De opkomst van krachtige quantumcomputers zal naar verwachting binnen vijf tot vijftien jaar de basis onder onze huidige cryptografie fundamenteel aantasten. Algoritmen als RSA, Diffie-Hellman en Elliptic Curve Cryptography danken hun veiligheid aan wiskundige problemen die voor klassieke computers praktisch onoplosbaar zijn, maar die voor een voldoende grote en stabiele quantumcomputer in beheersbare tijd oplosbaar worden. Waar nu nog wordt gerekend in miljarden jaren rekenwerk, volstaat in een toekomst met cryptografisch relevante quantumcomputers mogelijk nog maar uren of dagen. De vraag is daarmee niet óf deze omslag komt, maar wanneer.
Voor Nederlandse overheidsorganisaties die staatsgeheimen en andere informatie met een classificatiehorizon van tientallen jaren beschermen, creëert deze ontwikkeling een direct strategisch vraagstuk. Gegevens die vandaag met RSA-4096 worden versleuteld en als veilig voor de komende decennia worden beschouwd, kunnen in de toekomst alsnog worden ontsleuteld zodra quantumcapaciteit beschikbaar komt. Statelijke actoren en andere geavanceerde tegenstanders kunnen nu al versleutelde communicatie en dossiers onderscheppen, opslaan en later ontcijferen. Dit zogenoemde "harvest now, decrypt later"-risico betekent dat beslissingen die vandaag worden genomen, direct gevolgen hebben voor de vertrouwelijkheid van informatie over tien, twintig of vijftig jaar.
Tegelijkertijd voltrekt zich wereldwijd een standaardisatiegolf rond quantum-resistente cryptografie. Het Amerikaanse National Institute of Standards and Technology (NIST) heeft in 2024 na een meerjarig internationaal evaluatieprogramma vier post-quantum algoritmen geselecteerd en gestandaardiseerd. Deze algoritmen vormen de nieuwe bouwstenen voor cryptografie die bestand is tegen quantumcomputers. Voor CISO's, Chief Digital Officers en andere bestuurders binnen de publieke sector is daarmee de vraag urgent geworden: wanneer start je met de overgang naar deze nieuwe standaarden, welke systemen pak je als eerste aan en hoe voorkom je dat de organisatie vastloopt in complexiteit?
Deze whitepaper is geschreven voor senior beslissers in de Nederlandse overheid die geen specialistische achtergrond in quantumfysica nodig hebben, maar wel strategische verantwoordelijkheid dragen voor informatiebeveiliging. We schetsen de impact van de quantumdreiging op de lange termijn, bieden een risicogestuurd raamwerk om systemen te prioriteren, en presenteren een pragmatische migratieroadmap. Daarbij zoeken we bewust de balans tussen tijdig voorbereiden op quantumdreigingen en de realiteit van beperkte middelen, bestaande technische schuld en concurrerende strategische projecten.
Deze whitepaper biedt bestuurders en C-level verantwoordelijken een helder kader om de overgang naar post-quantum cryptografie doordacht te sturen. U krijgt inzicht in de tijdslijn en impact van de quantumdreiging, de specifieke risico’s van harvest now, decrypt later-aanvallen voor langlopend geclassificeerde informatie, de kern van de NIST-post-quantumstandaarden en wat deze concreet betekenen voor uw organisatie. Daarnaast gaan we in op principes van crypto-agility voor toekomstbestendige architecturen, de prioritering van systemen die als eerste moeten migreren, en de meerjarige budgettering die bij een quantumtransitie hoort. Het perspectief is nadrukkelijk strategisch: hoe borgt u nu beslissingen die over decennia nog relevant en verdedigbaar zijn?
