Amsterdam,
12 mei 2026 - CyberArk, een bedrijf van
Palo Alto Networks en wereldwijd leider in
cybersecurity, heeft het
Identity Security Landscape Report 2026
gepubliceerd waaruit blijkt dat 80% van de organisaties in EMEA in de
afgelopen 12 maanden te maken had met ten minste drie succesvolle
identiteitgerelateerde datalekken. Uit dit onderzoek blijkt dat het
aanvalsoppervlak verder toeneemt en risico’s worden vergroot door de
opkomst van agentische identiteiten.
De inzichten uit dit rapport vallen samen met de introductie van
Idira, het nieuwe identity security platform van Palo
Alto Networks. Met Idira positioneert het bedrijf identity als de derde
pijler binnen zijn platformstrategie, naast network en cloud security.
Het platform, dat voorheen bekend stond als CyberArk, richt zich op het
ontdekken, controleren en beheren van alle identiteiten binnen
organisaties, over gefragmenteerde systemen heen.
Uit het onderzoek blijkt dat machine-identiteiten in EMEA inmiddels 110
keer vaker voorkomen dan menselijke identiteiten, tegenover 83 keer in
2025. Ook in Nederland is deze verschuiving duidelijk zichtbaar: daar
zijn inmiddels 100 machine-identiteiten voor elke menselijke identiteit,
tegenover 74 in 2025. Deze stijging wordt gedreven door AI-gedreven
identiteiten, waarvan het aantal naar verwachting sneller zal groeien dan
zowel menselijke als machine-identiteiten. Organisaties in EMEA
verwachten in de komende 12 maanden een sterke toename van het aantal
identiteiten dat zij gebruiken, verdeeld over:
- Menselijke identiteiten: 64% verwacht groei in dit
segment; in Nederland is dat 60%.
- Machine-identiteiten: 84% verwacht groei in
dit segment; in Nederland ligt dit op 77%.
- AI-identiteiten: 87% verwacht groei in dit
segment; in Nederland gaat het om 85%.
De belangrijkste factoren achter de toename van het aantal
identiteiten in EMEA in de komende 12 maanden zijn: AI en LLM’s (50%
verwacht groei in dit domein), machine-identiteiten zoals IoT en bots
(47% verwacht groei) en de adoptie van meer cloudapplicaties (39%
verwacht groei). Nu digitale groei de toename van het personeelsbestand
voorbijstreeft als belangrijkste drijfveer, moeten organisaties hun
aanpak van identiteitsrisico herzien. Dit zorgt voor toenemende druk om
zichtbaarheid, controle en governance uit te breiden over een steeds
complexere mix van identiteiten.
Op enterprise-niveau zijn identiteitsbedreigingen inmiddels een
structureel onderdeel van de operatie geworden in plaats van op zichzelf
staande incidenten: 91% van de organisaties in EMEA heeft te maken gehad
met een identiteitsgerelateerd datalek. In Nederland ligt dit met 90%
vrijwel op hetzelfde niveau. Securityprofessionals erkennen dat de
complexiteit van identiteiten sneller toeneemt dan de mate waarin deze
beheerst kan worden. Zo is EMEA wereldwijd de slechtst voorbereide regio
op de
verwachte kortere levencycli van certificaten: 75%
van de organisaties heeft vernieuwing en monitoring nog niet volledig
geautomatiseerd over alle certificaatomgevingen. In Nederland gaat het om
71% van de organisaties. Deze gebrekkige automatisering vergroot de
operationele druk en leidt tot financiële risico’s en
beveiligingsrisico’s, met een verwachte impact van €213.262 per
organisatie in EMEA.
Andere belangrijke inzichten uit het onderzoek:
- In
EMEA heeft gemiddeld bijna twee op de vijf AI agents (38%) en
machine-identiteiten (38%) toegang tot organisatiegegevens,
waaronder mogelijk gevoelige informatie zoals financiële data of
bedrijfskritische systemen.
- Slechts
een minderheid van de organisaties in EMEA past gedragsmonitoring en
het intrekken van credentials toe voor autonome AI agents
(respectievelijk 43% en 37%), conversational AI agents (41% en 34%)
en GenAI agents (38% en 35%).
- Een
ruime meerderheid (82%) van de respondenten in EMEA geeft aan dat
gefragmenteerde identity-systemen en -tools hun vermogen om
identiteitgerelateerde dreigingen te detecteren en erop te reageren,
belemmeren of vertragen. In Nederland ligt dit aandeel zelfs op 85%,
met gemiddeld 12 uur extra responstijd als gevolg van
fragmentatie.
- Een
aanzienlijk deel van de organisaties in Nederland heeft kritieke
processen, zoals certificate lifecycle management, nog niet volledig
geautomatiseerd (71%).
- In
Nederland heeft bijna de helft van de identiteiten meer toegang dan
ze eigenlijk nodig hebben(gemiddeld 43%), wat wijst op structurele
overprovisioning.
- In
Nederland verloopt 61% van de privileged access requests nog niet
via just-in-time- of zero standing privilege-principes, waardoor
organisaties onnodig langlopende toegangsrechten behouden.
Renske
Galema, Area VP Northern Europe, Identity Security bij Palo Alto Networks
zegt: “De sterke
toename van machine-identiteiten markeert een fundamentele verschuiving
in het aanvalsoppervlak van organisaties. Nu verwacht wordt dat
AI-gedreven identiteiten het komende jaar verder versneld toenemen,
worden organisaties geconfronteerd met een realiteit waarin de
complexiteit van identiteiten de traditionele beveiligingsmaatregelen
snel overstijgt.
Het feit dat 91% van de organisaties in EMEA te maken heeft gehad met een
identiteitsgerelateerd datalek, onderstreept dat securityleiders verder
moeten kijken dan handmatige processen naarmate AI agents meer toegang
krijgen tot gevoelige data. Om deze kloof te dichten, moeten organisaties
inzetten op end-to-end automatisering en geïntegreerde governance, anders
zullen de risico’s van het groeiende aantal AI- en machine-identiteiten
alleen maar verder toenemen.”