aanvallers.
De AI-agente: “Willen dat het zelfstandig handelt”… met een nuance
De meest besproken kopregel is duidelijk: 87 % van de beveiligingsteams bevestigt dat het adoptie van AI-agentes — systemen die zelfstandig beslissingen kunnen nemen en in real-time acties kunnen uitvoeren — een prioriteit is. En nog opvallender: 77 % geeft aan “enigszins comfortabel” te zijn dat deze systemen opereren zonder voorafgaande menselijke beoordeling.
De belangrijke nuance is dat dat vertrouwen niet onvoorwaardelijk is. Het rapport benadrukt dat de markt zich in een fase van “voorzichtige acceptatie” bevindt: veel organisaties willen dat agents onderzoeken, signalen correlëren en acties voorstellen, maar niet alle zijn klaar voor volledige delegatie van kritische beslissingen zonder controle. Het document wijst erop dat de daadwerkelijke adoptie van AI in kernfuncties nog steeds ongelijk verdeeld is:
- 53 % gebruikt AI voor het toepassen van security policies in de cloud.
- 44 % voor incident response workflows.
- 43 % voor dreigingsinformatie correlatie.
- 42 % voor respons en herstel van kwetsbaarheden.
Daarnaast geeft bijna iedereen (92 %) aan dat automatisering de reactietijden verkort. Het probleem ligt niet in het geloof in automatisering, maar in de kloof tussen de wens naar “volautomatisch” en de operationele rijpheid die nodig is om dat te ondersteunen.
Deepfakes: de “al aanwezige” bedreiging, maar lage voorbereiding
Wanneer er sprake is van een gebied waar de kloof tussen bedreiging en voorbereiding duidelijker wordt, noemt het rapport deepfakes en synthetische inhoud.
De cijfers spreken voor zich: 77 % van de organisaties geeft aan doelwit te zijn geweest van deepfake-aanvallen. Meer dan de helft (51 %) rapporteert gerichte phishingcampagnes met synthetisch gegenereerde content. Toch beschouwen slechts 27 % zichzelf als “zeer voorbereid” op deze dreiging, wat een kloof van meer dan twintig procentpunten creëert tussen waargenomen risico en daadwerkelijke capaciteit.
Het rapport benadrukt ook het ongemakkelijke feit dat slechts 30 % van de professionals gelooft dat hun CEO “ongetwijfeld” een deepfake zou kunnen herkennen. De aanvalsvector is dus niet alleen technologisch, maar ook cultureel en qua training.
Ransomware, inloggegevens en API’s: de voorbereidheidskloof groeit
Ivanti onderzoekt ook het verschil tussen de perceptie van “hoog/crytisch gevaar” en het percentage dat zegt “zeer voorbereid” te zijn. Bij ransomware bijvoorbeeld is er een opvallend grote kloof: 63 % ziet het als een hoog of kritisch gevaar, maar slechts 30 % voelt zich daar echt klaar voor.
Dit patroon herhaalt zich bij veel van de bestaande topzorgen: gecompromitteerde inloggegevens, softwarekwetsbaarheden, risico’s in de supply chain en API-gerelateerde kwetsbaarheden. Het gaat niet om nieuwe bedreigingen, maar om de snelheid waarmee deze zich ontwikkelen: aanvallers verkorten de tijd tussen patch publicatie en exploitatie, een race waar AI helpt versnellen.
De IT-Beveiligingskloof: wanneer risico niet gelijk wordt geprioriteerd
Een ander belangrijk inzicht om te begrijpen waarom het moeilijk is om de voorbereidingskloof te dichten, ligt niet in technologie maar in interne coördinatie.
Bijna de helft (48 %) van de beveiligingsexperts vindt dat IT-teams niet snel genoeg reageren op cybersecurity-zorgen. En 40 % gelooft dat IT de risicotolerantie van de organisatie niet goed begrijpt. Dit heeft directe gevolgen voor disciplines zoals exposure management, waar security van IT vereist dat wijzigingen worden doorgevoerd, patches worden prioriteit gegeven, configuraties worden aangepast en onderhoudsvensters worden gepland.