Begin tijdig met het in kaart brengen van cryptografie in uw omgeving, ook als productieklare quantumcomputers nog jaren op zich laten wachten. In meerdere ministeries werd quantumvoorbereiding aanvankelijk vooruitgeschoven met het argument dat er "nog voldoende tijd" was. Toen de urgentie later toenam, bleken er duizenden legacy-systemen te bestaan met hardcoded algoritmen, toepassingen zonder ondersteuning voor nieuwe standaarden en leveranciers die nog geen concrete plannen hadden voor post-quantum cryptografie. Alleen al het inventariseren van alle afhankelijkheden kostte meer dan een jaar. Organisaties die vroeg beginnen met een lichte, doorlopende inventarisatie en classificatie, bouwen kennis op, creëren handelingsperspectief en kunnen later gerichter investeren. Quantum is geen acute crisis, maar een langlopende transformatie: wie nu rustig de basis op orde brengt, voorkomt straks overhaaste, risicovolle implementaties onder tijdsdruk.
De Quantum Dreiging: Wiskundige Zekerheid met Onzekere Timing
Quantumcomputers verschillen fundamenteel van klassieke computers en juist dat maakt ze zo relevant voor cryptografie. Waar klassieke systemen rekenen met bits die óf nul óf één zijn, werken quantumcomputers met qubits die tegelijkertijd meerdere toestanden kunnen aannemen. Door superpositie en verstrengeling kan een quantumcomputer in één keer door enorme aantallen mogelijkheden heen rekenen, waar een klassieke computer deze opties stuk voor stuk moet aflopen. Voor een aantal specifieke wiskundige problemen, waaronder het ontbinden van grote getallen in priemfactoren, levert dit een dramatische versnelling op.
In 1994 liet wiskundige Peter Shor zien dat een voldoende grote en stabiele quantumcomputer deze factorisatie in polynomiale tijd kan uitvoeren. Dat staat in schril contrast met de exponentiële tijd die een klassieke computer hiervoor nodig heeft. De veiligheid van RSA en veel aanverwante algoritmen is juist gebaseerd op de veronderstelling dat factorisatie van bijvoorbeeld 2048-bitsleutels praktisch onhaalbaar is. Waar een klassieke supercomputer miljarden jaren nodig zou hebben, kan een toekomstige quantumcomputer dezelfde taak in dagen of zelfs uren afronden. Op het moment dat dergelijke systemen beschikbaar komen, valt het fundament onder deze cryptografie in één klap weg.
De grote onzekerheid zit niet in de vraag óf, maar wanneer quantumcomputers cryptografisch relevant worden. De huidige generatie machines beschikt over tientallen tot enkele honderden fysieke qubits, terwijl er miljoenen logische qubits nodig zijn om moderne cryptografie te breken. Daar komt bij dat foutcorrectie een enorme overhead introduceert, omdat qubits erg storingsgevoelig zijn. Experts schatten de tijdlijn uiteenlopend in van vijf tot twintig jaar, waarbij veel analyses uitkomen op een bandbreedte van tien tot vijftien jaar. Voor strategische planning binnen de overheid is dat een ongemakkelijke horizon: ver genoeg weg om geneigd te zijn het probleem uit te stellen, maar dichtbij genoeg om nu al consequenties te hebben voor langlopend vertrouwelijke informatie.
Die consequenties worden vooral zichtbaar bij het fenomeen harvest now, decrypt later. Statelijke actoren met lange planningshorizons onderscheppen vandaag versleutelde communicatie, slaan deze op en wachten rustig tot de benodigde quantumcapaciteit beschikbaar is. Voor Nederlandse defensiecommunicatie, diplomatieke berichtgeving, intelligence-rapportages en technische documentatie over kritieke infrastructuur kan deze informatie over tien of twintig jaar nog steeds buitengewoon gevoelig zijn. Als die data dan alsnog kan worden ontsleuteld, ontstaat een terugwerkende kwetsbaarheid die met geen enkel incident response-plan meer is te herstellen.
Daarnaast speelt een geopolitieke dimensie. Grote mogendheden investeren massaal in een wedloop om quantumtechnologie. Landen die als eerste beschikken over een quantumcomputer die moderne cryptografie kan breken, hebben in potentie een tijdelijk informatievoordeel: een venster waarin zij communicatie van anderen kunnen ontsleutelen, terwijl die anderen hun eigen systemen nog niet volledig hebben gemigreerd naar post-quantum cryptografie. Voor een open, digitaal verbonden economie als Nederland betekent dit dat afwachten geen optie is. Quantumvoorbereiding is daarmee geen experimentele innovatieagenda, maar een noodzakelijke randvoorwaarde voor de bescherming van vitale belangen op de lange termijn.
