De cyberbeveiliging is geëvolueerd van een zaak die alleen binnen het SOC wordt beheerd. In 2026 zullen beslissingen over digitale beveiliging invloed hebben op de adoptie van kunstmatige intelligentie, bedrijfscontinuïteit, supply chains, naleving van regelgeving, geopolitiek en de daadwerkelijke rol van de CISO binnen het bedrijf. Het laatste rapport van KPMG in Spanje, Overwegingen voor cyberbeveiliging in 2026, plaatst deze verandering in acht prioriteiten die niet langer als geïsoleerde projecten kunnen worden behandeld.
De kerngedachte is duidelijk: AI vergroot het aanvalsoppervlak terwijl het ook nieuwe verdedigingscapaciteiten biedt. Autonome agents beginnen taken uit te voeren; niet-menselijke identiteiten overtreffen in veel omgevingen de menselijke; IT- en OT-systemen worden steeds meer verbonden; en post-quantum cryptografie verschuift van een technische discussie naar een strategisch vraagstuk voor sectoren zoals financiën, defensie en kritieke infrastructuur.
Autonome beveiliging bereikt niet alleen het SOC, maar ook compliance
KPMG wijst erop dat een van de prioriteiten is om cybersecurityteams klaar te maken voor autonome beveiliging. Het gaat niet alleen om het automatiseren van waarschuwingen of het verrijken van gebeurtenissen—een praktijk die veel organisaties al jaren toepassen. De verandering ligt in het feit dat AI-agents steeds meer geavanceerde taken op basis van intelligence gaan uitvoeren: incidentonderzoek, naleving van regelgeving, risicobeheer, het correleren van bewijsmateriaal en toezicht op niet-menselijke identiteiten.
Deze vooruitgang kan helpen bij overbelaste teams, maar vereist ook een herontwerp van controles. Een agent die acties onderneemt, kan niet worden beschouwd als een passief hulpmiddel. Het moet limieten, traceerbaarheid, minimale toestemmingen, beoordelingsmechanismen en manieren om ongewenst gedrag te stoppen bevatten. De belofte van autonome beveiliging werkt alleen als de organisatie weet wat elke agent mag doen, welke gegevens hij kan raadplegen, welke systemen hij kan aanpassen en wie verantwoordelijk is bij een storing.
AI verandert ook de omgang met kwetsbaarheden. Modellen zoals Claude Mythos laten zien dat geavanceerde systemen grote codebases kunnen analyseren, hypotheses over bugs kunnen formuleren, aanvallen kunnen valideren en functionele exploitketens kunnen ontwikkelen. KPMG waarschuwt dat het belangrijkste niet is dat er meer kwetsbaarheden worden ontdekt, maar dat het tempo van detectie en uitbuiting het traditionele patchproces kan overtreffen.
Dit vraagt om herziening van een gebruikelijke praktijk: kwetsbaarheden beheren via wekelijkse vensters, handmatige prioritering en vrijwel volledige afhankelijkheid van CVSS-scores. In een omgeving waarin AI zowel de aanvallen als de verdedigingsmaatregelen versnelt, moeten sommige patches binnen 24 tot 48 uur worden uitgerold. Het beslissingsvermogen wordt net zo belangrijk als de technische tools.
Niet-menselijke identiteiten en agents: het nieuwe grensgebied
De groei van AI-agents, service-accounts, machine credentials, bots, API’s en automatiseringen heeft geleid tot een probleem dat veel bedrijven nog niet compleet in kaart hebben gebracht. Niet-menselijke identiteiten overtreffen in veel omgevingen de nummer van menselijke gebruikers, maar hun governance is vaak minder volwassen.
Het risico is evident. Een menselijke account kan MFA, regelmatige reviews, offboarding en rolgebaseerd toegangsbeleid hebben. Een niet-menselijke identiteit kan jarenlang vergeten worden, met embedded secrets, overtollige permissies en weinig toezicht. Als die identiteiten worden gekoppeld aan AI-agenten die kunnen handelen op Tools en data, wordt het perimeter moeilijker te beheersen.
KPMG benadrukt dat AI-beveiliging niet alleen het beschermen van het model betreft. Het moet het volledige agent-omgeving omvatten: de tools die het gebruikt, API’s die het oproept, het geheugen dat het behoudt, de data die het opvraagt via RAG en de handelingen die het uitvoert. Gegevens worden geen statische resource meer, maar maken deel uit van de uitvoering. Daarom moeten ze worden behandeld met dezelfde strikte controle als code: traceerbaarheid, versiebeheer, expliciete doelstellingen, toegangscontrole en verloopdata.
De supply chain van AI voegt nog een risico toe. Modellen van derden, API’s, toolchains, libraries, connectors en bedrijfsdata kunnen ondoorzichtige afhankelijkheden introduceren. Organisaties zullen AI Supply Chain-beheerprogramma’s nodig hebben, vergelijkbaar met die voor cloud en kritieke software: versiebeheer, API-auditing, leveranciersevaluatie, exitplannen en de capaciteit om een essentieel onderdeel binnen korte tijd te vervangen zonder maanden vast te zitten.
