Er voltrekt zich een stille revolutie in de Nederlandse cybersecurity. Het klassieke mantra 'voorkomen is beter dan genezen' maakt in hoog tempo plaats voor de nieuwe realiteit van Cyber Resilience (digitale veerkracht).
Onder het motto 'Assume Breach' is het uitgangspunt niet langer óf een hacker binnenkomt, maar wanneer. Hierdoor verschuift de focus onvermijdelijk van strikte preventie naar snelle detectie en effectief herstel. Het Nationaal Cyber Security Centrum (NCSC) benadrukt dit eveneens in haar richtlijnen: "Cyberincidenten zijn niet te voorkomen. Als het dan gebeurt, wil je daar snel en effectief van herstellen" (Nationaal Cyber Security Centrum [NCSC], z.d.).
Achter deze pragmatische nieuwe strategie schuilt echter een grote, sterk onderschatte consequentie. Veel organisaties beseffen onvoldoende wat deze drastische koerswijziging in de praktijk daadwerkelijk eist.
Waarom zien we deze strategische omslag?
Voor de meeste organisaties is de keuze voor herstel in plaats van preventie geen gemakzucht. Betrokken bestuurders willen een incident het liefst proactief voorkomen, maar in de praktijk staan zij vaak met de rug tegen de muur. Zij missen de werkbare oplossingen om de snelle technologische ontwikkeling van cybercriminelen nog te kunnen bijbenen.
Buiten de kantoormuren ontwikkelt de dreiging zich in een hoog tempo. Cybercriminelen maken in toenemende mate gebruik van Agentic AI (Gartner, 2026): intelligente, zelfstandig opererende AI-programma's die social engineering, prompt-injecties en ransomware-aanvallen volautomatisch op maat maken en op machinesnelheid uitvoeren (Google Cloud, 2026).
Daartegenover staat een interne organisatie die vaak vastzit in een vicieuze cirkel. IT- en security-teams besteden een aanzienlijk deel van hun tijd aan het mitigeren van acute dreigingen en operationele problemen. Door dit reactieve werk resteert er structureel te weinig tijd en budget om het eigen IT-landschap te vernieuwen. Bovendien is modernisering inmiddels dermate complex en kostbaar, dat strategische beslissingen vaak worden uitgesteld zolang de systemen nog naar behoren lijken te functioneren.
Deze interne realiteit wordt breed onderschreven in de vakliteratuur. Analisten van Gartner (2025) waarschuwen expliciet voor de verlammende combinatie van reactive firefighting en oplopende technical debt (technologische achterstand). Omdat security- en IT-teams een disproportioneel deel van hun middelen moeten besteden aan het reactief overeind houden van verouderde systemen, droogt de capaciteit voor structurele vernieuwing op.
Dit fenomeen wordt bevestigd door de meest recente Global Cybersecurity Outlook van het World Economic Forum (WEF, 2026). Het rapport concludeert dat de toenemende complexiteit van dreigingen en het gebrek aan vernieuwingskracht leidt tot een zogeheten 'cyber inequity'. Met name in het middensegment kunnen organisaties de noodzakelijke moderniseringsslag niet meer bijbenen, waardoor zij in een overlevingsmodus belanden en van incident naar incident navigeren.
Het resultaat is een groeiende kloof tussen de moderne, AI-gedreven aanvaller en de deels verouderde interne systemen. In deze realiteit is het succesvol afslaan van elke aanval onhaalbaar gebleken. Voor bestuurders is de overstap naar een herstelstrategie dan ook geen vrijwillige keuze, maar een bittere noodzaak ter bescherming van de bedrijfscontinuïteit.
Wat vergt deze acceptatie?
Het adopteren van de 'assume breach'-strategie is een teken van volwassenheid op het gebied van risicomanagement. Organisaties stappen hiermee af van de illusie dat zij elk risico kunnen uitsluiten. Echter, de keuze om te focussen op herstel, verschuift de druk direct van de IT-afdeling naar de bestuurstafel. De acceptatie dat een incident onvermijdelijk is, brengt de verantwoordelijkheid met zich mee om de organisatie accuraat op dat worstcasescenario voor te bereiden.
Risico-acceptatie is pas verantwoord als de organisatie helder in beeld heeft wat de consequenties zijn wanneer een inbreuk plaatsvindt. Een succesvolle cyberaanval raakt de volledige kern van de onderneming. Daarbij dienen de volgende factoren in overweging te worden genomen:
- Initiële financiële impact. Een cyberaanval kost een Nederlands bedrijf in het middensegment momenteel gemiddeld € 270.000 per incident aan directe en indirecte kosten (Hiscox, 2026).
- De kosten van stilstand. De indirecte schade van productiestilstand loopt aanzienlijk op, met bedragen die oplopen tot circa € 8.500 per uur (IBM, 2026). Indien een organisatie reeds te maken heeft met een technologische achterstand, duurt het herstel vaak twee tot drie keer zo lang vanwege de complexe verwevenheid van verouderde systemen.
