Minder cyberaanvallen, maar phishing blijft dominant
Het aantal geslaagde cyberaanvallen op het Nederlandse bedrijfsleven is gedaald tot het laagste niveau in negen jaar tijd. Dat blijkt uit de nieuwste Cybersecuritymonitor 2025 van het Centraal Bureau voor de Statistiek (CBS). Maar achter dit positieve nieuws schuilt een verontrustende realiteit: er is sprake van een hardnekkige en groeiende 'weerbaarheidskloof' tussen grote corporates en kleine mkb-ondernemers. Terwijl grote organisaties zich transformeren tot digitale vestingen, blijft de digitale achterdeur bij de bakker om de hoek, de zzp'er en het lokale horecabedrijf wijd openstaan.
Laagste aantal incidenten ooit, phishing blijft koning
In 2024 (de meest recente volledige cijferperiode) rapporteerde slechts 4 procent van alle Nederlandse bedrijven ten minste één cyberincident door een aanval van buitenaf. Ter vergelijking: in 2016 lag dat percentage nog op 11 procent. Een spectaculaire daling die over vrijwel alle bedrijfsgrootten heen zichtbaar is.
Wie echter denkt dat de digitale dreiging hiermee geweken is, trekt de verkeerde conclusie. De aard van de aanvallen is vooral verschoven naar de meest efficiënte methode voor criminelen: de menselijke factor. Van alle onderzochte incidenttypen zijn phishing (digitale oplichting via mail of sms) en spoofing (het nabootsen van een betrouwbare identiteit) verreweg het meest hardnekkig. Maar liefst 23 procent van de bedrijven kreeg hier in 2024 mee te maken.
Andere, complexere vormen van cybercriminaliteit — zoals DDoS-aanvallen, grootschalige datalekken of Business Email Compromise (BEC)-fraude — treffen gemiddeld zo’n 1 procent van alle ondernemingen. Ransomware (gijzelsoftware) wordt in dit specifieke onderzoek eveneens door slechts 1 procent van de bedrijven gemeld.
De Kloof: De corporate vesting versus de kwetsbare zzp’er
Het echte pijnpunt dat de monitor blootlegt is de organisatorische kloof. Beveiliging neemt exponentieel toe naarmate een bedrijf groter wordt. Het CBS onderzocht twaalf cruciale basismaatregelen op het gebied van digitale veiligheid. De resultaten tonen een enorme tweedeling.
Grote bedrijven met 250 of meer werknemers pakken het grondig aan: 86 procent heeft tien of meer van de twaalf basismaatregelen strak ingeregeld. Het percentage grote bedrijven dat te maken kreeg met een incident stabiliseerde dan ook op 16 procent; zij zijn een aantrekkelijk doelwit, maar staan organisatorisch hun mannetje.
Bij microbedrijven (2 tot 10 werknemers) past slechts 13 procent tien of meer maatregelen toe. Sterker nog: 40 procent van deze kleine ondernemers heeft drie of minder basismaatregelen genomen. Zzp’ers scoren volgens het CBS het allerlaagst.
Als het gaat om simpele, laagdrempelige maatregelen vallen de verschillen nog mee. Zo gebruikt 85 procent van álle Nederlandse bedrijven (groot en klein) een vorm van antivirussoftware. Zodra de maatregelen technischer of complexer worden, slaat de weegschaal echter volledig door. Data-encryptie (versleuteling) wordt bijvoorbeeld toegepast door 91 procent van de grote bedrijven, tegenover slechts 33 procent van de microbedrijven.
Het gebruik van Multifactorauthenticatie (MFA) — waarbij je naast een wachtwoord bijvoorbeeld ook een code op je telefoon moet invoeren — is bij grote organisaties inmiddels de absolute standaard. Dit steeg van 71 procent in 2017 naar 97 procent in 2025. Maar ook het kleine mkb (10 tot 50 werknemers) maakt een flinke inhaalslag: daar steeg het MFA-gebruik van 29 procent in 2017 naar 79 procent in 2025.
Sectorverschillen: Horeca bungelt onderaan
Niet alleen de omvang van het bedrijf, maar ook de sector bepaalt hoe serieus cybersecurity wordt genomen. Logischerwijs lopen de branches die intensief met ICT werken of met zeer privacygevoelige data omgaan structureel voorop.
Meer dan de helft van de organisaties in de financiële dienstverlening, de ICT-sector en de gezondheidszorg heeft tien of meer preventieve maatregelen getroffen. Aan de andere kant van het spectrum bevindt zich de horeca. In deze sector heeft slechts 7 procent van de bedrijven de digitale beveiliging op datzelfde hoge niveau ingericht.
Oproep NCSC: "Dicht de kloof samen"
Het Nationaal Cyber Security Centrum (NCSC) reageert bemoedigend maar waakzaam op de cijfers. Directeur Matthijs van Amelsfort benadrukt dat de basis in Nederland steeds solider wordt, maar dat de kwetsbaarheid aan de onderkant van de markt een risico vormt voor de gehele keten. Smallere marges, tijdgebrek en een gebrek aan specialistische IT-kennis zorgen ervoor dat kleinere ondernemers cybersecurity vaak voor zich uitschuiven.
Van Amelsfort stelt: “Voor een cyberweerbaar Nederland is het belangrijk dat we samen de kloof in weerbaarheid tussen kleine en grote organisaties zien te dichten. Daarom bieden we kleinere organisaties graag een helpende hand met praktische tips, verhelderende tools en een uitgebreid netwerk van behulpzame cyberprofessionals in de NCSC Community.”
Het advies van het NCSC aan kleinere ondernemers is helder: cybersecurity hoeft niet direct duizenden euro's te kosten. Het begint met organisatorische verankering. Bedrijven doen er goed aan om eenvoudige protocollen op te stellen: maak een incidentresponsplan, stel een papieren of offline bellijst op voor als systemen uitvallen, regel het toegangsbeheer strak in (wie mag waarbij?) en oefen eens een hypothetisch cyberincident met het team. Want in een digitaliserende economie is een goede back-up en een scherpe blik op phishingmails geen luxe meer, maar een absolute voorwaarde om gezond te blijven ondernemen.
Meer over Security
Over Witold Kepinski
