Blog – In de komende jaren zal een golf aan nieuwe regelgeving het cybersecurity- en ICT-beleid van organisaties sterk beïnvloeden. De EU heeft al meerdere wetten goedgekeurd, waaronder de CRA, NIS2, CER, Data Act en AI Act, en werkt aan aanvullende cloud- en certificeringskaders.
Vanaf 2026 worden deze regels concreet en afdwingbaar. Toezichthouders zullen expliciete eisen stellen en de volwassenheid van cybersecurity-, supply-chain- en weerbaarheidsprogramma’s beoordelen. Voor CISO’s en bedrijfsjuristen betekent dit dat compliance geen oefening meer is: organisaties moeten aantoonbaar beschikken over effectieve controles, robuuste incidentrespons en volwassen governance. Wie zich nu voorbereidt, staat sterker in een landschap met toenemende regeldruk.
De volgende voorspellingen schetsen de ontwikkelingen die in 2026 het meest bepalend zullen zijn.
1. Digitale soevereiniteit gaat verder dan datalokalisatie
Digitale soevereiniteit blijft het beleid in de EU, het VK en het Midden-Oosten sturen. Overheden leggen steeds meer nadruk op waar data worden opgeslagen, hoe die worden beheerd, wie toegang heeft en welke mate van nationale of regionale controle vereist is.
In de EU zullen soevereiniteitsoverwegingen zwaarder meewegen in cloudregelgeving, certificering en overheidsaanbestedingen, met name voor SOC-diensten en het gebruik van gevoelige data in vitale sectoren. Overheidsinkopers zullen naar verwachting expliciete soevereiniteitsscores hanteren, met directe gevolgen voor leveranciersselectie.
Ook in het Midden-Oosten worden eisen voor datalokalisatie verder aangescherpt. Soevereine clouds, lokale partnerships en regiospecifieke controles blijven cruciaal, inclusief lokaal sleutelbeheer, landspecifieke incidentrespons en dataresidentie per rechtsgebied. Voor internationaal actieve organisaties betekent dit strengere toepassing van soevereiniteitsprincipes, wat vraagt om consistente governance en doordachte ICT-architecturen.
2. Handhaving van CRA, NIS2 en cyberweerbaarheidskaders
In 2026 gaan in de EU zowel NIS2 als de Cyber Resilience Act de handhavingsfase in, ondersteund door geharmoniseerde standaarden. Organisaties moeten aantoonbaar voldoen aan veilige ontwikkelpraktijken, lifecycle-governance, logging en transparantie in de softwareketen. Lidstaten voeren actief toezicht, audits en sectorspecifieke eisen in, terwijl ook het VK wetgeving introduceert die grotendeels aansluit op NIS2.
Vooral vitale sectoren zoals energie, transport, zorg, financiële dienstverlening, telecom en water komen onder intensiever toezicht te staan. NIS2 en de CER-richtlijn worden nauwer op elkaar afgestemd, met meer aandacht voor afhankelijkheden van derden en aantoonbare operationele veerkracht.
3. Geopolitiek beïnvloedt technologie- en leverancierskeuzes
Geopolitieke spanningen blijven het digitale en cyberbeleid sterk beïnvloeden. Overheden scherpen exportcontroles, sancties, leveranciersbeperkingen en regels rond technologieverwerving aan, met impact op cloud, halfgeleiders, telecom en AI.
Ook toezicht op buitenlandse investeringen neemt toe, waarbij internationale overnames in ICT- en infrastructuursectoren strenger worden beoordeeld. Voor internationaal actieve organisaties betekent dit dat leverancierskeuzes steeds vaker worden afgewogen tegen geopolitieke en veiligheidscriteria, wat nauwere samenwerking vereist tussen inkoop, cybersecurity en bestuur.
4. AI-governance en cybersecurity vloeien samen
In 2026 zal de EU AI Act merkbaar invloed hebben op de ontwikkeling, inzet en monitoring van AI-systemen. Hoewel onderdelen mogelijk worden aangepast of vertraagd ingevoerd, blijven organisaties – vooral in vitale sectoren – onder verscherpt toezicht staan.
Omdat AI-risico’s nauw samenhangen met cybersecurity, databescherming en operationele weerbaarheid, krijgen CISO’s hierin een sleutelrol. AI-governance moet worden geïntegreerd in bestaande security-, supply-chain- en incidentresponskaders, terwijl juridische teams zorgen voor afstemming met onder meer CRA, NIS2 en databeschermingsregels.
Wat kunnen CISO’s en bedrijfsjuristen doen?
Om succesvol om te gaan met het regelgevingslandschap van 2026, moeten CISO’s en bedrijfsjuristen inzetten op één geïntegreerd regelgevingsprogramma waarin CRA, NIS2, sectorale vereisten, AI-governance en nationale regels samenkomen binnen één operationeel kader. Datasoevereiniteit en datalokalisatie moeten daarbij vroegtijdig als architectuurkeuzes worden meegenomen, ondersteund door een volledige inventarisatie en classificatie van data.
Daarnaast is voorbereiding op audits en bewijsverzoeken essentieel, met robuuste documentatie rond beveiligingsmaatregelen, ontwikkelpraktijken, incidentrespons en leveranciersbeheer. Het volwassenheidsniveau van governance werkt daarbij niet alleen door in toezicht en aanbestedingen, maar ook in verzekerbaarheid: organisaties die hun risico’s en compliance niet aantoonbaar op orde hebben, krijgen te maken met hogere premies of beperktere dekking.
2026 markeert daarmee de overgang van voorbereiding naar handhaving. Organisaties die nu gestructureerde programma’s opzetten, creëren duidelijkheid en veerkracht. Wie afwacht, krijgt in korte tijd te maken met audits, aanbestedingseisen en druk vanuit toezichthouders en verzekeraars tegelijk.
Auteur: Alessandro Liotta, regulatory affairs lead Europe bij Fortinet