Geopolitiek, IT/OT en post-quantum cryptografie
De cyberbeveiliging in 2026 wordt ook bepaald door een strengere geopolitieke context. KPMG wijst erop dat digitale defenses en fysieke activa mogelijk worden aangevallen door staten met vijandige belangen. Dit raakt vooral energie, transport, industrie, gezondheidszorg, telecommunicatie, de overheid en financiële diensten. Beveiliging richt zich niet alleen meer op gegevensbescherming, maar op het waarborgen van operationele continuïteit.
De toenemende connectiviteit tussen IT en OT verhoogt de druk. Geïntegreerde sensoren, IoT-apparaten, verbonden industriële installaties en gedigitaliseerde fysieke omgevingen maken de grens tussen cyber en fysiek minder duidelijk. Een incident kan niet langer alleen dataverlies of applicatiestoringen betekenen; het kan ook productie, veiligheid van medewerkers, logistiek, onderhoud en leveringsketens beïnvloeden.
Het rapport plaatst ook post-kwantumcryptografie op de prioriteitenlijst, omdat de dreiging bestaat dat toekomstige quantumcomputers huidige cryptografische algoritmen kunnen breken. Organisaties moeten inventarissen maken, de risico’s inschatten en migratieplannen opstellen. Voor sectoren zoals defensie, banken en kritieke infrastructuur is het niet slechts een technische trend; vandaag versleutelde gegevens kunnen worden onderschept en later worden uitgelezen wanneer quantum-capaciteiten beschikbaar zijn.
De overstap naar post-kwantum cryptografie zal complex zijn, omdat het certificaten, legacy-systemen, communicatie, devices, embedded software, leveranciers en langdurige processen betreft. Het is niet genoeg om alleen algoritmen te vervangen; het vereist inzicht in waar cryptografie wordt gebruikt, welke gegevens decennia beschermd moeten blijven en welke systemen niet eenvoudig kunnen worden geüpdatet.
De toenemende rol en de druk op de CISO
De rol van de CISO blijft uitbreiden. Het gaat verder dan incidentrapportage, toolbeheer en technische metrics. Beveiliging is geïntegreerd in innovatie, compliance, operaties, AI, supply chain, veerkracht en strategie. De CISO moet risico’s vertaalt naar bedrijfsjargon en tegelijkertijd voorkomen dat de organisatie de adoptie van essentiële technologieën remt.
Dat evenwicht zal lastig zijn. Het management wil automatiseren, AI-inzet vergroten, efficiëntie verhogen en agents inzetten. Beveiligingsteams moeten dat mogelijk maken zonder dat het aanvalsoppervlak onbeheerlijk wordt. Volledige blokkering mag niet de standaard worden, maar het toestaan van elke integratie zonder controle ook niet. KPMG spreekt over het opbouwen van vertrouwen en het stimuleren van innovatie. In de praktijk vraagt dat om governance, architectuur, observability en operationele capaciteit.
Observability wordt een van de belangrijkste veranderingen. Bij AI-systemen is het niet voldoende om alleen het model te monitoren. Het hele actiecyclus moet worden gevolgd: welke data haalt de agent op, welke tools roept hij aan, welk geheugen gebruikt hij, welke beslissingen neemt hij, welke permissies gebruikt hij en welke acties onderneemt hij. Hiervoor zijn nieuwe logs, integratie met SIEM, playbooks en teams nodig die incidenten kunnen interpreteren die afwijken van traditionele voorbeelden.
Opleiding wordt eveneens cruciaal. Teams die AI beveiligen zonder kennis van modellen, RAG, agents, prompt injection, persistente geheugens of AI-red teaming, riskeren verkeerde controls toe te passen. Beveiliging in AI vraagt om hybride profielen, labs, simulaties en praktijkgerichte trainingen.
De boodschap voor 2026 is uitdagend maar noodzakelijk: cyberbeveiliging kan niet langer functioneren met beleid, controles en structuren die zijn ontworpen voor een wereld vóór de opkomst van intelligenterij. Organisaties die deze veranderingen beschouwen als incidenteel probleem, lopen achter. Zij die ze zien als een fundamentele evolutie, hebben meer kansen om te innoveerden toch de controle te behouden.
Veelgestelde vragen
Wat zijn de belangrijkste prioriteiten voor cyberbeveiliging in 2026?
KPMG benoemt acht kerngebieden: autonome beveiliging, geopolitiek en compliance, bescherming van AI-systemen, niet-menselijke identiteiten, IT/OT-verbinding, post-kwantum cryptografie, supply chain en de gewijzigde rol van de CISO.
Hoe beïnvloedt AI de cyberbeveiliging zo sterk?
Omdat het agents introduceert die zelf kunnen handelen, RAG-architecturen met bedrijfsdata, nieuwe aanvalssurfaces, meer automatisering en een hogere snelheid voor zowel verdedigers als aanvallers.
Wat zijn niet-menselijke identiteiten?
Accounts van service, machine credentials, bots, AI-agents, API’s en automatiseringen die systemen en data benaderen zonder directe menselijke gebruikers.
Wat moeten bedrijven nu doen?
Inventariseer agents en modellen, herzie permissies, versnel patchmanagement, versterk observability, bereid je voor op post-kwantum migratie, controleer de AI-supply chain en vorm gespecialiseerde AI-beveiligingsteams.