Ruim vier op de tien organisaties erkennen dat cybersecurity geen eenzijdige verantwoordelijkheid is. Zowel IT-dienstverleners als IT-afnemers voelen zich medeverantwoordelijk voor digitale veiligheid. Dit blijkt uit nieuw onderzoek van het Digital Trust Center (DTC). De afstemming over cybersecurity blijkt echter vaak onvoldoende geregeld. Hierdoor kan onduidelijkheid ontstaan over wie welke rol vervult bij een cyberincident.
Wie is verantwoordelijk voor de digitale veiligheid van de IT-afnemer?
IT-afnemers en IT-dienstverleners zijn het in grote lijnen met elkaar eens over het verdelen van verantwoordelijkheden rondom digitale veiligheid. Zo vindt 44% van de dienstverleners en 43% van de afnemers dat zij een gedeelde verantwoordelijkheid dragen voor de cybersecurity van de afnemende organisatie.
Wie is verantwoordelijk voor de digitale veiligheid van de IT-afnemer?
Omdat de verantwoordelijkheid sterk uiteen kan lopen qua soort dienst die verleend wordt, is ook onderzocht hoe dit geldt voor security services, cloud & datacenter services, werkplek & end-user services, software services en platform & daa services. Ook is gevraagd naar wie er het meeste verantwoordelijkheid draagt bij maatregelen zoals beveiligingsupdates, monitoring en detectie, netwerksegmentatie, back-ups en hardening.Beide partijen vinden dat de dienstverlener vooral verantwoordelijk is voor technische maatregelen zoals patchmanagement, actieve monitoring en detectie voor netwerk segmentatie. Afnemers zijn volgens het onderzoek juist verantwoordelijk voor training van de medewerkers en het afsluiten van een cyberverzekering.
Volgens dienstverleners zou de verantwoordelijkheid meer bij de dienstverlener moeten liggen dan nu het geval is. Ook afnemers van IT-diensten vinden dat de verantwoordelijkheid voor veel cybersecurity maatregelen meer bij de dienstverleners zou moeten komen dan nu het geval is.
Afstemming tussen IT-dienstverleners en IT-afnemers schiet tekort
Hoewel IT-afnemers en dienstverleners het op hoofdlijnen eens zijn over de verdeling van verantwoordelijkheden, laat het onderzoek zien dat de onderlinge afstemming en communicatie daarover vaak tekortschieten. Zo geeft slechts 15% van de afnemers aan dat er vaste afspraken zijn gemaakt over de aanpak bij een cyberincident. Bij dienstverleners ligt dat percentage met 27% iets hoger.
Meeste organisaties niet voorbereid op cyberincident
Tegelijkertijd blijkt dat de daadwerkelijke voorbereiding – de zogeheten cyber readiness – nog te wensen overlaat. Slechts een zeer kleine minderheid van de organisaties is volledig voorbereid op een cyberincident: 7% van de afnemers en 11% van de dienstverleners. Daarnaast zegt 44% van de afnemers en 20% van de dienstverleners aan matig tot niet voorbereid te zijn. De redenen voor een niet of matige voorbereiding zijn voornamelijk het vertrouwen in de diensten van de IT-dienstverlener (IT-dienstverleners: 20% en IT-afnemers: 39%) en de verwachting van een kleine kans op een cyberincident (IT-dienstverleners 18% en IT-afnemers: 40%).
Ondersteuning bij het verbeteren van afstemming
Om organisaties te helpen bij het verduidelijken van rollen en verantwoordelijkheden, stelt het DTC verschillende hulpmiddelen beschikbaar. Zo biedt de
praatplaat digitale dienstverlening handvatten om inzichtelijk te maken wie welke rol heeft tijdens een cyberincident. “Het is belangrijk dat de IT-afnemers en de IT-dienstverleners
afspraken maken, zodat ze zeker weten dat er een volledig werkbare omgeving wordt gecreëerd met de juiste beveiligingsmogelijkheden”, stelt [achternaam]. Ook is er een
checklist beschikbaar die bedrijven ondersteunt bij het maken van afspraken met hun IT-dienstverlener. Daarnaast kunnen IT-dienstverleners via de
DTC Community kennis uitwisselen en ervaringen delen in een speciaal ingerichte overlegkamer.
Over het onderzoek
Dit onderzoek is in het voorjaar van 2025 uitgevoerd door Motivaction in opdracht van het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken. De online vragenlijst is ingevuld door 420 IT-afnemers en 278 IT-dienstverleners. Het doel was om inzicht te krijgen in de cybersecurity verwachtingen in de relatie tussen IT-dienstverleners en de afnemers van IT-diensten. Het inzicht in verantwoordelijkheden, verwachtingen, afspraken en incident readiness helpt het DTC om middelen te ontwikkelen die de onderlinge afstemming en dus de cyberweerbaarheid bevorderen. Lees het hele
onderzoeksrapport en de
onderliggende data.