De NIS2-richtlijn is ontstaan om de niveaus van cyberbeveiliging in de hele Europese Unie te verhogen, vooral daar waar een digitale storing niet slechts een technisch probleem is, maar ook een echt risico voor de economie en essentiële diensten. Naarmate de fase van daadwerkelijke naleving – inclusief toezicht, audits en sancties – dichterbij komt, wordt duidelijk dat er een onzichtbare scheidslijn ontstaat tussen organisaties die het ingezetene kunnen volbrengen en degenen die moeite zullen hebben om tussen de lijnen door te komen.
Volgens insurtechbedrijf Stoïk, onder leiding van cybersecurity-directeur Vincent Nguyen, wordt deze situatie vooral gekenmerkt door een groeiende kloof. Zij waarschuwen dat kritieke sectoren met sterke financiële middelen en goed uitgeruste teams zich gemakkelijker kunnen aanpassen aan de nieuwe eisen, terwijl veel leveranciers, onderaannemers en kleine en middelgrote ondernemingen (kmo’s) geconfronteerd worden met een complexe en dure race voor conformiteit die ze niet altijd kunnen bijhouden.
De NIS2-richtlijn versterkt het Europese kader voor netwerken en systemen, met als doel dat essentiële diensten zoals energie, vervoer, bankwezen en gezondheidszorg ook onder cyberaanvallen blijven functioneren. Het is een ambitieuze doelstelling die echter in de praktijk veel meer vraagt dan simpelweg antivirussoftware installeren. Het vereist een uitgebreide risicobeheersing, organisatorische en technische maatregelen, traceerbaarheid en het aantonen dat men daadwerkelijk voorzorgsmaatregelen neemt. Daarnaast worden strengere meldingsplichtlijnen ingevoerd: tijdige waarschuwingen en gedetailleerde rapportages volgens een formeel schema.
Voor veel organisaties is het voldoen aan deze nieuwe eisen kostbaar. Nguyen benadrukt dat niet alleen technologie de prijs bepaalt, maar ook de tijdsinvestering in leidinggevend personeel, consultancy, bedrijfsprocessen, audits en training. Hij waarschuwt dat veel bedrijven hun investeringen verschuiven naar certificeringen en bewijsvoering van compliance, waardoor minder middelen over blijven voor andere interne prioriteiten zoals modernisering van infrastructuur of digitale transformatieprojecten.
Een van de belangrijkste risico’s die Stoïk onderstreept, is dat cybersecurity niet langer een geïsoleerde bedrijfsfunctie is. De beveiliging hangt tegenwoordig in toenemende mate af van het ecosysteem van derden. Een groot bedrijf kan beschikken over uitstekende in-house beveiligingssystemen, SOC’s, verzekeringen en continuity-plannen, maar als haar kleinste leverancier of partner niet op hetzelfde niveau presteert, ontstaat er toch een risico dat zich via die schakels naar binnen sneakt.
Dit leidt tot de zogeheten “Europa op twee snelheden”: de regulatoire eisen worden voor iedereen strenger, maar de capaciteit om te voldoen verschilt sterk per organisatie. Een vergelijkbare trend vertaalt zich naar de markt: organisaties die kunnen aantonen dat ze volwassen en compliant zijn, krijgen voorrang bij het verwerven van contracten. Anderen riskeren juist hun verlies, wat de concurrentiedruk verder opvoert.
Aangezien de deadline voor transpositie van NIS2 voor de EU al is verstreken, wordt duidelijk dat naleving niet langer een futuristisch project is, maar een actueel vraagstuk met juridische en operationele gevolgen. Het is dus cruciaal dat bedrijven niet slechts hun checklists afvinken, maar daadwerkelijk investeren in het versterken van hun beveiligingshouding.
Nguyen voorspelt dat de cybersecuritydynamiek in 2026 wordt bepaald door acht belangrijke trends. Eén daarvan is de toenemende kloof tussen sectoren die zich goed kunnen aanpassen en diegene die achterblijven, waardoor een nieuwe marktdynamiek ontstaat op basis van conformiteit. Daarnaast zal ransomware niet alleen meer een insluipend en allesvernietigend gevaar zijn, maar ook een gevoelig “sluipend” risico dat moeilijk te detecteren is voordat schade is aangericht.
Een andere trend betreft de opkomst van nieuwe vormen van oplichting, zoals AI-gegenereerde deepfakes en voice-slapen, die vooral gericht zullen zijn op leidinggevenden (de “CEO 2.0”). Hierdoor neemt het risico op fraude en manipulatie toe, vooral bij financiële transacties en strategische beslissingen. Ook politiek zal desinformatie een grotere rol spelen, met desinformatiecampagnes die inspelen op manipulatie van de publieke opinie en het ondermijnen van vertrouwen in instituten.
Daarnaast wijst Nguyen op de grote risico’s rondom evenementen zoals het WK 2026 en de Olympische Winterspelen, wanneer digitale afhankelijkheid toeneemt door ticketing, toegangssystemen, streaming en logistiek. Macro-events dus worden doelwitten vanwege hun zichtbaarheidsprofiel en tijdelijke systemische afhankelijkheid.
De keten van toeleveranciers en onderaannemers wordt niet voor niets het “zwakke schakel” genoemd. Het compromitteren van één klein, verspreid element zoals een open source-bibliotheek of browserextensie kan de hele supply chain beïnvloeden, met grote gevolgen voor meerdere organisaties.
Daarnaast wordt de dreiging van meer geavanceerde cybercriminelen steeds concreter. Zij maken gebruik van geavanceerde technologieën, waaronder AI en IoT, en werken meer professioneel en doelgericht, wat leidt tot minder “ruis” en meer focus op winst en marktwaarde.
Ten slotte pleit Nguyen voor het concept van “cibersecurity 360°”: een naadloze, integrale aanpak die niet beperkt blijft tot perimeterbeveiliging, maar zich uitbreidt naar identiteit, data, leveranciers, AI-modellen, interne workflows en gecoördineerde incidentrespons. In een tijd waarin AI snel evolueert, is een holistische beveiligingsstrategie essentieel om de toekomst van de digitale samenleving veilig te stellen.
Kortom, de vraag blijft of Europa erin slaagt om de nalevingsverplichtingen niet slechts als bureaucratische exercise te zien, maar als katalysator voor een écht veiligere digitale infrastructuur. Het antwoord op die vraag zal bepalen of de EU haar cyberveiligheid daadwerkelijk op een hoger plan tilt of dat een deel van haar cruciale economie en samenleving onnodig wordt blootgesteld aan gevaar.