Cyberweerbaarheid wankelt door gebrek aan monitoring en oefening

Het onderzoek, uitgevoerd onder meer dan 250 IT- en securityprofessionals uit sectoren als de zorg, energie en financiële dienstverlening, legt een opmerkelijke kloof bloot tussen perceptie en praktijk. Waar het management vaak optimistisch is, oordelen de professionals op de werkvloer structureel kritischer over de volwassenheid van hun organisatie.

De kloof tussen bestuur en werkvloer

Chantal Vergouw, lid van de Raad van Bestuur bij KPN, ziet een duidelijke oorzaak voor dit verschil. "IT- en securityprofessionals zien dagelijks waar het wringt: bij de governance, monitoring en crisisplanning," aldus Vergouw. "Cyberweerbaarheid staat of valt met duidelijk belegd eigenaarschap. Als dit ontbreekt, blijven kwetsbaarheden liggen en worden incidenten ad-hoc opgelost."

AI en wetgeving voeren de agenda aan

De strategische prioriteiten voor 2026 laten zien dat organisaties worstelen met nieuwe technologieën en strengere kaders. Het voldoen aan Europese wet- en regelgeving staat met 43% bovenaan de agenda, gevolgd door het veilig gebruik van AI (37%).

Top 5 strategische prioriteiten:

1. Voldoen aan strengere wet- en regelgeving (43%)
2. Veilig AI-gebruik binnen de organisatie (37%)
3. Bewustzijn en gedrag van medewerkers (27%)
4. Veilig beheer van cloudomgevingen (22%)
5. Identity & Access Management (21%)

Overschatting van eigen kunnen

Een van de meest opvallende uitkomsten is de voorbereiding op incidenten. Hoewel 67% van de organisaties aangeeft zich voorbereid te voelen op een cyberaanval, oefent 30% nooit of nauwelijks met realistische scenario's. Daarnaast monitort een derde van de organisaties digitale dreigingen onvoldoende of slechts op een basisniveau, wat de kans vergroot dat indringers lange tijd onopgemerkt blijven.

Naast technische tekortkomingen blijft de menselijke factor het grootste risico. Klikgedrag, een 'optimisme-bias' (het idee dat het de eigen organisatie niet zal overkomen) en het ongecontroleerd gebruik van AI-tools zorgen voor een groter aanvalsoppervlak.

Investeringen in de basis

Om de weerbaarheid structureel te verhogen, is volgens het rapport een investering in de basis noodzakelijk. Dit betekent niet alleen meer budget – hoewel 38% aangeeft dat het huidige budget onvoldoende is – maar vooral een focus op:

• Actieve monitoring en detectie: Sneller signaleren van incidenten.
• Ketenbeveiliging: Beter zicht op risico's bij leveranciers en SaaS-diensten.
• Oefendiscipline: Het testen van crisisplannen in de praktijk.

Voor de komende twaalf maanden verwacht twee derde van de organisaties een stijging in het securitybudget. De focus zal hierbij vooral liggen op detectie (35%) en toegangsbeheer (26%).

Het volledige rapport wordt gepresenteerd tijdens NLSecure[ID] op dinsdag 20 januari 2026 in NBC Nieuwegein, het jaarlijkse evenement waar de top van de Nederlandse cybersecuritysector samenkomt om de staat van de digitale veiligheid te bespreken.

Download hier de Executive Summary met de belangrijkste inzichten van het onderzoek.