Nederland scoort te laag op digitale weerbaarheid

Nederland scoort te laag op digitale weerbaarheid

Nieuws
Software
Redactie WINMAG Pro

Het lijkt alsof dreiging overal vandaan komt. De VS, Rusland, of gewoon van eigen bodem; de cyberspace is alles behalve veilig. Bedrijven doen daar veel aan in Nederland, maar hoe weerbaar zijn we eigenlijk en waar liggen de belangrijkste verbeterpunten?

Foto: Designed by vectorpocket / Freepik

Uit het KPN-onderzoek Cyberweerbaar Nederland 2026 blijkt dat Nederlandse organisaties hun digitale weerbaarheid gemiddeld beoordelen met een 7,1. Dat lijkt geruststellend, maar dat cijfer verhult een belangrijk spanningsveld. Zo geeft 67 procent van de organisaties aan zich voorbereid te voelen op een cyberincident, terwijl slechts 28 procent structureel oefent met incidentrespons en crisismanagement.

Het verschil tussen gevoel en feitelijke paraatheid is daarmee aanzienlijk. Cyberweerbaarheid blijkt in de praktijk vaak afhankelijk van losse maatregelen, in plaats van een samenhangend geheel van beleid, technologie en gedrag.

Cyberweerbaarheid zit vooral op ‘basisniveau’

Om digitale weerbaarheid meetbaar te maken, werken de onderzoekers met een volwassenheidsmodel met vier niveaus: reactief, basis, strategisch en visionair. De meeste Nederlandse organisaties bevinden zich in de basisfase. Processen en verantwoordelijkheden zijn wel ingericht, maar nog niet volledig geïntegreerd in de organisatie of structureel verankerd in de bedrijfsvoering.

Met name op onderdelen als compliance, architectuur en crisisplanning scoren organisaties relatief beter. Tegelijkertijd blijven thema’s als securitymonitoring, budget & resources en het hebben van een duidelijke securityroadmap achter. Slechts 16 procent beschikt over een roadmap op directieniveau, terwijl juist daar prioritering en samenhang worden bepaald.

Governance en bewustzijn zijn doorslaggevend

Een terugkerend inzicht uit de interviews met CISO’s en CIO’s: cyberweerbaarheid is geen IT-feestje. Governance en organisatiebreed bewustzijn blijken randvoorwaarden, geen bijzaak. Pas wanneer verantwoordelijkheden helder zijn belegd en het bestuur actief betrokken is, ontstaat er ruimte voor structurele verbetering.

Organisaties waar security uitsluitend als technisch vraagstuk wordt gezien, blijven vaak hangen in reactieve maatregelen. Waar bestuur en directie eigenaarschap tonen, groeit cyberweerbaarheid uit tot een vast onderdeel van risicomanagement en strategische besluitvorming.

Blinde vlekken: ketenbeveiliging, monitoring en IAM

Het onderzoek maakt een aantal kwetsbare punten zichtbaar:
 

  • Ketenbeveiliging: slechts 23 procent van de organisaties heeft leveranciersrisico’s volwassen ingericht. Bijna één op de tien organisaties heeft zelfs geen volledig overzicht van leveranciers.
  • Identity & Access Management (IAM): 5 procent werkt nog zonder multifactor-authenticatie (MFA). Daarnaast heeft 39 procent MFA alleen op kritieke systemen, terwijl identiteitsmisbruik een veelvoorkomende aanvalsvector is.
  • Securitymonitoring: 33 procent van de organisaties heeft geen continu, organisatiebreed inzicht. Monitoring is vaak beperkt tot kernsystemen, terwijl aanvallen zich juist lateraal door netwerken bewegen.

Deze blinde vlekken maken duidelijk dat losse technische oplossingen onvoldoende zijn zonder samenhangende regie.

Investeringen nemen toe, maar blijven onder druk

Positief is dat 66 procent van de organisaties verwacht het securitybudget in 2026 te verhogen. Tegelijkertijd vindt 38 procent van de securityprofessionals dat de beschikbare middelen ontoereikend zijn. Investeringen gaan vooral naar monitoring & detectie, IAM, strategievorming en security awareness.

Die keuzes sluiten aan bij de ervaren risico’s, maar benadrukken ook dat cyberweerbaarheid geen eenmalige investering is. Het vraagt om continu bijsturen, evalueren en oefenen.

Zeven tips om digitale weerbaarheid te versterken

Voor organisaties die willen doorgroeien van ‘basis’ naar ‘strategisch’ niveau, zijn dit concrete aandachtspunten:

1. Zorg voor bestuurlijke verankering

Leg cyberweerbaarheid expliciet op directieniveau vast, inclusief prioriteiten, budget en mandaat voor de CISO.

2. Werk met een samenhangende securityroadmap

Koppel technologie, processen en menselijk gedrag aan duidelijke doelstellingen en meetmomenten.

3. Maak MFA en least privilege de norm

Richt identity & access management organisatiebreed in, zonder uitzonderingen die risico’s vergroten.

4. Oefen incidentrespons structureel

Een plan op papier is niet genoeg. Regelmatig oefenen onder realistische omstandigheden vergroot het crisisvermogen aantoonbaar.

5. Versterk ketenbeveiliging

Breng leveranciers en cloudafhankelijkheden in kaart en integreer ze in het risicomanagement.

6. Investeer in continue monitoring

Ga verder dan loggen alleen en zorg voor actieve opvolging en organisatiebreed inzicht.

7. Maak security onderdeel van dagelijks gedrag

Awareness en training zijn geen eenmalige campagnes, maar een doorlopend proces.

Van gevoel naar aantoonbare weerbaarheid

De digitale weerbaarheid in Nederland heeft een solide basis, maar echte volwassenheid vraagt om meer samenhang, eigenaarschap en oefening. Zolang zelfvertrouwen niet wordt ondersteund door aantoonbare processen en gedrag, blijft cyberweerbaarheid kwetsbaar.

Organisaties die governance, technologie en menselijk handelen structureel met elkaar verbinden, zijn beter voorbereid op een dreigingslandschap dat voortdurend in beweging is.

Lees meer

Wi-Fi 7 voor bedrijven: sneller, stabieler, schaalbaar
Wi-Fi 7 voor bedrijven: sneller, stabieler, schaalbaar
AWS lanceert AWS European Sovereign Cloud
AWS lanceert AWS European Sovereign Cloud
Datasoevereiniteit onder druk door slimme AI
Datasoevereiniteit onder druk door slimme AI
De Turing Test als toetssteen voor AI
De Turing Test als toetssteen voor AI
Lightspeed lanceert Lightspeed AI
Lightspeed lanceert Lightspeed AI
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie