Q-Day is dichterbij gekomen: wat recente quantumdoorbraken betekenen voor uw sector
Interlynk
Eerder dit jaar stelde Google zichzelf een interne deadline van 2029 om zijn migratie naar post-quantumcryptografie af te ronden. De aankondiging kwam van Google's VP of Security Engineering en een senior cryptografie-engineer. Het was geen onderzoeksroadmap of een ambitieuze intentie. Het was een deadline — en die lag eerder dan Google ooit eerder publiekelijk had vastgelegd.
Later dat voorjaar, in mei 2026, kende het Amerikaanse ministerie van Handel 2 miljard dollar toe aan Amerikaanse quantumcomputingbedrijven. IBM ontving 1 miljard dollar om de bouw te financieren van de eerste speciale quantumchip-foundry van het land, Anderon genaamd. Het aandeel IBM steeg die dag met 12%. Het bedrijf legde daar zelf nog eens 1 miljard dollar bovenop. Wanneer een overheid met die urgentie zoveel kapitaal vrijmaakt, is de betreffende technologie niet langer speculatief.
De relevantie van deze twee gebeurtenissen hangt af van uw sector. Maar in de financiële dienstverlening, de kritieke infrastructuur en de medische apparatuur geldt hetzelfde onderliggende feit. De cryptografische beheersmaatregelen die uw systemen, uw data en uw klanten beschermen, zijn vrijwel allemaal gebaseerd op RSA, elliptische-krommecryptografie (ECC) of de Diffie-Hellman-sleuteluitwisseling. Elk daarvan is wiskundig kwetsbaar voor een voldoende krachtige quantumcomputer. De vraag is niet langer óf die kwetsbaarheid zal worden misbruikt. De vraag is of uw systemen tegen die tijd nog dezelfde cryptografie draaien.
Drie technische doorbraken
Drie concrete technische ontwikkelingen hebben elk afzonderlijk de geschatte tijdlijn voor een Cryptographically Relevant Quantum Computer (CRQC) naar voren gehaald. Geen ervan is theoretisch.
Google's Willow-chip overschreed een drempel waar onderzoekers al 30 jaar op mikten. In december 2024 publiceerde Google Quantum AI in Nature resultaten waaruit bleek dat zijn 105-qubit Willow-processor voor het eerst foutcorrectie onder de drempel had aangetoond. Onder deze drempel verlaagt het toevoegen van meer fysieke qubits de foutpercentages, in plaats van ze te laten oplopen. Bij elke eerdere poging werden de foutpercentages juist slechter naarmate de systemen groter werden. Deze omkering is de fundamentele voorwaarde om op te schalen naar de aantallen qubits die nodig zijn om het algoritme van Shor op echte cryptografische sleutels uit te voeren. De levensduur van de logische qubit in het Willow-systeem overtrof de beste fysieke qubit met een factor 2,0 — de eerste keer dat een quantumgeheugen dat break-evenpunt passeerde. In januari 2026 publiceerde Google vervolgonderzoek waarin dynamische surface codes werden geïntroduceerd, wat de foutcorrectiecapaciteiten van de Willow-architectuur verder uitbreidt.
IBM's Quantum Loon maakte het hardwareplaatje voor fouttolerant rekenen compleet. In november 2025 kondigde IBM zijn Quantum Loon-processor aan, die voor het eerst alle belangrijke hardwarecomponenten integreert die nodig zijn voor fouttolerant quantumrekenen. Naast Loon demonstreerde IBM een nieuwe foutcorrectie-decoder met een 10x versnelling ten opzichte van de tot dan toe leidende aanpak, een vol jaar vóór IBM's eigen gepubliceerde roadmap. IBM's roadmap mikt op quantumvoordeel eind 2026, fouttolerant quantumrekenen met Starling in 2029, met tussenliggende mijlpalen in Kookaburra (2026) en Cockatoo (2027). De overstap van het bedrijf naar 300mm-waferproductie voor quantumchips verdubbelde de ontwikkelsnelheid en vergrootte tegelijk de chipcomplexiteit met een factor 10.
