Uit het Deloitte-onderzoek “The Global Future of Cyber Survey” blijkt dat organisaties wereldwijd aanzienlijke stappen hebben gezet in hun cyberweerbaarheid, maar dat er tegelijk hardnekkige tegenstrijdigheden bestaan die de echte weerbaarheid ondermijnen.
Op basis van antwoorden van 1.058 business- en cyberleiders uit 43 landen, waaronder uit Nederland, gaat het rapport in op vijf paradoxen:
- Het vertrouwen in cybersecurity is hoog. De uitvoering en effectiviteit is vaak minder.
- Topmanagement steunt cyber, maar de invloed van cyber is beperkt in de dagelijkse uitvoering en productontwikkeling.
- Organisaties willen zowel minder (consolidatie) als juist meer leveranciers (nieuwe capaciteiten), mede gedreven door AI.
- Het aantal cyberincidenten blijft hoog.
- Budgetten blijven relatief gelijk terwijl het dreigingslandschap razendsnel verandert.
Vertrouwen versus uitvoering
De meerderheid van de respondenten (85%) geeft aan (zeer of enigszins) vertrouwen te hebben in de eigen cybersecuritystrategie, terwijl de feitelijke implementatie van cruciale cybermaatregelen gemiddeld op 70% ligt.
Niels van de Vorle, cybersecurityspecialist en partner bij Deloitte: ‘De data laten zien dat we de juiste stappen op strategisch niveau zetten, maar dat de vertaalslag naar uitvoering nog vaak achterblijft. Het oplossen van die kloof is de sleutel om cyberrisico’s toekomstbestendig te beheersen.’
Deloitte constateert dat de functie Business Information Security Officer (BISO) nog niet breed genoeg is ingevoerd: slechts 63% van de respondenten rapporteert dat deze rol in grote of zeer grote mate is geïmplementeerd. Ook blijken third-party cyber risk capabilities slechts door 65% van de organisaties op grote schaal te zijn ingebed, wat een potentiële blinde vlek in de keten kan veroorzaken.
Van C-suite naar engineering
Hoewel cybersecurity hoog op de agenda staat van de C-suite — en CISOs vaak directe lijnen hebben naar de CEO en/of CIO — is die steun van het topmanagement niet vanzelfsprekend synoniem met invloed op de dagelijkse engineering- en productbeslissingen. DevSecOps-principes zijn veelvuldig ingevoerd en 78% zegt dat cyberleiders formeel in DevSecOps werken, maar slechts 40% ervaart echt gezamenlijk eigenaarschap en gedeelde KPI’s. In het rapport wordt de relatie tussen CISO en Chief Architect/CTO als essentieel bestempeld; zonder sterke samenwerking op dat niveau blijven security-by-design en technische guardrails vaak onvoldoende verankerd.
Tegelijkertijd worstelen organisaties met hun portfolio van leveranciers. Het afgelopen jaar nam bij 74% van de ondervraagde organisaties het aantal leveranciers toe en 79% verwacht verdere toename binnen drie jaar; op termijn (vijf jaar) voorziet 85% van de respondenten meer leveranciers. Veel organisaties staan daardoor voor de paradox dat ze leveranciersconsolidatie willen om complexiteit te verminderen, maar tegelijk nieuwe leveranciers nodig hebben voor bijvoorbeeld AI-capabilities. We zien een duidelijke beweging naar geïntegreerde cyberplatforms (een gecentraliseerde beveiligingsoplossing die verschillende beveiligingstools, -systemen en databronnen samenvoegt in één ecosysteem). Waar in 2024 slechts 10% zo’n transformatiedoelstelling noemde, was dat in 2025 al 21% en verwacht 51% dat platformtransformatie in 2026 zal plaatsvinden.
De frequentie van cyberincidenten blijft hoog
In 2025 rapporteerde 78% van de respondenten minstens één openbaar incident (tegen 91% in 2024), en operationele verstoring blijft de meest genoemde zakelijke consequentie — 58% geeft aan daar in grote of zeer grote mate last van te hebben gehad (in 2024 was dat 66%). Tegelijkertijd signaleert het onderzoek dat organisaties beter in staat lijken negatieve bedrijfsimpact te beperken; gemiddeld meldt 52% dat incidenten in grote/zeer grote mate negatieve consequenties veroorzaakten, waar dat in 2024 nog 64% was. Deloitte waarschuwt echter dat zowel een stijging als een daling van meldingen genuanceerd moeten worden geïnterpreteerd: een hoger aantal meldingen kan duiden op betere detectie.
Behoefte aan flexibele financiering
Budgettering laat een ander contrast zien. Cyberbudgetten zijn in veel gevallen stabiel en vaak groeiend: 85% van de respondenten gaf aan het afgelopen jaar het budget te hebben verhoogd en 88% verwacht een verdere stijging in de komende 12 maanden. Tegelijkertijd benadrukt Deloitte dat sommige budgetprocessen het lastig maken om adequaat te reageren op snel opkomende veranderingen, zoals de snelle doorbraak van generatieve AI. 72% van de respondenten heeft nieuwe generatieve redeneringsmogelijkheden inmiddels in bestaande AI-programma’s geïntegreerd. Deloitte adviseert daarom om meer flexibiliteit te hanteren in cyberbegrotingsmodellen, bijvoorbeeld door een deel van het budget vrij te houden voor onvoorziene investeringen of door rolling forecasts in te voeren.