Cyberweerbaarheid staat bij veel organisaties hoog op de agenda, maar Deloitte signaleert in het The Global Future of Cyber Survey dat een aantal hardnekkige paradoxen de echte effectiviteit kan ondermijnen. Het onderzoek is gebaseerd op antwoorden van 1.058 business- en cyberleiders uit 43 landen, waaronder Nederland.
Dit is relevant voor bedrijven omdat het onderzoek laat zien waar verbeterkansen zitten in de vertaling van beleid naar dagelijkse uitvoering, in de inrichting van rollen en samenwerking, en in hoe organisaties leveranciers, financiering en technologie moeten bijsturen als het dreigingslandschap snel verandert.
1) Veel vertrouwen, minder implementatie
Een meerderheid van de respondenten geeft aan (zeer of enigszins) vertrouwen te hebben in de eigen cybersecuritystrategie: 85%. Tegelijkertijd ligt de gemiddelde implementatie van cruciale cybermaatregelen rond 70%. Deloitte wijst er daarbij op dat niet alleen strategie telt, maar vooral de praktische vertaalslag naar maatregelen.
Ook is de implementatie van specifieke rollen niet overal verankerd. Slechts 63% van de respondenten rapporteert dat de functie Business Information Security Officer (BISO) in grote of zeer grote mate is geïmplementeerd. Daarnaast is third-party cyber risk capabilities door 65% van de organisaties op grote schaal ingebed.
2) Topsteun is er, maar invloed op engineering blijft beperkt
Deloitte stelt dat cyber weliswaar sterk op de C-suite agenda staat en dat CISOs vaak directe lijnen hebben naar de CEO en/of CIO, maar dat dit niet automatisch betekent dat cyber ook invloed heeft op dagelijkse engineering- en productbeslissingen.
DevSecOps-principes worden volgens het onderzoek vaak formeel toegepast: 78% zegt dat cyberleiders formeel in DevSecOps werken. Toch ervaart slechts 40% gezamenlijk eigenaarschap en gedeelde KPI’s. Deloitte benoemt daarbij de relatie tussen CISO en Chief Architect/CTO als belangrijk: zonder sterke samenwerking blijven security-by-design en technische guardrails volgens het rapport onvoldoende verankerd in ontwikkelkeuzes.
3) Meer leveranciers én consolidatie: een spanningsveld
Organisaties willen enerzijds leveranciers consolideren om complexiteit te verminderen, maar hebben anderzijds nieuwe leveranciers nodig voor nieuwe capaciteiten, mede door AI.
In het afgelopen jaar nam bij 74% van de organisaties het aantal leveranciers toe. 79% verwacht verdere toename binnen drie jaar en 85% voorziet meer leveranciers binnen vijf jaar.
Deloitte ziet tegelijk een beweging naar geïntegreerde cyberplatforms: een gecentraliseerde beveiligingsoplossing die beveiligingstools, -systemen en databronnen samenbrengt in één ecosysteem. Waar in 2024 slechts 10% zo’n transformatiedoelstelling noemde, was dat in 2025 21%. Voor 2026 verwacht 51% platformtransformatie.
4) Incidenten blijven vaak aanhouden
De frequentie van cyberincidenten blijft hoog. In 2025 rapporteerde 78% van de respondenten minstens één openbaar incident (tegen 91% in 2024). Als zakelijke consequentie wordt operationele verstoring het meest genoemd: 58% geeft aan daar in grote of zeer grote mate last van te hebben gehad (in 2024 was dat 66%).
Deloitte signaleert ook dat organisaties volgens de rapportage beter lijken negatieve bedrijfsimpact te beperken: gemiddeld meldt 52% dat incidenten in grote of zeer grote mate negatieve consequenties veroorzaakten, waar dat in 2024 64% was.
Het rapport waarschuwt wel dat een stijging of daling van meldingen genuanceerd moet worden geïnterpreteerd: meer meldingen kan bijvoorbeeld duiden op betere detectie.
5) Budgetten groeien, maar flexibiliteit kan achterblijven
Op budgetten ziet Deloitte een ander contrast. 85% van de respondenten verhoogde het cyberbudget het afgelopen jaar en 88% verwacht een verdere stijging in de komende 12 maanden.
Tegelijkertijd geven respondenten aan dat budgetprocessen het lastig kunnen maken om adequaat te reageren op snel opkomende veranderingen, zoals de doorbraak van generatieve AI. 72% van de respondenten heeft nieuwe generatieve redeneer- of redeneermogelijkheden inmiddels in bestaande AI-programma’s geïntegreerd.
Deloitte adviseert om in cyberbegrotingsmodellen meer flexibiliteit te organiseren, bijvoorbeeld door een deel van het budget vrij te houden voor onvoorziene investeringen of door te werken met rolling forecasts (voortschrijdende prognoses).
Wat dit betekent voor bedrijven
De uitkomsten laten zien dat cyberweerbaarheid niet alleen gaat over meer beleid of technologie, maar ook over de vertaling naar uitvoering, de samenwerking tussen rollen, de manier waarop leveranciers worden aangestuurd, en de inrichting van financiering. Veel organisaties zullen daarom gericht willen bepalen waar de grootste “kloof” zit en welke aanpak het beste past bij hun situatie.
Voor opdrachtgevers kan dit helpen bij het scherper formuleren van wensen richting leveranciers en adviseurs. Via BedrijfNederland kunnen bedrijven bovendien offertes aanvragen en vergelijken om te beoordelen welke aanpak aansluit op hun prioriteiten voor cyberstrategie, engineering, leveranciersinrichting en financieringsflexibiliteit.