De resource-schattingen voor het breken van RSA daalden in één paper met een factor 20. In mei 2025 publiceerde Google Quantum AI-onderzoeker Craig Gidney een paper waaruit bleek dat RSA-2048 te factoriseren is met minder dan één miljoen fysieke qubits die ongeveer een week draaien. De vorige beste schatting — die Gidney zelf in 2019 had gepubliceerd — vereiste ruwweg 20 miljoen qubits. Voortbouwend op fundamenteel werk uit 2024 bracht een paper van Chevignard, Fouque en Schrottenloher op CRYPTO 2025 het aantal logische qubits voor dezelfde taak terug tot ongeveer 1.730, door technieken voor benaderende modulaire rekenkunde te introduceren. Een derde onderzoekslijn van Google Quantum AI toonde vergelijkbare reducties voor elliptische-krommecryptografie, die de meeste digitale handtekeningen en betaalsystemen beschermt. Het beveiligingsteam van Google noemde alle drie de papers rechtstreeks als reden om de migratiedeadline naar 2029 te verschuiven.
Deze drie ontwikkelingen verklaren waarom de organisaties die het dichtst bij de technologie staan, niet wachten tot er een CRQC bestaat voordat ze migreren. Voor veel systemen is noodmigratie niet mogelijk. De prijs van wachten tot de dreiging bevestigd is, is een migratie die op geen enkele redelijke termijn meer uit te voeren valt.
2029 is het nieuwe 2035
NIST's transitieroadmap wijst 2035 aan als het jaar waarin CRQC-kwetsbare asymmetrische cryptografische algoritmen als "Disallowed" (niet toegestaan) worden geclassificeerd. De meeste organisaties behandelen dit als hun planningshorizon. Die redenering faalt op twee punten die voor elke sector gelden.
De 'harvest now, decrypt later'-aanval is al gaande. Er is geen CRQC nodig om de aanval te beginnen. Die is alleen nodig om hem te voltooien. Statelijke actoren onderscheppen en bewaren vandaag op grote schaal versleutelde data, met de verwachting die te ontsleutelen zodra er quantumrekenkracht beschikbaar is. Financiële transactiegegevens, patiëntdata, communicatie van industriële besturingssystemen, intellectueel eigendom dat over versleutelde kanalen wordt verzonden: alles wat nu wordt opgevangen, kan later worden ontsleuteld. De deadline van 2035 beschermt de data die vandaag wordt verzameld niet.
De levensduur van systemen creëert een vast migratieprobleem. In de financiële dienstverlening draaien kernbanksystemen en betaalinfrastructuur tientallen jaren. In de kritieke infrastructuur heeft operationele technologie die elektriciteitsnetten, watersystemen en pijpleidingen aanstuurt een levensduur van 20 tot 30 jaar. In de medische apparatuur blijven implanteerbare en kapitaalintensieve apparaten routinematig 10 tot 15 jaar na toelating in gebruik. Een systeem dat in 2026 wordt geïmplementeerd en RSA gebruikt voor authenticatie — wat de meeste doen — en dat wordt blootgesteld aan een CRQC die tussen 2029 en 2035 arriveert, is cryptografisch kwetsbaar voor de rest van zijn operationele leven. Anders dan desktopsoftware kunnen deze systemen niet in een driemaandelijkse releasecyclus worden gepatcht. In veel gevallen kunnen ze helemaal niet worden gepatcht zonder aanzienlijke kosten, downtime of een regelgevingsproces.
Google koos 2029 als deadline omdat het de engineeringcapaciteit heeft om op die termijn te migreren en klaar wil zijn voordat het dreigingsvenster opengaat. Elke organisatie zou zich moeten afvragen wat háár equivalente deadline is — niet wat het regelgevende minimum vereist, maar wat de dreigingstijdlijn werkelijk eist.
Het regelgevingsbeeld
De regelgevingsomgeving rond post-quantumcryptografie is de afgelopen 18 maanden ingrijpend verschoven, en in elke grote jurisdictie in dezelfde richting: eerder en bindender.
NIST publiceerde zijn eerste definitieve PQC-standaarden in augustus 2024. FIPS 203 (ML-KEM, voor sleutelinkapseling), FIPS 204 (ML-DSA, voor digitale handtekeningen) en FIPS 205 (SLH-DSA, een op hashing gebaseerd alternatief voor lattice-schema's) zijn nu definitief. Een vijfde quantumveilig algoritme, HQC, werd in maart 2025 geselecteerd als code-gebaseerde back-up voor de op lattices gebaseerde primaire standaarden. Begin 2026 heeft Android 17 ML-DSA geïntegreerd voor de bescherming van digitale handtekeningen, waarmee NIST's post-quantumstandaarden op grote schaal in productie staan in consumentenapparaten.
