Quantum wacht niet: waarom uitstel kostbaar is

De Europese Commissie wil dat Europa tegen 2030 een wereldleider wordt op het gebied van kwantumtechnologie. In de zogeheten Quantum Europe-strategie staan ambitieuze doelen. Zo moeten er in 2030 al 100 foutgecorrigeerde qubits beschikbaar zijn (de bouwstenen van een kwantumcomputer) en tegen 2035 zelfs duizenden. Ook wordt gewerkt aan een veilig Europees kwantumcommunicatienetwerk (EuroQCI) dat alle 27 EU-landen en hun overzeese gebieden met elkaar verbindt.

Tegelijkertijd neemt de druk op organisaties toe om hun digitale beveiliging toekomstbestendig te maken. De NIS-samenwerkingsgroep heeft een routekaart gepubliceerd die EU-landen verplicht om uiterlijk eind 2026 te beginnen met de overstap naar zogeheten post-kwantumcryptografie: versleuteling die bestand is tegen aanvallen van toekomstige kwantumcomputers. Voor kritieke infrastructuur, zoals energie, zorg en financiële systemen, moet deze overstap uiterlijk in 2030 zijn afgerond.

Dit is geen vrijblijvende aanbeveling. De verplichtingen worden wettelijk vastgelegd via bestaande Europese regelgeving zoals NIS2, DORA en de Cyber Resilience Act (CRA). Organisaties zullen zich dus tijdig moeten voorbereiden.

Er zijn drie belangrijke punten die organisaties nu moeten aanpakken om straks in het kwantumtijdperk succesvol te blijven.

1. Bedrijfscontinuïteit

Vandaag de dag verzamelen cybercriminelen versleutelde data om die later te ontsleutelen met kwantumcomputers. Dit staat bekend als “harvest now, decrypt later”. Als uw organisatie data verwerkt die langer dan tien jaar vertrouwelijk moet blijven — zoals overheidsinformatie, financiële transacties, medische dossiers of intellectueel eigendom, dan loopt u nu al risico.

De financiële impact is groot, maar ook voorspelbaar. Onderzoek laat zien dat moderne beveiligingsplatforms met kwantumveilige functies binnen drie jaar een sterke ROI kunnen opleveren, met een terugverdientijd van minder dan een jaar.

De EU-routekaart vereist tegen 2030 onder meer: cryptografische inventarisaties, risicoanalyses, proefprojecten en migratie van risicovolle toepassingen. Organisaties zullen budget en geschoold personeel moeten toewijzen en levenscycluskosten moeten beheren die volgens onderzoekers vergelijkbaar zijn met eerdere PKI-upgrades, die meerdere jaren in beslag namen. Organisaties die wachten tot wettelijke deadlines naderen, krijgen te maken met hogere kosten, noodmigraties en mogelijke boetes.

Organisaties die wachten op wettelijke deadlines zullen aanzienlijk hogere kosten maken als het gaat om noodmigratie, mogelijke inbreuken en boetes voor niet-naleving. De Cyber Resilience Act schrijft bijvoorbeeld voor dat vanaf december 2027 alle nieuwe digitale producten moeten kunnen worden geüpgradet naar kwantumveilige mechanismen. Als uw inkoop nog geen rekening houdt met deze vereisten, loopt u al achter.

2. Operationele eenvoud

Veel Europese organisaties, vooral in finance, energie, zorg en kritieke infrastructuur, worstelen met de stapeling van regelgeving (NIS2, DORA, CER, CRA, GDPR en nu ook kwantum). Je kunt geen kwantumbestendige cryptografie implementeren zonder medewerkers die zowel de technologie als je bedrijfscontext begrijpen. Daarom is platformconsolidatie essentieel en geen optie. Door een cyberbeveiligingsplatform te integreren met natuurlijke taalverwerking kunnen teams, zelfs zonder diepgaande expertise, effectief configureren, problemen oplossen en reageren op bedreigingen. Dit democratiseert cyberbeveiliging en maakt het voor iedereen toegankelijk.

Het alternatief omvat meerdere leveranciers van puntproducten met verschillende besturingssystemen, afzonderlijke beheerconsole, complexe licenties en integratieproblemen. Wanneer je kwantumveilige vereisten toevoegt aan een gefragmenteerde infrastructuur, creëer je operationele verlamming. Je hebt platforms nodig die de activiteiten vereenvoudigen in plaats van ze nog ingewikkelder te maken.

3. Innovatie als verzekering

Het Digital Compass van Europa stelt een ambitieuze doelstelling voor kwantumleiderschap tegen 2030. Het Quantum Europe Strategy codificeert dit in vijf pijlers: onderzoek en innovatie, kwantuminfrastructuur, industriële ontwikkeling, vaardigheden en talent, en dual-use-toepassingen in de ruimtevaart en defensie. De European Quantum Act, die in het tweede kwartaal van 2026 wordt verwacht, zal langetermijnfinanciering en -coördinatie voorstellen. Europa heeft de afgelopen vijf jaar al meer dan 11 miljard euro geïnvesteerd in kwantumonderzoek en levert bijna de helft van de kwantumcomponenten in de wereld. Het gevaar is dat de innovatie op het gebied van regelgeving sneller verloopt dan veel organisaties hun beveiligingsmaatregelen kunnen aanpassen. Bedrijven worstelen nog steeds met basis patchbeheer, verkeerd geconfigureerde firewalls en standaardwachtwoorden, en nu wordt hen gevraagd om over te stappen op post-kwantumcryptografie en tegelijkertijd AI-bedreigingen, supply chain-beveiliging en operationele veerkrachtvereisten aan te pakken.

Op basis van ervaring met NIS2, DORA en digitale transformatie in de financiële dienstverlening, zijn dit de aanbevelingen:

·         Behandel kwantum als een huidig risico, niet als toekomstmuziek. Integreer kwantumgereedheid in risicobeheer.

·         Investeer in toekomstbestendige platforms.Vermijd puntoplossingen die snel verouderen. Neem kwantumveilige upgradebaarheid nu al op als eis, en investeer in platforms met geïntegreerde kwantumveilige mogelijkheden.

·         Vereenvoudig voordat je complexiteit toevoegt. Migreren naar PQC lukt niet in een versnipperde IT-omgeving. Consolidatie en automatisering zijn randvoorwaarden.

·         Doe mee aan Europese initiatieven. Neem deel aan pilots, werk samen met nationale centra en draag bij aan standaardisatie.

·         Investeer in cybersecurity-vaardigheden. Gebruik Europese fondsen en werk samen met leveranciers die training bieden.

Ricardo Ferreira, EMEA Field CISO bij Fortinet