Voor het eerst in de geschiedenis van het internet zijn machines in de meerderheid. Geautomatiseerd verkeer heeft het menselijke verkeer ingehaald, en dat verandert de rekensom voor iedereen die een website, webshop of online dienst beheert. De jaarlijkse IG&H CISO Pulse vertaalt die verschuiving naar harde budgetkeuzes: tachtig procent van de ondervraagde securityleiders trekt extra geld uit voor monitoring. Voor jouw bedrijf is dat geen ver-van-mijn-bed-cijfer, maar een signaal over waar de kosten en risico's de komende jaren komen te liggen.
Bots zijn nu de meerderheid op het web
Cloudflare meet het live: 57,5 procent van alle verzoeken naar webpagina's komt inmiddels van bots, tegen 42,5 procent van mensen. CEO Matthew Prince had die kruising pas tegen eind 2027 verwacht; ze gebeurde ruim anderhalf jaar eerder. De motor erachter is niet de oude golf scrapers, maar agentic AI: software-agents die taken namens gebruikers uitvoeren. Prince vatte het verschil samen met een voorbeeld: wie zelf een camera zoekt bezoekt vijf sites, de agent die dat voor je doet bezoekt er vijfduizend.
De keerzijde is dat kwaadaardig en legitiem botverkeer steeds moeilijker uit elkaar te houden zijn. Het Bad Bot Report van Thales registreerde een toename van twaalfeneenhalf keer in AI-gedreven botaanvallen over 2025, en classificeert veertig procent van al het internetverkeer als kwaadaardige bots. Het oude onderscheid 'bot of mens' werkt niet meer, en de securitytooling die op dat binaire model is gebouwd loopt achter de feiten aan.
Wat de IG&H CISO Pulse laat zien
De IG&H CISO Pulse peilde 27 CISO's en cybersecurityleiders uit de zorg, financiële dienstverlening, retail en IT over hun prioriteiten en investeringen voor 2026. Het beeld is eenduidig: organisaties zien hun aanvalsoppervlak groeien door autonome agents, agentic AI en grootschalige automatisering, en reageren met geld. Tachtig procent investeert extra in monitoring, cloud-security en threat exposure management; vijfenzestig procent steekt geld in mensen en securitycultuur.
De grootste blinde vlekken zitten volgens het onderzoek in cloudomgevingen, SaaS-ketens en identiteitsstromen: precies de plekken waar je het zicht het snelst kwijtraakt. Opvallend is waar de leiders het grootste risico zien. Niet buiten de muren, maar binnen: in ongecontroleerde, te snelle AI-adoptie. Het echte gevaar ontstaat zodra een organisatie AI sneller uitrolt dan de governance kan bijbenen, een spanning die securityteams nu dagelijks voelen tussen de business die AI wil inzetten en een compliancefundament dat nog niet af is. Op de prioriteitenlijst staan dan ook regelgeving (NIS2, DORA, AI Act) en AI-governance bovenaan.
Van incidentpreventie naar machinegedreven risico
De rode draad is een verschuiving in wat het werk van een securityverantwoordelijke eigenlijk is. Niet langer vooral incidenten voorkomen, maar continu veranderende, machinegedreven risico's beheersen. Dat klinkt abstract, maar het is heel concreet: als meer dan de helft van je verkeer geautomatiseerd is en kwaadaardige agents zich gedragen als legitieme, dan is zien wat er gebeurt belangrijker dan ooit. Monitoring is geen luxe meer, het is de basisvoorwaarde om überhaupt nog te weten wat zich op je systemen afspeelt.
Die urgentie staat niet op zichzelf. Ze sluit aan op de waarschuwing van de Five Eyes-spionagediensten dat grootschalige AI-hackaanvallen nog maanden in plaats van jaren van ons verwijderd zijn. De dreiging verschuift van een verre mogelijkheid naar een planningshorizon van dit jaar.
Wat dit betekent voor jouw bedrijf
Je hoeft geen beursgenoteerde multinational te zijn om hier last van te hebben. Een webshop, een boekingssysteem of een klantportaal krijgt hetzelfde botverkeer over zich heen, en betaalt mee in serverlast, vervuilde statistieken en fraudepogingen. Drie dingen zijn nu het verschil tussen grip en blind sturen.
Eerst de basis. Het overgrote deel van de geautomatiseerde aanvallen mikt nog steeds op zwakke fundamenten, en die vijf beveiligingslagen kun je als ondernemer zelf nalopen zonder een eigen securityafdeling. Daarna het zicht: zorg dat je weet welke systemen, cloud-diensten en identiteiten met elkaar praten, want dat is waar de IG&H-leiders hun grootste blinde vlekken melden. En wie zich op NIS2 voorbereidt, houdt er rekening mee dat het kabinet waarschuwt dat de Europese vereenvoudiging van NIS2 juist meer certificeringslast kan opleveren, geen lichtere.
Zet je zelf AI-agents in om werk over te nemen, geef ze dan dezelfde behandeling als elk ander verkeer. AI-agents monitoren met logging, budgetlimieten en kill-switches maakt het verschil tussen een agent die werk uit handen neemt en een agent die ongezien fouten of kosten opstapelt.
De cijfers vertellen één verhaal: het web is niet langer gebouwd voor de meerderheid van zijn gebruikers. Dat is geen reden voor paniek, maar wel voor een nuchtere keuze. Monitoring is geen kostenpost die je er nog even bij neemt, het is de manier waarop je blijft zien wat er gebeurt op een internet dat voor meer dan de helft uit machines bestaat. Wie dat inzicht mist, stuurt blind.
Veelgestelde vragen
Grip op je digitale verkeer
Of het nu om bots, integraties of je eigen AI-agents gaat: ik help je end-to-end van meedenken en ontwerp tot bouwen en automatiseren, met monitoring en security ingebouwd in plaats van eraan vastgeplakt, self-hosted waar dat kan. Zo houd je zicht op wat er echt op je systemen gebeurt.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