Het resultaat: bekende risico’s blijven liggen, patches worden te laat toegepast, risicometingen zijn inadequaat en rapportages aan directies tonen niet het werkelijke risico, maar activiteit.
Metingen zijn geen management: gefragmenteerde KPI’s en weinig zakelijk inzicht
Het rapport wijst op een punt dat veel CISOs al jaren flakkeren: er zijn te veel KPI’s die “mooi klinken” maar weinig zeggen.
Niet meer dan 60 % gebruikt impactanalyses op de bedrijfsvoering om risico’s te prioriteren. En hoewel 51 % een “exposure score” of risicobasisindex gebruikt, blijven veel organisaties steken in het meten van procesgerichte metrics zoals:
- Mean time to remediate (47 %)
- Aantal geëlimineerde blootstellingen (41 %)
Volgens Ivanti verbeteren deze metrics mogelijk, terwijl het echte risico toeneemt. Met andere woorden: je kunt “snel gaan”… in de verkeerde richting.
De menselijke factor: stress, vermoeidheid en tekort aan talent als systemische kwetsbaarheid
Het rapport schetst ook een stille crisis: het kloon van de teams.
Een 43 % van de professionals ervaart hoge stressniveaus, en 79 % meldt dat dit hun fysieke en mentale gezondheid beïnvloedt. Er worden concrete effecten beschreven: concentratieproblemen, slaapproblemen en een toename van angst. In dit klimaat lijkt het tekort aan talent — of de mismatch tussen vaardigheden en werkelijke behoeften — een directe rem op de effectieve adoptie van automatisering en agents. Zonder goed gekwalificeerd personeel dat systemen kan managen, evalueren en controleren, wordt autonomie juist een extra risico.
Wat verandert er dan met AI-agentes?
De conclusie uit het rapport is dat AI-agentes zich aan het ontwikkelen zijn tot “een prioriteit” voordat ze volledig volwassen zijn als “kwalitatieve capaciteit”. En daarin ligt het gevaar: als agents als een shortcuts worden ingezet om gebrek aan tijd en personeel te compenseren, zonder goede data, duidelijke kaders en bruikbare metrics, wint de organisatie geen beveiliging, maar voegt ze complexiteit toe.
Het rapport benadrukt daarom het belang van concepten die voor veel bedrijven minder aantrekkelijk klinken dan “autonomie”, maar essentieel zijn voor veilige schaalvergroting: governance, traceerbaarheid, risicobeheersing en échte training tegen synthetische bedrog.
Veelgestelde vragen
Wat is AI-agente in cybersecurity en waarmee onderscheidt het zich van klassieke automatisering?
Klassieke automatisering voert meestal vooraf gedefinieerde regels uit. AI-agentes kunnen beslissen en handelen zelfstandig, en passen hun gedrag aan op basis van de context (bijvoorbeeld door signalen te onderzoeken, gebeurtenissen te correlëren en acties te nemen).
Waarom vormen deepfakes een “veiligheidsprobleem” in plaats van alleen reputatieschade?
Omdat ze operationele aanvallen mogelijk maken: fraude met impersonatie, social engineering gericht op leidinggevenden, vishing en zeer gepersonaliseerde phishing. De impact is niet meer alleen imagoblunder: het gaat om geld, toegang en inloggegevens.
Welke metrics helpen om risico’s praktisch te prioriteren?
Metrics die blootstelling koppelen aan bedrijfsimpact: risicogebaseerde scoring, impactanalyse, kriticiteit van assets, kans op exploitatie en operationele afhankelijkheid. Alleen meten van remedietijden of volume geredde blootstellingen geeft mogelijk niet het echte risico weer.
Hoe start je met AI-agentes zonder dat je direct te veel autonomie toekent?
Een veelgebruikte aanpak is “human-in-the-loop”: de agent onderzoekt en doet voorstellen, maar een verantwoordelijke keurt kritische acties goed; daarnaast wordt traceerbaarheid geëist (wat werd gezien, besloten en waarom) en wordt het bereik beperkt tot domeinen of incidenttypen.
vía: Ivanti