Quantum computing is geen toekomstmuziek meer: waarom Microsoft nu al quantum-ready bouwt en jij dat ook moet doen

Quantum computing voelt voor veel organisaties nog steeds als iets voor later. Interessant, technisch, misschien zelfs revolutionair, maar nog niet iets waar je als IT-manager, security officer of bestuurder vandaag direct iets mee moet.

Dat beeld begint te kantelen.

De afgelopen maanden duikt quantum computing steeds vaker op in het nieuws. Grote technologiebedrijven investeren zwaar in quantumonderzoek, overheden publiceren migratieadviezen en securityorganisaties waarschuwen voor de impact op cryptografie. Microsoft speelt daarin een opvallende rol. Het bedrijf presenteerde in 2025 zijn Majorana 1-chip en stelde daarbij dat quantumcomputers niet langer 'decades away' zijn, maar mogelijk binnen jaren dichterbij komen. De chip is gebaseerd op Microsofts topologische quantumaanpak, waarbij het bedrijf inzet op stabielere qubits en schaalbaarheid richting grotere quantumcomputers. Die claim wordt in de wetenschappelijke wereld ook kritisch besproken, maar het strategische signaal is helder: Microsoft behandelt quantum computing niet als verre sciencefiction, maar als technologie waar nu al infrastructuur, onderzoek en platformontwikkeling voor wordt opgebouwd.

Voor organisaties is dat belangrijk. Niet omdat iedereen morgen een quantumcomputer gaat gebruiken. Maar omdat quantum computing de fundamenten raakt waarop digitale beveiliging vandaag is gebouwd: encryptie, sleuteluitwisseling, certificaten, digitale handtekeningen, identity, VPN's, cloudverbindingen, software-updates en API-koppelingen.

De vraag is dus niet: 'Wanneer kopen wij een quantumcomputer?' De vraag is: 'Zijn onze data, infrastructuur en securitystrategie voorbereid op een wereld waarin quantumcomputers bestaande cryptografie onder druk zetten?'

Waarom quantum computing security raakt

De meeste moderne security vertrouwt op cryptografie. Dat klinkt abstract, maar in de praktijk kom je het overal tegen. Wanneer medewerkers inloggen. Wanneer een VPN-verbinding wordt opgezet. Wanneer Microsoft 365-data wordt benaderd. Wanneer een certificaat wordt gevalideerd. Wanneer software wordt ondertekend. Wanneer data in transit wordt versleuteld. Wanneer applicaties via API's met elkaar praten. Wanneer back-ups worden beschermd. Wanneer cloudomgevingen veilig worden gekoppeld.

Op veel van die plekken gebruiken organisaties cryptografische technieken zoals RSA, Diffie-Hellman, elliptische krommen en digitale handtekeningen. Die technieken zijn vandaag veilig tegen klassieke computers, maar kunnen in de toekomst kwetsbaar worden voor voldoende krachtige quantumcomputers.

Dat betekent niet dat alles morgen breekt. Maar het betekent wel dat organisaties moeten nadenken over post-quantum cryptografie: cryptografie die bedoeld is om bestand te zijn tegen aanvallen met toekomstige quantumcomputers. NIST heeft hiervoor in augustus 2024 de eerste drie definitieve post-quantumstandaarden gepubliceerd: FIPS 203 voor ML-KEM, FIPS 204 voor ML-DSA en FIPS 205 voor SLH-DSA. Daarmee is de overgang van theoretisch onderzoek naar praktische standaardisatie echt begonnen.

De grote misvatting: we wachten wel tot quantum echt werkt

Bij veel securityonderwerpen kun je reageren op het moment dat de dreiging concreet wordt. Bij quantum werkt dat anders.

Cryptografie zit diep in systemen verstopt. In applicaties, certificaten, identityplatformen, cloudkoppelingen, VPN's, firewalls, SaaS-diensten, API's, mobiele apps, embedded devices en back-upomgevingen. Vaak weten organisaties niet eens precies waar welke algoritmen worden gebruikt.

Dat maakt migratie ingewikkeld. Je vervangt cryptografie niet met één patch. Je moet eerst weten waar het zit, welke data ermee wordt beschermd, welke systemen afhankelijk zijn van welke standaarden, welke leveranciers betrokken zijn en welke componenten op tijd mee kunnen bewegen. Daarom is quantum-readiness vooral een governancevraag. Niet alleen een technisch vraagstuk.

Wie nu wacht tot de eerste cryptografisch relevante quantumcomputer er is, begint waarschijnlijk te laat. De standaarden zijn inmiddels in beweging, maar het productie-ecosysteem is nog niet volledig volwassen. Juist daarom is nu starten logisch: inventariseren, classificeren en plannen kost jaren.

