De route naar toekomstige welvaart gaat te vaak over oude paden

Digitalisering bepaalt het succes in elk economisch domein. Die ene zin vat treffend het 159 pagina’s dikke rapport van Peter Wennink (ex-ASML) samen over het toekomstige verdienvermogen van Nederland. Wennink wijst op de cruciale rol van onder andere AI en quantumtechnologie voor onze toekomstige welvaart. Toch zie ik dat de route naar die welvaart vaak nog over – letterlijk – oude paden loopt. Volgens het European Union Agency for Cybersecurity (ENISA, Threat Landscape 2025) vormen ongepatchte en verouderde systemen nog steeds een aanzienlijk risico in cyberfysieke en operationele omgevingen in de EU.

Denk aan switches en routers die geen beveiligingsupdates meer krijgen, firewalls met bekende kwetsbaarheden of systemen die eigenlijk al met pensioen hadden moeten gaan. Europa loopt niet voorop in dit verhaal. Veel cyberincidenten zijn het gevolg van kwetsbaarheden waarvoor al een patches beschikbaar zijn. Voor het gemiddelde mkb-bedrijf is dit een aandachtspunt.

Veel van onze apparatuur is ooit ontworpen en aangeschaft in een tijd waarin cybersecurity er anders uitzag. Protocollen die toen veilig leken, zijn nu een open uitnodiging voor aanvallers. Zodra fabrikanten stoppen met ondersteuning, zijn er ook geen patches meer voor uw oude systemen. En onbeschermde systemen zijn precies waar aanvallers op azen. De eerste uren na de bekendmaking van een kwetsbaarheid - en het uitbrengen van een patch - zijn cruciaal. Niet of te traag reageren, kan rampzalige gevolgen hebben: van reputatieschade tot operationele stilstand.

Structureel risico vraagt om structureel beheer

Om dit risico structureel te beheersen, is actief en consistent beheer van de IT-infrastructuur noodzakelijk. Dat begint met een actueel en volledig overzicht van alle kritieke systemen, inclusief inzicht in hun levenscyclus en afhankelijkheden. Alleen zo wordt duidelijk welke technologie het einde van de levensduur nadert en waar continuïteits- of beveiligingsrisico’s ontstaan. Wanneer vervanging niet direct haalbaar is, moeten expliciete risicobeperkingsmaatregelen worden vastgelegd, met concrete verantwoordelijkheden en realistische tijdlijnen.

Daarnaast is zorgvuldige incidentregistratie essentieel. Door incidenten systematisch te documenteren en expliciet te analyseren welke rol verouderde of end-of-life systemen daarin spelen, ontstaat structureel inzicht in terugkerende kwetsbaarheden en onderliggende oorzaken. Zo kunnen organisaties niet alleen reactief, maar vooral ook preventief hun risico’s verkleinen.

Basis voor cyberweerbaarheid

Door technologie-assets actief te beheren, risico’s transparant vast te leggen en verouderde systemen planmatig aan te pakken, leggen organisaties een solide basis voor cyberweerbaarheid. Europese regelgeving zoals NIS2 en de Cybersecurity Act ondersteunt deze ontwikkeling door duidelijke eisen te stellen aan risicobeheer, governance en de beveiliging van kritieke infrastructuur. Daarmee vormen deze kaders niet alleen een verplichting, maar ook een aanleiding om beheerprocessen te professionaliseren en te moderniseren.

Tegelijkertijd vraagt de toekomst om vooruitkijken. Ontwikkelingen zoals quantumcomputing zullen bestaande encryptiemethoden onder druk zetten. Post-quantum cryptografie kan alleen effectief worden toegepast binnen een moderne, goed beheerde infrastructuur. Organisaties die hun systemen tijdig beoordelen en verouderde componenten gecontroleerd aanpakken, vergroten daarmee hun weerbaarheid én creëren ruimte om nieuwe technologie veilig te integreren.