Nederlandse organisaties geven zichzelf een gemiddeld rapportcijfer van een 7,1 als het aankomt op digitale weerbaarheid. Uit onderzoek van KPN onder 250 IT- en securityprofessionals blijkt dat monitoring van dreigingen, crisisoefeningen en ketenbeveiliging wel tekort schieten. Vooral in vitale sectoren als energie, zorg en overheid is dat zorgwekkend.
De score van 7,1 suggereert vooruitgang, maar Chantal Vergouw, Chief Business Market bij KPN, wijst op een opvallend verschil: “IT- en securityprofessionals, die dagelijks onze systemen draaiende houden, beoordelen de volwassenheid van hun organisatie structureel lager dan het management. Zij zien waar het wringt: governance, security monitoring en crisisplanning.”
Dat verschil in perceptie vormt een risico. Want wie zich te veilig waant, investeert mogelijk te weinig in fundamentele bescherming. En juist daar ligt volgens het onderzoek de uitdaging. Organisaties moeten eigenaarschap en besluitvorming duidelijk beleggen om kwetsbaarheden echt aan te pakken. Dat betekent dus dat er een persoon of of team zich echt de eigenaar moet voelen, om zo besluiten te nemen.
Compliance drijft investeringen, AI brengt nieuwe risico’s
Het voldoen aan strengere Europese wet- en regelgeving staat bovenaan de prioriteitenlijst (43 procent). De NIS2-richtlijn speelt daarbij een grote rol. Die richtlijn verplicht organisaties in vitale sectoren tot betere risicobeheersing en incidentrapportage. Organisaties zijn volop bezig de compliance-eisen te vertalen naar concrete maatregelen.
Tevens krijgt veilig AI-gebruik binnen organisaties prioriteit (37 procent). Dat is geen verrassing, want veel bedrijven experimenteren al met kunstmatige intelligentie. Dit terwijl governance rond verantwoordelijkheden en monitoring nog niet altijd op orde is. Het ongecontroleerd gebruik van AI-tools, risico’s rond data en mogelijke AI-aanvallen staan hoog op de agenda.
Daarnaast noemen professionals menselijk gedrag vaak als risicofactor. Klikgedrag, beperkt bewustzijn en optimisme-bias leiden regelmatig tot incidenten. Zeker omdat training en opvolging niet altijd structureel zijn ingericht. Meer dan een kwart (27 procent) van de organisaties zet daarom in op het vergroten van bewustzijn onder medewerkers aldus KPN.
Monitoring en oefening schieten tekort
Opvallend is dat een derde van de organisaties digitale dreigingen onvoldoende of slechts basaal monitort. Incidenten worden daardoor vaak laat ontdekt, wat de impact van een aanval vergroot. Snelle detectie is essentieel om schade te beperken, maar zonder adequate monitoring blijven aanvallers onopgemerkt.
Tevens oefent 30 procent van de organisaties nooit of nauwelijks met cyberincidenten. Toch geeft 67 procent aan zich voorbereid te voelen. Die discrepantie is zorgelijk: plannen krijgen pas waarde wanneer ze in realistische scenario’s zijn getest. Zonder oefening ontbreekt inzicht in of de crisisorganisatie daadwerkelijk functioneert onder druk.
Tekort aan cyberprofessionals dwingt EU-organisaties tot investeringen en outsourcing
Ketenveiligheid blijft onderbelicht
Veel organisaties hebben beperkt zicht op leveranciers en SaaS-diensten. Ketenrisico’s blijven daardoor onderbelicht, terwijl aanvallers juist zwakkere schakels in de keten gebruiken om toegang te krijgen tot systemen van grotere partijen. Verouderde systemen, ongeautoriseerde tools en gebrek aan eigenaarschap vergroten het aanvalsoppervlak verder.
Daarom moet de beveiliging van ketens structureel worden aangepakt. Organisaties die vooruitgang boeken, betrekken leveranciers en ketenpartners actief bij hun beveiligingsmaatregelen. Duidelijk eigenaarschap op bestuursniveau blijkt tevens erg belangrijk. Wanneer risico’s expliciet worden besproken en afgewogen, kunnen verantwoordelijkheden helderder worden belegd.
Budgetten stijgen, focus op detectie en toegangsbeheer
Van de respondenten geeft 38 procent aan dat het huidige budget voor beveiliging onvoldoende is. Toch verwacht twee derde dat het budget in de komende periode zal stijgen. Voor de komende twaalf maanden plannen organisaties vooral extra te investeren in securitymonitoring en detectie (35 procent), identity & access management (26 procent) en het ontwikkelen van een securityroadmap (24 procent).
Het onderzoek Cyberweerbaar Nederland 2026 is uitgevoerd door Security Innovation Stories in opdracht van KPN. Het bestaat uit 19 diepte-interviews met CISO’s en CIO’s, aangevuld met een kwantitatieve survey onder meer dan 250 IT- en securityprofessionals bij middelgrote en grote organisaties in vitale sectoren.