Cyberweerbaar Nederland 2026: wat er is gemeten, en waarom
In Cyberweerbaar Nederland 2026 hebben we gemeten hoe cyberweerbaarheid bij Nederlandse organisaties daadwerkelijk is ingericht. De focus lag daarbij op de praktijk: niet wat organisaties zeggen belangrijk te vinden, maar wat aantoonbaar is georganiseerd en geborgd.
Het onderzoek is uitgevoerd door Beyond Products in opdracht van KPN, in samenwerking met het platform Security Innovation Stories. KPN wilde inzicht krijgen in hoe Nederlandse organisaties die een cruciale rol spelen in de samenleving omgaan met digitale weerbaarheid, en waar in de praktijk nog kwetsbaarheden en blinde vlekken zitten.
Onderzoeksvraag en uitgangspunten
Centraal stond de vraag hoe organisaties hun digitale weerbaarheid hebben ingericht, en welke keuzes daarbij in de praktijk worden gemaakt. Niet alleen technisch, maar ook organisatorisch. Cyberweerbaarheid gaat immers net zo goed over governance, prioritering en oefening als over tooling.
Daarom hebben we gekozen voor een volwassenheidsmodel dat meerdere dimensies omvat. Van identity & access management en monitoring tot crisisvoorbereiding, leveranciersmanagement en bestuurlijke borging. Dit model vormt de ruggengraat van zowel de interviews als de survey.
Combinatie van interviews en survey
Het onderzoek combineert een kwantitatieve survey onder meer dan 250 IT- en securityprofessionals met 19 diepte-interviews. Die interviews waren geen illustratie achteraf, maar een essentieel onderdeel van de opzet.
In de gesprekken met professionals hebben we getoetst wat zij zien als tekenen van volwassen cyberweerbaarheid. Wanneer vinden zij dat een organisatie het echt op orde heeft. En waar zien zij dat het in de praktijk vaak spaak loopt, ook bij organisaties die zichzelf hoog inschatten?
Op basis van deze inzichten is het volwassenheidsmodel aangescherpt en is de survey ingericht. De survey toetst vervolgens in hoeverre deze praktijkbeelden breder herkenbaar zijn.
Een realistisch beeld van de huidige stand van zaken
De resultaten laten zien hoe organisaties hun eigen cyberweerbaarheid beoordelen. Gemiddeld geven zij zichzelf een 7,1. Daarnaast geeft 67 procent aan zich voorbereid te voelen op een cyberincident.
Tegelijkertijd laat dezelfde meting zien dat de praktische inrichting vaak achterblijft bij dat gevoel. Slechts 28 procentvan de organisaties oefent crisissituaties structureel. Dat betekent dat plannen en procedures wel bestaan, maar zelden onder realistische omstandigheden worden getest.
Ook op andere onderdelen zien we dit patroon terug. Zo heeft slechts 23 procent van de organisaties leveranciers- en ketenbeveiliging op een volwassen niveau ingericht. 33 procent beschikt niet over continue, organisatiebrede monitoring en detectie. En maar 16 procent heeft een securityroadmap op directieniveau.
Tussen gevoel van controle en daadwerkelijke borging
Deze uitkomsten wijzen niet op onwil of nalatigheid. Veel organisaties hebben de afgelopen jaren duidelijke stappen gezet. Security staat hoger op de agenda, budgetten groeien en bestuurders zijn zich meer bewust van risico’s.
Maar cyberweerbaarheid blijkt in de praktijk lastig structureel te organiseren. Maatregelen worden vaak per onderwerp ingericht, zonder duidelijke samenhang. Oefening en borging schieten erbij in, terwijl juist daar het verschil wordt gemaakt op momenten dat het misgaat.
Het hele rapport lezen?
Op Security Innovation Stories gaan we uitgebreider in op de resultaten en de context daarachter. Daarin laten we zien welke patronen over sectoren en rollen heen zichtbaar zijn, en welke vragen dit oproept over hoe organisaties cyberweerbaarheid verder kunnen versterken.