NIST Post-Quantum Standaarden: De Nieuwe Cryptografische Foundation
Om de wereldwijde overgang naar quantumveilige cryptografie te structureren, is in 2016 een grootschalig standaardisatieprogramma gestart door het National Institute of Standards and Technology (NIST). NIST riep de internationale cryptografiegemeenschap op om algoritmen aan te dragen die bestand zijn tegen aanvallen met quantumcomputers. Gedurende meerdere beoordelingsrondes zijn tientallen kandidaten tot op het bot geanalyseerd: wiskundige constructies zijn onder vuur gelegd, implementaties zijn getest en prestaties in uiteenlopende scenario’s zijn onderzocht. Dit proces geldt als een van de meest grondige cryptografische evaluaties ooit.
In 2024 resulteerde dit in de selectie en publicatie van vier nieuwe standaarden die als basis moeten gaan dienen voor post-quantum cryptografie. Deze algoritmen zullen breed worden toegepast in software, hardware en clouddiensten en vormen daarmee de nieuwe bouwstenen van digitale vertrouwelijkheid en integriteit. Omdat NIST wereldwijd aanzien geniet als autoriteit op cryptografiegebied, ligt het voor de hand dat leveranciers hun producten hierop afstemmen en dat veel overheden deze standaarden volgen. Voor Nederlandse overheidsorganisaties betekent aansluiting bij NIST-standaarden dat interoperabiliteit met internationale partners gewaarborgd blijft en dat men kan profiteren van volwassen, breed geteste implementaties.
De geselecteerde algoritmen dekken verschillende cryptografische gebruiksscenario’s af. Voor digitale handtekeningen wordt ML-DSA (gebaseerd op CRYSTALS-Dilithium) de belangrijkste opvolger van RSA en ECDSA. Voor het veilig uitwisselen van sessiesleutels treedt ML-KEM (gebaseerd op CRYSTALS-Kyber) in de plaats van klassieke Diffie-Hellman-mechanismen. Daarnaast zijn er alternatieve algoritmen opgenomen, zoals SLH-DSA en FN-DSA, die dienen als reserveopties mocht in de toekomst een zwakte in de primaire keuzes worden ontdekt. De diversiteit aan wiskundige benaderingen – variërend van rooster-gebaseerde tot hash-gebaseerde en code-gebaseerde constructies – voorkomt dat één enkel theoretisch inzicht in één klap alle post-quantumcryptografie onderuit kan halen.
De praktische invoering van deze algoritmen brengt echter aanzienlijke uitdagingen met zich mee. Post-quantumsleutels en -handtekeningen zijn vaak een veelvoud groter dan hun klassieke tegenhangers; in sommige gevallen gaat het om een factor tien tot honderd. Dit heeft gevolgen voor netwerkprotocollen waarin sleutels worden uitgewisseld, voor de opslag van certificaten en voor de bandbreedte die nodig is om handtekeningen te versturen. Bestaande protocollen die vaste limieten kennen voor sleutellengtes of pakketgroottes, kunnen hierdoor ongeschikt worden en moeten worden aangepast of vervangen.
Ook op het gebied van prestaties is het beeld genuanceerd. Sommige post-quantumalgoritmen presteren op serverhardware verrassend goed, andere leggen juist een zwaardere belasting op CPU, geheugen of energieverbruik. Voor mobiele apparaten, sensoren en IoT-componenten kunnen de extra rekenlast en geheugenvraag een serieus knelpunt vormen. Het is daarom essentieel om per toepassingsgebied een zorgvuldige prestatieanalyse uit te voeren: een algoritme dat uitstekend werkt in een datacentrum is niet automatisch geschikt voor een batterijgevoelig veldapparaat.
Daar komt bij dat de overgang niet in één keer plaatsvindt. Jarenlang zullen post-quantumsystemen naast legacy-systemen bestaan die nog op klassieke cryptografie draaien. In die periode is ondersteuning van meerdere algoritmen tegelijk onvermijdelijk, zodat nieuwe en oude systemen met elkaar kunnen blijven communiceren. Deze dubbele ondersteuning vergroot echter de complexiteit van de infrastructuur en vergroot het aanvalsoppervlak: zowel de oude als de nieuwe implementaties moeten veilig zijn, en configuratiefouten liggen op de loer. De transitieperiode is daarmee een fase van verhoogd risico, die actieve monitoring en strak beheer vraagt.
Transitie Roadmap: Pragmatische Migratie Planning
De overgang naar post-quantum cryptografie is geen geïsoleerd IT-project, maar een meerjarige veranderopgave die vrijwel alle lagen van de digitale infrastructuur raakt. In vrijwel iedere applicatie, elk netwerk en veel fysieke apparaten is cryptografie op de een of andere manier ingebouwd. Zonder een gestructureerde aanpak kan de omvang van de opgave verlammend werken en ontstaat het risico dat men de urgentie wel erkent, maar concrete stappen blijft uitstellen.
De eerste noodzakelijke stap is een systematische inventarisatie van alle plaatsen waar cryptografie wordt gebruikt. Het gaat daarbij niet alleen om de zichtbare onderdelen zoals PKI-certificaten voor authenticatie, TLS-configuraties van websites en versleutelde opslag in databases. Ook in maatwerkapplicaties, middleware, API-koppelingen, hardware security modules en oude systemen kunnen algoritmen verborgen zitten. Organisaties die dit zorgvuldig in kaart brengen, ontdekken vaak dat hun cryptografische landschap veel groter en complexer is dan gedacht. Zonder dit overzicht is het onmogelijk om onderbouwde keuzes te maken over prioriteiten en migratiestrategieën.
Op basis van deze inventarisatie kan een risicogestuurde classificatie per systeem worden gemaakt. Systemen die staatsgeheimen of andere informatie met een lange classificatieperiode beschermen, verdienen de hoogste prioriteit. Daar is het harvest now, decrypt later-risico immers direct relevant. Daarna volgen systemen met langlevende sleutels, bijvoorbeeld certificaten die moeilijk vervangbaar zijn of versleutelde archieven die decennialang bewaard moeten blijven. Systeemlandschappen waar sleutels zeer frequent roteren en data snel hun gevoeligheid verliezen, komen logischerwijs lager op de lijst te staan. Deze vorm van prioritering zorgt ervoor dat schaarse middelen terechtkomen bij de systemen waar quantumdreiging daadwerkelijk materieel is.
Vervolgens is het nodig om de mate van crypto-agility van systemen te beoordelen: in hoeverre kan de cryptografie zonder grote ingrepen worden aangepast? Sommige moderne applicaties gebruiken abstractielaagjes en configuratiebestanden waarin algoritmen en sleutelgroottes eenvoudig kunnen worden gewijzigd. Andere toepassingen bevatten cryptografische logica diep in de broncode of leunen op verouderde bibliotheken die niet meer worden onderhouden. Voor legacy-systemen waarvan de broncode niet meer beschikbaar is, kan migratie praktisch onmogelijk blijken en is vervanging vaak de enige realistische optie. Deze verschillen bepalen in hoge mate de volgorde en de doorlooptijd van het migratieprogramma.
Een haalbare transitie is altijd gefaseerd. In een eerste fase is het verstandig om met een beperkt aantal kritieke systemen pilots uit te voeren. Daarin worden post-quantumcomponenten geïmplementeerd en grondig getest, wordt ervaring opgebouwd en worden kinderziektes vroegtijdig opgespoord. Op basis van die lessen kan een tweede fase worden ingericht waarin geclassificeerde omgevingen en andere hoog-risicosystemen planmatig worden gemigreerd. Pas daarna volgt de bredere uitrol naar overige bedrijfskritische en ondersteunende systemen. Tot slot resteert een lange staart met niche- en legacy-oplossingen, waar vervanging of afbouw vaak de meest efficiënte route blijkt.
