Rekenkamer: 71 procent van overheidsorganisaties niet voorbereid op quantumcomputer

De Nederlandse rijksoverheid loopt ernstig achter in de voorbereiding op een van de grootste cyberdreigingen van de komende jaren. Dat is de harde conclusie van een rapport dat de Algemene Rekenkamer begin februari publiceerde. Zeventig procent van de onderzochte overheidsorganisaties heeft nog geen enkele specifieke maatregel genomen om zich te beschermen tegen aanvallen door quantumcomputers. De klok tikt, want de Algemene Inlichtingen- en Veiligheidsdienst schat dat Q-Day - de dag waarop kwaadwillenden met een quantumcomputer huidige versleuteling kunnen doorbreken - al in 2030 kan aanbreken.

Wat is een quantumcomputer en waarom is hij gevaarlijk?

Een quantumcomputer werkt fundamenteel anders dan een gewone computer. Waar klassieke computers rekenen met bits die de waarde nul of een kunnen hebben, gebruiken quantumcomputers qubits die door quantummechanische effecten meerdere waarden tegelijk kunnen aannemen. Daardoor kunnen ze bepaalde wiskundige problemen die voor klassieke computers onoplosbaar zijn, in korte tijd doorrekenen.

Vrijwel alle moderne versleuteling, van bankieren en DigiD tot de beveiliging van vitale infrastructuur, is gebaseerd op wiskundige problemen die voor klassieke computers praktisch onoplosbaar zijn. Een krachtige quantumcomputer kan die beveiliging in theorie omzeilen. Het risico is niet alleen toekomstig: staten en criminelen verzamelen al nu versleutelde data, in de verwachting die later te ontsleutelen zodra ze over quantumcapaciteit beschikken. Dat fenomeen staat bekend als harvest now, decrypt later.

Wat staat er op het spel voor de overheid?

De gevolgen van een succesvolle quantumaanval op de rijksoverheid zijn ingrijpend. Digitale sloten die toegang geven tot waterkeringen, sluizen en stroomnetwerken kunnen worden opengebroken. Communicatie van diplomatieke diensten en inlichtingen kan worden onderschept. Paspoortcontrole, DigiD en de beveiligde uitwisseling van persoonsgegevens tussen overheidsinstanties kunnen worden gecompromitteerd. Het zijn niet alleen hypothetische risicos: landen als China en Rusland investeren grootschalig in kwantumtechnologie met als expliciet doel het kraken van westerse encryptie.

De Rekenkamer onderzocht in totaal 59 overheidsorganisaties. Slechts 29 procent had concrete stappen gezet richting zogeheten post-quantum cryptografie. De overige 71 procent had het onderwerp nauwelijks op de agenda staan. Als voornaamste obstakels werden gebrek aan capaciteit, expertise en urgentiebesef genoemd. Veel organisaties wachten op meer duidelijkheid over wanneer Q-Day precies aanbreekt, maar de Rekenkamer benadrukt dat die redenering gevaarlijk is: de migratie naar kwantumveilige systemen kost jaren en kan niet op het laatste moment worden uitgevoerd.

Wat is post-quantum cryptografie?

Post-quantum cryptografie, ook wel PQC, is een verzamelnaam voor nieuwe encryptie-algoritmen die bestand zijn tegen aanvallen door quantumcomputers. Ze zijn gebaseerd op wiskundige problemen die ook voor quantumcomputers moeilijk op te lossen zijn. In augustus 2024 publiceerde het Amerikaanse National Institute of Standards and Technology de eerste definitieve PQC-standaarden na een jarenlang selectieproces. Die standaarden gelden nu ook in Europa als referentie.

De uitdaging voor de overheid is de migratie van bestaande systemen naar deze nieuwe encryptie. Dat is geen eenvoudige update maar een grootscheepse operatie waarbij honderden systemen, protocollen en contracten moeten worden herzien. Voor kritieke infrastructuur, die vaak draait op verouderde software en lange vervangingscycli heeft, is dat extra complex. De AIVD, het Centrum voor Wiskunde en Informatica en TNO publiceerden eerder dit jaar samen een bijgewerkt draaiboek voor kwantumveilige migratie, maar het rapport van de Rekenkamer maakt duidelijk dat de kennis nog niet omgezet wordt in concrete actie.

Wat doet Europa?

Op Europees niveau groeit de urgentie. De EU Cyber Resilience Act, die in 2027 van kracht wordt, stelt verplichte beveiligingseisen aan verbonden apparaten. Daarnaast loopt er een gezamenlijk onderzoeksprogramma van de Europese Unie gericht op kwantumveilige communicatie. Nederland heeft via QuTech, de samenwerking van de TU Delft en TNO, een sterke internationale positie in quantumonderzoek. Maar de kloof tussen onderzoek en implementatie is voor de rijksoverheid groot, en die kloof dichten kost meer dan technologische kennis alleen. Het vereist ook politieke prioriteitstelling en budget, iets waaraan het tot nu toe heeft geschort.

Wat zijn de aanbevelingen?

De Algemene Rekenkamer doet concrete aanbevelingen. Elke overheidsorganisatie zou een kwantumrisicoanalyse moeten uitvoeren en een migratieplan opstellen. De centrale overheid moet regie voeren en zorgen voor gedeelde kennis en standaarden, zodat niet elke organisatie het wiel opnieuw uitvindt. En er moet meer worden gehandeld op basis van het voorzorgsprincipe: wie wacht tot Q-Day zeker in zicht is, wacht te lang. De minister van Digitalisering heeft de aanbevelingen overgenomen en toegezegd dat er voor de zomer een rijksbrede aanpak wordt gepresenteerd.