71% van de Rijksoverheidsorganisaties is nog niet gestart met voorbereidingen op de quantumdreiging. Dat concludeert de Algemene Rekenkamer. En dat is opvallend, want de impact kan groot zijn: quantumcomputers kunnen straks bepaalde vormen van cryptografie breken, precies de cryptografie waarop we leunen voor veilige websites, software-updates, digitale identiteiten en delen van kritieke infrastructuur.
Maar je hoeft niet te wachten op een ‘quantumdoorbraak’ om in beweging te komen. En je hoeft óók niet zelf cryptografie te gaan bouwen. De eerste stappen zijn vooral organisatorisch, slim en verrassend praktisch. Niels Duif, Principal Architect bij Sentyron, legt het uit in dit artikel.
Wat is post-quantumcryptografie (PQC)?
Post-quantumcryptografie (PQC) zijn nieuwe cryptografische algoritmes die ontworpen zijn om óók veilig te blijven als krachtige quantumcomputers beschikbaar komen.
Belangrijk: PQC betekent niet dat je ineens alles zelf moet implementeren. In veel gevallen gaat de markt (softwareleveranciers, platformen, browsers, cloudproviders) dit aanbieden via standaarden en updates. Maar dan moet jij wél weten waar je afhankelijkheden zitten, en of jouw systemen klaar zijn om mee te bewegen.
De grootste misvatting is volgens Niels: “Quantum is een supercomputer die alles overneemt. Dat is absoluut niet waar. Een quantumcomputer is heel goed in een aantal specifieke taken en toevallig zijn daar taken bij die bepaalde cryptografie kunnen breken. Dat maakt de dreiging tegelijk heel concreet én goed af te bakenen: het gaat niet om ‘alles’, maar om specifieke cryptografische bouwstenen die nu overal in onze digitale ketens zitten.”
Niet alle data is gelijk. De urgentie is vooral hoog als:
- informatie lang geheim moet blijven (denk: staatsgeheimen, defensie, R&D, persoonsdata met lange bewaarplicht);
- je te maken hebt met risico’s als ‘harvest now, decrypt later’: versleuteld verkeer kan vandaag al worden onderschept en later worden ontcijferd, zodra quantum dat mogelijk maakt. Oftewel: ook als quantum pas later ‘echt’ doorbreekt, kan de schade al eerder beginnen.
Drie concrete stappen om morgen te starten
Niels is duidelijk: je kunt nú al beginnen, zonder paniek en zonder onrealistische projecten.
- Breng je kroonjuwelen in kaart: Welke systemen en informatie zijn het belangrijkst? Hoe lang moeten die beschermd blijven? En waar leven die gegevens (intern, cloud, ketenpartners)?
- Check je technische basis: Niels geeft als voorbeeld aan: “Veel post-quantum pilots draaien op TLS 1.3. Als jouw website-omgeving TLS 1.3 nog niet ondersteunt, is dat een simpele maar belangrijke eerste stap.”
- Betrek je leveranciersketen erbij: Vraag bij inkoop en tenders expliciet wat ze doen aan post-quantumcryptografie, wat hun roadmap is en wanneer ze ondersteuning leveren.
Niels geeft aan: “Waar je eerder tussen 2030 en 2040 hoorde, hoor je nu steeds vaker dat cryptografie in 2030 al te breken is met een quantumcomputer. Of misschien zelfs al eerder. Ook experts verschillen van mening over hoe snel het gaat. De AIVD adviseert al jaren om rekening te houden met 2030 en dat vind ik verstandig.””
En daar zit precies het punt: je hoeft niet te voorspellen wanneer het gebeurt om te besluiten dat je moet beginnen. De transitie duurt lang, en sommige informatie moet nú al beschermd worden tegen later ontsleutelen. Maar wanneer ben je voldoende voorbereid? Volgens Niels herken je voorbereiding niet aan een specifiek certificaat, maar aan volwassenheid:
- Je weet wat je belangrijkste informatie is en hoe lang die beschermd moet blijven.
- Er ligt een plan (bijv. ketenuitvraag, roadmap per systeem, migratiestrategie).
- Het onderwerp leeft binnen de organisatie: eigenaarschap is belegd en het is geen bijzaak.
Conclusie: geen hype, geen paniek: wél beginnen
Quantum is een voorspelbare disruptie van het fundament van onze digitale veiligheid. De oplossing vraagt geen diepgaande quantumkennis, maar iets concreets: inventariseren, plannen, migreren en ketens meenemen. De organisaties die nu starten, hebben straks ruimte om gecontroleerd over te stappen. Wie wacht tot het ‘urgent genoeg’ voelt, betaalt later de prijs: in snelheid, kosten en risico.