Zijn Nederlandse organisaties klaar voor het managen van toekomstige cyberrisisco's?

Wereldwijd laat het onderzoek een omgeving zien van verhoogd risico en dringende noodzaak tot aanpassing. Geopolitieke volatiliteit is een belangrijke drijfveer voor strategie geworden, waardoor wereldwijd zestig procent van de organisaties haar investeringen in cyberbeveiliging verhoogt. Toch voelen veel leiders zich niet goed voorbereid en zitten de meeste bedrijven nog steeds vast in een kostbare reactieve cyclus in plaats van proactief te investeren. Om hieruit te breken, wenden zij zich tot AI als een belangrijk verdedigingsmiddel, hoewel het gebrek aan vaardigheden hiervoor een grote belemmering blijft. Tegelijkertijd doemen langetermijnbedreigingen zoals quantum computing op aan de horizon, maar de organisatorische paraatheid blijft aanzienlijk achter. Dit creëert een dringende behoefte aan toekomstgerichte actie. 

Deze analyse gaat dieper in op de bevindingen van het onderzoek in Nederland. De Nederlandse resultaten laten een aantal opmerkelijke uitkomsten zien die afwijken van de mondiale uitkomsten.  

Lees hier het Nederlandse perspectief op de Global Digital Trust Insights van PwC-expert Angeli Hoekstra  

Nederlandse organisaties hebben te maken gehad met een uitdagender economisch klimaat, wat hun vooruitzichten logischerwijs beïnvloedt. Zo gaf 26 procent van de Nederlandse respondenten aan dat hun omzet het afgelopen jaar is gedaald tegenover slechts achttien procent van hun wereldwijde collega’s. Deze recente ervaring met economische tegenwind zorgt vanzelfsprekend voor een voorzichtiger toon.

Deze voorzichtigheid kan echter ook worden geïnterpreteerd als pragmatisch realisme in plaats van regelrecht pessimisme. Nederlandse leiders zijn duidelijk minder optimistisch over sterke groei; slechts achttien procent verwacht een forse omzetstijging van meer dan tien procent.  Echter, 33 procent heeft er in ieder geval vertrouwen in dat de omzet met een bescheiden één tot vier procent groeit.

Als we kijken naar hoe Nederlandse organisaties reageren op geopolitieke bedreigingen, blijft het verhogen van investeringen in cyberbeveiliging de hoogste prioriteit. De uitkomsten laten echter ook zien dat zij bijna evenveel – nadruk leggen op het aanpassen van hun cyberverzekeringspolissen. Dit wijst op een mogelijke trend richting een tweesporenstrategie van zowel direct investeren als het overdragen van risico's.

Modernisering van technologie en gegevensbescherming zijn belangrijke drijfveren voor Nederlandse organisaties bij het formuleren van investeringsprioriteiten. Dit komt overeen met de internationale uitkomsten. Eerdere ervaringen met cyberinbreuken of andere incidenten spelen in dit verband ook een opvallende rol

Deze uitkomst toont een van de meest opvallende verschillen tussen de wereldwijde en Nederlandse benadering van cybersecurity. Slechts acht procent van de Nederlandse organisaties besteedt significant meer middelen aan proactieve maatregelen, wat een scherp contrast is met de 24 procent wereldwijd. 38 procent aan een balans tussen reactief en proactief na te streven, wat eveneens aanzienlijk hoger is dan het wereldwijde gemiddelde van 21 procent.

De kernvraag is: is dit een teken van volwassen risicomanagement?

Bij het aanpakken van het tekort aan cybertalent focussen Nederlandse leiders, net als hun wereldwijde collega's, op de inzet van technologie. Hun topprioriteiten zijn technologiegericht: AI- en machine learning-tools, automatisering van beveiliging en consolidatie van tools. Dit wijst op een gedeeld geloof in de kracht van technologie om personeelstekorten te overbruggen. 

