Wanneer ik het rapport lees van Radar, Northwave en OneMore Secure, blijf ik hangen bij een formulering die net zo technisch als onthullend is:"Supply chain security… zakt naar 2,5, wat het een van de slechtst presterende controles maakt."Het is niet zomaar een cijfer. Het beschrijft een scheur in het ijs. Een scheur die niet daar ontstaat waar we kijken, maar waar we niet hadden gedacht te kijken. En die scheur is al lang aan het groeien.
Het is bijna griezelig hoe goed dit overeenkomt met wat ENISA beschrijft in hun Threat Landscape-rapport: aanvallers gaan steeds vaker via leveranciers omdat dit "grote systemische impact met minimale inspanning" oplevert. De IBM X-Force-analyse van 2025 laat zien dat 82 procent van de inbraken nu "malware-vrij" is, wat betekent dat aanvallers niet meer inbreken, maar via bestaande scheuren naar binnen glippen. In hetzelfde rapport staat dat de doorbraaktijd nu 29 minuten is. Het is geen strijd meer om techniek, maar om tijd.
Wat mij echter echt doet stilstaan, zijn niet de cijfers zelf, maar het contrast. Zweden is een van de meest gedigitaliseerde landen ter wereld. We lopen voorop met AI, IoT, automatisering en clouddiensten. We bouwen geavanceerde systemen die alles verbinden, van havens tot ziekenhuizen en industriële productie. We zijn als een enorm ijsveld waar alles verbonden is door dunne, elegante structuren, maar waar een scheur op één plek het hele oppervlak kan laten trillen.
En toch is het juist in deze verbindingen waar onze volwassenheid het laagst is. Het is geen technische paradox, maar een culturele. We hebben een samenleving gebouwd die vertrouwt op het ijs, maar niet praat over wat er gebeurt als het breekt.
Hier begin ik te denken dat we misschien helemaal anders moeten gaan denken. Ik spreek vaak over dat wij als digitale individuen en organisaties niet meer regels, checklists of kaders nodig hebben die niemand kan implementeren. Certificaten die niets betekenen, maar iets fundamentelers. We hebben een nieuw verhaal nodig over wat digitale veerkracht echt inhoudt.
Wanneer de EU-richtlijn NIS2 spreekt over "supply chain governance" en "management accountability", proberen ze eigenlijk dit duidelijk te maken: veiligheid is geen interne zaak meer. Het is een gedeelde infrastructuur. Net als het elektriciteitsnet, de wegen en het water uit de kraan. Het gaat niet om de bescherming van elke organisatie afzonderlijk, maar om het beschermen van het hele ijsveld. Niemand is onbelangrijk, geen enkele organisatie draagt direct of indirect bij aan de maatschappelijke veiligheid. Daarom vind ik het debat over of je door NIS2/CSL wordt geraakt irrelevant. De vraag HOE word ik geraakt is veel constructiever en moet beantwoord worden met WAT moet ik doen.
Misschien ligt hier juist een unieke kans voor Zweden. We zijn klein, maar belangrijk. We zijn gewend aan samenwerking, hebben korte besluitlijnen, een publieke sector die kan bundelen en een private sector die snel kan handelen. We hebben een cultuur waarin mensen daadwerkelijk aan tafel kunnen zitten om over problemen te praten die ons allemaal raken. Dat is een kracht die niet in technische metingen zichtbaar is, maar cruciaal is wanneer landschappen veranderen. We zijn het land van Minecraft, Spotify, ABBA, Björn Borg, aardbeien, halfvolle melk en nog veel meer.
Stel je voor dat we deze enorme innovatiekracht gebruiken om iets te bouwen wat nergens anders bestaat. Geen nieuwe overheid, geen extra laag regels, geen netwerken die vooral clubs zijn voor dinosauriërs, maar een netwerk met echte gezamenlijke capaciteit om naar de scheuren in het ijs te luisteren en die eenvoudig te communiceren. Informatie delen voordat het gevaarlijk wordt. Handelen voordat iemand door het ijs zakt. Cybersecurity niet zien als kostenpost, maar als voorwaarde voor het behoud van het hele ijsveld.
