Nederlandse overheid kwetsbaarder dan gedacht

Veel organisaties binnen de Rijksoverheid voldoen niet aan de informatiebeveiligingsrichtlijn die ze zelf voorschrijven. Dat concludeert het NCTV in het Cybersecuritybeeld Nederland 2025 dat eind november gepresenteerd werd.

De NCTV publiceert het Cybersecuritybeeld jaarlijks en brengt daarin de stand van zaken in kaart op het gebied van digitale dreiging en weerbaarheid. Voor deze editie analyseerde de coördinator incidenten en ontwikkelingen tussen juli 2024 en augustus 2025, gebruikmakend van informatie van overheidsdiensten, organisaties in vitale processen en cybersecuritypartners. De conclusies zijn niet mals.

Meerdere incidenten bij Nederlandse slachtoffers tonen aan dat de cybersecuritymaatregelen bij veel organisaties binnen de Rijksoverheid al langere tijd ontoereikend zijn. Ondanks diverse verbetertrajecten zijn deze organisaties vaak niet in staat aanvallen zelfstandig te detecteren en mitigeren. Het gebrek aan adequate beveiliging zorgt voor een vals gevoel van veiligheid. “Het is simpelweg onmogelijk om te concluderen dat overheidsorganisaties op dit moment niet zijn gecompromitteerd,” aldus het rapport.

Die conclusie is extra zorgelijk omdat het dreigingslandschap tegelijkertijd complexer wordt. Statelijke actoren uit Rusland, China, Iran en Noord-Korea zijn actief tegen Nederlandse belangen. Geopolitieke onrust maakt digitale afhankelijkheden risicovol die dat eerder niet waren. En generatieve AI verlaagt de drempel voor aanvallen aanzienlijk.

Meerdere incidenten

Het dreigingslandschap is de afgelopen jaren aanzienlijk complexer geworden. Tussen juli 2024 en augustus 2025 vonden meerdere grote incidenten plaats. De Chinese statelijke actor Salt Typhoon compromitteerde telecombedrijven wereldwijd, waaronder Nederlandse providers. De Russische groep Laundry Bear viel de Nationale Politie aan. Noord-Koreaanse hackers maakten digitale valuta buit bij Nederlandse organisaties. Nederland werd voor het eerst slachtoffer van cybersabotage door een Russische staatsgesteunde groepering.

Daarnaast zorgden DDoS-aanvallen voor verstoringen bij DigiD, Adyen en SURF. Bij een ransomware-aanval op laboratorium Clinical Diagnostics in Rijswijk lekten gevoelige persoonsgegevens en patiëntendossiers van 850.000 mensen, waaronder deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker. De verscheidenheid aan incidenten – van statelijke actoren tot cybercriminelen, van spionage tot sabotage – laat zien hoe divers de dreiging is geworden. Die ontwikkeling is al langer gaande, maar de afgelopen periode manifesteerde de ernst zich steeds nadrukkelijker.

Drie factoren die het complex maken

Volgens het NCTV spelen drie ontwikkelingen een rol in de toenemende complexiteit. De eerste is dat statelijke actoren hun cybercapaciteiten uitbreiden en daarbij samenwerken met niet-statelijke partijen. De grens tussen staatsactoren en private hackers vervaagt, wat het moeilijker maakt aanvallen te traceren. Waar cybercriminelen doorgaans opereren voor direct financieel gewin, blijven statelijke actoren vaak jarenlang onopgemerkt in systemen om te spioneren, informatie te verzamelen en sabotage voor te bereiden.

Ten tweede maakt de veranderende geopolitieke situatie digitale afhankelijkheden risicovol. Nederland is voor cruciale digitale processen afhankelijk van een beperkt aantal grote Amerikaanse techbedrijven. Ongeveer 70 tot 80 procent van de Europese cloudmarkt is in handen van Amerikaanse spelers. Die afhankelijkheid is problematisch wanneer geopolitieke verhoudingen verschuiven.

De Amerikaanse CLOUD Act stelt federale autoriteiten in staat data op te vragen bij Amerikaanse bedrijven, ook wanneer deze data op Europese servers staat. Microsoft erkende dat het door deze wetgeving niet kan garanderen Europese data binnen Europa te houden. Daarnaast kan uitval bij één grote aanbieder wereldwijde gevolgen hebben, zoals de CrowdStrike-storing in juli 2024 aantoonde.

Organisaties binnen de Rijksoverheid houden volgens het rapport onvoldoende rekening met concentratierisico’s. Ze nemen digitale processen af van weinig leveranciers zonder gedegen risicoafwegingen op bestuursniveau. Die afhankelijkheid maakt organisaties kwetsbaar. Daarnaast ontbreken bij meerdere overheidsorganisaties adequate terugvalopties, waardoor uitval direct impact heeft.

De derde factor is generatieve AI, die bestaande dreigingen versterkt. Het gaat zowel om nieuwe aanvalsmethoden, maar AI zorgt er ook voor dat phishing-mails foutloos zijn in elke taal, dat malware geschreven kan worden zonder programmeerkennis, en dat aanvallen op grotere schaal uitgevoerd kunnen worden. Voor statelijke actoren is de inzet van AI voor beïnvloedingsoperaties relevant. De AIVD en MIVD waarschuwden eerder al dat operationele inzet van AI de capaciteiten voor digitale beïnvloedingsoperaties aanzienlijk vergroot, waardoor het complexer wordt deze te herkennen en te ontkrachten.

