De dreiging van de quantumcomputer voelde lang als een probleem voor later. Met een nieuw decreet uit het Witte Huis is dat later ineens een stuk dichterbij. President Trump tekende op 22 juni 2026 Executive Order 14409, die federale overheidsdiensten en hun leveranciers dwingt om sneller af te stappen van encryptie die een quantumcomputer straks kan kraken. De boodschap voor iedereen die zaken doet met Amerikaanse overheidscontractanten, en eigenlijk voor elke organisatie met gevoelige data: begin nu.
Wat het decreet precies eist
Het bevel, met de naam Securing the Nation Against Advanced Cryptographic Attacks, zet vanaf eind 2030 post-quantumencryptie verplicht voor de belangrijkste overheidssystemen. De kern is een reeks harde deadlines, met dit jaar al de eerste stappen:
| Mijlpaal | Deadline |
|---|---|
| Diensten wijzen een migratielead aan | juli 2026 |
| OMB-richtlijn plus ingediende migratieplannen | september 2026 |
| Post-quantum encryptie (sleuteluitwisseling) | 31 december 2030 |
| Leveranciers voldoen aan NIST-PQC-standaarden | 31 december 2030 |
| Post-quantum authenticatie (digitale handtekeningen) | 31 december 2031 |
De verplichting raakt eerst de zogeheten High Value Assets en systemen met hoge impact, maar trekt via de inkoopregels door naar de hele toeleveringsketen. Daarnaast moeten CISA en NIST binnen 270 dagen richtlijnen publiceren voor een cryptografische inventaris, zodat organisaties weten waar ze welke versleuteling gebruiken.
Een flinke versnelling
Het nieuwe aan dit decreet is niet het doel, maar het tempo. De NIST-richtlijn uit 2024 hield aan dat klassieke cryptografie zoals RSA en ECC tegen 2030 afgeraden zou worden en pas in 2035 verboden. Het decreet maakt van die zachte horizon een harde verplichting: federale civiele netwerken moeten sneller over dan de bestaande deadline van 2035, en diensten die hun nieuwe deadline missen moeten aan het Office of Management and Budget uitleggen waarom. Tegelijk tekende Trump een tweede decreet dat de bredere quantum-strategie van het land aanjaagt, na ruim 2 miljard dollar aan toegezegde federale steun voor negen quantumbedrijven eerder dit jaar.
Waarom de haast: harvest now, decrypt later
De urgentie zit in een dreiging die vandaag al speelt, ook al bestaat de krachtige quantumcomputer nog niet. Het Witte Huis wijst op het harvest now, decrypt later-risico, waarbij tegenstanders versleutelde data nu verzamelen om die later alsnog te ontcijferen. Wie nu data onderschept die over tien jaar nog gevoelig is, denk aan medische dossiers, staatsgeheimen of intellectueel eigendom, kan die straks alsnog openbreken. NIST legde in 2024 de eerste gestandaardiseerde post-quantum algoritmes vast; het decreet maakt het gebruik ervan nu een kwestie van planning, niet van afwachten. Het past in een breder beeld waarin westerse inlichtingendiensten waarschuwen dat geavanceerde, AI-aangedreven cyberdreigingen eerder maanden dan jaren weg zijn.
En Nederland dan
Een Amerikaans decreet bindt je Nederlandse bedrijf niet rechtstreeks, maar de gevolgen reizen mee. Lever je software, onderdelen of diensten aan Amerikaanse overheidscontractanten, dan komt de PQC-eis via de keten alsnog op je bord. En de quantumklok tikt hier net zo hard: het NCSC verwacht dat quantumcomputers tussen 2030 en 2040 krachtig genoeg zijn om veel gangbare cryptografie te breken en adviseert organisaties nu hun cryptografie te inventariseren, het risico in te schatten en een migratieplan te maken. De AIVD, TNO en CWI hebben daar samen een PQC-migratiehandboek voor opgesteld. Dat valt samen met de Europese NIS2-richtlijn voor digitale weerbaarheid, al waarschuwt het kabinet dat het vereenvoudigen van NIS2 paradoxaal genoeg tot hogere lasten en meer certificeringsdruk kan leiden.
Wat betekent dit voor jou
Je hoeft morgen niet je hele encryptie te vervangen, maar wachten op 2030 is geen optie. De eerste stap is onspectaculair en cruciaal: breng in kaart waar je organisatie nu kwetsbare cryptografie gebruikt, in je VPN, je TLS-verbindingen, je digitale handtekeningen en je back-ups. Begin bij data en geheimen die jaren meegaan, want die lopen het meeste harvest-now-risico. Wie zijn cryptografie nu al wendbaar maakt, ruilt straks een paniekmigratie in voor een rustige overstap. De grenzen tussen Washington en Den Haag interesseren een onderschepte dataset namelijk niet.
Veelgestelde vragen
Klaar voor quantumveilige systemen
Ik help je end-to-end om je software, integraties en data toekomstbestendig te maken: van in kaart brengen waar je nu encryptie gebruikt tot het bouwen en automatiseren van de migratie, self-hosted waar dat kan, zodat je niet voor verrassingen komt te staan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
