“Wat als u tot het besef komt dat een hacker niet langer een jongen in een hoodie in een kelder is, maar de digitale soldaat van een soevereine hacking natie – die met behulp van AI en proxies uw bedrijfsgegevens binnendringt?”
In de steeds dichter wordende mist van cyberoorlogvoering weerklinkt een beklemmende waarheid in directiekamers, datacenters en ministeries: veerkracht is niet langer optioneel, maar existentieel. Zoals blijkt uit het ENISA Threat Landscape 2025, vervaagt de grens tussen staatsaanvallen, cybercriminaliteit en digitale sabotage zo snel dat regelgeving zoals NIS2 wellicht de laatste solide basis is voor de EU voordat het tij keert.
En vergis u niet: De tijd tikt in het voordeel van de hackers– de compliance aanval is uw enige verdediging.
De nieuwe dreigingsgeometrie: convergentie, automatisering, industrialisatie
Drie tektonische verschuivingen schudden het cyberrisicobeeld van Europa door elkaar:
1. Convergentie
Door de duistere buitenlandse overheden gesponsorde digitale aanvallers doen zich voor als cybercriminelen. Hacktivisten werken bij als ransomwarebendes. Spionage, sabotage en afpersing gebeurt met de beste gedeelde infrastructuur, tools en aanvalsplannen.
Van het Russische Sandworm tot het Noord-Koreaanse Kimsuky: zelfs ‘onafhankelijke’ ransomware-operators veranderen in proxy-strijders – bewapend voor geopolitieke ontwrichting.
2. Automatisering
AI is de grote enabler. Eind 2024 was 80% van de phishing-e-mails gegenereerd door AI. Deepfake-stemfraude, QR-gebaseerde sessiekaping en LLM-aangedreven malware-engineering worden nu op grote schaal gecommercialiseerd.
Tegenstanders gebruiken WormGPT, FraudGPT en zelfs op zichzelf staande kwaadaardige AI’s zoals Xanthorox om spearphishing te ontwikkelen en social engineering te automatiseren, waardoor traditionele SOC-playbooks achterhaald zijn.
3. Industrialisatie
Aanvallen worden niet meer uit hobby gedaan. Het darkweb biedt hacking tools aan met een maandprijs inclusief support,ze zijn modulair en worden als product aangeboden.
- Phishing-as-a-Service (PhaaS) levert nu Netflix-achtige toolkits voor laaggeschoolde criminelen.
- Supply chain-aanvallen op npm, Chrome-extensies en cloud-API’s richten zich niet alleen op één bedrijf, maar op iedereen binnen het bereik.
- Zero-day-exploitatie komt nu vaak voor en treft zelfs de kerninfrastructuur (Juniper, Cisco, Qualcomm, Microsoft Copilot, enz.).
Op het dark web wordt geen malware code meer verkocht. Er worden hacking operations-as-a-service verkocht.
Wat dit betekent voor de veerkracht van NIS2
NIS2-verplichtingen zijn niet langer checklists. Het zijn overlevingshandboeken. Maar de kloof tussen naleving en capaciteit wordt gevaarlijk groot.
Dit zijn de punten waarop organisaties onmiddellijk actie moeten ondernemen:
1. Volledig spectrum van asset discovery en afhankelijkheidsmapping
Als u niet weet wat er in uw ecosysteem zit – uw software-repositories, API’s van derden, browserplugins – bent u niet veerkrachtig. U bent blind.
De “geheime wildgroei” in GitHub en cloudrepositories steeg in 2024 met 25%. Compromittering van de toeleveringsketen is niet langer zeldzaam – het is een strategie.enisa-rapport 2025
2. AI-verbeterde dreigingsdetectie
Op handtekeningen gebaseerde verdedigingsmechanismen bieden geen bescherming tegen polymorfe malware of spraakgestuurde vishing. Detectie moet gedragsgericht, contextbewust en geautomatiseerd zijn.
ENISA beveelt aan om capaciteiten op te bouwen voor proactieve dreigingsdetectie, niet alleen voor logboekanalyse.
3. Operationaliseer risico’s Integreer cyberrisico’s in de kern van uw bedrijfsplanning – niet als mitigatie na een inbreuk, maar als continue monitoring van uw beveiligingsstatus.
Gebruik red team-simulaties, tabletop-oefeningen en risicobeoordelingen door derden om te voldoen aan de verplichtingen van artikel 21 van de NIS2-richtlijn inzake risicobeheer.
4. Cyber-fysiek bewustzijn
Aanvallen zoals ‘nearest-neighbour Wi-Fi’-inbreuken, het misbruiken van Android-kwetsbaarheden via apparaten die op het slagveld zijn verzameld en het misbruiken van SS7/Diameter-protocollen omzeilen de traditionele beveiliging volledig.
Kritieke sectoren – transport, energie, gezondheidszorg – moeten hun risicobeoordelingen uitbreiden met niet-IT-vectoren.
5. Echte grensoverschrijdende samenwerking
Het gebruik van EU-infrastructuur als command-and-control-hosts neemt sterk toe. Hetzelfde geldt voor het zich voordoen als EU-instellingen bij spearphishing. Zonder collectief situationeel bewustzijn blijft detectie gefragmenteerd en mislukt attributie.
