Quantumveiligheid in onderwijs en onderzoek: bewustzijn is er, actie nodig

In het voorjaar van 2026 legde SURF een korte vragenlijst voor aan meer dan 50 securityprofessionals uit het mbo, hbo, wo en onderzoeksinstellingen. De centrale vragen: in hoeverre leeft het thema quantumveiligheid, wat maakt het lastig om ermee aan de slag te gaan, en wat zou helpen om verdere stappen te zetten? In dit artikel lees je de belangrijkste uitkomsten.

Bewustzijn over quantumveiligheid is beperkt binnen instellingen

Uit de inventarisatie blijkt dat kennis over quantum en cybersecurity bij de meeste instellingen nog beperkt is tot een kleine groep specialisten. Bij bijna een derde van de deelnemers is het thema nauwelijks bekend binnen de eigen organisatie – ook niet op directie- of bestuursniveau. Dat maakt het lastig om intern prioriteit te geven aan iets wat nog abstract voelt.

Impact quantum onduidelijk

Die abstractie is begrijpelijk. Quantum is een complex onderwerp, en de tijdlijn is onzeker. Sommige respondenten vergelijken het met het millenniumprobleem: iedereen weet dat er iets aankomt, maar niemand weet precies wanneer het concreet wordt en wat de werkelijke impact zal zijn op de huidige encryptiestandaarden.

‘Store-now, decrypt-later’: waarom quantum nu al een risico is

Toch is er een belangrijk verschil met een toekomstig risico: ‘store-now, decrypt-later’ speelt al vandaag. Versleutelde data en dataverkeer dat gebruik maakt van huidige encryptiestandaarden kan nu al worden onderschept en opgeslagen, om later – zodra quantum computing daar de mogelijkheid toe biedt – te worden ontcijferd. 

Juist voor data die langdurig vertrouwelijk moet blijven, zoals onderzoeksdata, persoonsgegevens of intellectueel eigendom, is dit iets om nu al bij stil te staan. Naast dit acute risico is er het toekomstige risico dat quantum computing breed beschikbaar wordt als aanvalsmiddel. De vraag is niet óf je iets moet doen, maar wanneer je op tijd bent met voorbereiden op quantumveiligheid en post-quantum cryptografie.

Afhankelijkheid van leveranciers bij post-quantumcryptografie

Een ander risico dat meerdere respondenten benoemen, is de afhankelijkheid van externe leveranciers. Veel instellingen hebben weinig zicht op wat hun cloudleveranciers en softwarepartners doen op het gebied van quantumveiligheid en post-quantumcryptografie – en hoe je daar als instelling het gesprek over voert. 

Sommige respondenten stellen daarbij een fundamentelere vraag: als encryptie straks niet meer de bescherming biedt die we ervan verwachten, moeten we dan niet ook anders nadenken over hoe we met data omgaan?

Quantumveiligheid: op zoek naar het startpunt

Van de respondenten geeft 69% aan dat de eigen instelling momenteel niet actief bezig is met quantumveiligheid. De voornaamste reden is niet onbekendheid met het risico, maar concurrentie met andere verplichtingen: de Cyberbeveiligingswet (Cbw) en de toekomst van het SURFaudit Toetsingskader Informatiebeveiliging vragen op dit moment veel aandacht. Quantum komt daar bovenop, en dat maakt prioritering moeilijk.

Instellingen zetten nog geen concrete stappen richting post-quantumcryptografie

Van de instellingen die wél verkennend bezig zijn, beperkt de activiteit zich in vrijwel alle gevallen tot het volgen van ontwikkelingen. Concrete stappen – een impactanalyse, afstemming met leveranciers, of een pilot – zijn nog zeldzaam. 

De wil om verder te gaan is er wel, maar het startpunt ontbreekt. Waar begin je, hoe creëer je intern urgentie, en hoe prioriteer je dit naast alles wat er al op de agenda staat? Dat zijn de vragen die steeds terugkeren.

Anticiperen op incidenten

Bij de meeste cybersecurityrisico’s is een incident een pijnlijke maar effectieve wake-up call. Na een ransomware-aanval worden budgetten vrijgemaakt, processen aangescherpt en beleid herzien. Die logica – reageren na een incident – zien we vaak terug in hoe de sector met security omgaat.

Bij quantum werkt dat anders. Het moment waarop een quantumincident zichtbaar wordt, is niet het begin van het probleem – het is het einde van de voorbereidingstijd. De data die dan ontsleuteld wordt, is jaren geleden al onderschept. De encryptie die dan gekraakt wordt, had allang vervangen moeten zijn. 

Quantumveiligheid: een andere manier van denken

Een transitie naar post-quantum cryptografie kost tijd: tijd om systemen in kaart te brengen, leveranciers te bevragen, oplossingen te testen en migraties uit te voeren. Die tijd is er niet meer op het moment dat een incident plaatsvindt.

Quantum vraagt daarom om een andere manier van denken over risico en urgentie. Niet reageren, maar anticiperen. Niet wachten op de aanleiding, maar de voorbereiding starten voordat die aanleiding er is.

Dit verwachten instellingen van SURF rond quantumveiligheid

75% van de respondenten geeft aan het meest geholpen te zijn met duiding: wanneer is actie realistisch noodzakelijk, voor welke systemen en data, en op welke tijdlijn? Daarnaast wordt gevraagd om een concreet stappenplan afgestemd op de sector, voorbeelden van wat andere instellingen al doen, en sectorbrede afstemming.

Zo gaat SURF instellingen helpen met quantumveiligheid

SURF neemt deze uitkomsten als vertrekpunt. De komende tijd werken we aan duiding over tijdlijn en urgentie, in samenwerking met partijen die daar inhoudelijk meer over kunnen zeggen. We brengen instellingen die al eerste stappen zetten bij elkaar, zodat ervaringen gedeeld kunnen worden. En we gebruiken de uitkomsten van deze inventarisatie als basis voor wat we op dit thema verder ontwikkelen.

Wil je meedenken of wil je ervaringen op het gebied van quantumveiligheid delen? Stuur een mail naar sec@surf.nl.

Het originele artikel staat op de website van het Security Expertise Centrum.