De Rijksinspectie Digitale Infrastructuur (RDI) heeft een duidelijke boodschap voor Nederlandse organisaties: een volwaardige quantumcomputer bestaat nog niet, maar wachten op dat moment is geen optie. In een publicatie van 24 juni roept de toezichthouder organisaties op om nu al te handelen, omdat de overstap naar quantumveilige beveiliging jaren in beslag neemt. Het is voor het eerst dat de RDI organisaties onder haar toezicht zo expliciet op deze dreiging wijst.
Quantumcomputers werken fundamenteel anders dan de computers van nu. Ze maken gebruik van principes uit de kwantummechanica en kunnen daardoor meerdere mogelijkheden tegelijk verkennen, wat sommige berekeningen exponentieel versnelt. Precies die eigenschap maakt veelgebruikte versleuteling kwetsbaar: encryptie die nu als veilig geldt, kan straks in korte tijd worden gekraakt.
Waarom nu, terwijl de machine er nog niet is
De reden om vandaag te beginnen zit in de combinatie van twee tijdlijnen. Experts schatten dat quantumcomputers ergens tussen 2030 en 2040 krachtig genoeg zijn om gangbare cryptografie te breken, terwijl een complete migratie naar quantumveilige cryptografie volgens het Nationaal Cyber Security Centrum al snel meer dan vijf jaar duurt. Wie pas begint als de machine er is, is dus per definitie te laat.
Daar komt een tweede, acuter risico bij. Kwaadwillenden kunnen vandaag al versleutelde data onderscheppen en bewaren om die later, zodra de rekenkracht er is, alsnog te ontsleutelen. Dit store-now-decrypt-later-principe betekent dat gevoelige informatie met een lange houdbaarheid (denk aan medische dossiers, contracten of staatsgeheimen) nu al gevaar loopt, ook al wordt ze pas over jaren leesbaar. De dreiging komt op dit moment vooral van statelijke actoren met genoeg middelen en motivatie.
Wat de RDI concreet vraagt
De inspectie verwacht van organisaties onder haar toezicht een nuchtere, gefaseerde aanpak. Kort samengevat:
- Breng in kaart welke data en systemen je beschermt en hoe gevoelig die zijn.
- Weet welke encryptie je nu gebruikt en of die kwetsbaar is voor een quantumcomputer.
- Neem quantumrisico's mee in je reguliere risicoanalyse.
- Oriënteer je op de overstap naar quantumveilige cryptografie.
Opvallend is dat de RDI geen harde deadline noemt. De inspectie legt de nadruk op voorbereidend werk en inzicht, niet op directe naleving. Dat sluit aan bij eerdere Nederlandse adviezen: zowel de AIVD als de overheidsbrede informatie over quantumveilige cryptografie hameren op hetzelfde eerste, weinig spannende maar onmisbare punt, namelijk weten welke cryptografie waar in je organisatie zit voordat je iets kunt migreren.
Een internationale beweging die versnelt
De Nederlandse oproep staat niet op zichzelf. De druk om de migratie naar post-quantumcryptografie te starten neemt internationaal toe, met een aangescherpte Amerikaanse deadline voor post-quantumcryptografie die organisaties dwingt nu met de migratie te beginnen als duidelijkste signaal. Het verschil is de invalshoek: waar de Verenigde Staten met een concrete einddatum sturen, kiest de RDI (voorlopig) voor een toezichthoudende aansporing zonder kalender.
Voor Nederlandse organisaties telt vooral de optelsom. Cryptografie zit overal: in websites, e-mail, VPN's, betaalverkeer en de communicatie tussen systemen. Een groot deel daarvan draait op buitenlandse software en cloudplatforms, en die afhankelijkheid van vooral Amerikaanse techleveranciers is een terugkerend zorgpunt, zoals ook AP-voorzitter Wolfsen waarschuwde dat de Nederlandse overheid binnen een dag kan stilvallen door de afhankelijkheid van Amerikaanse techbedrijven. Of jouw versleuteling op tijd quantumveilig wordt, hangt dus deels af van keuzes die leveranciers maken, niet alleen van jouw eigen planning.
Wat betekent dit voor jouw bedrijf
Ga niet panikeren, maar begin wel. De eerste stap kost geen nieuwe technologie en geen groot budget: het is inventariseren. Welke data wil je over tien of vijftien jaar nog steeds beschermd hebben? Waar wordt die data versleuteld, en met welke algoritmes? Welke leveranciers en standaarden zitten daar onder? Wie dat overzicht nu opbouwt, kan straks gericht migreren in plaats van in paniek alles tegelijk te moeten vervangen.
Voor de meeste MKB-bedrijven is de boodschap dus niet "vervang vandaag je encryptie", maar "weet wat je hebt en stel je leveranciers de vraag". Vraag je hosting-, software- en betaalpartners wat hun plan is voor quantumveilige cryptografie en welke standaarden ze gaan volgen. Bij grotere organisaties en divisies met langlopende, gevoelige data is store-now-decrypt-later een reden om het inventariseren niet op de lange baan te schuiven.
De kern van de RDI-waarschuwing is geen technologisch alarm maar een planningsboodschap. De quantumcomputer is een probleem van de toekomst, maar de voorbereiding is werk van nu. Organisaties die de komende jaren rustig en gestructureerd in kaart brengen waar hun cryptografie zit, kopen zichzelf precies de tijd die deze overgang vraagt. Wie wacht tot de dreiging concreet is, heeft die tijd niet meer.
Veelgestelde vragen
Klaar voor de quantumdreiging
Ik help je organisatie nuchter in kaart brengen waar je cryptografie zit en hoe je systemen en data toekomstbestendig maakt. Van meedenken en ontwerp tot realiseren en automatiseren, end-to-end en waar mogelijk self-hosted.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
