5 paradoxen bepalen de toekomst van cybersecurity

Paradox 1: vertrouwen versus uitvoering

Het vertrouwen in cybersecurity is hoog. De uitvoering en effectiviteit is vaak minder. De meerderheid van de respondenten (85%) geeft aan (zeer of enigszins) vertrouwen te hebben in de eigen cybersecuritystrategie, terwijl de feitelijke implementatie van cruciale cybermaatregelen gemiddeld op 70% ligt. Deloitte constateert dat de functie Business Information Security Officer (BISO) nog niet breed genoeg is ingevoerd: slechts 63% van de respondenten rapporteert dat deze rol in grote of zeer grote mate is geïmplementeerd. Ook blijken third-party cyber risk capabilities slechts door 65% van de organisaties op grote schaal te zijn ingebed, wat een potentiële blinde vlek in de keten kan veroorzaken.

Paradox 2: C-suite versus dagelijkse uitvoering

Het management steunt cyber, maar de invloed van cyber is beperkt in de dagelijkse uitvoering en productontwikkeling. Hoewel cybersecurity hoog op de agenda staat van de C-suite — en CISO’s vaak directe lijnen hebben naar de CEO en/of CIO — is die steun van het topmanagement niet vanzelfsprekend synoniem met invloed op de dagelijkse engineering- en productbeslissingen. DevSecOps-principes zijn veelvuldig ingevoerd en 78% zegt dat cyberleiders formeel in DevSecOps werken, maar slechts 40% ervaart echt gezamenlijk eigenaarschap en gedeelde KPI’s. In het rapport wordt de relatie tussen CISO en Chief Architect/CTO als essentieel bestempeld; zonder sterke samenwerking op dat niveau blijven security-by-design en technische guardrails vaak onvoldoende verankerd.

Paradox 3: Leverancierconsolidatie versus nieuwe capaciteiten

Organisaties willen zowel minder (consolidatie) als juist meer leveranciers (nieuwe capaciteiten), mede gedreven door AI. Het afgelopen jaar nam bij 74% van de ondervraagde organisaties het aantal leveranciers toe en 79% verwacht verdere toename binnen drie jaar; op termijn (vijf jaar) voorziet 85% van de respondenten meer leveranciers. Veel organisaties staan daardoor voor de paradox dat ze leveranciersconsolidatie willen om complexiteit te verminderen, maar tegelijk nieuwe leveranciers nodig hebben voor bijvoorbeeld AI-kennis en -kunde. Deloitte ziet een beweging naar geïntegreerde cyberplatforms (een gecentraliseerde beveiligingsoplossing die verschillende beveiligingstools, -systemen en databronnen samenvoegt in één ecosysteem). Waar in 2024 slechts 10% zo’n transformatiedoelstelling noemde, was dat in 2025 al 21% en verwacht 51% dat platformtransformatie in 2026 zal plaatsvinden.

Paradox 4: aandacht voor cyberveiligheid versus stijging in cyberincidenten

Het aantal cyberincidenten blijft hoog. In 2025 rapporteerde 78% van de respondenten minstens één openbaar incident (tegen 91% in 2024), en operationele verstoring blijft de meest genoemde zakelijke consequentie — 58% geeft aan daar in grote of zeer grote mate last van te hebben gehad (in 2024 was dat 66%). Tegelijkertijd signaleert het onderzoek dat organisaties beter in staat lijken negatieve bedrijfsimpact te beperken; gemiddeld meldt 52% dat incidenten in grote/zeer grote mate negatieve consequenties veroorzaakten, waar dat in 2024 nog 64% was. Deloitte waarschuwt echter dat zowel een stijging als een daling van meldingen genuanceerd moeten worden geïnterpreteerd: een hoger aantal meldingen kan duiden op betere detectie.

Paradox 5: stabiel cyberbudget versus behoefte aan flexibele budget

Budgetten blijven relatief gelijk terwijl het dreigingslandschap razendsnel verandert. Cyberbudgetten zijn in veel gevallen stabiel en vaak groeiend: 85% van de respondenten gaf aan het afgelopen jaar het budget te hebben verhoogd en 88% verwacht een verdere stijging in de komende 12 maanden. Tegelijkertijd benadrukt Deloitte dat sommige budgetprocessen het lastig maken om adequaat te reageren op snel opkomende veranderingen, zoals de snelle doorbraak van generatieve AI. 72% van de respondenten heeft nieuwe generatieve redeneringsmogelijkheden inmiddels in bestaande AI-programma’s geïntegreerd. Deloitte adviseert daarom om meer flexibiliteit te hanteren in cyberbegrotingsmodellen, bijvoorbeeld door een deel van het budget vrij te houden voor onvoorziene investeringen of door rolling forecasts in te voeren.

Over het onderzoek

Het rapport is gebaseerd op een online enquête onder 1.058 business- en technologieleiders in 43 landen, verspreid over vijf industrieën en 23 sectoren. Aanvullend zijn diepte-interviews gehouden met negen C-suiteleiders. De Deloitte Cyber Maturity Index combineert twee onderdelen: (1) de mate waarin een set van vijftien cyberacties in hoge mate is geïmplementeerd en (2) het vertrouwen in acht cyberstrategieën. Respondenten kregen gewichten op basis van het aantal acties en strategieën waarin zij sterk scoorden; op basis van de totaalscore zijn zij geclassificeerd als Frontrunner (17%), Follower (60%) of Foundation Builder (24%).