Nederlandse organisaties geven hun digitale weerbaarheid gemiddeld een 7,1, maar schieten tekort op het gebied van dreigingsmonitoring, crisisoefeningen en ketenbeveiliging. Dat blijkt uit het onderzoek Cyberweerbaar Nederland 2026 van KPN onder meer dan 250 IT- en securityprofessionals uit grote organisaties in vitale sectoren.
Het onderzoek laat zien dat organisaties stappen zetten in het versterken van hun digitale weerbaarheid, maar dat belangrijke basismaatregelen nog niet overal structureel zijn ingericht. Met name in sectoren als energie, zorg, overheid en financiële dienstverlening kan uitval of verstoring directe gevolgen hebben voor essentiële diensten.
Volgens de onderzoekers bestaat er een verschil in perceptie tussen management en IT- en securityprofessionals. Waar het management de volwassenheid hoger inschat, signaleren professionals knelpunten in governance, securitymonitoring en crisisvoorbereiding. Gebrek aan duidelijk eigenaarschap en besluitvorming zorgt er volgens hen voor dat kwetsbaarheden blijven liggen en incidenten ad hoc worden aangepakt.
Het voldoen aan strengere Europese wet- en regelgeving wordt het vaakst genoemd als strategische prioriteit. Daarnaast besteden organisaties veel aandacht aan het veilig gebruik van AI, het vergroten van het bewustzijn onder medewerkers en het beveiligen van cloudomgevingen en toegangsbeheer. Het onderzoek laat zien dat AI al breed wordt toegepast, terwijl verantwoordelijkheden, monitoring en besluitvorming daarover nog niet altijd zijn vastgelegd.
In de dagelijkse praktijk zien professionals meerdere risico’s terugkomen. Menselijk gedrag speelt daarbij een grote rol, zoals onveilig klikgedrag en beperkt risicobesef, mede doordat training en opvolging niet altijd structureel zijn geregeld. Ook het gebruik van AI brengt nieuwe risico’s met zich mee, waaronder ongecontroleerd gebruik van tools en mogelijke datalekken. Verder blijkt dat veel organisaties beperkt zicht hebben op leveranciers en SaaS-diensten, waardoor ketenrisico’s onvoldoende worden beheerst. Verouderde systemen, ongeautoriseerde tools en onduidelijke rolverdelingen vergroten het aanvalsoppervlak.
Op het gebied van voorbereiding en signalering blijven organisaties eveneens achter. Een derde monitort digitale dreigingen onvoldoende of slechts op basaal niveau, waardoor incidenten vaak laat worden ontdekt. Daarnaast oefent 30 procent nooit of nauwelijks met cyberincidenten, terwijl een meerderheid aangeeft zich wel voorbereid te voelen.
Het onderzoek wijst erop dat verdere verbetering vooral zit in het concreet organiseren van de basis. Organisaties die vooruitgang boeken, richten zich op structureel toegangsbeheer, tijdige updates en continue monitoring, en betrekken leveranciers daarbij nadrukkelijk. Regelmatig oefenen met realistische scenario’s en duidelijke bestuurlijke betrokkenheid blijken daarbij bepalend. Structurele cyberweerbaarheid vraagt volgens de respondenten om blijvende investeringen. Ruim een derde geeft aan dat het huidige securitybudget onvoldoende is, terwijl twee derde verwacht dat dit budget in de komende periode zal toenemen.
