KPN-onderzoek Cyberweerbaar Nederland 2026
Nederlandse organisaties geven zichzelf gemiddeld een 7,1 voor digitale weerbaarheid, maar belangrijke onderdelen zoals dreigingsmonitoring, crisisoefeningen en ketenbeveiliging blijven onder het gewenste niveau. Dat blijkt uit het onderzoek Cyberweerbaar Nederland 2026 van KPN onder ruim 250 it‑ en securityprofessionals uit grote organisaties in vitale sectoren, waaronder energie, zorg, overheid en financiële dienstverlening.
Hoewel de totaalscore aangeeft dat organisaties stappen zetten, signaleren de onderzoekers dat vooral de basis verder moet worden versterkt. Dat geldt in sectoren waar verstoringen directe gevolgen hebben voor de essentiële dienstverlening.
Verschil in beoordeling tussen professionals en management
Volgens Chantal Vergouw, chief Business Market en lid van de raad van bestuur van KPN, valt vooral het verschil op tussen de beoordeling door it- en securityprofessionals en die van het management. Professionals waarderen de volwassenheid van hun organisatie structureel lager. Zij wijzen op knelpunten in governance, monitoring en crisisplanning.
Vergouw stelt dat duidelijk eigenaarschap en besluitvorming randvoorwaarden zijn voor duurzame weerbaarheid; ontbreken die, dan blijven kwetsbaarheden in stand en worden incidenten vooral reactief afgehandeld.
Prioriteiten voor de komende periode
De respondenten noemen vijf belangrijke prioriteiten voor de komende tijd:
- Voldoen aan strengere wet- en regelgeving (43 procent);
- Veilig gebruik van ai binnen de organisatie (37 procent);
- Vergroten van bewustzijn onder medewerkers (27 procent);
- Veilig inrichten en beheren van cloudomgevingen (22 procent);
- Beheren en controleren van identiteiten en toegangen (21 procent).
Met name de aanscherping van Europese regelgeving, zoals NIS2 en Dora, speelt een duidelijke rol. Daarnaast werken organisaties al intensief met ai-toepassingen, terwijl governance rondom verantwoordelijkheden en besluitvorming nog niet overal aanwezig is. Dreigingen als phishing en ransomware zorgen ervoor dat bewustwordingstrajecten voor medewerkers veel aandacht krijgen. Ook de nadruk op cloudbeveiliging en identity & access management wijst erop dat organisaties meer grip willen op hun digitale infrastructuur.
Praktijkrisico’s: menselijk gedrag en beperkte zichtbaarheid
De it-professionals signaleren meerdere risico’s in de dagelijkse operatie. Menselijk gedrag – zoals ondoordacht klikgedrag, beperkt bewustzijn en overschatting van eigen kennis – leidt regelmatig tot incidenten. Ook ai-gebruik introduceert nieuwe risico’s, bijvoorbeeld ongecontroleerde inzet van tools, datalekken en misleiding.
Daarnaast ontbreekt in veel organisaties goed zicht op leveranciers en gebruikte saas‑diensten. Daardoor blijven ketenrisico’s onderbelicht. Verouderde systemen, ongeautoriseerde software en onduidelijk eigenaarschap vergroten het aanvalsoppervlak. Ook gebrekkige governance bemoeilijkt structurele risicobeheersing.
Incidenten worden daardoor vaak pas laat opgemerkt
Een derde van de organisaties monitort digitale dreigingen slechts beperkt. Incidenten worden daardoor vaak pas laat opgemerkt. Bovendien oefent 30 procent van de organisaties nooit of nauwelijks met cyberincidenten. Desondanks geeft 67 procent van de respondenten aan zich voorbereid te voelen.
Volgens het onderzoek ontstaat structurele vooruitgang vooral wanneer organisaties basisprocessen concreet inrichten: toegangsbeheer, patching, monitoring en structurele betrokkenheid van leveranciers. Ook heldere governance en bestuurlijke aandacht helpen om verantwoordelijkheden vast te leggen en op te volgen. Regelmatig oefenen met realistische scenario’s is een belangrijk onderdeel van die aanpak.
Het toenemende gebruik van ai vraagt bovendien om duidelijke richtlijnen, zodat medewerkers veilig kunnen werken zonder extra risico’s te introduceren.
Te weinig budget
Structurele cyberweerbaarheid vraagt om een investering in tijd, inzet en budget, stellen de onderzoekers. 38 procent van de ondervraagden vindt het huidige securitybudget onvoldoende. Twee derde verwacht dat de budgetten in de komende periode stijgen.
De belangrijkste geplande investeringen voor de komende twaalf maanden liggen in securitymonitoring en detectie (35 procent), identity & access management (26 procent) en de ontwikkeling van securityroadmaps en ‑strategieën (24 procent).
Onderzoek
Het onderzoek ‘Cyberweerbaar Nederland 2026‘ is uitgevoerd door Security Innovation Stories in opdracht van KPN. De publicatie ervan valt samen met NLSecure[ID], een KPN-evenement rond het thema digitale weerbaarheid dat plaatsvindt op dinsdag 20 januari 2026.
ah, een 7.1, niet slecht.
alhoewel, best karig hoor voor een slager die zn eigen vlees keurt.
klant: Heeft u een lekker stukje vlees voor mij ?
slager: “nou lekker is wat veel gezegd, maar tis goed binnen te houwen”
Hele artikel gaat over alles wat ontbreekt, van slechte kwaliteit is, of erger en toch is het resultaat blijkbaar ruim voldoende.
Daar kom je natuurlijk al gauw aan als je nooit met cyberincidenten oefent en je blijkbaar toch voorbereid voelt 😛
Zelfvertrouwen misschien ?
Of onbewust onbekwaam ?
Een bedrijf is groot, dus wie bepaalt nu dat cijfer ?
“Volgens Chantal Vergouw, chief Business Market en lid van de raad van bestuur van KPN, valt vooral het verschil op tussen de beoordeling door it- en securityprofessionals en die van het management. Professionals waarderen de volwassenheid van hun organisatie structureel lager. Zij wijzen op knelpunten in governance, monitoring en crisisplanning.”
Duidelijk: it- en securityprofessionals “wijzen op knelpunten in governance, monitoring en crisisplanning.” en het management ziet het anders.
Zou dat net zoiets zijn als de gevoelstemperatuur? Meetbaar onder nul, maar ut voelt als +7.1 😉