cyberrisico in 2026: waarom leiderschap – niet technologie – het verschil zal maken
10.01.2026

cyberrisico in 2026: waarom leiderschap – niet technologie – het verschil zal maken

jarenlang leefde cyberrisico comfortabel binnen IT-afdelingen, dashboards en technische frameworks. het werd opgevolgd, gedelegeerd en – te vaak – als “onder controle” beschouwd.

2025 maakte één ding pijnlijk duidelijk: dat model werkt niet langer, zoals herhaaldelijk wordt benadrukt in internationale risico-analyses, waaronder die van het World Economic Forum.

in 2026 is cyberrisico een leiderschapskwestie geworden. niet omdat technologie faalde, maar omdat besluitvorming onder druk dat deed.

'wat we zien is dat cyberincidenten zelden in de eerste plaats een technologisch falen zijn. ze maken duidelijk waar governance, ownership en besluitvorming op bestuursniveau tekortschieten' - jacques m.l.m. wyckaert
cyberrisico staat vandaag op de bestuurstafel

cyberincidenten staan vandaag zelden op zichzelf.
ze bevinden zich op het kruispunt van:

  • bedrijfscontinuïteit
  • regelgevend en juridisch risico
  • kritieke externe partners en toeleveranciers
  • afhankelijkheid van derden
  • reputatie en vertrouwen
  • geopolitiek
  • en steeds vaker: verzekeringen en aansprakelijkheid

geavanceerde ransomware, AI-gedreven aanvallen en steeds kortere meldingsdeadlines dwingen organisaties tot snelle actie – vaak op basis van onvolledige informatie. wanneer het misloopt, concluderen onderzoeken zelden dat “technologie als eerste faalde”. veel vaker leggen ze tekortkomingen bloot in governance, ownership en escalatie, waaronder onduidelijke bevoegdheden rond meldingen, disclosure, crisiscommunicatie en het inschakelen van verzekeraars.

de meest weerbare organisaties zijn niet die met volledige controle of perfecte informatie, maar die met duidelijke beslissingslijnen onder onzekerheid.

van bewustzijn naar ownership
van bewustzijn naar ownership

cyberveerkracht in 2026 vraagt van raden van bestuur en directieteams dat ze verder gaan dan bewustzijn en echte verantwoordelijkheid opnemen. dat begint met ongemakkelijke maar noodzakelijke vragen:

  • wie heeft beslissingsbevoegdheid wanneer zich een incident voordoet?
  • wie kan operaties stilleggen, communicatie goedkeuren, toezichthouders informeren of verzekeraars inschakelen – en onder welke voorwaarden?
  • welke cyberrisico’s nemen we bewust zelf, en welke dragen we doelgericht over via verzekering of andere structuren?

cyberverzekeringen kunnen de financiële impact afdekken, maar governance blijft verantwoordelijk voor beslissingen, timing en aansprakelijkheid.

cyberrisico kan niet worden geëlimineerd, uitbesteed of “wegverzekerd”.
het moet worden bestuurd.

NIS2: geen technische regelgeving, maar een governance-verplichting

voor veel organisaties – ook met hoofdzetel buiten Europa – is de Europese NIS2-richtlijn een wake-upcall.

NIS2 introduceert geen nieuw type cyberrisico. ze formaliseert een bestaand risico en maakt verantwoordelijkheid expliciet op bestuursniveau. de impact is bovendien extraterritoriaal: organisaties met EU-dochterondernemingen, kritieke leveranciers of operationele rollen kunnen binnen het toepassingsgebied vallen, afhankelijk van hun functie, sector en kriticiteit, ongeacht waar hun hoofdzetel of bestuur zich bevindt.

onder NIS2 wordt van raden van bestuur verwacht dat zij:

  • hun cyberrisicoblootstelling begrijpen
  • toezicht houden op mitigatie- en escalatieprocessen
  • worden opgeleid in cyber governance
  • en tijdsgebonden beslissingen nemen onder regelgevende druk
  • zorgen voor afstemming tussen cyber governance en de verzekeringsstrategie

gebrek aan toezicht en voorbereiding wordt steeds moeilijker te verantwoorden. 
cyberverantwoordelijkheid ligt vandaag duidelijk aan de top.

'verzekering speelt een rol in cyber governance – maar alleen wanneer rollen, verantwoordelijkheden en beslissingsbevoegdheden vooraf helder zijn vastgelegd.'
hoe effectieve cyber governance er in de praktijk uitziet

vanuit leiderschaps- en risicoperspectief doen organisaties die zich voorbereiden op 2026 er goed aan te focussen op besluitvaardigheid, niet op technische perfectie:

  • breng cyberblootstelling op groepsniveau in kaart, incl. dochterondernemingen, leveranciers en uitbestede diensten
  • test leiderschapsbeslissingen – niet alleen systemen – via scenario-oefeningen
  • stem crisisbesluitvorming af op wettelijke meldingsdeadlines
  • toets aannames rond cyberverzekeringen via incident- en claimsimulaties
  • integreer cyberverzekeringen in de governance, met een duidelijk onderscheid tussen risicobehoud en risico-overdracht
de strategische implicatie
de strategische implicatie

cyberrisico is geen compliance-oefening meer, noch een regionaal probleem dat kan worden “doorgeschoven naar Europa”. het is een globale governance-uitdaging die het beoordelingsvermogen van bestuurders onder druk zet.

besturen die cyberrisico blijven benaderen als een louter technisch of compliancevraagstuk, zullen het moeilijk krijgen. wie het ziet als een leiderschapsdiscipline, bouwt veerkracht, geloofwaardigheid en strategisch voordeel op.

bij mawyc insurance zien we deze verschuiving dagelijks in gesprekken met internationale organisaties over cyber, D&O en bredere operationele risico’s. cyberverzekeringen, regelgeving en technologie zijn belangrijk — maar geen van allen kan duidelijke governance en geïnformeerde besluitvorming vervangen.

in 2026 zal cyberrisico niet worden opgelost met betere tools.
het zal worden bepaald door beter leiderschap.

 

source inspiration: Cybersecurity as a leadership imperative in 2026 by Andrea García Beltrán

contact & vragen

heeft u vragen? 
neem gerust contact op met uw vertrouwde contactpersoon voor verdere toelichting of specifieke vragen over risicoanalyse of preventieadvies, of neem contact met ons op via de onderstaande contactgegevens.

t. +32 (0)9 223 35 42
e. insurance@mawyc.be   

jacques m.l.m. wyckaert
jacques m.l.m. wyckaert
for four generations our company has been providing risk, prevention- and insurance services to families and corporates.