Resilience & Sovereignity Convention 2026, op 28 april in het Sheraton Brussels Airport, het evenement dat de ommekeer markeert
2026, het einde van de overgangsperiode. Cyberbeveiliging evolueert van een technische kwestie naar een wettelijke resultaatsverplichting. Een ommezwaai die centraal zal staan tijdens het evenement Resilience & Sovereignity Convention 2026. Uitleg van de organisator, François Vajda.
Net als de GDPR destijds, leggen de nieuwe regelgevingen nu volledige traceerbaarheid op. Bedrijven moeten niet langer genoegen nemen met bescherming; ze moeten op elk moment hun veerkracht kunnen aantonen, op straffe van zware sancties. Het is een paradigmaverschuiving, merkt François Vajda op, organisator van de Resilience & Sovereignity Convention 2026. « Naleving wordt continu. ”
2026, een keerpunt voor cyberbeveiliging binnen de lidstaten van de Europese Unie. Of het nu gaat om de NIS2-richtlijn, de CRA-verordeningen, de Data Act of de AI Act, de drempel naar verscherpt toezicht, audits, regels voor aanbestedingen en, waarschijnlijk, de eerste sancties is overschreden.
Een door bewijs gestuurde, doorlopende verplichting
Zowel voor CISO’s als voor juridische afdelingen gaat het van een beleidsmatige invoering naar daadwerkelijke operationele verplichtingen. “Compliance is niet langer een theoretisch concept: bedrijven zullen tastbaar bewijs moeten leveren van de geïmplementeerde maatregelen”, stelt François Vajda. Bedrijven die hierop kunnen anticiperen, zullen het best toegerust zijn om aan de opgelegde wettelijke verplichtingen te voldoen. ”
Het traditionele model van jaarlijkse audits en statische beleidsraamwerken verdwijnt. De nieuwe regelgeving maakt van compliance een voortdurende, op bewijs gebaseerde verplichting. “Het gaat niet langer alleen om de vraag of organisaties compliant zijn; ze moeten dit voortdurend bewijzen. In dat opzicht is het een paradigmaverschuiving!”
Verantwoordelijkheid tot aan de raad van bestuur
Het bewijs hiervoor is NIS2. De richtlijn breidt de verplichtingen op het gebied van cyberbeveiliging uit naar alle sectoren, met name energie, gezondheidszorg, industrie en openbaar bestuur. NIS2 introduceert strengere eisen op het gebied van risicobeheer, toezichts- en logboekverplichtingen, evenals regels voor het melden van incidenten die de verantwoordelijkheid uitbreiden tot aan de raad van bestuur.
Tegelijkertijd harmoniseert DORA, de wet inzake digitale operationele veerkracht, die sinds januari 2025 van kracht is, de manier waarop financiële instellingen risico’s in verband met informatietechnologie beheren, hun veerkracht testen en toezicht houden op hun kritieke externe dienstverleners.
De AI-wet, die vanaf dit jaar geleidelijk wordt ingevoerd, voegt een nieuwe dimensie toe: organisaties die risicovolle AI-systemen ontwerpen of implementeren, moeten zorgen voor documentatie, menselijk toezicht en traceerbaarheid gedurende de hele levenscyclus van deze systemen.
Ook de regelgeving zelf evolueert
Op 19 november 2025 heeft de Europese Commissie een belangrijk digitaal pakket gepresenteerd om het digitale regelgevingsklimaat van de EU te vereenvoudigen en te moderniseren. Dit initiatief omvat een reeks digitale maatregelen om de regels inzake AI, cyberbeveiliging en gegevensbeheer te stroomlijnen.
Twee strategische initiatieven vullen dit pakket aan: een strategie voor de Data-Unie, bedoeld om de toegang tot hoogwaardige datasets voor innovatie op het gebied van AI te vergemakkelijken, en de Europese digitale portefeuilles, die bedrijven een unieke digitale identiteit zullen bieden om hun grensoverschrijdende activiteiten binnen de lidstaten van de Europese Unie te vereenvoudigen.