Deze uitgesproken technologiegerichte aanpak is het antwoord op de krappe arbeidsmarkt, waar gespecialiseerd talent schaars is. In plaats van te concurreren om een beperkte groep experts, zetten organisaties in op automatisering en de inzet van managed services.

Bij het implementeren van AI voor cyberverdediging ondervinden Nederlandse organisaties aanzienlijke interne obstakels, waarvan er veel overeenkomen met die van hun wereldwijde collega’s. Zo geven de respondenten wereldwijd en in Nederland aan dat bestuurders onzeker zijn over de waarde van AI voor security.

Waar de Nederlandse situatie afwijkt, is de aard en de intensiteit van de belangrijkste belemmeringen. De uitdaging in Nederland draait om een duidelijk tekort aan fundamentele gereedheid. Maar liefst 61 procent van de Nederlandse respondenten noemt een ‘gebrek aan kennis over de toepassing van AI voor cyberverdediging’ de grootste uitdaging, wat aanzienlijk hoger is dan het wereldwijde gemiddelde van 50 procent. Dit hangt direct samen met de op één na grootste belemmering: onduidelijkheid over de risicobereidheid bij het gebruik van AI, een zorg die in Nederland veel sterker leeft dan wereldwijd (52 procent tegen 39 procent).

Deze uitkomsten zouden erop kunnen wijzen dat Nederlandse organisaties zich ervan bewust zijn dat eerst een fundamentele basis op het gebied van kennis en risicobeoordeling moet worden gelegd, voordat men veilig verder kan bouwen.

Nederland loopt aanzienlijk achter op het gebied van 'quantumcomputing' en veiligheid. Het gevaar is dat hackers de krachtige rekenkracht van quantumcomputers gebruiken om versleutelde berichten en data te kraken. Maar liefst 62 procent van de Nederlandse respondenten bevindt zich nog in de verkennende fase. Slechts dertien procent bezig met pilots en testen. Dit is geen gewone achterstand; het wijst op een fundamenteel ander strategisch tijdspad.

Terwijl wereldwijde collega’s actief experimenteren en implementeren, lijken Nederlandse leiders een ‘afwachtende houding’ aan te nemen, waarbij zekerheid belangrijker wordt geacht dan het voordeel van de eerste stap zetten. Volgens Angeli Hoekstra, PwC-partner  Cybersecurity, Privacy & Resilience, zijn er al algoritmen ontwikkeld voor post-quantum computing, bijvoorbeeld door NIST, die binnen organisaties kunnen worden toegepast om quantumveilig te worden. Volgens haar is het belangrijk om te beginnen met implementeren, omdat hackers nu al gegevens verzamelen om deze later te kunnen ontsleutelen wanneer quantum computing verder ontwikkeld is.

Nederlandse respondenten geven aan dat CISO’s iets minder samenwerken met hun technologie-counterparts in de raad van bestuur dan hun wereldwijde tegenhangers. De afstemming met de CEO is echter veel beperkter: slechts 28 procent (tegenover 46 procent wereldwijd) van de Nederlandse respondenten meldt dat CISO's in ruime mate inzichten uit het cyberprogramma delen met de CEO om strategische beslissingen over cybersecurity te ondersteunen.

Deze uitkomsten schetsen het beeld van een Nederlandse CISO die weliswaar een gerespecteerde functionele partner is, maar nog geen centrale drijvende kracht achter de bedrijfsstrategie. Het niveau van diepgaande, strategische integratie dat wereldwijd zichtbaar is, heeft zich in Nederland nog niet volledig gemanifesteerd.

Hoewel er samenwerking bestaat, is de diepgang en strategische impact ervan in Nederland beperkter. Om zich echt aan te passen aan het veranderende dreigingslandschap, is de volgende stap voor het Nederlandse leiderschap om de rol van de CISO omhoog te tillen van van technisch adviseur tot essentiële stem in alle strategische bedrijfsbeslissingen, zodat beveiliging niet alleen een verdedigingsmechanisme is, maar ook een aanjager van innovatie.