De NSA haalde de deadline voor CNSA 2.0 naar voren. De Commercial National Security Algorithm Suite 2.0, die volledig post-quantum algoritmen vereist voor toepassingen op het gebied van nationale veiligheid, behoudt haar oorspronkelijke uiterste handhavingsdeadline van 31 december 2031. Nieuwe National Security Systems moeten vóór januari 2027 quantumveilig zijn. Voor organisaties die federale instanties bevoorraden — waaronder de VA, het DoD en federale financiële toezichthouders — zijn deze deadlines al actief.
Executive Order 14144 (uitgevaardigd in januari 2025, gewijzigd in juni 2025) verplicht de federale overheid om vóór december 2025 een lijst bij te houden van productcategorieën waar PQC-capabele producten breed beschikbaar zijn, en schrijft TLS 1.3-ondersteuning voor per januari 2030. TLS 1.3 is de enige versie van TLS die PQC-algoritmen zal opnemen. Eerdere versies worden niet bijgewerkt.
De EU Cyber Resilience Act beweegt richting een Quantum-Safe-by-Design-kader. De gecoördineerde implementatieroadmap vraagt om voltooiing van de PQC-migratie voor risicovolle toepassingen tegen 2030, met brede adoptie tegen 2035. Voor organisaties met blootstelling aan de EU-markt in welke gereguleerde sector dan ook, ontstaat hiermee een parallelle nalevingsverplichting die vooruitloopt op de Amerikaanse federale aanwijzing.
Sectorspecifieke toezichthouders volgen. In de financiële dienstverlening hebben het Basel Committee on Banking Supervision en verschillende nationale banktoezichthouders richtlijnen uitgevaardigd die instellingen verplichten hun quantumblootstelling te beoordelen als onderdeel van het operationeel risicobeheer. In de kritieke infrastructuur verwijzen sectorspecifieke cybersecurityrichtlijnen van federale instanties steeds vaker naar PQC-migratie als een verwachte beheersmaatregel. In de medische apparatuur gaat de premarket-richtlijn van de FDA uit juni 2025 expliciet in op de keuze van cryptografische algoritmen en raadt deze algoritmen af die op weg zijn naar de "Disallowed"-status.
Drie sectoren, drie risicoprofielen
De quantumdreiging is universeel, maar het risicoprofiel wordt in elke sector door andere factoren bepaald. De specifieke kenmerken begrijpen is van belang om het migratiewerk te prioriteren.
Financiële dienstverlening
Financiële instellingen dragen de langste staart aan gevoelige data. Transactiegegevens, rekeninghistories, klantidentiteitsgegevens en handelsinformatie hebben een waarde die niet verloopt. Een record dat vandaag wordt versleuteld en in 2031 wordt ontsleuteld, is nog steeds een inbreuk met reële gevolgen, regelgevingsrisico en aansprakelijkheidsrisico. De 'harvest now, decrypt later'-aanval is in de financiële dienstverlening het schadelijkst, omdat de data die vandaag wordt geoogst langdurige economische en juridische waarde heeft.
Naast data draaien financiële instellingen afwikkelingsinfrastructuur, betaalnetwerken en interbancaire communicatiesystemen waarin authenticatie en onweerlegbaarheid dragend zijn. Een compromittering van digitale handtekeningen in een betalingsclearingsysteem levert geen datalek op. Het levert frauduleuze transacties op. Het gevolg is operationeel, niet alleen reputatieschade.
Vervangingscycli van kernbanksystemen lopen 10 tot 15 jaar. Betaalinfrastructuur nog langer. De instellingen die nu beginnen met PQC-beoordeling en migratieplanning, bevinden zich tegen 2031 in een ordelijke migratie. De instellingen die wachten op een wettelijk mandaat, zullen onder druk migreren, op hetzelfde moment als alle anderen, concurrerend om dezelfde schaarse expertise in cryptografische engineering.
Kritieke infrastructuur
Operationele technologie in elektriciteitsopwekking, waterzuivering, olie en gas, en transport is niet ontworpen met cryptografische flexibiliteit voor ogen. Veel OT-systemen draaien propriëtaire protocollen. Sommige draaien helemaal geen versleuteling en steunen op aannames van air-gap of fysieke beveiliging die zijn uitgehold naarmate de connectiviteit is toegenomen. Voor systemen die wél cryptografische beheersmaatregelen draaien, is het firmware-updateproces vaak handmatig, weinig frequent en vereist het aanzienlijke operationele coördinatie.
Het dreigingsprofiel voor kritieke infrastructuur verschilt van dat van de financiële dienstverlening. De voornaamste zorg is niet de vertrouwelijkheid van data. Het is de integriteit en beschikbaarheid van besturingssystemen. Een gecompromitteerde handtekening van een software-update op een besturingssysteem van een elektriciteitsnet lekt geen gegevens. Het levert kwaadaardige firmware af aan apparatuur die fysieke processen aanstuurt. De blast radius (reikwijdte van de schade) van een geslaagde aanval op de authenticatie van kritieke infrastructuur wordt gemeten in fysieke gevolgen, niet in blootgestelde records.
Exploitanten van kritieke infrastructuur staan bovendien voor een coördinatie-uitdaging die financiële instellingen grotendeels niet kennen. Een bank kan haar eigen systemen op haar eigen tempo migreren. Een elektriciteitsnet is verbonden met tientallen andere exploitanten, nutsbedrijven en besturingssystemen, elk met hun eigen updatecycli en cryptografische afhankelijkheden. Migratie vereist gecoördineerde planning over het hele ecosysteem, niet alleen binnen één organisatie.
Medische apparaten
Medische apparaten staan voor de migratie-uitdaging in haar meest beperkte vorm. Het regelgevingstraject voor het wijzigen van cryptografische beheersmaatregelen in een toegelaten apparaat is geen software-patchproces. Onder het QMSR-kader van de FDA is een cryptografische wijziging een ontwerpwijziging, en ontwerpwijzigingen vereisen een gedocumenteerde onderbouwing, een geactualiseerde risicoanalyse en — afhankelijk van de impact van de wijziging — een nieuwe premarket-indiening. De regelgevingskosten van migratie voor een apparaat dat niet is ontworpen op crypto-agility kunnen hoger uitvallen dan de engineeringkosten.
Voor implanteerbare apparaten is de beperking absoluter. Een implanteerbare hartmonitor of neurostimulator kan geen firmware-update ontvangen zonder een klinische ingreep of een programmeerapparaat in fysieke nabijheid. Cryptografische migratie voor apparaten die al bij patiënten zijn geïmplanteerd, is voor sommige apparaatgeneraties misschien helemaal niet praktisch haalbaar.
Het gevolg is dat beslissingen die vandaag tijdens het apparaatontwerp worden genomen, bepalen welke migratieopties er in 2031 zullen zijn. Een apparaat dat is ontworpen met een configureerbare cryptografische laag kost marginaal meer om te bouwen. Een apparaat met hardgecodeerde RSA in de firmware kost aanzienlijk meer om te migreren — als migratie al mogelijk is — en kan in plaats daarvan een beslissing tot productuitfasering tegemoetzien.
De onderzoekspijplijn voor quantum
Resource-schattingen voor quantumfactorisatie. Het verloop van de resource-schattingen voor het breken van RSA is sinds 2019 consistent gedaald. De stand van de techniek in 2021 vereiste ruwweg 20 miljoen fysieke qubits. Craig Gidney's paper van mei 2025 bracht dat onder de één miljoen. Het werk van Chevignard, Fouque en Schrottenloher op CRYPTO 2025 liet de vereiste logische qubits dalen tot ongeveer 1.730. Dit zijn niet dezelfde getallen, anders uitgedrukt: logische en fysieke qubits hangen samen via foutcorrectie-overhead, en die overhead krimpt zelf naarmate de foutcorrectie verbetert. Organisaties waarvan de dreigingsmodellen zijn gebaseerd op resource-schattingen uit 2022 of 2023 werken met getallen die wezenlijk zijn herzien.