Oplossing is voorhanden

De paradox is dat de oplossing er voor een groot deel van deze dreigingen al is. De vijf basisprincipes van digitale weerbaarheid – zoals het actueel houden van software, multifactorauthenticatie, back-ups, netwerksegmentatie en incident response – vormen een effectieve verdediging tegen het merendeel van de aanvallen. Veel cyberincidenten vinden namelijk hun oorzaak in het niet op orde hebben van ‘digitale basishygiëne’.

Maar juist daar knelt de schoen. Het NCTV-rapport is er niet mis te verstaan over: de cybersecuritymaatregelen bij veel organisaties binnen de Rijksoverheid zijn al langere tijd ontoereikend. Ondanks diverse projecten en verbetertrajecten zijn organisaties vaak niet in staat aanvallen zelfstandig te detecteren en mitigeren. Veel overheidsorganisaties voldoen niet aan de informatiebeveiligingsrichtlijnen die de Rijksoverheid zelf voorschrijft.

Dat gebrek aan cybersecurity zorgt voor een vals gevoel van veiligheid. Je kunt niet zeggen dat je veilig bent als je niet eens kunt vaststellen of je gecompromitteerd bent. Daarnaast blijkt dat de afhankelijkheid van externe digitale dienstverleners en de mogelijke risico’s daarvan onvoldoende worden afgewogen. Juist in de huidige geopolitieke context, waarin landen scherper hun eigen belangen afwegen, kan die nonchalance problematisch worden.

Forse stappen noodzakelijk

Volgens het NCTV ligt de uitdaging niet in het ontwikkelen van nieuwe verdedigingsmechanismen, maar in het toepassen van bestaande kennis. De digitale basisprincipes van het NCSC en het DTC vormen een effectieve barrière tegen een groot deel van de cyberaanvallen. Voor organisaties betekent dit dat basishygiëne voorrang moet krijgen boven het focussen op het complexe dreigingslandschap.

Een cruciaal onderdeel van die basisprincipes is voorbereiding op incidenten: de veerkracht en het herstelvermogen wanneer een aanval zich voordoet. Op dit gebied constateerde het NCTV tekortkomingen. Meerdere overheidsorganisaties beschikken niet over succesvolle terugvalopties, blijkt uit het Cybersecuritybeeld. Het adequaat inrichten daarvan verkleint niet alleen de potentiële impact van cyberincidenten, maar ook de risico’s van digitale afhankelijkheden.

Daarnaast wordt digitale veiligheid niet langer alleen bepaald door technische factoren. Geopolitieke ontwikkelingen vragen om strategische afwegingen op bestuursniveau. CIO’s en CISO’s kunnen niet in hun eentje risico’s van digitale afhankelijkheden afwegen, daar zijn strategische keuzes voor nodig die op bestuursniveau gemaakt moeten worden.

Het NCTV beschouwt datasoevereiniteit inmiddels als een strategische noodzaak. Organisaties moeten hun afhankelijkheden doorlopend evalueren en daar gedegen risicoanalyses op uitvoeren. Het kabinet erkent de afhankelijkheid van niet-Europese clouddiensten, maar concrete stappen blijven uit vanwege budgettaire krapte.

Het rapport benadrukt dat weerbaarheid breder moet worden opgevat dan alleen preventie. Organisaties moeten zich ook richten op het tijdig detecteren van aanvallen, het beperken van schade wanneer een incident zich voordoet, en het beschikken over adequate terugvalopties. Die verschuiving van focus is essentieel om de complexiteit van het huidige dreigingslandschap het hoofd te bieden.

De conclusie is helder: de Rijksoverheid heeft op meerdere fronten nog forse stappen te zetten. Niet door complexe nieuwe verdedigingsmechanismen te ontwikkelen, maar door de basisprincipes consequent toe te passen, afhankelijkheden structureel op bestuursniveau te agenderen, en adequate terugvalopties in te richten. In een periode waarin geopolitieke verhoudingen verschuiven en digitale afhankelijkheden risicovol worden, is nonchalance geen optie meer.

Blijf op de hoogte, abonneer!

Jarviss richt nieuw bedrijf Cyfora in: Data-gedreven cybersecurity

DeepSeek lanceert wiskundig model voor complexe bewijzen

Beveiligingscamera’s met AI: is dat wat voor een bedrijf of niet?

Salesforce reveals its own Agentic IT Service Platform

Why this CIO ditched Microsoft for Google and Slack

Infor's industry-specific ERP strategy and Velocity Suite deep dive

AFX is NetApp's data platform of the future with integrated AI data prep

Het verplicht stellen van 2FA mag voor organisaties geen keuze meer zijn

ISO 27001 in de praktijk: hoe je zonder consultancy-marathon compliant wordt

Wet weerbaarheid kritieke entiteiten: waarom het voor jouw organisatie én de maatschappij loont

SaaS-oplossingen: gemak versus controle – hoe houd je grip op je data?

Appdevcon

Webdevcon

Dutch PHP Conference

GITEX ASIA 2026

SAS Innovate 2026

Team '26

Ontgrendel het volledige potentieel van je SAP-omgeving

Hoffmann Tips Special – Cybersecurity Risk management

Een cloudstrategie is essentieel voor het succes van uw bedrijf

Is Your Environment Adaptive Enough for Zero Trust?