Utrecht
– Nederlandse
organisaties zijn zich breed bewust van hun digitale kwetsbaarheid, maar
grijpen pas in na een incident. 62 procent van de Nederlandse
respondenten erkent dat risico’s rondom buitenlandse wetgeving pas
aandacht krijgen na een incident, tegenover 55 procent gemiddeld in
Europa. Dat blijkt uit de
Tech Reality Check 2026, een onderzoek van
Conclusion onder 1.058 IT-beslissers in vier Europese
landen (Nederland, Duitsland, Portugal en Spanje).
Bewustzijn leidt nog niet tot actie
Digitale soevereiniteit staat hoog op de Europese agenda. Geopolitieke
spanningen, nieuwe wetgeving zoals NIS2, DORA en de Cyber Resilience Act,
en het groeiende besef van afhankelijkheid hebben het thema scherp
neergezet in veel bestuurskamers. 86 procent van de Europese respondenten
is zich bewust van de risico’s wanneer technologie of data onder
buitenlandse wetgeving vallen. Tegelijkertijd heeft slechts de helft dat
bewustzijn vertaald naar actief beleid dat daadwerkelijk wordt toegepast.
Daarmee is de kloof tussen weten en doen zélf een risico geworden.
Nederlandse cijfers tonen achterstand
Het patroon van uitstel komt op meer plekken in het onderzoek naar voren.
Slechts 36 procent van de Nederlandse organisaties heeft actief beleid om
risico’s rondom digitale afhankelijkheden te beheersen, tegenover 53
procent in Duitsland en 56 procent in Spanje. De helft (49%) heeft volledig
overzicht van zijn kritieke digitale afhankelijkheden, tegenover 70 en 71
procent in respectievelijk Spanje en Duitsland. Daarnaast verwacht 45
procent grote verstoringen wanneer een cruciale leverancier of
cloudplatform wegvalt, het hoogste percentage van de onderzochte landen.
Kennis geconcentreerd bij weinigen
Een ander signaal komt uit het oordeel over interne kennis. 68 procent
van de Nederlandse respondenten zegt dat cruciale systemen draaien op
technologie die slechts door enkele mensen binnen de organisatie wordt
begrepen, het hoogste percentage van de onderzochte landen. Daarmee is
digitale soevereiniteit in Nederland niet alleen een vraagstuk van
leveranciers en jurisdicties, maar ook van interne kennisafhankelijkheid
en legacy-systemen.
Lucas Jellema, CTO van Conclusion: “Digitale soevereiniteit draait om
weten van welke technologie, leveranciers en kennis je afhankelijk bent
én welke risico’s daarbij horen. Die analyse vraagt om structuur: breng
per systeem, proces en dataset de afhankelijkheden in kaart, bepaal de
impact van mogelijke verstoringen en weeg welke restrisico’s overblijven
na mitigatie. In Nederland zien we onszelf graag als digitale koploper, maar in dit onderzoek blijkt dat het bewustzijn van
risico’s hier minder vaak wordt vertaald naar concrete keuzes en
maatregelen dan in vergelijkbare landen. Het tekent een patroon: we weten
dat er werk aan de winkel is, en stellen het tegelijkertijd uit tot een
incident zich voordoet. De stap die nu nodig is, gaat niet over meer
techniek of meer beleid op papier, maar over governance die dwingt tot
keuzes: welke risico’s accepteren we? Welke mitigatiemaatregelen nemen
we? En wie binnen de organisatie neemt hiervoor het leiderschap op zich?
Alleen door die keuzes expliciet te maken, ontstaat de regie die nodig is
om digitale soevereiniteit daadwerkelijk te versterken.”
---
Noot voor de redactie:
Over het onderzoek
De Tech Reality Check 2026 is het eerste onderzoek in een jaarlijks
terugkerende reeks van Conclusion. Het onderzoek werd uitgevoerd onder
1.058 IT-beslissers in Duitsland, Nederland, Portugal en Spanje, en gaat
in op vier thema’s: kosten en technische schuld, digitale soevereiniteit,
samenwerking in data-ecosystemen en wendbaarheid in een AI-gedreven
organisatie. Het volledige rapport is beschikbaar via conclusion.nl.