Misschien is dat naïef. Of juist precies het soort gedachte dat nodig is in een wereld die sneller verandert dan onze instituties kunnen bijhouden. Want als onderzoek duidelijk is, van ENISA tot de EU-commissie over NIS2-implementatie, dan is het dat landen die slagen begrijpen dat digitale veerkracht geen technische kwestie is, maar een maatschappelijke. Dan kunnen deze netwerken niet alleen uit machthebbers, politici, ambtenaren en geselecteerde bedrijven bestaan. Dit netwerk moet een dwarsdoorsnede zijn van het echte digitale Zweden.
En precies daar moeten we beginnen. Door te durven zeggen dat het ijs beweegt, tegen iedereen die het aangaat. Informeren dat er scheuren zijn, hoe ze zich bewegen en gedragen. Dat we niet langer kunnen doen alsof elke organisatie op zichzelf staat of op zichzelf aangewezen is. We zijn verbonden, met alle goede en slechte gevolgen van dien. Een echte groepsimmuniteit creëren tegen digitale gevaren en kwetsbaarheden dichten op basis van gezamenlijke ervaringen.
Uiteindelijk overleeft niet de sterkste organisatie, maar de samenleving die leert te luisteren naar de fluisteringen voordat de storm komt, en die ervoor zorgt dat iedereen overleeft.
Bronvermelding
Radar, Northwave & OneMore Secure.(2026).Threat Intelligence Update Q1 – Cyber Risk Navigator: Building Operational Resilience.(Hoofdbasis voor cijfers over supply chain-volwassenheid, AI-gedreven aanvallen en NIS2-voorbereiding.)
ENISA – European Union Agency for Cybersecurity.(2024).ENISA Threat Landscape 2024.(Basis voor overwegingen over aanvallersmethoden, supply chain-aanvallen en systeemrisico's.)
ENISA – European Union Agency for Cybersecurity.(2023).Supply Chain Cybersecurity Good Practices.(Basis voor analyse van structurele zwaktes in leveranciersketens en systeemeffecten.)
IBM Security X-Force.(2025).Threat Intelligence Index 2025.(Bron voor cijfers over malware-vrije inbraken, identiteitsgebaseerde aanvallen en doorbraaktijden.)
EU-commissie.(2023–2025).NIS2 Implementatierapporten & Lidstaat-voorbereidingsbeoordelingen.(Basis voor overwegingen over NIS2-volwassenheid, governance-eisen en uitdagingen voor lidstaten.)
EU-commissie.(2022).Richtlijn (EU) 2022/2555 – NIS2 Richtlijn.(Hoofdjuridische bron voor eisen aan supply chain governance, management accountability en risicogebaseerde maatregelen.)
Microsoft Digital Defense Report.(2023–2025). (Gebruikt als achtergrond voor overwegingen over AI-gedreven aanvallen, identiteitsmisbruik en het wereldwijde dreigingsbeeld.)
World Economic Forum.(2024).Global Cybersecurity Outlook.(Basis voor overwegingen over geopolitiek, systeemrisico's en organisatorische volwassenheid.)
OECD.(2023).Digital Security Risk Management for Economic and Social Prosperity.(Theoretische basis voor de koppeling tussen digitale veerkracht en concurrentiekracht.)
MSB / Myndigheten för samhällsskydd och beredskap.(2023–2025).Nationale situatiebeelden en analyses van cyberdreigingen.(Gebruikt als Zweedse context voor volwassenheid publieke sector en systeemafhankelijkheden.)
Veiligheidspolitie.(2024).Jaarverslag – Cyberdreigingen tegen Zweden.(Basis voor overwegingen over staatsactoren en systeemimpact.)
Gartner Research.(2024).Identity Threat Detection & Response Trends.
