Wiskundige formules en vergelijkingen met de hand geschreven in wit krijt op een zwart schoolbord
Nieuws24 juni · 12:485 min leestijd

RDI waarschuwt: voorbereiding op de quantumdreiging kost organisaties jaren

De Rijksinspectie Digitale Infrastructuur roept Nederlandse organisaties voor het eerst formeel op nu te beginnen met de overstap naar quantumveilige cryptografie, want die migratie kost jaren en de versleutelde data van vandaag is straks leesbaar.

De Rijksinspectie Digitale Infrastructuur (RDI) heeft een duidelijke boodschap voor Nederlandse organisaties: een volwaardige quantumcomputer bestaat nog niet, maar wachten op dat moment is geen optie. In een publicatie van 24 juni roept de toezichthouder organisaties op om nu al te handelen, omdat de overstap naar quantumveilige beveiliging jaren in beslag neemt. Het is voor het eerst dat de RDI organisaties onder haar toezicht zo expliciet op deze dreiging wijst.

Quantumcomputers werken fundamenteel anders dan de computers van nu. Ze maken gebruik van principes uit de kwantummechanica en kunnen daardoor meerdere mogelijkheden tegelijk verkennen, wat sommige berekeningen exponentieel versnelt. Precies die eigenschap maakt veelgebruikte versleuteling kwetsbaar: encryptie die nu als veilig geldt, kan straks in korte tijd worden gekraakt.

Waarom nu, terwijl de machine er nog niet is

De reden om vandaag te beginnen zit in de combinatie van twee tijdlijnen. Experts schatten dat quantumcomputers ergens tussen 2030 en 2040 krachtig genoeg zijn om gangbare cryptografie te breken, terwijl een complete migratie naar quantumveilige cryptografie volgens het Nationaal Cyber Security Centrum al snel meer dan vijf jaar duurt. Wie pas begint als de machine er is, is dus per definitie te laat.

Daar komt een tweede, acuter risico bij. Kwaadwillenden kunnen vandaag al versleutelde data onderscheppen en bewaren om die later, zodra de rekenkracht er is, alsnog te ontsleutelen. Dit store-now-decrypt-later-principe betekent dat gevoelige informatie met een lange houdbaarheid (denk aan medische dossiers, contracten of staatsgeheimen) nu al gevaar loopt, ook al wordt ze pas over jaren leesbaar. De dreiging komt op dit moment vooral van statelijke actoren met genoeg middelen en motivatie.

Wat de RDI concreet vraagt

De inspectie verwacht van organisaties onder haar toezicht een nuchtere, gefaseerde aanpak. Kort samengevat:

  • Breng in kaart welke data en systemen je beschermt en hoe gevoelig die zijn.
  • Weet welke encryptie je nu gebruikt en of die kwetsbaar is voor een quantumcomputer.
  • Neem quantumrisico's mee in je reguliere risicoanalyse.
  • Oriënteer je op de overstap naar quantumveilige cryptografie.

Opvallend is dat de RDI geen harde deadline noemt. De inspectie legt de nadruk op voorbereidend werk en inzicht, niet op directe naleving. Dat sluit aan bij eerdere Nederlandse adviezen: zowel de AIVD als de overheidsbrede informatie over quantumveilige cryptografie hameren op hetzelfde eerste, weinig spannende maar onmisbare punt, namelijk weten welke cryptografie waar in je organisatie zit voordat je iets kunt migreren.

Een internationale beweging die versnelt

De Nederlandse oproep staat niet op zichzelf. De druk om de migratie naar post-quantumcryptografie te starten neemt internationaal toe, met een aangescherpte Amerikaanse deadline voor post-quantumcryptografie die organisaties dwingt nu met de migratie te beginnen als duidelijkste signaal. Het verschil is de invalshoek: waar de Verenigde Staten met een concrete einddatum sturen, kiest de RDI (voorlopig) voor een toezichthoudende aansporing zonder kalender.

