Nederlandse organisaties geven zichzelf een 7,1 voor cyberweerbaarheid
Nederlandse organisaties die een cruciale rol spelen in onze samenleving geven zichzelf gemiddeld een 7,1 voor cyberweerbaarheid. Dat blijkt uit Cyberweerbaar Nederland 2026, een onderzoek van KPN en Security Innovation Stories. Tegelijkertijd zegt één op de drie organisaties zich niet voorbereid te voelen op een cyberaanval.
Een ruime voldoende, maar weinig zekerheid
Een 7,1 klinkt geruststellend. Toch is die score minder vanzelfsprekend als je bedenkt dat dit onderzoek zich richt op organisaties die letterlijk de ruggengraat van Nederland vormen, zoals vitale infrastructuur en publieke diensten. Bovendien beoordeelt bijna 10 procent de eigen cyberweerbaarheid zelfs als onvoldoende.
Ook de borging laat te wensen over. Slechts 56 procent van de organisaties heeft informatiebeveiliging expliciet opgenomen in jaarplannen en roadmaps. Daarmee blijft security in veel gevallen iets dat erbij komt, in plaats van iets dat richting geeft.
Volwassenheid blijft steken op basisniveau
Uit het onderzoek blijkt dat security inmiddels vaker op de agenda van de directie staat. Dat is een duidelijke verschuiving ten opzichte van eerdere jaren. Maar die aandacht vertaalt zich nog onvoldoende naar volwassen inrichting en dagelijks handelen.
Zo werkt 5 procent van de organisaties nog zonder multi-factor authenticatie. Daarnaast past 39 procent MFA alleen toe op kritieke systemen. Niet-kritieke systemen en accounts blijven daarmee een aantrekkelijk startpunt voor aanvallers, die juist deze omgevingen gebruiken om zich lateraal door een organisatie te bewegen.
Ook ketenbeveiliging blijft achter. Slechts 23 procent van de organisaties heeft dit op een volwassen niveau ingericht. Bijna één op de tien heeft zelfs geen volledig overzicht van alle leveranciers. Dat is opvallend, gezien het feit dat incidenten bij leveranciers direct kunnen doorwerken in de eigen organisatie.
Voorbereid voelen is iets anders dan voorbereid zijn
Hoewel 67 procent van de organisaties aangeeft zich voorbereid te voelen op een cyberincident, oefent slechts 28 procent crisissituaties structureel. Plannen en procedures worden dus vaak niet getest onder realistische omstandigheden.
Dat vergroot het risico op vertraging, onduidelijke verantwoordelijkheden en fouten in de eerste cruciale fase van een incident. Juist daar wordt het verschil gemaakt tussen beheersing en escalatie.
Monitoring laat een vergelijkbaar beeld zien. Een derde van de organisaties heeft geen continue, organisatiebrede monitoring en detectie ingericht. De focus ligt vaak op kernsystemen, terwijl andere delen van de IT-omgeving minder zichtbaar zijn. Afwijkingen of aanvallen blijven daardoor langer onopgemerkt.
Op strategisch niveau ontbreekt samenhang. Slechts 16 procent beschikt over een securityroadmap op directieniveau. Zonder zo’n roadmap blijven investeringen en maatregelen versnipperd en vooral operationeel ingestoken.
Bekijk je eigen volwassenheid
Om inzicht te geven in waar organisaties werkelijk staan, ontwikkelden KPN en Security Innovation Stories een volwassenheidsmodel dat kijkt naar concrete inrichting en dagelijks gedrag. Niet naar intenties of ambities, maar naar wat aantoonbaar is geregeld.
In de interactieve grafiek hieronder kun je per domein zien hoe organisaties gemiddeld scoren en waar de grootste verschillen zitten. Klik door de verschillende onderdelen om te ontdekken waar jouw organisatie mogelijk voorloopt of juist kwetsbaar is.
Budget omhoog, maar twijfel blijft
Het securitybudget stijgt bij 66 procent van de organisaties in 2026. Dat lijkt positief. Tegelijkertijd vindt 38 procent van de professionals het budget nog steeds ontoereikend. 48 procent ervaart het budget als voldoende.
Meer geld alleen is dus geen garantie voor meer weerbaarheid. De vraag blijft of investeringen ook terechtkomen op de plekken waar ze het meeste effect hebben.
Prioriteiten voor 2026: regels, AI en gedrag
De prioriteiten die organisaties noemen voor 2026 sluiten aan bij waar de druk toeneemt. Compliance met wet- en regelgeving zoals NIS2, DORA en eIDAS staat hoog op de agenda. Net als veilig gebruik van AI en aandacht voor menselijk gedrag.
Dat laatste is veelzeggend. Want juist gedrag bepaalt of maatregelen in de praktijk werken of worden omzeild.
Bestuurlijke aandacht groeit, nu nog structureel maken
“Securityprofessionals kijken doorgaans scherp naar hun eigen werk, dus nuance hoort erbij. In de interviews horen we wel dat CISO’s steeds minder hoeven te vechten voor aandacht aan de bestuurstafel. Directies zien vaker wat er bij andere organisaties misgaat en begrijpen beter wat de impact kan zijn. Mijn hoop is dat deze aandacht zich vertaalt naar structurele keuzes en betere, geoefende continuïteitsplannen.”
Bram de Bruijn, oprichter van Security Innovation Stories
Over Cyberweerbaar Nederland 2026
Cyberweerbaar Nederland 2026 is de eerste sectoroverstijgende benchmark in Nederland op deze schaal. Het onderzoek is nadrukkelijk bedoeld als uitnodiging tot gesprek, niet als oordeel. Het is gebaseerd op meer dan 250 respondenten en 19 diepte-interviews met IT- en securityprofessionals, grotendeels werkzaam bij vitale organisaties.
De resultaten laten zien dat verdere volwassenheid vooral vraagt om structurele aandacht voor onder meer securityroadmaps, identity & access management, crisisvoorbereiding, leveranciersmanagement en continue monitoring.
Het hele rapport lezen?
Cyberweerbaar Nederland 2026 direct in je inbox
