Nederlandse organisaties geven hun digitale weerbaarheid gemiddeld een 7,1. Dat klinkt als een ruime voldoende, zeker in sectoren waar IT geen bijzaak is maar een kritische randvoorwaarde. Tegelijkertijd laat nieuw onderzoek zien dat juist onder de motorkap nog veel hapert. Monitoring van digitale dreigingen, het oefenen van crisissituaties en zicht op risico’s in de keten blijven structureel achter.
Die conclusie komt uit het onderzoek Cyberweerbaar Nederland 2026, uitgevoerd door KPN onder meer dan 250 IT- en securityprofessionals bij grote organisaties in vitale sectoren zoals energie, zorg, overheid en financiële dienstverlening. Het rapport fungeert nadrukkelijk als meetlat en gesprekstarter, niet als rapport met vinkjes. En precies dat maakt de uitkomsten interessant.
Een ruime voldoende, maar voor wie precies
Opvallend is het verschil in perceptie tussen lagen in de organisatie. Waar bestuurders en management vaak het gevoel hebben dat de basis op orde is, zijn het juist de IT en securityprofessionals die kritischer oordelen. Zij zien in de dagelijkse praktijk waar het schuurt. Governance is niet altijd helder belegd, monitoring is versnipperd en crisisplannen blijken op papier beter te werken dan in de werkelijkheid.
Dat spanningsveld komt scherp naar voren in de cijfers. Twee derde van de organisaties zegt zich voorbereid te voelen op een cyberincident, terwijl slechts een klein deel regelmatig oefent met realistische scenario’s. Monitoring is in veel gevallen beperkt tot kernsystemen, waardoor aanvallen die zich lateraal door de organisatie bewegen pas laat worden ontdekt.
Compliance als drijvende kracht
Als het gaat om strategische prioriteiten voor de komende jaren, voert regelgeving de boventoon. Europese kaders zoals NIS2 en DORA dwingen organisaties om hun digitale fundamenten beter vast te leggen. Niet verrassend staat voldoen aan strengere wet en regelgeving bovenaan de prioriteitenlijst.
Daar direct achter volgt veilig gebruik van AI. Organisaties experimenteren volop met generatieve AI en andere slimme toepassingen, maar de governance rond verantwoordelijkheden, datagebruik en monitoring blijft vaak achter. Het risico is duidelijk: medewerkers gebruiken krachtige tools zonder heldere richtlijnen, terwijl de impact op data, privacy en security onvoldoende wordt overzien.
Menselijk gedrag blijft daarbij een hardnekkige factor. Phishing, social engineering en accountmisbruik zijn nog altijd belangrijke aanvalsvectoren. Bewustwording en training krijgen daarom veel aandacht, maar ook hier geldt dat structurele borging niet vanzelfsprekend is.
De keten als blinde vlek
Een terugkerend thema in het onderzoek is ketenbeveiliging. Organisaties zijn steeds afhankelijker van leveranciers, cloudplatforms en SaaS diensten, maar hebben lang niet altijd volledig zicht op die afhankelijkheden. In sommige gevallen ontbreekt zelfs een actueel overzicht van leveranciers, laat staan een volwassen aanpak om risico’s structureel te beheersen.
Dat maakt de keten een kwetsbaar punt. Incidenten ontstaan steeds vaker buiten de eigen muren, maar de gevolgen komen wel degelijk intern terecht. Zonder duidelijke afspraken, monitoring en eigenaarschap blijven die risico’s onderbelicht.
Oefenen blijkt lastiger dan gedacht
Crisisplannen zijn er vaak wel, maar het oefenen ervan blijft achter. Ongeveer dertig procent van de organisaties oefent nooit of nauwelijks met cyberincidenten. Dat staat haaks op het hoge gevoel van paraatheid. In de praktijk blijken plannen pas waarde te krijgen wanneer ze onder druk worden getest, met echte besluitvorming, tijdsdruk en onvolledige informatie.
Juist in vitale sectoren is dat geen theoretische luxe. Uitval van systemen kan directe maatschappelijke gevolgen hebben. Toch blijft crisisvoorbereiding in veel organisaties een papieren exercitie, losgekoppeld van het dagelijks handelen.
Investeringen nemen toe, maar niet overal
Positief is dat securitybudgetten in beweging zijn. Een meerderheid van de organisaties verwacht de komende periode meer te investeren in digitale weerbaarheid. De focus ligt daarbij vooral op securitymonitoring en detectie, identity en access management en het ontwikkelen van een duidelijke securityroadmap.
Tegelijkertijd vindt bijna veertig procent van de professionals het huidige budget onvoldoende. De basis is vaak aanwezig, maar de stap naar samenhang en structurele borging vraagt om meer tijd, mensen en middelen. Zonder die investering blijft cyberweerbaarheid kwetsbaar en vooral reactief.