Schaalvergroting van foutcorrectie. IBM's gepubliceerde roadmap mikt op quantumvoordeel eind 2026 met processoren van de Nighthawk-klasse, en op fouttolerant quantumrekenen tegen 2029 met Starling. Fouttolerantie is de voorwaarde voor de aantallen qubits die nodig zijn om het algoritme van Shor op cryptografisch betekenisvolle schaal uit te voeren. Gepubliceerde roadmaps laten zien dat processorgateaantallen in de periode 2027 tot 2028 oplopen tot 15.000 twee-qubit-gates, ondersteund door 1.000 of meer verbonden qubits. Google's onderzoek naar dynamische surface codes, begin 2026 gepubliceerd, blijft uitbreiden wat haalbaar is in foutcorrectie zonder de eisen aan fysieke qubits te verhogen.
Robuustheid van post-quantum algoritmen. De huidige NIST FIPS-standaarden zijn gebaseerd op lattice-problemen en hashfuncties, in plaats van op de problemen van gehele-getallenfactorisatie en discrete logaritmen die ten grondslag liggen aan RSA en ECC. Er loopt actief onderzoek naar de veiligheidsbewijzen voor deze algoritmen. Eén kandidaat-algoritme in een eerdere NIST-standaardisatieronde werd gebroken met klassieke rekenkracht. De huidige standaarden worden als robuust beschouwd, maar de onderzoeksgemeenschap blijft ze evalueren. De selectie van HQC, een code-gebaseerd algoritme, als vijfde standaard weerspiegelt een bewuste hedge tegen het ontdekken van zwaktes in lattices.
Crypto-agility-architectuur. De beveiligingsonderzoeksgemeenschap ontwikkelt kaders die het vervangen van cryptografische algoritmen mogelijk maken zonder een volledig systeemherontwerp. Systemen die vandaag met crypto-agility worden gebouwd, hebben een fundamenteel ander migratieprofiel dan systemen waarin cryptografische implementaties strak gekoppeld zijn aan hardware of applicatielogica. Dit geldt in elke sector.
Wat leiders nu zouden moeten doen
De specifieke acties verschillen per sector, maar de volgorde is in alle drie consistent.
Begin met een cryptografische inventarisatie. Vóór enig migratiewerk moet u weten welke cryptografische beheersmaatregelen in gebruik zijn in uw systemen en producten. Welke systemen gebruiken RSA, welke ECC, welke Diffie-Hellman, en met welk doel: authenticatie, versleuteling, dataondertekening, verificatie van firmware-updates. Die inventarisatie bestaat vandaag in de meeste organisaties niet. Het opbouwen ervan is de voorwaarde voor elke andere beslissing.
Stratificeer op risico. Niet alle systemen kennen dezelfde urgentie. Systemen met een lange operationele levensduur, systemen die langlevende gevoelige data verwerken, systemen met beperkte updatemechanismen en systemen die federale of gereguleerde klanten bevoorraden, kennen allemaal een hogere urgentie. Prioriteer in de financiële dienstverlening de betaalinfrastructuur en langetermijn-dataopslag. Prioriteer in de kritieke infrastructuur de authenticatie- en firmware-updatemechanismen in OT-systemen. Prioriteer in de medische apparatuur de apparaten met een lange verwachte levensduur en beperkte updatepaden.
Ontwerp nieuwe systemen vanaf het begin op crypto-agility. Voor systemen in actieve ontwikkeling is de architecturale vraag hoe moeilijk het zou zijn om cryptografische primitieven te vervangen. Cryptografische implementaties abstraheren in configureerbare lagen, in plaats van ze hard te coderen in applicatielogica of firmware, is bij het ontwerp geen grote engineeringinvestering. Het is een dure retrofit na implementatie. Dit geldt evenzeer voor een kernbanksysteem, een platform voor netbeheer en een medisch apparaat.
Begrijp de migratiekosten voordat ze urgent worden. In de financiële dienstverlening betekent dat begrijpen welke systemen leverancierscoördinatie vereisen en welke zelfstandig kunnen worden gemigreerd. In de kritieke infrastructuur betekent het de ecosysteemafhankelijkheden in kaart brengen en begrijpen welke migraties gecoördineerde downtime vereisen. In de medische apparatuur betekent het nú vaststellen of een cryptografische update een ontwerpwijziging vormt die een premarket-indiening vereist.