Deze overgang raakt ook de relatie met leveranciers. Veel beveiligingsproducten, bedrijfsapplicaties en clouddiensten zijn afhankelijk van updates door externe partijen om post-quantumalgoritmen te ondersteunen. Zonder duidelijke routekaart van leveranciers blijft een organisatie kwetsbaar en ontstaat het risico dat cruciale componenten achterblijven. Het is daarom verstandig om in inkoopvoorwaarden en contracten expliciete eisen op te nemen over quantumvoorbereiding, tijdlijnen voor ondersteuning en transparantie in de implementatiestrategie. Leveranciers die nu al een duidelijk verhaal hebben over post-quantum cryptografie, verdienen de voorkeur.
Tot slot vraagt de roadmap om een realistische financiële planning over meerdere jaren. In de beginfase liggen de kosten vooral bij inventarisatie, analyse en architectuurontwerp. In de uitvoeringsfase verschuift het zwaartepunt naar softwareontwikkeling, testen, uitrol en mogelijk vervanging van hardware of netwerkcomponenten. Tijdens de overgangsperiode moeten vaak zowel klassieke als post-quantumalgoritmen parallel worden ondersteund, wat extra beheer- en operationele kosten met zich meebrengt. Voor grote overheidsorganisaties kan het totaalplaatje oplopen tot substantiële investeringen over een periode van tien jaar of langer. Door de financiële impact vroegtijdig met de financiële kolom te bespreken en in meerjarenbegrotingen te verankeren, ontstaat stabiliteit en voorspelbaarheid in de uitvoering.
Strategisch Leiderschap: Quantum Preparedness als Bestuurlijke Verantwoordelijkheid
De overgang naar post-quantum cryptografie is in essentie een governancevraagstuk en niet slechts een technische implementatie. Onder richtlijnen als NIS2 worden bestuurders persoonlijk aangesproken op de wijze waarop zij essentiële en belangrijke diensten beschermen. Daarbij komt dat staatsgeheimen en andere vertrouwelijke dossiers vaak een levensduur hebben die ver voorbij de zittingsperiode van individuele bestuurders reikt. De vraag hoe goed deze informatie over decennia nog beschermd is, raakt direct aan de kern van publiek vertrouwen en politieke verantwoordelijkheid.
Voor raden van bestuur en directies is het daarom essentieel om quantumdreigingen te begrijpen in termen van bestuurlijke impact in plaats van natuurkundige details. Het gesprek in de bestuurskamer zou moeten gaan over scenario’s waarin historische communicatie achteraf openbaar kan worden, over de invloed daarvan op diplomatieke relaties, defensieplanning en beleidsvorming, en over de mate waarin de organisatie aantoonbaar "in control" is. Door de dreiging op deze manier te framen, ontstaat ruimte voor een volwassen dialoog over prioriteiten, risicobereidheid en investeringskeuzes.
Een effectief governancekader voor quantumvoorbereiding begint met duidelijke rolverdeling. Er is een executive sponsor nodig op bestuurlijk niveau die de verantwoordelijkheid draagt voor de totale transitie, inclusief de samenhang tussen IT, juridische aspecten, compliance, procurement en internationale samenwerking. Deze persoon zorgt ervoor dat quantumvoorbereiding niet versnipperd raakt over verschillende silo’s en dat het onderwerp blijvend op de agenda staat. Zonder deze borging bestaat het risico dat het programma bij de eerste druk op de operatie naar de achtergrond verdwijnt.
Voor de overheid speelt ook internationale afstemming een grote rol. Nederland opereert in een dicht netwerk van Europese en NAVO-partners, waarin versleutelde communicatie en vertrouwelijke gegevensuitwisseling dagelijkse praktijk zijn. Een eenzijdige migratie, los van de tempo’s en keuzes van partners, kan leiden tot interoperabiliteitsproblemen. Omgekeerd is te lang wachten riskant als andere landen al wel versneld overstappen. Deelname aan Europese en internationale werkgroepen, het afstemmen van roadmap en standaarden met bondgenoten en het delen van ervaringen zijn daarom expliciete bestuurlijke verantwoordelijkheden, niet louter technische details.