Voor Nederlandse organisaties telt vooral de optelsom. Cryptografie zit overal: in websites, e-mail, VPN's, betaalverkeer en de communicatie tussen systemen. Een groot deel daarvan draait op buitenlandse software en cloudplatforms, en die afhankelijkheid van vooral Amerikaanse techleveranciers is een terugkerend zorgpunt, zoals ook AP-voorzitter Wolfsen waarschuwde dat de Nederlandse overheid binnen een dag kan stilvallen door de afhankelijkheid van Amerikaanse techbedrijven. Of jouw versleuteling op tijd quantumveilig wordt, hangt dus deels af van keuzes die leveranciers maken, niet alleen van jouw eigen planning.

Wat betekent dit voor jouw bedrijf

Ga niet panikeren, maar begin wel. De eerste stap kost geen nieuwe technologie en geen groot budget: het is inventariseren. Welke data wil je over tien of vijftien jaar nog steeds beschermd hebben? Waar wordt die data versleuteld, en met welke algoritmes? Welke leveranciers en standaarden zitten daar onder? Wie dat overzicht nu opbouwt, kan straks gericht migreren in plaats van in paniek alles tegelijk te moeten vervangen.

Voor de meeste MKB-bedrijven is de boodschap dus niet "vervang vandaag je encryptie", maar "weet wat je hebt en stel je leveranciers de vraag". Vraag je hosting-, software- en betaalpartners wat hun plan is voor quantumveilige cryptografie en welke standaarden ze gaan volgen. Bij grotere organisaties en divisies met langlopende, gevoelige data is store-now-decrypt-later een reden om het inventariseren niet op de lange baan te schuiven.

De kern van de RDI-waarschuwing is geen technologisch alarm maar een planningsboodschap. De quantumcomputer is een probleem van de toekomst, maar de voorbereiding is werk van nu. Organisaties die de komende jaren rustig en gestructureerd in kaart brengen waar hun cryptografie zit, kopen zichzelf precies de tijd die deze overgang vraagt. Wie wacht tot de dreiging concreet is, heeft die tijd niet meer.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Klaar voor de quantumdreiging

Ik help je organisatie nuchter in kaart brengen waar je cryptografie zit en hoe je systemen en data toekomstbestendig maakt. Van meedenken en ontwerp tot realiseren en automatiseren, end-to-end en waar mogelijk self-hosted.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Vijf toezichthouders dringen samen aan op digitale autonomie
Nieuws
3 min

10 jul 12:25

Vijf toezichthouders dringen samen aan op digitale autonomie

Voor het eerst roepen alle vijf toezichthouders, ACM, AFM, AP, DNB en RDI, bedrijven en overheid samen op om digitale autonomie te versnellen en bij IT-inkoop overstapbaarheid af te dwingen. Wat verandert er voor jou?

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op
Nieuws
4 min

1 jul 02:05

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op

Iets minder dan drie weken na het exportbevel heft de VS de blokkade op Anthropics krachtigste modellen Fable 5 en Mythos 5 volledig op. Het topmodel keert terug, maar de les over afhankelijkheid blijft staan.

VS heft exportblokkade op Mythos 5 deels op: honderd partners krijgen weer toegang
Nieuws
5 min

27 jun 02:24

VS heft exportblokkade op Mythos 5 deels op: honderd partners krijgen weer toegang

De regering-Trump trok het exportbevel op Anthropics Mythos 5 vrijdag gedeeltelijk in. Meer dan honderd vertrouwde partners krijgen toegang, maar Fable 5 blijft op slot en buitenlandse gebruikers staan achteraan.

Five Eyes-spionagediensten: AI-hackaanvallen zijn maanden weg, geen jaren
Nieuws
5 min

22 jun 18:14

Five Eyes-spionagediensten: AI-hackaanvallen zijn maanden weg, geen jaren

De inlichtingendiensten van vijf landen waarschuwen in een zeldzame gezamenlijke verklaring dat krachtige AI binnen maanden cyberaanvallen versnelt. Hun boodschap aan bestuurders is kort: handel nu, want dit is geen IT-kwestie meer.

RIPE NCC haalt het Europese internetregister weg bij Amerikaanse hyperscalers
Nieuws
5 min

20 jun 02:31

RIPE NCC haalt het Europese internetregister weg bij Amerikaanse hyperscalers

RIPE NCC, beheerder van IP-adressen en routering in Europa, het Midden-Oosten en Centraal-Azie, verhuist zijn kerninfrastructuur weg van Amerikaanse hyperscalers. Kosten: zo'n 5 miljoen euro, afgerond in 2028.