Cyberweerbaarheid staat bij steeds meer organisaties hoog op de agenda. Wetgeving wordt strenger, afhankelijkheden nemen toe en incidenten krijgen steeds vaker bestuurlijke aandacht. Tegelijkertijd blijft het lastig om scherp te krijgen hoe weerbaar organisaties nu daadwerkelijk zijn.
Cyberweerbaar Nederland 2026 biedt een inkijk in hoe organisaties hier vandaag mee omgaan. Het onderzoek brengt in kaart hoe bestuurders, CISO’s en securityprofessionals hun eigen organisatie beoordelen, welke keuzes zij maken en waar zij tegenaan lopen.
Methodologie: hoe dit onderzoek tot stand kwam
Hoe cyberweerbaar zijn Nederlandse organisaties in de praktijk? Die vraag stond centraal in dit onderzoek. Om daar een onderbouwd antwoord op te geven, is gekozen voor een combinatie van kwantitatief en kwalitatief onderzoek. De uitkomsten van de survey zijn aangevuld met verdiepende gesprekken, zodat niet alleen zichtbaar wordt hoe organisaties zichzelf beoordelen, maar ook wat er daadwerkelijk is ingericht en hoe dat in de praktijk werkt.
In totaal vulden 258 professionals de survey in. Daarnaast zijn 19 verdiepende interviews gehouden met CISO’s, CIO’s en andere security- en IT-verantwoordelijken. De deelnemende organisaties zijn actief in sectoren als overheid, zorg, financiële dienstverlening, maakindustrie en retail. Dit zijn omgevingen waar digitale systemen cruciaal zijn voor de continuïteit van de dienstverlening en waar verstoringen direct impact hebben.
De focus lag op de concrete inrichting van cybersecurity. Welke maatregelen zijn daadwerkelijk getroffen? Hoe is het technisch georganiseerd? Welke prioriteiten worden gesteld? En in hoeverre wordt vastgesteld beleid ook uitgevoerd? Door cijfers te verbinden aan ervaringen van verantwoordelijken ontstaat een genuanceerd en realistisch beeld van de stand van cyberweerbaarheid.
Organisaties geven zichzelf een 7,1 voor cyberweerbaarheid
Organisaties geven zichzelf gemiddeld dus een ruime voldoende. Slechts een klein deel geeft zichzelf een onvoldoende. Op het eerste gezicht wijst dat op vertrouwen: veel organisaties hebben het gevoel dat de basis staat en dat ze best goed digitaal beveiligd zijn.
Tegelijk roept dat cijfer vragen op. Wat betekent een 7,1 in sectoren waar uitval directe impact heeft op dienstverlening, veiligheid of zelfs voedselvoorziening? En hoe verhoudt die zelfscore zich tot de volwassenheid op specifieke thema’s, zoals identitybeheer, monitoring of leveranciersrisico’s? De zelfbeoordeling geeft vooral inzicht in hoe organisaties zichzelf zien, en precies daar begint een interessant spanningsveld tussen vertrouwen en feitelijke inrichting.
Waar organisaties nu staan op belangrijke securitythema’s
We vroegen organisaties per thema hoe hun cybersecurity concreet is ingericht op gebieden zoals governance, monitoring en identity & access management. Per onderdeel kozen respondenten de situatie die het beste past bij hun organisatie, van ad hoc handelen zonder vaste structuur tot een aanpak die structureel is ingericht en op directieniveau wordt aangestuurd.
De uitkomsten laten zien dat de meeste organisaties de puur reactieve fase voorbij zijn. Er is beleid en er zijn processen. Tegelijkertijd blijft de stap naar een volledig geïntegreerde, strategisch aangestuurde aanpak vaak uit. De basis is aanwezig, maar de hoogste volwassenheidsniveaus worden nog beperkt bereikt.