Harvest now, decrypt later: het risico begint vandaag

De meest directe dreiging van quantum computing is niet dat aanvallers morgen live je Microsoft-omgeving ontsleutelen. De dreiging is subtieler. Die heet: harvest now, decrypt later.

Daarbij verzamelen aanvallers vandaag al versleutelde data, met het idee dat ze die later kunnen ontsleutelen zodra quantumtechnologie krachtig genoeg is. Dat is vooral relevant voor data die lang gevoelig blijft. Denk aan intellectueel eigendom, strategische plannen, juridische dossiers, medische gegevens, persoonsgegevens, onderzoeksdata, financiële informatie, klantdata, overheidsinformatie, broncode, contracten en lange termijn archieven.

Voor zulke data is de vraag niet alleen of die vandaag goed versleuteld is. De vraag is ook of die over vijf, tien of vijftien jaar nog steeds gevoelig is. Als dat zo is, dan kan onderschepping vandaag later alsnog een probleem worden.

Dit maakt quantumsecurity direct relevant voor data governance. Want je kunt pas bepalen welke data quantumgevoelig is als je weet welke data je hebt, hoe gevoelig die is, waar die staat, hoe lang die bewaard blijft en via welke systemen die wordt gedeeld.

Waarom Microsoft hier zo'n belangrijke rol speelt

Voor veel organisaties vormt Microsoft de digitale ruggengraat. Denk aan Microsoft 365, Entra ID, Defender, Intune, Azure, SharePoint, Teams, Purview, Sentinel, GitHub en steeds vaker ook Copilot en agentic work. Daarom is Microsofts quantumstrategie niet alleen interessant voor onderzoekers. Het is relevant voor vrijwel iedere organisatie die op Microsoft vertrouwt.

Microsoft bouwt aan quantum computing via Azure Quantum, Q# en eigen quantumhardwareontwikkeling. Azure Quantum is Microsofts cloudplatform voor quantumontwikkeling en biedt toegang tot quantumhardware, software en tooling. Daarnaast ontwikkelt Microsoft met Azure Quantum Elements toepassingen op het snijvlak van AI, high-performance computing en quantum voor onder meer chemie en materiaalonderzoek.

Met Majorana 1 zette Microsoft bovendien opnieuw een duidelijke ambitie neer: quantum computing moet schaalbaar worden en uiteindelijk praktisch bruikbaar zijn. Of Microsofts topologische aanpak sneller volwassen wordt dan die van concurrenten, is nog onderwerp van discussie. Maar voor organisaties doet dat weinig af aan de belangrijkste conclusie: Microsoft bouwt al aan het post-quantum tijdperk.

Daarmee verschuift de vraag voor klanten. Niet: 'Gaat Microsoft iets met quantum doen?' Maar: 'Hoe zorgen wij dat onze Microsoft-omgeving, data governance en securityarchitectuur mee kunnen bewegen wanneer quantum-safe standaarden mainstream worden?'

Quantum-ready worden begint met crypto-agility

Een organisatie wordt niet quantum-ready door één nieuw algoritme te kiezen. Daarvoor verandert de technologie nog te snel en is de omgeving te complex. De belangrijkste voorbereiding heet crypto-agility.

Crypto-agility betekent dat je cryptografie niet behandelt als iets dat ergens onzichtbaar in systemen verstopt zit, maar als een beheerde laag die je kunt inventariseren, beoordelen, vervangen en controleren. Concreet betekent dat: weten welke cryptografische algoritmen je gebruikt, weten welke certificaten en sleutels kritiek zijn, weten welke systemen afhankelijk zijn van RSA, ECDH, ECDSA of andere kwetsbare standaarden, weten welke leveranciers quantum-safe roadmaps hebben, weten welke data lang genoeg gevoelig blijft, kunnen migreren naar nieuwe standaarden zonder complete herbouw, kunnen werken met hybride cryptografie in overgangsfases, en cryptografische keuzes koppelen aan governance en risicobeheer.

Crypto-agility is dus geen projectje voor één beheerder. Het raakt architectuur, security, cloud, compliance, leveranciersmanagement en data governance.

De Microsoft-omgeving als startpunt

Voor veel organisaties is de Microsoft-omgeving de logische plek om te beginnen. Niet omdat alles daar zit, maar omdat daar veel kritieke onderdelen samenkomen: identity via Entra ID, device management via Intune, securitymonitoring via Defender, data governance via Purview, cloudresources via Azure, samenwerking via Microsoft 365, documentopslag via SharePoint en OneDrive, communicatie via Teams, development via GitHub en security operations via Sentinel.

