Incidenten worden ernstiger én zichtbaarder

In het tweede kwartaal van 2025 gaf 24 procent van de 4083 bevraagde Nederlandse ondernemers en bestuurders in het mkb en de mid-market aan dat hun organisatie een cyberaanval met significante impact had meegemaakt. In Q3 is dat gestegen naar ruim 30 procent. Naast de 30 procent van bedrijven die een significante cyberaanval heeft meegemaakt, geeft nog eens 39 procent aan te zijn getroffen door aanvallen met beperkte impact. Daarmee heeft in totaal bijna 70% van de Nederlandse bedrijven ervaring met cyberaanvallen. Een signaal dat de dreiging reëel is.

Opvallend is het aandeel bedrijven dat aangeeft “niet te weten” of ze zijn aangevallen, stabiel blijft rond de 20 procent. Dat wijst op een gebrek aan monitoring en inzicht. Vooral kleinere organisaties lijken kwetsbaar: ze worden vaker doelwit vanwege hun beperkte beveiligingscapaciteit, terwijl ze zich niet altijd bewust zijn van de ernst van de dreiging.

Dreiging wordt erkend, maar te weinig actie

Waar in Q2 nog 20 procent van de bedrijven een toename van cyberdreiging verwachtte, is dat in Q3 gestegen naar ruim 31 procent. Ondanks deze ervaringen denkt 55 procent van de bedrijven dat het dreigingsniveau in de komende 12 maanden ongeveer gelijk blijft. Tegelijkertijd daalt het aantal organisaties dat denkt dat het risico gelijk blijft. De perceptie verandert, maar de vertaalslag naar actie blijft uit. Externe factoren zoals AI-gestuurde aanvallen en geopolitieke spanningen spelen hierin een rol. Hybride werkmodellen zorgen bovendien voor een groter aanvalsoppervlak, vooral bij mkb-bedrijven die hun beveiliging niet hebben aangepast aan deze nieuwe realiteit. Toch blijkt uit het SASI-rapport dat meer dan 60 procent van de mkb-gebruikersaccounts nog altijd geen Multi-Factor Authenticatie (MFA) heeft geactiveerd. Gastgebruikers worden vaak niet gemonitord, wat extra risico’s oplevert.

Voorbereiding neemt af ondanks toegenomen dreiging

In Q2 gaf 64 procent van de bedrijven aan een uitgebreid cybersecuritybeleid te hebben met regelmatige updates en tests. In Q3 is dat gedaald naar 54 procent. Daarnaast blijkt uit het onderzoek dat 28 procent van de bedrijven vertrouwt op basale maatregelen en 25 procent vooral ad hoc reageert op incidenten. Bij 13 procent is nauwelijks aandacht voor cyberweerbaarheid. Het aantal bedrijven dat vooral ad hoc reageert of nauwelijks maatregelen heeft, stijgt licht. Dit wijst op een kloof tussen risicoperceptie en daadwerkelijke weerbaarheid. Veel mkb-bedrijven hebben moeite om beleid structureel te onderhouden door beperkte capaciteit. Er lijkt sprake van ‘compliance fatigue’ of onderschatting van de noodzaak. Reactief beleid is niet meer voldoende: wie wacht tot er iets gebeurt, loopt achter de feiten aan. Uit externe analyses blijkt dat veel mkb-bedrijven pas in actie komen na een incident, wat leidt tot hogere kosten en grotere schade.

NIS2: bekendheid groeit, maar nog onvoldoende

De NIS2-richtlijn krijgt steeds meer aandacht. In Q3 is 35 procent van de respondenten zeer bekend met de richtlijn en werkt aan compliance, tegenover 24 procent in Q2. Toch is bijna één op de vijf respondenten (19 procent) nauwelijks of niet bekend. Vooral in sectoren zonder directe ketenverantwoordelijkheid lijkt de urgentie nog niet te zijn doorgedrongen. Er is verwarring over toepasselijkheid en verplichtingen, zeker voor bedrijven die indirect geraakt worden door compliance-eisen van hun opdrachtgevers. Naast NIS2 zijn er diverse andere wetgevingen die organisaties verplichten tot verhoogde digitale compliance, variërend van operationele veerkracht in de financiële sector (DORA) tot strengere regels voor AI-toepassingen en datadeling (AI Act en Data Act). Het is essentieel voor bedrijven om op de hoogte te blijven van deze ontwikkelingen en tijdig maatregelen te nemen om aan de nieuwe eisen te voldoen. Niet-naleving kan leiden tot boetes en reputatieschade.

