Eigenaren van OT-assets worden door toezichthouders gevraagd om hun paraatheid voor post-quantum cryptografie te bevestigen. Dit gebeurt echter zonder dat er passende tools beschikbaar zijn om deze cryptografische gereedheid daadwerkelijk te meten of te valideren. Hierdoor ontstaan attestaties die vooral papierwerk zijn en niet noodzakelijkerwijs echte beveiliging weerspiegelen.

De huidige situatie leidt ertoe dat organisaties in de operationele technologie (OT) sector worden geconfronteerd met eisen die zij niet adequaat kunnen invullen. De benodigde tooling om cryptografische maatregelen te evalueren en te implementeren ontbreekt grotendeels, waardoor de attestaties meer een administratieve formaliteit zijn dan een betrouwbare indicatie van veiligheid. Dit benadrukt de kloof tussen regelgeving en praktische uitvoerbaarheid binnen OT-beveiliging.