Northwave Cyber Security, een onafhankelijke Nederlandse specialist in cybersecurity, heeft zijn Global Threat Landscape 2026 gepubliceerd. Dit onderzoek is onder andere gebaseerd op data uit zijn Security Operations Centre (SOC), incidentresponsactiviteiten en wereldwijde dreigingsanalyses. De resultaten bevestigen dat cyberrisico’s in 2026 steeds meer een strategische bestuurskwestie zijn geworden en niet langer uitsluitend een technisch vraagstuk. Cyberdreigingen ontwikkelen zich sneller dan organisaties kunnen bijbenen. Northwave ziet een nieuwe realiteit ontstaan waarin aanvallen steeds vaker door AI worden uitgevoerd of ondersteund, waardoor ze sneller, schaalbaarder en moeilijker te stoppen zijn.
Kwetsbaarheden razendsnel misbruikt
Waar organisaties voorheen dagen of weken hadden om op nieuwe kwetsbaarheden te reageren, is die tijdspanne door de inzet van AI drastisch afgenomen. In 2025 werden wereldwijd meer dan 48.000 nieuwe kwetsbaarheden geregistreerd. Tegelijkertijd duurde het gemiddeld 43 dagen voordat organisaties een beschikbare beveiligingsupdate daadwerkelijk hadden geïnstalleerd. Northwave signaleert dat kwetsbaarheden steeds vaker worden misbruikt vóór er een patch beschikbaar is. Aanvallers hebben al kennis van de kwetsbaarheid en maken er misbruik van, dagen voordat de leverancier een oplossing publiceert. Dit vormt een fundamenteel probleem voor organisaties die vertrouwen op hun patch-cyclus om zich te beschermen tegen misbruik van kwetsbaarheden.
AI versnelt niet alleen het ontdekken van kwetsbaarheden, maar ook het ontwikkelen van werkende aanvalsmethoden. Daardoor ontstaat een fundamenteel nieuwe situatie waarin aanvallers op ‘machinesnelheid’ opereren, terwijl veel organisaties nog volgens traditionele beveiligingscycli opereren. De impact van AI verandert ook de aard van cyberaanvallen. Geavanceerde technieken zijn niet langer voorbehouden aan ervaren hackers. Dankzij generatieve AI kunnen relatief onervaren aanvallers dezelfde methoden toepassen die voorheen specialistische kennis vereisten. Ook het ontwikkelen van maatwerkmalware wordt eenvoudiger, waardoor traditionele detectiemethoden steeds minder effectief worden.
Christiaan Ottow, Chief Technology Officer van Northwave: “Dat AI het cyberdreigingslandschap ingrijpend verandert, zagen we onlangs in de praktijk toen we te maken kregen met een ransomwareaanval die grotendeels door AI was geautomatiseerd. De aanval verliep in een ongebruikelijk hoog tempo en vond op meerdere fronten tegelijk plaats. Hoewel dergelijke aanvallen nog niet de norm zijn, laat het incident zien welke kant cybercriminaliteit opgaat.”
Context laat het ware gevaar zien
Tegelijkertijd blijkt uit analyse van miljoenen beveiligingsmeldingen dat veel organisaties risico lopen doordat zij zich vooral richten op meldingen met de hoogste urgentie. Northwave’s SOC-team verwerkt jaarlijks meer dan 2,5 miljoen digitale alarmsignalen. Hoewel slechts een klein deel daarvan daadwerkelijk uitgroeit tot een incident, blijkt dat organisaties niet uitsluitend kunnen vertrouwen op meldingen met de hoogste prioriteit. Slechts 5 procent van alle alerts krijgt de classificatie ‘hoog risico’, maar deze vertegenwoordigen wel 19 procent van de bevestigde dreigingen. Opvallender is echter dat maar liefst 64 procent van alle bevestigde dreigingen voortkomt uit meldingen die aanvankelijk als ‘middelmatig risico’ werden aangemerkt. Nog eens 17 procent ontstaat uit meldingen met een lage ernstgraad.
“Deze cijfers tonen aan dat cyberaanvallen vaak beginnen met ogenschijnlijk onschuldige signalen die pas in samenhang hun werkelijke betekenis krijgen. Veel organisaties richten hun beveiliging in op snelheid en efficiëntie, maar creëren daarmee onbedoeld blinde vlekken,” zegt Ottow. “De aanvallen van vandaag ontwikkelen zich steeds vaker vanuit activiteiten die aanvankelijk weinig urgent lijken. Juist daar ligt een belangrijk deel van het risico.”
Cyberafpersing ook bij kleinere bedrijven
Naast AI blijft cyberafpersing een van de grootste bedreigingen voor Europese organisaties. Daarbij verschuift de focus van aanvallers steeds vaker van het versleutelen van systemen naar het buitmaken en dreigen met het publiceren van gevoelige gegevens. Data is uitgegroeid tot het belangrijkste drukmiddel.