Wat betekent dit voor jou als ondernemer?

De cijfers laten zien dat bewustzijn groeit, maar dat structurele actie achterblijft. Dat is een risico. Cybersecurity is geen IT-vraagstuk, maar een strategisch thema. Juist in het mkb en de mid-market, waar de impact van een aanval direct voelbaar is, is proactief beleid essentieel.

Klik hier voor meer informatie over het onderwerp op de website van Grant Thornton

Gerelateerd nieuws

Hoe digitale onafhankelijkheid organisaties helpt cyberdreigingen te weerstaan

De afgelopen jaren heeft een groot deel van de Nederlandse bedrijven hun data en bedrijfssoftware ondergebracht bij Amerikaanse Tech-reuzen. Hoewel deze samenwerking vaak innovatie en schaalbaarheid heeft gebracht, groeit de roep om digitale onafhankelijkheid. Politieke spanningen en toenemende cyberdreigingen benadrukken hoe kwetsbaar deze afhankelijkheid kan zijn. Wat betekent dit voor Nederlandse organisaties, en hoe kunnen zij zich voorbereiden op een toekomst waarin digitale soevereiniteit steeds belangrijker wordt? Lees hieronder de antwoorden van Kristian Mepschen, Senior Manager bij BDO.

Data & Privacy

Cybersecurity: geen IT-issue meer, maar een boardroomkwestie

Afgelopen maand liep ik rond op verschillende events: de drukbezochte Cybersec in de Jaarbeurs in Utrecht, een inhoudelijke ronde tafel bij Levi9 over soevereiniteit en de Immerse-bijeenkomst van Cloudflare. Wat mij opviel was niet alleen de belangstelling, maar ook de toon. Waar soevereiniteit en cybersecurity vroeger vaak werden gezien als een technische aangelegenheid voor specialisten, zie je nu dat de discussies steeds nadrukkelijker strategisch worden. En terecht: AI geeft zowel aanvallers als verdedigers een enorme nieuwe slagkracht. En daarmee is de digitale strijd en digitale onafhankelijkheid definitief geëscaleerd.

Data & Privacy

Nieuwe Dataverordening treedt in werking: grote gevolgen voor bedrijven en aanbieders van digitale diensten

Sinds 12 september 2025 is de Europese Dataverordening (Data Act) van kracht. Deze nieuwe wetgeving moet het delen en gebruik van data stimuleren, de positie van gebruikers van verbonden apparaten en clouddiensten versterken en oneerlijke contractvoorwaarden tegengaan. Tijdens onze kennissessie lichtte Jan Baas, advocaat/partner bij La Gro, de belangrijkste veranderingen toe.

Data & Privacy

Persoonsgegevens of anonieme gegevens?

In een recente uitspraak van het Hof van Justitie van de Europese Unie (EDPS v GAR) is een belangrijke stap gezet in de discussie over pseudonieme, anonieme en persoonsgegevens. Het Hof bevestigt wat velen in het veld al langer betoogden: gepseudonimiseerde gegevens kunnen onder bepaalde omstandigheden wél persoonsgegevens zijn voor de verstrekker, maar géén persoonsgegevens zijn voor de ontvanger. De kwalificatie van gegevens hangt af van de concrete omstandigheden en de positie van de ontvanger. Deze benadering wordt ook wel aangeduid als de contextuele benadering en speelt een belangrijke rol bij de vraag: is de AVG van toepassing?

Data & Privacy