Betrek uw toeleveringsketen. Componenten van derden hebben in elke sector hun eigen cryptografische afhankelijkheden en migratietijdlijnen. Een systeem met PQC-capabele applicatiecode dat communiceert met een backend van derden die RSA-2048 draait, is geen PQC-gereed systeem. De software bill of materials is het startpunt voor PQC-analyse van de toeleveringsketen.
Behandel 'harvest now, decrypt later' als een actuele dreiging. De data die uw systemen vandaag versleutelen en verzenden, kan nu worden opgevangen en later worden ontsleuteld. Voor financiële instellingen is dat transactie- en klantdata. Voor exploitanten van kritieke infrastructuur is dat communicatie van besturingssystemen en operationele parameters. Voor fabrikanten van medische apparaten is dat patiëntdata en apparaattelemetrie. Het migreren van langlevende, gevoelige dataopslag naar PQC-compatibele versleuteling is in elke sector een actie voor de korte termijn.
Begin het regelgevingsgesprek voordat het voor u begint. Ga in de financiële dienstverlening met uw primaire toezichthouder in gesprek over uw PQC-beoordelingstijdlijn voordat zij erom vragen. Sluit in de kritieke infrastructuur aan op de sectorspecifieke richtlijnen van CISA en de relevante sector risk management agency. Gebruik in de medische apparatuur het Q-submissionproces van de FDA om benaderingen voor cryptografische migratie te bespreken voordat het een indieningsvraag wordt. Toezichthouders in alle drie de sectoren letten op. Vóór dat gesprek uitlopen is een aanzienlijk betere positie dan erop reageren.
De SBOM-connectie
In alle drie de sectoren is de cryptografische inventarisatie die nodig is voor PQC-migratie in de kern een gespecialiseerde weergave van de software bill of materials: welke componenten cryptografische implementaties bevatten, welke algoritmen die implementaties gebruiken, en wat de migratieafhankelijkheden zijn.
Een SBOM die componentnamen en versies vastlegt zonder cryptografische metadata, is onvoldoende voor PQC-planning. Het MITRE-rapport van april 2026 over cybersecurityrisico's voor medische apparaten verwees naar tools voor geautomatiseerde cryptografische detectie en inventarisatie (ACDI) als een erkende aanpak, met de kanttekening dat de huidige tools gericht zijn op algemene enterprise-IT en niet gevalideerd zijn voor OT-omgevingen, software voor medische apparaten of langlevende financiële infrastructuur.
Die kloof moet in alle drie de sectoren worden gedicht voordat de regelgevings- en dreigingstijdlijnen het werk onder druk afdwingen.
Hoe de zaken ervoor staan
In de eerste vijf maanden van 2026 gebeurden er twee belangrijke dingen. Google, dat een eigen onderzoeksdivisie voor quantumcomputing heeft, stelde een interne migratiedeadline van 2029, in plaats van te wachten op duidelijker zicht op de dreiging. De Amerikaanse overheid trok 2 miljard dollar uit voor quantumcomputinginfrastructuur, waarvan IBM de helft ontving om de eerste speciale quantumchip-foundry van het land te bouwen.
Geen van beide is speculatief. De tijdlijn van de quantumdreiging is niet van theoretisch naar zeker verschoven. Maar wel van comfortabel ver weg naar binnen de operationele horizon van beslissingen die vandaag worden genomen.
De beslissingen die nu worden genomen over systeemarchitectuur, cryptografische implementatie en volledigheid van de softwaretoeleveringsketen, zijn de beslissingen die bepalen hoe migratie er in 2029, 2031 en 2035 uitziet. Dat werk nu beginnen, vanuit een positie van planning, is een fundamenteel andere situatie dan ermee beginnen in 2030 omdat er een deadline is aangebroken.
Het venster voor ordelijke voorbereiding staat open. Het zal niet onbeperkt openblijven.
Interlynk bouwt beveiligingsinfrastructuur voor de softwaretoeleveringsketen voor organisaties die in gereguleerde sectoren navigeren door de eisen rond post-quantumcryptografie. Werkt u aan een cryptografische inventarisatie of aan de volledigheid van de software bill of materials voor uw systemen of producten? Boek dan een demo of verken onze open-source toolset.