Quantumveiligheid in onderwijs en onderzoek: bewustzijn is er, actie blijft uit

Quantumveiligheid in onderwijs en onderzoek krijgt nog weinig aandacht, terwijl quantum computing grote gevolgen gaat hebben voor de manier waarop we data beveiligen met encryptie. Dat is de belangrijkste conclusie naar aanleiding van een peiling onder securityprofessionals in de sector.

Dit artikel verschijnt in het kader van wereldquantumdag (14 april).

In het voorjaar van 2026 legde SURF een korte vragenlijst voor aan meer dan vijftig securityprofessionals uit het mbo, hbo, wo en onderzoeksinstellingen. De centrale vraag: in hoeverre leeft het thema quantumveiligheid, wat maakt het lastig om er mee aan de slag te gaan, en wat zou helpen om verdere stappen te zetten? In dit artikel lees je de belangrijkste uitkomsten.

Bewustzijn over quantumveiligheid is beperkt binnen instellingen

Uit de inventarisatie blijkt dat kennis over quantum en cybersecurity bij de meeste instellingen nog beperkt is tot een kleine groep specialisten. Bij bijna een derde van de deelnemers is het thema nauwelijks bekend binnen de eigen organisatie — ook niet op directie- of bestuursniveau. Dat maakt het lastig om intern prioriteit te geven aan iets wat nog abstract voelt.

Impact quantum onduidelijk

Die abstractie is begrijpelijk. Quantum is een complex onderwerp, en de tijdlijn is onzeker. Sommige respondenten vergelijken het met het millenniumprobleem: iedereen weet dat er iets aankomt, maar niemand weet precies wanneer het concreet wordt en wat de werkelijke impact zal zijn op de huidige encryptiestandaarden.

Store now, decrypt later: waarom quantum nu al een risico is

Toch is er een belangrijk verschil met een toekomstig risico: store-now, decrypt-later speelt al vandaag. Versleutelde data en dataverkeer dat gebruik maakt van huidige encryptiestandaarden kan nu al worden onderschept en opgeslagen, om later — zodra quantum computing daar de mogelijkheid toe biedt — te worden ontcijferd. 

Juist voor data die langdurig vertrouwelijk moet blijven, zoals onderzoeksdata, persoonsgegevens of intellectueel eigendom, is dit iets om nu al bij stil te staan. Naast dit acute risico is er het toekomstige risico dat quantum computing breed beschikbaar wordt als aanvalsmiddel. De vraag is niet óf je iets moet doen, maar wanneer je op tijd bent met voorbereiden op quantumveiligheid en post-quantum cryptografie.

Afhankelijkheid van leveranciers bij post-quantum cryptografie

Een ander risico dat meerdere respondenten benoemen is de afhankelijkheid van externe leveranciers. Veel instellingen hebben weinig zicht op wat hun cloudleveranciers en softwarepartners doen op het gebied van quantumveiligheid en post-quantum cryptografie — en hoe je daar als instelling het gesprek over voert. 

Sommige respondenten stellen daarbij een fundamentelere vraag: als encryptie straks niet meer de bescherming biedt die we ervan verwachten, moeten we dan niet ook anders nadenken over hoe we met data omgaan?

Waarom quantumveiligheid geen prioriteit krijgt

Van de respondenten geeft 69% aan dat de eigen instelling momenteel niet actief bezig is met quantumveiligheid. De voornaamste reden is niet onbekendheid met het risico, maar concurrentie met andere verplichtingen: de Cyberbeveiligingswet (Cbw) en de toekomst van het SURFaudit Toetsingskader Informatiebeveiliging vragen op dit moment veel aandacht. Quantum komt daar bovenop, en dat maakt prioritering moeilijk.

Instellingen zetten nog geen concrete stappen richting post-quantumcryptografie

Van de instellingen die wél verkennend bezig zijn, beperkt de activiteit zich in vrijwel alle gevallen tot het volgen van ontwikkelingen. Concrete stappen — een impactanalyse, afstemming met leveranciers, of een pilot — zijn nog zeldzaam. 

De wil om verder te gaan is er wel, maar het startpunt ontbreekt. Waar begin je, hoe creëer je intern urgentie, en hoe prioriteer je dit naast alles wat er al op de agenda staat? Dat zijn de vragen die steeds terugkeren.

Waarom wachten op een incident bij quantum geen optie is

Bij de meeste cybersecurityrisico’s is een incident een pijnlijke maar effectieve wake-up call. Na een ransomware-aanval worden budgetten vrijgemaakt, processen aangescherpt en beleid herzien. Die logica — reageren na een incident — zien we vaak terug in hoe de sector met security omgaat.

Bij quantum werkt dat anders. Het moment waarop een quantum-incident zichtbaar wordt, is niet het begin van het probleem — het is het einde van de voorbereidingstijd. De data die dan ontsleuteld wordt, is jaren geleden al onderschept. De encryptie die dan gekraakt wordt, had allang vervangen moeten zijn. 

Quantumveiligheid vraagt om anticiperen in plaats van reageren

Een transitie naar post-quantum cryptografie kost tijd: tijd om systemen in kaart te brengen, leveranciers te bevragen, oplossingen te testen en migraties uit te voeren. Die tijd is er niet meer op het moment dat een incident plaatsvindt.

Quantum vraagt daarom om een andere manier van denken over risico en urgentie. Niet reageren, maar anticiperen. Niet wachten op de aanleiding, maar de voorbereiding starten voordat die aanleiding er is.

Wat instellingen van SURF verwachten rond quantumveiligheid

75% van de respondenten geeft aan het meest geholpen te zijn met duiding: wanneer is actie realistisch noodzakelijk, voor welke systemen en data, en op welke tijdlijn? Daarnaast wordt gevraagd om een concreet stappenplan afgestemd op de sector, voorbeelden van wat andere instellingen al doen, en sectorbrede afstemming.

Hoe SURF instellingen gaat helpen met quantumveiligheid

SURF neemt deze uitkomsten als vertrekpunt. De komende tijd werken we aan duiding over tijdlijn en urgentie, in samenwerking met partijen die daar inhoudelijk meer over kunnen zeggen. We brengen instellingen die al eerste stappen zetten bij elkaar, zodat ervaringen gedeeld kunnen worden. En we gebruiken de uitkomsten van deze inventarisatie als basis voor wat we op dit thema verder ontwikkelen.

Wil je meedenken of wil je ervaringen op het gebied van quantumveiligheid delen? Stuur een mail naar sec@surf.nl.