De grote leugen: dat u tijd hebt om te reageren
In de wereld die ENISA schetst voor 2025-2026 is reactie geen mogelijke verdedigingsstrategie meer. Uw perimeter? Al doorbroken. Uw cloud-API? Al nagebootst of omgeleid. Uw vertrouwde leverancier? Al gecompromitteerd.
In 2026 is het dus niet alles om hackpogingen te verslaan, maar het enige dat telt.
Overzicht van bedreigingen:
Belangrijkste bedreigingsdomeinen en kwetsbaarheidsvectoren (% gebaseerd op ENISA-rapportage 2025)
| Bedreigingsdomein | Geschat aandeel van bedreigingsactiviteit | Opvallende technieken en trends |
| Phishing en het verzamelen van inloggegevens | ~22 | AI-verbeterde phishing, QR-code-phishing (quishing), PhaaS-kits zoals Darcula, Lucid, FlowerStorm enisa-rapport 2025 |
| Ransomware (incl. RaaS) | ~18 | Versleutelende malware, afpersing, dubbele afpersing, LockBit, FunkLocker en gepolitiseerde ransomware enisa-rapport 2025 |
| Misbruik van toeleveringsketens | ~15 | Gecompromitteerde npm-pakketten, Chrome/VPN-extensies, besmette AI-modelrepositories, CI/CD-pijplijninjecties enisa-rapport 2025 |
| Mobiel en IoT als doelwit | ~13 | Android RAT’s (Rafel, Medusa), SIM-protocol-exploits (SS7), IoT-botnets, telecom SS7/Diameter-aanvallen enisa-rapport 2025 |
| Datalekken en initiële toegang | ~12 | Marktplaatsverkopen, VPN- en RDP-blootstelling, groei van de IAB-economie, gelekte politie-/telecomgegevens enisa-rapport 2025 |
| AI-aangedreven bedreigingen | ~10 | WormGPT/FraudGPT, deepfakes, identiteitsfraude, malware van nep-AI-tools, besmette ML-modellen enisa-rapport 2025 |
| Hacktivisme / Door de staat gesteunde IO | ~8 | Nep-DDoS, werving via Telegram, misbruik van platforms, EU/NAVO-branding in phishingkitsenisa-rapport 2025 |
| In-memory malware & Anti-EDR | ~2 | EDRKillShifter, sandbox-ontwijking, anti-VM-payloads, alleen-geheugen-payloads (bijv. GRAPELOADER)enisa-rapport 2025 |
Opmerking: percentages zijn gebaseerd op gemelde gevallen, prevalentieanalyse van ENISA en ernst van de systemische impact.
OPROEP TOT ACTIE: “Verdedig de digitale rand van uw bedrijf voordat deze naar binnen klapt”
De klok tikt niet alleen, U kunt ze niet stoppen.
Organisaties die onder NIS2 vallen, moeten veerkracht niet als een afvinklijstje beschouwen, maar als een oefening in paraatheid voor echte situaties.
Dit is wat u moet doen vóór het tweede kwartaal van 2026:
1. Bouw AI-native verdedigingsmechanismen
- Implementeer gedragsanalyses die AI-gegenereerde phishing, polymorfe malware en deepfakes kunnen detecteren.
- Houd toezicht op LinkedIn-identiteitsfraude of LLM-misbruik gericht op werknemers.
- Blokkeer WormGPT niet alleen, maar simuleer de aanval ook in een bedrijfswijde oefening.
2. Automatiseer het opsporen van blootstelling
- Gebruik asset intelligence om cloud, schaduw-IT, GitHub-repositories en plug-ins van derden in kaart te brengen.
- Gebruik geautomatiseerde geheime scans en kwetsbaarheidsscores.
- Versterk uw AI-pijplijn: scan PyPI-, Conda- en GitHub Copilot-configuratiebestanden op achterdeurtjes.
3. Integreer dreigingsinformatie opvolging in het beheer
- Koppel dreigingsinformatie monitoring aan door NIS2 voorgeschreven risicoregisters.
- Houd briefings op directieniveau over ransomware-TTP’s.
- Verhoog de inzichten van uw CISO op het gebied van inkoop, juridische zaken en communicatie.
4. Vorm regionale coalities
- Wacht niet op Brussel.
- Bouw sectorale CERT-allianties op. Deel IOC’s met collega’s en lokale overheden.
- Simuleer grensoverschrijdende tabletop-incidenten met andere NIS2-entiteiten.
5. Bereid u voor op gecoördineerde multi-vectoraanvallen
- Ga ervan uit dat de tegenstander al initiële toegang heeft.
- Oefen scenario’s: valse EU-e-mails, hacks van telecomprotocollen, exfiltratie van cloudsleutels en gelijktijdige ransomware- en desinformatiecampagnes.
Afsluitende gedachten:
Veerkracht betekent niet dat je schade moet absorberen. Het betekent dat je overeind blijft wanneer de cyberorkaan toeslaat.
Met de handhaving van NIS2 houden de toezichthouders een oogje in het zeil. Maar wat nog belangrijker is: dat doen de aanvallers ook.
NIS2 gaat niet alleen over het aantonen van naleving. Het gaat over het bouwen van digitale oorlogskamers in vredestijd.
Als u wacht op de perfecte regelgevingsupdate voordat u actie onderneemt, is hier een reality check: de aanvallers wachten niet.
Lees het volledige rapport hier:
https://www.enisa.europa.eu/sites/default/files/2025-10/ENISA%20Threat%20Landscape%202025_0.pdf