Identity & access management (IAM)
Toegang is technisch vaak geen complex vraagstuk, maar wel een van de grootste risicofactoren. Juist daar zien we dat beheer nog regelmatig handmatig of versnipperd is ingericht. Multifactor-authenticatie is in veel organisaties aanwezig, maar niet consequent doorgevoerd. Zero Trust wordt regelmatig genoemd, maar slechts weinig organisaties voeren dit consequent en organisatiebreed door.
Securitymonitoring
Monitoring is in veel organisaties aanwezig, maar de uitwerking verschilt sterk. Sommige beschikken over een volwassen SOC met 24/7 zicht en vaste opvolging. Bij anderen blijft logging beperkt tot kernsystemen en is opvolging afhankelijk van beschikbare capaciteit.
Leveranciersmanagement
Leveranciersrisico’s gelden voor veel organisaties als een van de belangrijkste aandachtspunten van dit jaar. In de praktijk bestaat de beheersing vaak uit certificeringen en contracten, terwijl diepgaand inzicht in de feitelijke beveiliging ontbreekt. Met groeiende afhankelijkheden neemt de complexiteit toe en blijft de controle beperkt.
Crisisplanning en oefening
Veel organisaties geven aan voorbereid te zijn op een cyberincident maar het aantal dat structureel oefent, ligt duidelijk lager. Crisisplannen zijn vaak aanwezig, maar worden niet regelmatig onder realistische druk getest. Pas in een oefensituatie wordt zichtbaar of rollen, communicatie en besluitvorming daadwerkelijk werken.
Strengere wet- en regelgeving staat bovenaan de prioriteitenlijst
Organisaties leggen het aankomende jaar de nadruk op strengere wet- en regelgeving. NIS2, DORA en sectorspecifieke kaders sturen zichtbaar de agenda en vragen om aantoonbare controle. Ook veilig gebruik van AI, het vergroten van bewustzijn onder medewerkers, cloudbeveiliging en identity & access management worden regelmatig genoemd als gebieden voor verdere professionalisering.
Opvallend is wat minder expliciet als prioriteit wordt benoemd. Basale maatregelen zoals patching en endpointbeveiliging komen beperkt terug in de plannen, terwijl in interviews juist daar kwetsbaarheden worden geschetst. Incidenten beginnen nog vaak bij iets eenvoudigs: een niet-gepatcht systeem, zwakke authenticatie of onduidelijk eigenaarschap.
Hoewel aanvallen in tempo en schaal toenemen, verandert de kern van de verdediging nauwelijks. Sterke identityhygiëne, tijdig patchen, segmentatie en continu zicht op de omgeving blijven bepalend. De gekozen prioriteiten laten daarmee niet alleen zien waar organisaties op sturen, maar ook waar risico’s minder nadrukkelijk aandacht krijgen.
De stand van cyberweerbaarheid in 2026
De meeste organisaties hebben beleid vastgelegd, verantwoordelijkheden benoemd en vormen van monitoring ingericht. Cyberweerbaarheid staat op de bestuurlijke agenda en is zelden nog een puur technisch onderwerp. De fase van volledig ad hoc handelen ligt voor veel organisaties achter hen.
Tegelijk blijft de stap naar een echt geïntegreerde, organisatiebrede aanpak beperkt. Op veel thema’s is iets geregeld, maar niet alles is structureel geborgd of geoefend. In interviews kwam herhaaldelijk terug dat incidenten vaak beginnen bij bekende zwakke plekken: identitybeheer, patching, onduidelijk eigenaarschap. Nieuwe dreigingen, zoals AI-gedreven aanvallen, vergroten de snelheid en schaal, maar veranderen de kern van verdediging nauwelijks.
Cyberweerbaarheid in 2026 is daarmee geen eindpunt, maar een tussenstand. De basis staat in veel organisaties, maar het grootste risico ontstaat wanneer men denkt dat het “wel op orde” is. Juist zelfgenoegzaamheid ondermijnt weerbaarheid. Niet de nieuwste dreiging, maar het idee dat verdere verbetering niet nodig is, vormt vaak de kwetsbaarste plek.
