Nederland gezakt van 20e naar 36e: hoe staat het écht met onze digitale veiligheid?
Nederland geldt internationaal als een van de meest gedigitaliseerde landen ter wereld. Maar op de National Cyber Security Index zijn we de afgelopen jaren gezakt van de 20e naar de 36e plaats. De Tweede Kamer eist nu voor eind 2026 concrete actie van het kabinet.
Wat is de National Cyber Security Index?
De National Cyber Security Index (NCSI) is een wereldwijde ranglijst van de e-Governance Academy die meet hoe goed landen zijn voorbereid op cyberdreigingen. De index beoordeelt landen op drie hoofdgebieden: de capaciteit om cyberaanvallen te voorkomen, de wet- en regelgeving op het gebied van cybersecurity, en de operationele capaciteiten om incidenten te bestrijden.
Nederland scoorde jarenlang bij de mondiale top 20. Die positie is de afgelopen jaren echter flink verslechterd. Van de 20e naar de 36e plek — een daling van 16 plaatsen terwijl de digitale dreiging alleen maar is toegenomen.
Wat ging er mis?
De daling is niet veroorzaakt door één incident, maar door een combinatie van factoren die al jaren zichtbaar waren voor wie het wilde zien.
Verouderde IT-systemen bij de overheid
Nederlandse overheidsinstanties draaien op systemen die soms tientallen jaren oud zijn. Toen het Openbaar Ministerie in 2025 werd getroffen door een Citrix-kwetsbaarheid en de systemen preventief van het internet moest ontkoppelen, werd pijnlijk duidelijk hoe kwetsbaar verouderde infrastructuur is. De Tweede Kamer eist nu dat het kabinet vastlegt hoe de overheid haar eigen IT-systemen gaat vernieuwen.
Geen verplichte risicobeoordeling van kritieke netwerken
Hoewel de Nederlandse economie volledig leunt op digitale infrastructuur, ontbrak tot voor kort een verplichte risicobeoordeling van fundamentele netwerken. Een breed gesteunde motie zorgt er nu voor dat deze beoordeling voor de begrotingsbehandeling wordt uitgevoerd.
Trage implementatie van NIS2
Nederland was een van de lidstaten die de Europese NIS2-deadline van oktober 2024 miste. De Cyberbeveiligingswet is pas op 15 april 2026 aangenomen door de Tweede Kamer en ligt nu bij de Eerste Kamer. Andere landen waren eerder.
Tekort aan cybersecurityprofessionals
Nederland heeft een structureel tekort aan gekwalificeerde cybersecurityprofessionals. Dit tekort raakt zowel de overheid als het bedrijfsleven en vertraagt de implementatie van maatregelen.
De cijfers achter de daling
De statistieken schetsen een ongemakkelijk beeld van waar Nederland nu staat:
| Indicator | Cijfer |
|---|---|
| Stijging cyberaanvallen Nederland Q1 2025 | +53% |
| MKB-bedrijven met cybersecuritybeleid | 28% |
| MKB-bedrijven zonder incidentresponsplan | 73% |
| Nederlandse bedrijven met cyberverzekering | 24% |
| Organisaties die onder NIS2 vallen | 10.000 – 16.000 |
| Cyberaanvallen gericht op MKB | 62% |
Wat opvalt: de dreiging groeit, maar de voorbereiding houdt geen gelijke tred. Bijna driekwart van het Nederlandse MKB heeft geen plan voor als het misgaat.
Wat de Tweede Kamer nu eist
Tijdens een intensieve digitale week in het parlement werd een breed pakket aan moties aangenomen. D66-Kamerlid Sarah El Boujdaini, gesteund door diverse coalitie- en oppositiepartijen, dwong het kabinet tot concrete actie op meerdere fronten.
De belangrijkste eisen:
Concreet plan voor digitale weerbaarheid voor eind 2026
Het kabinet moet voor het einde van dit jaar een concreet plan presenteren om de digitale weerbaarheid te verhogen, met nadrukkelijke aandacht voor de vernieuwing van verouderde overheids-IT.
Verplichte risicobeoordeling fundamentele netwerken
Vóór de begrotingsbehandeling moet een risicobeoordeling van kritieke nationale netwerken worden uitgevoerd. De resultaten worden vertrouwelijk met de Kamer gedeeld.
Digitale soevereiniteit
Samen met Verkuijlen en Zwinkels werd een motie ingediend om bij vergunningverlening te sturen op Europese autonomie voor datacenter-capaciteit — minder afhankelijkheid van Amerikaanse techreuzen.
GPT-NL en Nederlandse AI-infrastructuur
Formele steun voor een Nederlands AI-taalmodel dat een privacyvriendelijk alternatief moet bieden voor Amerikaanse modellen, gekoppeld aan de ambitie voor een Nederlandse AI-gigafabriek.
Wat dit betekent voor organisaties
De politieke druk vertaalt zich direct naar wat er van organisaties wordt verwacht. De Cyberbeveiligingswet treedt naar verwachting op 15 augustus 2026 in werking. Maar los van die wet geldt: de dreigingen zijn er nu al.
Het NCSC stelt het expliciet: organisaties die nu al in actie komen beveiligen zich niet alleen tegen bestaande risico's, maar zijn straks ook beter voorbereid op de nieuwe wetgeving.
Drie directe conclusies voor IT-beheerders en bestuurders:
De overheid is geen rolmodel meer
Als de overheid zelf op de 36e plek staat en nog bezig is met basismaatregelen, is het voor organisaties des te belangrijker om niet op overheidsrichtlijnen te wachten maar zelf het initiatief te nemen.
MKB is het primaire doelwit
62% van alle cyberaanvallen in Nederland richt zich op MKB. De aanvallers weten dat kleine bedrijven minder beveiligd zijn. De statistieken bevestigen dat: 73% heeft geen incidentresponsplan.
De tijdlijn is korter dan gedacht
Met de Cyberbeveiligingswet op 15 augustus en een kabinetsplan voor eind 2026 is de verwachting dat de handhavingsdruk in het tweede halfjaar van 2026 sterk toeneemt. Organisaties die nu nog niets hebben gedaan, lopen serieus risico.
Wat kunt u nu doen?
U hoeft niet te wachten op het kabinetsplan of de toezichthouder. De basismaatregelen zijn bekend en direct uitvoerbaar:
- Voer een risicoanalyse uit — weet wat uw kroonjuwelen zijn en waar de grootste risico's zitten
- Stel een incidentresponsplan op — 73% van het MKB heeft dit niet; wees bij de 27% die het wel heeft
- Activeer MFA op alle externe toegang — VPN, e-mail, clouddiensten
- Patch structureel — verouderde systemen zijn de meest misbruikte aanvalsvector
- Train uw mensen — 90% van aanvallen begint met phishing; bewustzijn is uw eerste verdedigingslinie
- Bereid u voor op de Cyberbeveiligingswet — valt uw organisatie eronder? Begin nu met de scope-analyse