HomeZakelijkThe Digital DutchBlogDe paradox van cyberweerbaarheid: waarom een 7,1 niet het hele verhaal vertelt
Labels:

De paradox van cyberweerbaarheid: waarom een 7,1 niet het hele verhaal vertelt

09-07-2026
3 min
Persoon spreekt zaal toe tijdens NLSecure[ID] event
Nederlandse organisaties geven zichzelf een 7,1 voor cyberweerbaarheid. Een ruime voldoende, zou je zeggen. Maar wie dieper in de cijfers duikt, ziet een ander beeld: grote verschillen in volwassenheid, hardnekkige zwakke plekken en een blijvende afhankelijkheid van ketenpartners.

In een recente podcastaflevering gaat Bram de Bruijn van Security Innovation Stories in gesprek met Justin Post en Nadeem de Vree van KPN over deze uitkomsten. De podcast maakt deel uit van een bredere serie rondom het onderzoek Cyberweerbaar Nederland 2026, een onderzoek van KPN en Security Innovation Stories. In de podcast leggen zij uit waar die paradox zit, en waarom een 7,1 niet het hele verhaal vertelt.

Reden 1: het gemiddelde maskeert grote verschillen

De 7,1 lijkt op het eerste gezicht een geruststellend cijfer: twee derde van de organisaties geeft namelijk aan zich voorbereid te voelen op een cyberaanval. Toch zit daar direct een belangrijke nuance in. Niet alleen gaat het om een zelfbeoordeling, ook verschilt het sterk per organisatie wat ‘voorbereid zijn’ betekent.

Volgens Justin en Nadeem zijn de verschillen groot. Sommige organisaties opereren op een hoog en visionair niveau, waarbij security volledig is geïntegreerd in de bedrijfsstrategie. Tegelijkertijd is er nog steeds een groep die vooral reactief handelt en nauwelijks structureel beleid heeft.

Justin ziet die verschillen ook terug in de praktijk. “Je merkt dat de manier waarop organisaties het doen heel erg verschilt. De een legt de nadruk op een roadmap, de ander op policies, en weer een ander op specifieke risico’s die voor hun business belangrijk zijn.”

Dat maakt het gemiddelde misleidend. De 7,1 is geen uniforme werkelijkheid, maar een optelsom van uitersten. Organisaties die voorop lopen trekken het gemiddelde omhoog, terwijl een substantieel deel nog worstelt met de basis.

Reden 2: de basis is nog niet op orde

Die basis blijkt in meerdere domeinen kwetsbaar. Vooral identity en access management springt eruit als zwakke plek: dit onderwerp scoort het laagst van alle onderzochte thema’s. Volgens Nadeem is dat niet verrassend. “Identity en access management zit niet alleen in het securitydomein, het raakt ook HR, asset management en procurement. Hoe zorg je dat al die systemen en processen op elkaar afgestemd zijn? Dat maakt het zo complex.”

Ook crisismanagement laat zien dat volwassenheid niet vanzelfsprekend is. Veel organisaties hebben plannen op papier, maar oefenen onvoldoende. En juist dat oefenen maakt het verschil tussen theorie en praktijk. Justin benadrukt dat. “Je weet pas of je voorbereid bent als je het hebt geoefend. Net als met back-ups: je hebt pas een back-up als je hebt getest dat je ook echt kunt herstellen.”

De conclusie is helder. Veel organisaties beoordelen zichzelf positief, maar hebben de fundamenten nog niet volledig op orde. Dat maakt de stap van ‘voldoende’ naar echt weerbaar groter dan het cijfer doet vermoeden.

Reden 3: cyberweerbaarheid stopt niet bij de eigen organisatie

Misschien wel de belangrijkste reden waarom de 7,1 niet het hele verhaal vertelt, ligt buiten de organisatie zelf. Cyberweerbaarheid is allang geen intern vraagstuk meer: het is een ketenvraagstuk geworden. Organisaties zijn steeds afhankelijker van leveranciers, partners en digitale ecosystemen. Tegelijkertijd richten aanvallers zich juist op die keten, op zoek naar de zwakste schakel. “Je bent pas in controle als je je kwetsbaarheden kent,” zegt Nadeem. “Maar je bent ook pas in controle als je de kwetsbaarheden van je partners kent.”

Dat vraagt om een andere manier van werken. Minder focus op contracten en controle, en meer op samenwerking en transparantie. Security wordt daarmee een gezamenlijke verantwoordelijkheid. Justin Post ziet daarin een duidelijke ontwikkeling. “Security is een teamsport. Niet alleen binnen je organisatie, maar juist ook daarbuiten. Je moet samenwerken met je leveranciers en partners om echt weerbaar te zijn.”

Die verschuiving maakt het speelveld complexer. Een organisatie kan intern alles op orde hebben, maar alsnog kwetsbaar zijn via de keten.

Van voldoende naar volwassen

Het beeld dat uit de podcast naar voren komt, is er een van vooruitgang én nuance. Nederland beweegt duidelijk de goede kant op. Cybersecurity staat hoger op de agenda, budgetten nemen toe en de boardroom raakt steeds meer betrokken. Tegelijkertijd is de stap naar echte cyberweerbaarheid nog groot. Het vraagt om volwassenheid in de basis, om samenwerking in de keten en om leiderschap op strategisch niveau.

De 7,1 is daarmee geen eindpunt, maar een tussenstand. Of zoals het gesprek in de podcast impliciet laat zien: de echte uitdaging begint pas nadat je jezelf een voldoende hebt gegeven.

Benieuwd naar de podcastaflevering? Luister naar de aflevering

Onderzoek Cyberweerbaar Nederland 2026

De digitale dreiging groeit. Hoe goed zijn organisaties voorbereid? Dat onderzocht Security Innovation Stories in opdracht van KPN. 250 securityprofessionals delen hun kijk op digitale weerbaarheid.
Download het onderzoek
Download Executive Summary
Artikel delen
Tags
Labels: