Cybersecurity is op papier al jaren een prioriteit. De praktijk laat echter iets anders zien. Terwijl de dreigingen groeien en de wetgeving aanscherpt, blijft het gedrag in veel organisaties achter. En als deze eerste editie van het Infosecurity eMagazine iets laat zien, is het dit: cybersecurity is allang geen IT-probleem meer. Het is een bestuursvraagstuk. En dat levert steeds meer kansen op voor het kanaal.
TEKST: Jesse Weevers BEELD: Redactie
Op 15 april 2026 stemde de Tweede Kamer in met de Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn. Het wetsvoorstel gaat nu naar de Eerste Kamer en wanneer het in werking treedt, veranderen de spelregels fundamenteel. De wetgever heeft namelijk gekozen voor een harde aanpak: zorgplichten, meldplichten en persoonlijke aansprakelijkheid voor bestuurders.
De dreigingen wachten niet op de wetgever. Uit het Jaarbeeld Ransomware 2025 van het NCSC blijkt dat aanvallers nog steeds binnenkomen via dezelfde routes als vijf jaar geleden, zoals niet-gepatchte kwetsbaarheden en gecompromitteerde accounts. Er zijn zeker steeds geavanceerdere aanvalstechnieken, maar de meeste schade wordt nog altijd aangericht via basale gaten in de beveiliging. Vaak zit het probleem niet in een gebrek aan technologie, maar in een gebrek aan discipline, prioriteit en eigenaarschap.
De schaduw groeit mee
Daar komt een nieuw fenomeen bij dat het risicoprofiel verder vergroot: shadow AI. Waar organisaties tien jaar geleden worstelden met shadow IT, namelijk medewerkers die ongeautoriseerde clouddiensten gebruikten, speelt nu een vergelijkbare dynamiek rondom AI-tools. Medewerkers gebruiken grote taalmodellen voor hun werk, plakken klantdata in chatinterfaces, en genereren output die de organisatie verlaat zonder dat iemand het weet. De intentie is goed, maar de beheersing ontbreekt. De NIS2-zorgplicht beoogt precies dit type risico te adresseren: onbeheerd gebruik van digitale middelen dat de continuïteit en vertrouwelijkheid van bedrijfsprocessen bedreigt.
“
De dreigingen wachten niet op de wetgever
Mkb: groot risico, kleine stap
Voor grote organisaties is de stap naar NIS2-compliance ingrijpend maar beheersbaar. Zij hebben immers de mensen en middelen om processen in te richten. Voor het mkb ligt dat anders. Recent onderzoek van het NCSC bevestigt wat veel kanaalpartners al in de praktijk zien: kleine en middelgrote bedrijven blijven structureel achter bij het treffen van basismaatregelen. Ze weten niet goed waar te beginnen, hebben onvoldoende capaciteit, en ervaren cybersecurity te vaak als abstract en technisch.
Dat is een marktprobleem, maar tegelijkertijd ook een marktkans. Sinds 1 januari 2026 is het Digital Trust Center opgegaan in het NCSC: één centraal loket voor digitale weerbaarheid voor alle Nederlandse organisaties. Dat verlaagt de drempel voor informatie en advies. Maar informatie is nog geen verandering. De vertaling naar de werkvloer vraagt om partners die de organisatie kennen en vertrouwen genieten. Dat zijn de partijen in het kanaal.
De rol van het kanaal
Resellers, MSP’s en systeemintegratoren staan dichter bij de eindklant dan welke overheidsinstantie ook. Ze weten wat er draait, kennen de pijnpunten, en zijn vaak de eerstelijns support als er iets misgaat. Die positie brengt verantwoordelijkheid mee om klanten te helpen met de vertaling. Wat betekent NIS2 concreet voor jouw organisatie, wat is de eerste stap, en waar zit het grootste risico?
De wet uitleggen is één ding. Organisaties helpen er iets mee te doen is nog iets anders. Dat vraagt ook om een andere gespreksstijl. Zoals meerdere bijdragen in deze editie laten zien: de technologie is beschikbaar. Wat ontbreekt is het gesprek op directieniveau. Een firewall hier, een endpoint-oplossing daar; de wet vraagt om aantoonbaar beleid, risicobeheersing en bestuurlijke betrokkenheid. Dat zijn gesprekken die moeten worden gevoerd met de directie. Voor kanaalpartners die die stap weten te maken, liggen er dan structurele en hoogwaardige klantrelaties in het verschiet.
“
De intentie is goed, maar de beheersing ontbreekt
Structureel in plaats van reactief
De rode draad door al deze actuele ontwikkelingen is duidelijk. Hij loopt ook door de bijdragen elders in dit eMagazine. De sector heeft de neiging om problemen te adresseren zodra ze zich manifesteren. Brandjes blussen, patchen na een incident, beleid schrijven nadat de toezichthouder klopt. Dat model heeft zijn langste tijd gehad, simpelweg omdat de dreigingen te snel en te continu zijn geworden voor zo’n reactieve aanpak. Structurele weerbaarheid begint bij eigenaarschap, zoals een bestuurder die cybersecurity niet delegeert maar bewaakt. En die het niet langer behandelt als kostenpost, maar als voorwaarde voor continuïteit. Bij een IT-partner die niet alleen levert maar adviseert. En bij een organisatiecultuur waarin beveiliging wordt behandeld als fundament onder de bedrijfsvoering. De wet legt die norm nu vast. Leveranciers en kanaalpartners bepalen samen of die norm ook werkelijkheid wordt. De stok is geregeld. De vraag is wie de wortel levert.