Als quantum-readiness ergens impact gaat krijgen, dan is het in dit soort omgevingen. Denk aan certificaatbeheer, toegangsbeleid, dataclassificatie, logging, endpointbeheer, cloudkoppelingen, API's, back-upbeleid en leveranciersintegraties.

Daarom moet de voorbereiding niet beginnen met een abstract quantumrapport. Hij moet beginnen met praktische vragen. Welke data in Microsoft 365 moet over tien jaar nog vertrouwelijk zijn? Welke Azure-omgevingen verwerken gevoelige data? Welke certificaten en sleutelmaterialen gebruiken we? Welke API-koppelingen zijn kritiek? Welke externe leveranciers hebben toegang tot onze Microsoft-omgeving? Welke devices en applicaties verwerken gevoelige data lokaal? Welke back-ups bevatten langdurig gevoelige informatie? Welke logs hebben we nodig om misbruik te detecteren? Welke governancecontrols in Purview, Defender en Entra ID zijn al ingericht?

Dit zijn geen futuristische vragen. Dit zijn vragen die vandaag al horen bij volwassen security en data governance.

Quantum en NIS2: waarom dit ook bestuurlijk relevant wordt

NIS2 en de Nederlandse Cyberbeveiligingswet gaan over risicobeheer, governance, continuïteit, incidentmelding en ketenbeveiliging. Quantum computing wordt misschien niet altijd expliciet genoemd in NIS2-gesprekken, maar de link is duidelijk. Als cryptografie de basis vormt onder vertrouwelijkheid, integriteit en beschikbaarheid, dan is quantumrisico onderdeel van security governance.

Voor organisaties die onder NIS2 of de Cyberbeveiligingswet vallen, wordt het steeds belangrijker om aantoonbaar te kunnen laten zien dat zij nadenken over lange termijn digitale risico's. Dat betekent niet dat iedere organisatie direct post-quantum cryptografie moet uitrollen. Het betekent wel dat organisaties moeten begrijpen welke data, processen en leveranciers gevoelig zijn voor toekomstige cryptografische veranderingen.

Voor bestuurders wordt de kernvraag: kunnen wij aantonen dat we weten welke data lang gevoelig blijft, welke systemen die data beschermen en hoe we onze cryptografische basis kunnen aanpassen wanneer standaarden veranderen? Dat is precies waar quantum-readiness en governance elkaar raken.

Waarom dit ook over leveranciers gaat

Geen enkele organisatie wordt quantum-ready in isolatie. Je bent afhankelijk van leveranciers. Van cloudproviders, SaaS-platformen, securityvendors, identityproviders, netwerkleveranciers, softwarebouwers, managed service providers, hardwareleveranciers, certificaatautoriteiten en back-up- en archiveringsoplossingen.

Daarom moet quantum-readiness ook onderdeel worden van vendor management. Niet met paniekvragen, maar met volwassen roadmapvragen. Wanneer ondersteunen jullie post-quantum cryptografie? Welke standaarden gaan jullie ondersteunen? Komt er hybride ondersteuning? Welke producten krijgen updates? Welke legacyproducten niet? Hoe communiceren jullie migratie-impact? Welke certificaten of protocollen veranderen? Welke contractuele afspraken zijn nodig? Welke data blijft bij jullie lang opgeslagen?

Voor organisaties die sterk op Microsoft bouwen, is het logisch om Microsofts quantumstrategie te volgen. Maar het is minstens zo belangrijk om te kijken naar alle andere partijen in de keten. Want één quantum-ready platform is niet genoeg als kritieke data via verouderde koppelingen, oude certificaten of leveranciers zonder roadmap blijft lopen.

Welke data moet je als eerste beschermen?

Niet alle data vraagt dezelfde urgentie. Quantum-readiness begint met classificatie. De hoogste prioriteit ligt bij data die lang gevoelig blijft (bijvoorbeeld medische dossiers, onderzoeksdata, intellectueel eigendom, strategische plannen, juridische dossiers en overheidsinformatie), data die nu al onderschept kan worden (data die via externe netwerken, SaaS-koppelingen, VPN's, API's of leveranciers loopt), data die in ketens wordt gedeeld (hoe meer partijen betrokken zijn, hoe moeilijker het is om cryptografische eisen later te corrigeren), data afhankelijk van certificaten en digitale handtekeningen (software-updates, identity, code signing, PKI, e-mailbeveiliging en digitale documenten) en data in systemen met lange levensduur (IoT, OT, medische apparatuur, netwerkapparatuur en embedded systemen). Juist systemen met een levensduur van tien tot twintig jaar moeten vroeg worden meegenomen.

