71% van de Rijksoverheidsorganisaties is nog niet begonnen met voorbereidingen op de kwantumdreiging. Dat concludeert de Algemene Rekenkamer. En dat is opvallend, want de impact kan groot zijn: kwantumcomputers kunnen binnenkort bepaalde vormen van cryptografie kraken, precies de cryptografie waarop we vertrouwen voor veilige websites, software-updates, digitale identiteiten en delen van kritieke infrastructuur.
Maar je hoeft niet te wachten op een 'quantumdoorbraak' om in beweging te komen. En je hoeft ook niet zelf cryptografie te gaan bouwen. De eerste stappen zijn vooral organisatorisch, slim en verrassend praktisch. Niels Duif, Principal Architect bij Sentyron, legt het uit in dit artikel.
Wat is post-kwantumcryptografie (PQC)?
Post-kwantumcryptografie (PQC) zijn nieuwe cryptografische algoritmes die ontworpen zijn om ook veilig te blijven als krachtige kwantumcomputers beschikbaar komen.
Belangrijk: PQC betekent niet dat je ineens alles zelf moet implementeren. In veel gevallen gaat de markt (softwareleveranciers, platformen, browsers, cloudproviders) dit aanbieden via standaarden en updates. Maar dan moet jij wel weten waar je afhankelijkheden zitten, en of jouw systemen klaar zijn om mee te bewegen.
De grootste misvatting is volgens Niels: “Quantum is een supercomputer die alles overneemt. Dat is absoluut niet waar. Een quantumcomputer is heel goed in een aantal specifieke taken en toevallig zijn daar taken bij die bepaalde cryptografie kunnen breken. Dat maakt de dreiging tegelijk heel concreet én goed af te bakenen: het gaat niet om ‘alles’, maar om specifieke cryptografische bouwstenen die nu overal in onze digitale ketens zitten.”
Niet alle data is gelijk. De urgentie is vooral hoog als:
- informatie lang geheim moet blijven (denk aan staatsgeheimen, defensie, R&D, persoonsgegevens met een lange bewaarplicht);
- je te maken hebt met risico’s als ‘harvest now, decrypt later’: versleuteld verkeer kan vandaag al worden onderschept en later worden ontcijferd, zodra quantum dat mogelijk maakt. Oftewel: ook als quantum pas later ‘echt’ doorbreekt, kan de schade al eerder beginnen.
Drie concrete stappen om morgen te beginnen
Niels is duidelijk: je kunt nu al beginnen, zonder paniek en zonder onrealistische projecten.
- Breng je kroonjuwelen in kaart: Welke systemen en informatie zijn het belangrijkst? Hoe lang moeten die beschermd blijven? En waar leven die gegevens (intern, cloud, ketenpartners)?
- Controleer je technische basis: Niels geeft als voorbeeld: “Veel post-quantum pilots draaien op TLS 1.3. Als jouw website-omgeving TLS 1.3 nog niet ondersteunt, is dat een simpele maar belangrijke eerste stap.”
- Betrek je leveranciersketen erbij: vraag bij inkoop en aanbestedingen expliciet wat ze doen op het gebied van post-kwantumcryptografie, wat hun roadmap is en wanneer ze ondersteuning bieden.
Niels geeft aan: “Waar je eerder tussen 2030 en 2040 hoorde, hoor je nu steeds vaker dat cryptografie in 2030 al te breken is met een quantumcomputer. Of misschien zelfs al eerder. Ook experts verschillen van mening over hoe snel het gaat. De AIVD adviseert al jaren om rekening te houden met 2030 en dat vind ik verstandig.”
En daar zit precies het punt: je hoeft niet te voorspellen wanneer het gebeurt om te besluiten dat je moet beginnen. De transitie duurt lang, en sommige informatie moet nu al worden beschermd tegen later ontsleutelen. Maar wanneer ben je voldoende voorbereid? Volgens Niels herken je voorbereiding niet aan een specifiek certificaat, maar aan volwassenheid:
- Je weet wat je belangrijkste informatie is en hoe lang die beschermd moet blijven.
- Er ligt een plan (bijv. ketenuitvraag, roadmap per systeem, migratiestrategie).
- Het onderwerp leeft binnen de organisatie: eigenaarschap is belegd en het is geen bijzaak.
Conclusie: geen hype, geen paniek: wel beginnen
Quantum is een voorspelbare verstoring van het fundament van onze digitale veiligheid. De oplossing vereist geen diepgaande kwantumkennis, maar iets concreets: inventariseren, plannen, migreren en ketens meenemen. De organisaties die nu beginnen, hebben straks ruimte om gecontroleerd over te stappen. Wie wacht tot het 'urgent genoeg' voelt, betaalt later de prijs: in snelheid, kosten en risico.