62 procent van organisaties pakt digitale risico’s pas aan na een incident

Utrecht – Nederlandse organisaties zijn zich breed bewust van hun digitale kwetsbaarheid, maar grijpen pas in na een incident. 62 procent van de Nederlandse respondenten erkent dat risico’s rondom buitenlandse wetgeving pas aandacht krijgen na een incident, tegenover 55 procent gemiddeld in Europa. Dat blijkt uit de Tech Reality Check 2026, een onderzoek van Conclusion onder 1.058 IT-beslissers in vier Europese landen (Nederland, Duitsland, Portugal en Spanje).

Bewustzijn leidt nog niet tot actie
Digitale soevereiniteit staat hoog op de Europese agenda. Geopolitieke spanningen, nieuwe wetgeving zoals NIS2, DORA en de Cyber Resilience Act, en het groeiende besef van afhankelijkheid hebben het thema scherp neergezet in veel bestuurskamers. 86 procent van de Europese respondenten is zich bewust van de risico’s wanneer technologie of data onder buitenlandse wetgeving vallen. Tegelijkertijd heeft slechts de helft dat bewustzijn vertaald naar actief beleid dat daadwerkelijk wordt toegepast. Daarmee is de kloof tussen weten en doen zélf een risico geworden.

Nederlandse cijfers tonen achterstand
Het patroon van uitstel komt op meer plekken in het onderzoek naar voren. Slechts 36 procent van de Nederlandse organisaties heeft actief beleid om risico’s rondom digitale afhankelijkheden te beheersen, tegenover 53 procent in Duitsland en 56 procent in Spanje. De helft (49%) heeft volledig overzicht van zijn kritieke digitale afhankelijkheden, tegenover 70 en 71 procent in respectievelijk Spanje en Duitsland. Daarnaast verwacht 45 procent grote verstoringen wanneer een cruciale leverancier of cloudplatform wegvalt, het hoogste percentage van de onderzochte landen.

Kennis geconcentreerd bij weinigen
Een ander signaal komt uit het oordeel over interne kennis. 68 procent van de Nederlandse respondenten zegt dat cruciale systemen draaien op technologie die slechts door enkele mensen binnen de organisatie wordt begrepen, het hoogste percentage van de onderzochte landen. Daarmee is digitale soevereiniteit in Nederland niet alleen een vraagstuk van leveranciers en jurisdicties, maar ook van interne kennisafhankelijkheid en legacy-systemen.

Lucas Jellema, CTO van Conclusion: “Digitale soevereiniteit draait om weten van welke technologie, leveranciers en kennis je afhankelijk bent én welke risico’s daarbij horen. Die analyse vraagt om structuur: breng per systeem, proces en dataset de afhankelijkheden in kaart, bepaal de impact van mogelijke verstoringen en weeg welke restrisico’s overblijven na mitigatie. In Nederland zien we onszelf graag als digitale koploper, maar in dit onderzoek blijkt dat het bewustzijn van risico’s hier minder vaak wordt vertaald naar concrete keuzes en maatregelen dan in vergelijkbare landen. Het tekent een patroon: we weten dat er werk aan de winkel is, en stellen het tegelijkertijd uit tot een incident zich voordoet. De stap die nu nodig is, gaat niet over meer techniek of meer beleid op papier, maar over governance die dwingt tot keuzes: welke risico’s accepteren we? Welke mitigatiemaatregelen nemen we? En wie binnen de organisatie neemt hiervoor het leiderschap op zich? Alleen door die keuzes expliciet te maken, ontstaat de regie die nodig is om digitale soevereiniteit daadwerkelijk te versterken.”