Dit maakt quantumsecurity heel concreet. Het gaat niet om abstracte natuurkunde. Het gaat om de vraag welke data, systemen en contracten vandaag al op de roadmap moeten.

Wat Flowerbed hier concreet in kan betekenen

Voor Flowerbed is quantum computing geen reden om klanten bang te maken. Het is juist een kans om security, data governance en infrastructuur volwassen te benaderen. De praktische waarde zit niet in de vraag of je morgen quantumtechnologie gaat gebruiken. De waarde zit in voorbereiding.

Flowerbed kan organisaties helpen met data-classificatie (welke informatie blijft lang gevoelig, welke data is relevant voor harvest now decrypt later, welke data verdient prioriteit), Microsoft-governance (hoe zijn Entra ID, Purview, Defender, Intune, SharePoint, Teams en Azure ingericht, waar ontbreekt zicht of controle), crypto-inventarisatie (welke certificaten, sleutels, protocollen, VPN's, API's en applicaties zijn kritiek, waar zit afhankelijkheid van cryptografie die later onder druk kan komen), cloud- en infrastructuurbeoordeling (welke Azure-omgevingen, koppelingen, back-ups en externe toegangspaden zijn relevant voor quantum-readiness), vendor- en ketenrisico (welke leveranciers verwerken of transporteren gevoelige data, welke roadmaps zijn nodig, welke contractuele vragen moeten worden gesteld), securitymonitoring en incidentrespons (hoe zorg je dat afwijkingen zichtbaar worden via Defender, Sentinel, MDR of andere securitylagen) en de roadmap naar crypto-agility (welke stappen zijn nodig om niet vast te zitten aan verouderde cryptografie, wat moet eerst, wat later, en wat hoort op de strategische roadmap).

Daarmee wordt quantum computing geen losse hype, maar onderdeel van een volwassen security- en governanceprogramma.

Wat organisaties deze maand al kunnen doen

Je hoeft niet te wachten op een volledig quantumprogramma. Je kunt nu al beginnen. Start met deze tien vragen. Welke data moet over tien jaar nog vertrouwelijk zijn? Waar staat die data in onze Microsoft-omgeving? Welke data wordt gedeeld met externe leveranciers? Welke certificaten, sleutels en encryptiestandaarden gebruiken we nu? Welke systemen hebben een lange levensduur? Welke back-ups en archieven bevatten gevoelige data? Welke API's en SaaS-koppelingen verwerken kritieke informatie? Welke securitycontrols in Entra ID, Defender, Intune en Purview zijn al actief? Welke leveranciers hebben een post-quantum roadmap? Wie is intern eigenaar van crypto-agility?

Alleen al deze vragen beantwoorden levert vaak veel op. Want de meeste organisaties ontdekken dan dat cryptografie overal zit, maar nergens echt als beheerde asset wordt behandeld.

Onze conclusie

Quantum computing is geen toekomstmuziek meer. Niet omdat iedere organisatie morgen een quantumcomputer nodig heeft, maar omdat de security-impact vandaag al begint. Microsoft bouwt actief aan quantum computing, met Azure Quantum, Q# en de Majorana 1-chip als zichtbare signalen van een bredere strategie. Tegelijk zijn post-quantumstandaarden inmiddels concreet geworden en groeit het bewustzijn rond harvest now, decrypt later.

Voor organisaties betekent dit één ding: wachten is geen strategie. Quantum-ready worden begint met zicht op data, cryptografie, Microsoft-governance, leveranciers, cloudomgevingen en lange termijn risico's. Het begint met crypto-agility. En het vraagt een partner die technologie niet alleen volgt, maar vertaalt naar praktische stappen.

Flowerbed helpt organisaties om die vertaalslag te maken. Niet vanuit hype, maar vanuit volwassen security, data governance en managed infrastructuur. Want de toekomst van quantum mag technisch ingewikkeld zijn. De eerste stap is heel concreet: weten wat je vandaag moet beschermen, voordat morgen de spelregels veranderen.

Hoe quantum-ready is jouw Microsoft-omgeving vandaag?

Wil je weten hoe quantum-ready jouw Microsoft-omgeving, data governance en securitystrategie vandaag al zijn? Plan dan een afspraak met Flowerbed engineering. Dan brengen we samen in kaart welke data, systemen, certificaten, leveranciers en governancecontrols als eerste aandacht vragen.