- Permanente nevenschade. Zelfs wanneer back-ups correct functioneren en systemen adequaat worden hersteld, is de crisis nog niet bezworen. Een back-up biedt geen bescherming tegen data-exfiltratie (datadiefstal) of resulterende reputatieschade. Bij de diefstal van klantgegevens of intellectueel eigendom dreigen publieke afpersing en verlies van vertrouwen. Marktcijfers tonen aan dat gemiddeld 15% tot 25% van de klanten de organisatie verlaat als direct gevolg hiervan (IBM, 2026).
Dit vormt een substantieel risico voor de bedrijfscontinuïteit. De impact is dermate groot dat organisaties die dit risico onvoldoende onderkennen in hun voortbestaan kunnen worden bedreigd.
Naar een integraal en volwassen risicomanagement
De overstap naar een herstelstrategie is terecht, maar de onderliggende analyses blijven vaak oppervlakkig en primair gericht op compliance. Wie kiest voor veerkracht, dient de consequenties fundamenteel te overzien.
Dit is exact de reden waarom de wetgever en toezichthouders steeds strengere eisen stellen. Met de implementatie van de Cyberbeveiligingswet (de Nederlandse vertaling van de Europese NIS2-richtlijn) accepteert de overheid niet langer dat cybersecurity wordt beschouwd als een exclusief IT-vraagstuk. Toezichthouders onderkennen dat een onvoorbereid bedrijf de veiligheid van een gehele toeleveringsketen in gevaar kan brengen.
De wetgeving verplicht bestuurders om het risicomanagement en de veiligheidsmaatregelen aantoonbaar goed te keuren en stelt hen daarvoor verantwoordelijk. Risico's blind accepteren zonder diepgaand inzicht resulteert in het reële risico op persoonlijke bestuurdersaansprakelijkheid.
Om het risicomanagement naar het vereiste, volwassen niveau te tillen, zijn de volgende drie stappen essentieel:
- Voer een fundamentele Business Impact Analyse (BIA) uit.
De organisatie dient verder te kijken dan de technische IT-systemen. Het is noodzakelijk om met de business te berekenen wat de daadwerkelijke kosten zijn van volledige uitval. Verborgen kosten, zoals gederfde omzet, contractuele boetes, reputatieschade en vertraging bij het herstellen van legacy-systemen, moeten hier expliciet in worden meegenomen. - Bescherm de kroonjuwelen en zet een strategische radar op.
Bepaal op basis van de BIA welke data en systemen zo kritiek zijn, dat uitval direct de bedrijfscontinuïteit bedreigt. Op deze 'kroonjuwelen' mag de technologische achterstand onder geen beding verder oplopen; hier blijft proactieve preventie de absolute prioriteit. Daarnaast dient de directie continu gevoed te worden met specifieke dreigingsinformatie in relatie tot deze kritieke processen, om tijdig te kunnen bijsturen. - Ontwerp een integraal crisisdraaiboek.
Een uitsluitend technisch herstelplan bij de IT-leverancier is onvoldoende. Er is behoefte aan een breed operationeel, juridisch en communicatief noodplan op bestuursniveau. Dit draaiboek moet helderheid verschaffen over de meldplicht aan toezichthouders, de communicatie met klanten en de afhandeling van potentiële afpersing. Tevens dient vooraf te worden vastgelegd bij wie de operationele leiding ligt wanneer reguliere communicatiekanalen zijn uitgevallen.
Deze diepgaande analyse legt bloot waar de werkelijke kwetsbaarheden binnen de onderneming zich bevinden. Deze zwaktes vormen vanaf dat moment een strategische routekaart. Ze tonen de directie aan waar capaciteit en investeringen het meest noodzakelijk zijn om de technologische kloof structureel te dichten.
Voor directies die structuur willen aanbrengen in hun risicomanagement en herstelcapaciteit, biedt het recent vernieuwde NIST Cybersecurity Framework (CSF 2.0) een uitstekend vertrekpunt. Dit raamwerk helpt organisaties om cyberrisico's inzichtelijk te maken en veerkracht stapsgewijs en integraal in te richten (National Institute of Standards and Technology [NIST], 2024).
Kortom: Cyber Resilience is een noodzakelijk vangnet, maar uitsluitend effectief wanneer het vooraf doordacht is vormgegeven middels integraal en volwassen risicomanagement vanuit de bestuurskamer.
Referenties
Gartner. (2025). CISOs must PARE down technical debt today. https://www.gartner.com/en/documents/6949466
Gartner. (2026). Top cybersecurity trends. https://www.gartner.com/en/articles/top-cybersecurity-trends-2026
Google Cloud. (2026). Cybersecurity forecast. https://cloud.google.com/security/resources/cybersecurity-forecast
Hiscox. (2026). Hiscox cyber readiness report. https://www.hiscoxgroup.com/cyber-readiness
IBM. (2026). Cost of a data breach report. https://www.ibm.com/reports/data-breach
Nationaal Cyber Security Centrum. (z.d.). Incidenten en herstellen. Ministerie van Justitie en Veiligheid. Geraadpleegd op 20 mei 2026, van https://www.ncsc.nl/incidenten-en-herstellen
National Institute of Standards and Technology. (2024). The NIST cybersecurity framework (CSF) 2.0 (NIST CSWP 29). https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
World Economic Forum. (2026). Global cybersecurity outlook 2026. https://www.weforum.org/publications/global-cybersecurity-outlook-2026/