Daarnaast moet het bestuur oog hebben voor de financiële en organisatorische continuïteit van het programma. Een quantumtransitie loopt vrijwel altijd langer dan de gemiddelde zittingstermijn van bestuurders en bewindspersonen. Zonder geborgde meerjarenfinanciering, duidelijke mijlpalen en periodieke rapportages aan de top, dreigen prioriteitsverschuivingen en koerswijzigingen het programma te vertragen of uit te hollen. Door de quantumroadmap vast te leggen in formele strategie- en investeringsplannen, en deze regelmatig te bespreken in de bestuurscyclus, ontstaat een stabiel kader dat ook wisselingen in de leiding kan doorstaan.
Tot slot biedt quantumvoorbereiding ook kansen voor positief leiderschap. Door openlijk te communiceren over de stappen die worden gezet, de samenwerking te zoeken met andere overheden en kennisinstellingen, en transparant te zijn over dilemma’s en keuzes, laat de overheid zien dat zij vooruitdenkt en verantwoordelijkheid neemt voor de bescherming van gevoelige informatie op de lange termijn. Daarmee wordt quantum preparedness niet alleen een verdedigingsmechanisme, maar ook een zichtbaar teken van moderne, verantwoordelijke digitale overheid.
De opkomst van quantumcomputers markeert een kantelpunt in de manier waarop we naar cryptografie en lange termijn informatiebeveiliging kijken. Waar de huidige generatie algoritmen decennialang als robuuste basis werd beschouwd, dwingt de quantumdreiging ons om nu al besluiten te nemen over technologie die pas over jaren of decennia volledig wordt benut. Voor Nederlandse overheidsorganisaties die staatsgeheimen, diplomatieke communicatie en vitale infrastructuur beschermen, is het daarom geen optie om af te wachten tot quantumcomputers daadwerkelijk in staat zijn bestaande versleuteling te breken. Het risico dat vandaag versleutelde informatie in de toekomst alsnog wordt ontsleuteld, is daarvoor te groot.
Een overtuigende reactie vraagt om meer dan een technisch migratieproject. Het vergt bestuurlijke betrokkenheid op hoog niveau, een helder meerjarenplan, structurele financiering en intensieve samenwerking met leveranciers en internationale partners. Organisaties die nu beginnen met inventarisatie, risicoclassificatie en het uitwerken van een gefaseerde roadmap, creëren ruimte om de transitie gecontroleerd en met zo min mogelijk verstoringen uit te voeren. Wie wacht tot de druk vanuit incidenten, regelgeving of geopolitieke ontwikkelingen oploopt, loopt het risico dat er onder tijdsdruk keuzes worden gemaakt die moeilijk zijn terug te draaien.
De onzekerheid over het exacte moment waarop quantumcomputers cryptografisch relevant worden, pleit juist vóór vroegtijdige voorbereiding. Als het moment eerder komt dan verwacht en de organisatie is niet voorbereid, zijn de gevolgen potentieel ernstig en grotendeels onomkeerbaar. Als de ontwikkeling langer duurt en er al is geïnvesteerd in crypto-agility en post-quantumcapaciteit, blijkt die investering ook waardevol voor andere moderniseringsdoelen in architectuur en beveiliging. Vanuit risicomanagement bezien is het verstandig om nu te handelen, juist omdat de mogelijke schade bij te laat reageren zo omvangrijk is.
Tegelijk biedt de quantumtransitie een kans om de digitale weerbaarheid van de overheid in brede zin te versterken. Door cryptografie centraal op de agenda te zetten, ontstaan gesprekken over architectuur, lifecyclemanagement, leveranciersafhankelijkheden en beveiligingsbewustzijn op alle niveaus. Bestuurders die deze uitdaging aangrijpen om hun organisatie toekomstbestendig te maken, laten zien dat zij niet alleen reageren op de dreigingen van vandaag, maar ook verantwoordelijkheid nemen voor de bescherming van vertrouwelijke informatie van komende generaties burgers.