Geopolitiek strijdtoneel verplaatst zich naar de digitale arena

Het rapport, dat vandaag is verschenen, schetst een wereld waarin overheden cybercapaciteiten niet langer alleen gebruiken ter verdediging, maar als strategisch instrument voor economische macht en afschrikking. "Cyberbeleid is een verlengstuk geworden van geopolitiek," stelt Katharina Sommer van NCC Group.

De drie pijlers van de nieuwe cyberorde

Het rapport identificeert drie fundamentele verschuivingen die het landschap in 2026 bepalen:

1. Digitale Soevereiniteit: Overheden eisen steeds vaker volledige controle op over data, cloudinfrastructuur en toeleveringsketens. Bij gebrek aan een internationaal kader leidt dit tot een gefragmenteerd landschap waar landen hun eigen digitale grenzen optrekken.
2. AI-Security via omwegen: In plaats van uitsluitend nieuwe AI-wetten te maken, dwingen toezichthouders AI-veiligheid af via bestaande cyberwetgeving. Hierdoor worden organisaties directer verantwoordelijk voor de risico’s van de algoritmen die zij gebruiken.
3. Verantwoordelijkheid in de Boardroom: De tijd dat cybersecurity een taak voor de IT-afdeling was, is definitief voorbij. Toezichthouders leggen de persoonlijke verantwoordelijkheid nu bij de C-suite en het senior leiderschap.

De aanval als verdediging

Een opvallende trend is de verschuiving naar offensieve cyberoperaties. Landen als de Verenigde Staten, maar ook Nederland en andere Europese landen, komen tot de conclusie dat alleen verdedigen niet meer volstaat. Offensieve capaciteiten—het actief verstoren van tegenstanders—worden een kernonderdeel van de nationale veiligheidsstrategie.

Recente operaties gericht tegen landen als Iran laten zien dat cyber inmiddels volledig is geïntegreerd in de militaire strategie. Deze "machtsprojectie" in cyberspace verhoogt echter de druk op de private sector en vergroot de kans op escalatie.

Complexiteit voor het bedrijfsleven

Voor internationaal opererende organisaties is deze ontwikkeling een hoofdpijndossier. Met de inwerkingtreding en handhaving van kaders zoals NIS2, DORA, de EU Cyber Resilience Act en de AI Act, moeten bedrijven aan steeds strengere en soms conflicterende eisen voldoen.

Organisaties worden geadviseerd om proactief te handelen. Volgens Sommer moeten bestuurders niet alleen begrijpen wat de regels zijn, maar ook bepalen hoe zij zich opstellen wanneer overheden om samenwerking vragen in het kader van nationale veiligheid. "Organisaties die cybersecurity stevig op bestuursniveau verankeren, zijn het best voorbereid op dit gefragmenteerde landschap," aldus de onderzoekers.

Het Global Cyber Policy Radar rapport benadrukt dat cyberrisico’s, geopolitiek en regelgeving in 2026 onlosmakelijk met elkaar verbonden zijn. Governance is daarmee een strategische prioriteit geworden voor elke directie.