“Samen getekend getuigen deze ontwikkelingen van een wil om fragmentatie te verminderen en tegelijkertijd het toezicht te versterken; een delicaat evenwicht dat de werking van bedrijven in Europa het komende decennium zal bepalen”, analyseert François Vajda. “Aangezien deze ontwikkelingen belangrijke implicaties hebben voor organisaties die opereren binnen het regelgevingslandschap van de EU, zal dit onderwerp tijdens onze conferentie verder worden uitgediept.”
AI verandert het dreigingslandschap en de regels
In deze omwenteling verandert AI niet alleen de productiviteit, maar ook het cyberrisico.
Volgens gegevens van het World Economic Forum is het aantal cyberaanvallen per organisatie in slechts vier jaar tijd meer dan verdubbeld. Tegelijkertijd ontstaan er nieuwe dreigingsvectoren binnen de technologische stack van AI: prompt-injectie, datalekken, door AI aangestuurde dataminingbots en steeds geavanceerdere deepfakes…
Dit weerspiegelt een bredere mentaliteitsverandering. Cyberweerbaarheid wordt niet langer gezien als een eenvoudige statische lijst van controles, vervolgt François Vajda. « AI wordt een continu lerend systeem dat zich in hetzelfde tempo ontwikkelt als de technologieën die het beschermt… »
Convergentie van nalevingskaders
Het Digital Omnibus-initiatief van de EU heeft tot doel de overlappende verplichtingen tussen de belangrijkste regelgevingskaders te stroomlijnen, waaronder de AVG, de ePrivacy-richtlijn, NIS2, DORA en de AI-wet. Tot de voorgestelde veranderingen behoren uniforme procedures voor het melden van incidenten, vereenvoudigde toestemmingsregels, voorkeursinstellingen op browserniveau en duidelijkere regels met betrekking tot trainingsgegevens voor AI. “Cyberbeveiliging beperkt zich tegenwoordig niet meer tot de grenzen van één enkele organisatie! ”
In het kader van regelgeving zoals DORA en NIS2 moeten bedrijven in toenemende mate het beveiligingsniveau van hun leveranciers, partners en technologieleveranciers beoordelen en bewaken. Kwetsbaarheden die verband houden met derden worden nu beschouwd als een integraal onderdeel van de risico’s die eigen zijn aan de organisatie.
Bovendien zou een uniek Europees meldingsportaal de fragmentatie verder moeten verminderen, waardoor organisaties cyberincidenten en datalekken via één geharmoniseerd portaal kunnen melden in plaats van te moeten navigeren tussen verschillende parallelle regelingen.
Soevereiniteit krijgt een nieuwe status
Ook dit jaar zullen we zien dat soevereiniteit niet langer een abstract principe is. Het wordt opgenomen in bestekken en beïnvloedt rechtstreeks de technologische keuzes.
IT-directies en veiligheidsverantwoordelijken bekijken de waardeketen nu in zijn geheel: ontwerp van componenten, controle over de software, beheer van updates, schaalbaarheid van architecturen en de betrouwbaarheid van technologische partners. De vraag is niet langer alleen “wat maakt de oplossing mogelijk?”, maar “onder welke jurisdictie valt ze en aan welke afhankelijkheden stelt ze bloot?”.
In een internationale context die wordt gekenmerkt door de extraterritoriale toepassing van bepaalde wetgeving, wordt het beheer van gegevensstromen een strategische uitdaging.
In 2026 moeten multinationals rekening houden met gedetailleerdere richtlijnen, strengere eisen en een bredere toepassing van de soevereiniteitsprincipes, zo verwacht François Vajda.
Een coherent gegevensbeheer en goede praktijken op het gebied van architectuur zullen dus essentieel zijn om aan deze eisen te voldoen zonder de operationele productiviteit in gevaar te brengen…
“Het goede nieuws? Naleving is nog nooit zo toegankelijk geweest. De tools bestaan, de goede praktijken zijn gedocumenteerd en de kosten van naleving zijn oneindig veel lager dan de kosten van een sanctie!”
