Nederlandse organisaties zijn zich in toenemende mate bewust van hun digitale kwetsbaarheid, maar komen vaak pas in actie wanneer zich daadwerkelijk een incident voordoet. Dat blijkt uit de ; ‘Tech Reality Check 2026’, een onderzoek van Conclusion onder 1.058 IT-beslissers in Nederland, Duitsland, Portugal en Spanje. Vooral rond digitale soevereiniteit, afhankelijkheid van leveranciers en buitenlandse wetgeving blijkt de kloof tussen bewustzijn en handelen groot.
Volgens het onderzoek erkent 62 procent van de Nederlandse respondenten dat risico’s rond buitenlandse wetgeving pas echt aandacht krijgen nadat zich een incident heeft voorgedaan. Daarmee scoort Nederland hoger dan het Europese gemiddelde van 55 procent. Dat is opvallend, omdat digitale soevereiniteit juist steeds nadrukkelijker op de Europese agenda staat. Geopolitieke spanningen, nieuwe regels zoals NIS2, DORA en de Cyber Resilience Act, en de groeiende afhankelijkheid van internationale technologiebedrijven hebben het onderwerp naar de bestuurskamer gebracht.
Risico’s
Toch leidt dat bewustzijn lang niet altijd tot concrete maatregelen. In Europa zegt 86 procent van de respondenten zich bewust te zijn van de risico’s wanneer technologie of data onder buitenlandse wetgeving vallen. Maar slechts ongeveer de helft heeft dat bewustzijn vertaald naar actief beleid dat ook werkelijk wordt toegepast. Daarmee wordt niet alleen de afhankelijkheid zelf een risico, maar ook het uitstelgedrag van organisaties.
De Nederlandse cijfers laten op meerdere punten een achterstand zien. Slechts 36 procent van de Nederlandse organisaties heeft actief beleid om risico’s rond digitale afhankelijkheden te beheersen. In Duitsland ligt dat percentage op 53 procent en in Spanje op 56 procent. Ook het overzicht over kritieke digitale afhankelijkheden blijft achter. In Nederland zegt 49 procent volledig inzicht te hebben in die afhankelijkheden, tegenover 70 procent in Spanje en 71 procent in Duitsland.
Gevolgen
Tegelijkertijd voelen Nederlandse organisaties de mogelijke gevolgen wel degelijk. Zo verwacht 45 procent grote verstoringen wanneer een cruciale leverancier of cloudplatform wegvalt. Dat is het hoogste percentage van de onderzochte landen. De afhankelijkheid is dus bekend, maar wordt nog onvoldoende vertaald naar structurele keuzes.
Een extra kwetsbaarheid zit in interne kennis. Volgens het onderzoek zegt 68 procent van de Nederlandse respondenten dat cruciale systemen draaien op technologie die slechts door enkele mensen binnen de organisatie goed wordt begrepen. Ook dat is het hoogste percentage van de onderzochte landen. Digitale soevereiniteit gaat daarmee niet alleen over buitenlandse leveranciers of wetgeving, maar ook over kennis die te smal in organisaties is belegd.
Governance
Lucas Jellema, CTO van Conclusion, stelt dat organisaties veel scherper in kaart moeten brengen van welke technologie, leveranciers en kennis zij afhankelijk zijn. Volgens hem vraagt dat niet alleen om meer techniek of extra beleid op papier, maar vooral om governance die organisaties dwingt keuzes te maken. Welke risico’s zijn acceptabel, welke maatregelen zijn nodig en wie neemt daarvoor verantwoordelijkheid?
De uitkomsten van het onderzoek laten zien dat Nederland zichzelf graag als digitale koploper ziet, maar dat de vertaling van bewustzijn naar actie achterblijft. Juist in een tijd waarin digitale afhankelijkheden strategischer en gevoeliger worden, kan wachten tot het misgaat een kostbare keuze blijken.