Nederlandse organisaties beoordelen hun digitale weerbaarheid gemiddeld met een 7,1, maar schieten nog tekort op cruciale onderdelen zoals monitoring van digitale dreigingen, crisisoefeningen en ketenbeveiliging. Dat blijkt uit het KPN-onderzoek Cyberweerbaar Nederland 2026, uitgevoerd onder meer dan 250 IT- en securityprofessionals werkzaam bij grote organisaties in vitale sectoren zoals energie, zorg, overheid en financiële dienstverlening.

De uitkomst laat zien dat organisaties stappen vooruit zetten, maar dat de volwassenheid van digitale weerbaarheid nog duidelijk kan worden versterkt, zeker daar waar uitval of verstoring directe maatschappelijke gevolgen heeft.
Opvallend is het verschil in beleving tussen de werkvloer en het management. Volgens Chantal Vergouw, chief Business Market en lid van de Raad van Bestuur van KPN, beoordelen IT- en securityprofessionals de digitale volwassenheid van hun organisatie structureel lager dan het management. Zij zien dagelijks waar het wringt, met name op het gebied van governance, securitymonitoring en crisisvoorbereiding. Volgens Vergouw staat cyberweerbaarheid of valt deze met duidelijk belegd eigenaarschap en heldere besluitvorming. Ontbreekt dat, dan blijven kwetsbaarheden liggen en worden incidenten vooral reactief opgelost.

Regelgeving belangrijkste drijfveer

Uit het onderzoek blijkt dat strengere Europese wet- en regelgeving voor veel organisaties de belangrijkste drijfveer is om hun digitale veiligheid verder op orde te brengen. Tegelijkertijd groeit het gebruik van AI in hoog tempo, terwijl de governance rond verantwoordelijkheden, monitoring en besluitvorming vaak nog onvoldoende is ingericht. Dat zorgt voor een spanningsveld waarin organisaties wel willen innoveren, maar nog zoeken naar structurele beheersing van de bijbehorende risico’s. Ook klassieke dreigingen zoals phishing, ransomware en social engineering blijven hoog op de agenda staan, waardoor bewustwording en veilig gedrag van medewerkers essentieel blijven.

Risico’s rond menselijk gedrag

In de dagelijkse praktijk signaleren professionals vooral risico’s rond menselijk gedrag en gebrek aan overzicht. Onvoldoende training, beperkte opvolging van veiligheidsincidenten en een te optimistische inschatting van eigen weerbaarheid zorgen ervoor dat fouten snel grote gevolgen kunnen hebben. Daarnaast brengt het ongecontroleerde gebruik van AI-tools nieuwe risico’s met zich mee, zoals datalekken, misleiding en AI-gestuurde aanvallen. Veel organisaties hebben bovendien nog onvoldoende zicht op hun leveranciers en SaaS-diensten, waardoor ketenrisico’s onderbelicht blijven en het totale aanvalsoppervlak groeit.

Onvoldoende monitoring van dreigingen

Ook op het gebied van signalering en voorbereiding is winst te behalen. Ongeveer een derde van de organisaties monitort digitale dreigingen onvoldoende of slechts op basaal niveau, waardoor incidenten vaak pas laat worden ontdekt. Tegelijkertijd oefent dertig procent nauwelijks of nooit met cyberincidenten, terwijl twee derde van de organisaties aangeeft zich wel voorbereid te voelen. Dat verschil wijst op een overschatting van de eigen paraatheid en onderstreept het belang van realistische oefeningen.

Op orde brengen van basis

Volgens KPN ligt de sleutel tot structurele cyberweerbaarheid vooral in het op orde brengen van de basis. Dat begint met goed toegangsbeheer, actuele systemen en effectieve monitoring, maar vraagt ook om het actief betrekken van leveranciers en ketenpartners. Daarnaast is bestuurlijke betrokkenheid cruciaal. Wanneer cyberrisico’s expliciet op bestuursniveau worden besproken, kunnen verantwoordelijkheden scherper worden belegd en sneller worden opgevolgd.
Regelmatig oefenen met realistische scenario’s maakt daarbij het verschil. Pas wanneer plannen in de praktijk zijn getest, wordt duidelijk of processen, verantwoordelijkheden en communicatie daadwerkelijk functioneren. Ook het toenemende gebruik van AI vraagt om duidelijke richtlijnen, zodat medewerkers veilig kunnen werken zonder nieuwe kwetsbaarheden te introduceren.

Structurele investeringen nodig

Het onderzoek laat verder zien dat cyberweerbaarheid structurele investeringen vraagt. Bijna vier op de tien organisaties geven aan dat het huidige securitybudget onvoldoende is. Tegelijk verwacht twee derde dat het budget in de komende periode zal stijgen. Voor de komende twaalf maanden liggen de belangrijkste investeringsprioriteiten bij securitymonitoring en detectie, identity & access management en het ontwikkelen van een duidelijke securitystrategie en roadmap.
Het onderzoek Cyberweerbaar Nederland 2026 is uitgevoerd door Security Innovation Stories in opdracht van KPN en werd gepubliceerd in aanloop naar NLSecure[ID], het jaarlijkse evenement waar bestuurders, IT- en securityprofessionals samenkomen rond het thema digitale weerbaarheid. De resultaten onderstrepen dat Nederland vooruitgang boekt, maar dat volwassen digitale weerbaarheid pas wordt bereikt wanneer monitoring, oefendiscipline en ketenbeveiliging structureel en professioneel zijn verankerd in de organisatie.