In de Benelux werden in de eerste vijf maanden van 2026 de onderstaande sectoren het meest vermeld op websites over datalekken:
1. Bouw
2. Overheid, gezondheidszorg
3. Zakelijke en IT-diensten, maakindustrie
In 2025 werden wereldwijd meer dan 8.000 organisaties genoemd op zogenoemde dataleksites, dit is een recordaantal. Tegelijkertijd koos ongeveer 60 procent van bedrijven die vorig jaar gebruik maakten van Northwave’s Computer Emergency Response Team (CERT) ervoor om geen losgeld te betalen. Wanneer er wel werd betaald, gebeurde dat meestal om openbaarmaking van gestolen gegevens te voorkomen.
Deze ontwikkeling heeft grote gevolgen voor de manier waarop organisaties met dergelijke incidenten omgaan. Technisch herstel is niet langer het grootste probleem. Steeds vaker draait de crisis om reputatieschade, juridische procedures en meldingsplichten.
Vaak verschijnt de naam van een getroffen organisatie al op een dataleksite voordat deze überhaupt weet dat er sprake is van een aanval. “Binnen enkele minuten nadat een organisatie op een dataleksite verschijnt, kunnen media, klanten en toezichthouders vragen gaan stellen,” zegt Marcel Vielvoije, Lead Crisis Communication binnen het CERT-team van Northwave. “Het verschil tussen controle en chaos wordt bepaald door de voorbereiding die lang vóór het incident plaatsvindt. Organisaties moeten vooraf weten wie beslist, wat er gecommuniceerd wordt en welke waarden leidend zijn tijdens een crisis.”
Vooral kleine en middelgrote organisaties lopen risico. Uit internationale gegevens blijkt dat ongeveer 80 procent van de organisaties die in 2025 op dataleksites verschenen, minder dan 500 medewerkers had. Daarmee is cyberafpersing niet langer een probleem voor uitsluitend grote ondernemingen, maar een brede bedreiging voor het Europese bedrijfsleven.
Business Email Compromise en digitale identiteiten
Ook Business Email Compromise (BEC) komt steeds vaker voor en ontwikkelt zich razendsnel tot een van de grootste cyberrisico’s voor Europese organisaties. Voorheen draaide deze vorm van fraude vooral om het onderscheppen van facturen of het uitlokken van foutieve betalingen. Nu richten aanvallers zich op het grootschalig misbruiken van digitale identiteiten. In 2025 was BEC verantwoordelijk voor meer dan 40 procent van alle incidentresponszaken van Northwave, waarmee het cyberafpersing zelfs voorbijstreefde.
Met behulp van AI-gesteunde phishingkits, die eenvoudig via het dark web aan te schaffen zijn, kunnen aanvallers al voor enkele tientjes per maand geavanceerde BEC-aanvallen uitvoeren. Steeds vaker worden volledige sessies en authenticatietokens buitgemaakt om directe toegang tot bedrijfsomgevingen te verkrijgen. Bovendien maken deze kits het mogelijk om multifactorauthenticatie (MFA) te omzeilen. Dit is tegenwoordig het geval in alle BEC-zaken waarnaar Northwave onderzoek doet. Deze ontwikkeling laat zien dat bestaande beveiligingsmaatregelen, zoals MFA, hun effect verliezen.
Van reageren naar anticiperen
Organisaties zullen hun cyberbeveiliging moeten aanpassen nu AI-aanvallers op machinesnelheid opereren. Dat begint met het verkleinen van het aanvalsoppervlak door publieke systemen, cloudomgevingen, webapplicaties en andere blootgestelde onderdelen continu te monitoren en snel te patchen. Daarnaast is het essentieel om aanvallers te vertragen met maatregelen zoals netwerksegmentatie, segmentatie van geprivilegieerde accounts, en extra beveiliging rond cloud- en SaaS-omgevingen. Tegelijkertijd moeten detectie en respons aanzienlijk sneller worden: beveiligingsteams, crisisteams én senior management moeten met elkaar geoefend raken in incident respons en crisisbeheersing, en beslissingsautorisatie en –processen moeten op voorhand helder zijn.
Conclusie
De ontwikkelingen die in het Global Threat Landscape 2026 zijn beschreven, maken duidelijk dat organisaties hun beveiligingsstrategie fundamenteel moeten herzien. In een wereld waarin AI aanvallen versnelt, data het belangrijkste afpersingsmiddel is geworden en dreigingen steeds vaker ontstaan vanuit ogenschijnlijk onschuldige signalen, volstaat een reactieve aanpak niet langer. Bestuurders zullen cyberweerbaarheid steeds nadrukkelijker moeten behandelen als een strategische voorwaarde voor continuïteit, vertrouwen en groei.