Digital Trust Center

27 november 2025

Cyberweerbaarheid

Cybersecurity

Belangrijkste bevindingen en trends

  1. Digitale dreigingen zijn divers en onvoorspelbaar: In het beeld wordt gesproken over een grote verscheidenheid aan type incidenten, oorzaken, aanvallers en mate van impact. Zowel statelijke actoren, cybercriminelen en andere kwaadwillenden voeren cyberaanvallen uit op Nederlandse doelwitten.

  2. Digitale afhankelijkheden kunnen risico’s met zich meebrengen: Nederland is voor veel digitale processen en diensten afhankelijk van aanbieders uit andere, vaak niet-Europese, landen. Digitale afhankelijkheden, zoals van grote technologiebedrijven uit de VS, die eerder niet als risicovol werden ingeschat, kunnen dat later alsnog worden. Het is in deze context van belang dat potentiële risico’s van digitale afhankelijkheden in kaart worden gebracht om de weerbaarheid te verhogen. De routekaart risicomanagement kan bedrijven en organisaties hierbij helpen.

  3. Cyberaanvallen op vitale infrastructuur: Cyberaanvallen raken alle lagen van de samenleving, ook de vitale infrastructuur. Zo zijn er de afgelopen periode wereldwijd verschillende aanvallen op de telecomsector waargenomen. Sommige van die aanvallen waren van langdurige aard en toonden aan dat kwaadwillenden zich al geruime tijd in de systemen bevonden.

  4. Generatieve AI maakt aanvallen eenvoudiger en meer schaalbaar: De razendsnelle ontwikkeling van generatieve Artificial Intelligence (AI) maakt het voor actoren eenvoudiger om aanvallen uit te voeren. Generatieve AI kan op verschillende manieren worden ingezet: zowel ter ondersteuning voor kwaadaardige activiteiten als ter verdediging tegen dreigingen. Op dit moment kan generatieve AI sommige onderdelen van een digitale aanval bijvoorbeeld automatiseren of verbeteren. Bestaande beveiligingsmaatregelen zijn nog steeds effectief tegen deze aanvallen.

    5. Opvallende dreigingen voor Nederlandse organisaties

    Aanvallen op edge devices: Edge devices blijven een aantrekkelijk doelwit voor zowel statelijke- als criminele actoren. Deze digitale apparaten die aan de rand van je netwerk staan, worden veelvuldig aangevallen om toegang te krijgen tot de daarachterliggende netwerken met behulp van bekende en onbekende kwetsbaarheden (zogenaamde zero-days). Lees hoe je edge devices veilig gebruikt.

    DDoS-aanvallen: Daarnaast blijven distributed denial-of-service (DDoS)-aanvallen tot verstoringen leiden. Hoewel een DDoS-aanval niet 100% voorkomen kan worden, kun je je organisatie hier relatief goed tegen wapenen. Lees hoe je de impact van DDoS-aanvallen kunt beperken.

    Keten- en leveranciersincidenten: Incidenten bij toeleveranciers of dienstverleners veroorzaakten ook het afgelopen jaar aanzienlijke ketenschade. Bij dergelijke incidenten is bij de getroffen bedrijven ook (data van) klanten geraakt. Daarom is het voor jouw organisatie van belang inzicht te hebben in je afhankelijkheden van leveranciers. Dwing waar mogelijk aanvullende beveiligingsmaatregelen af.

    Ransomware en overige verstoringen: Uit cijfers van project Melissa blijkt dat er in 2024 minimaal 121 unieke ransomware-incidenten in Nederland hebben plaatsgevonden. Naast doelgerichte cyberaanvallen komen ook verstoringen voor die niet het gevolg zijn van kwaadwillend handelen: softwarefouten bleken meermaals de oorzaak van uitval of operationele verstoringen.

    Basisprincipes verhogen digitale weerbaarheid

    De conclusie dat dreigingen onvoorspelbaarder en complexer worden, betekent niet per definitie dat het verdedigen daartegen dat ook wordt. Veel digitale incidenten vinden namelijk hun oorzaak in het niet op orde hebben van ‘digitale basishygiëne’. Voor een gemiddelde organisatie geldt dan ook: fixeer niet op het complexe dreigingslandschap, maar maak jezelf weerbaar met de basisprincipes, zoals opgesteld door het NCSC en DTC. Een belangrijk onderdeel van die basisprincipes is het voorberei­den op incidenten, waarbij het gaat om de veerkracht en het herstelvermogen van organisaties wanneer een incident zich heeft voorgedaan.

    Inwerkingtreding van de Cyberbeveiligingswet (NIS2)

    Een groot aantal organisaties is vanaf de inwerkingtreding van de Cyberbeveiligingswet (Cbw) verplicht een risicoanalyse uit te voeren en op basis daarvan passende en evenredige maatregelen te nemen voor de beveiliging van hun netwerk- en informatiesystemen. De Cyberbeveiligingswet is de nationale vertaling van de Europese NIS2-richtlijn. Deze wet treedt naar verwachting in het tweede kwartaal van 2026 in werking. De wet draagt bij aan het verhogen van de digitale weerbaarheid van Nederland en het beperken van de risico's op uitval van diensten. De Rijksoverheid adviseert organisaties om niet af te wachten totdat de Cbw inwerking treedt. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.

    Voortgang Nederlandse Cybersecuritystrategie

    In 2022 heeft het kabinet de Nederlandse Cybersecuritystrategie (NLCS) gepresenteerd met als doel een digitaal veilig en weerbaar Nederland te creëren. Gelijktijdig met het CSBN2025 is de voortgangsrapportage van de NLCS naar de Tweede Kamer verzonden. Een versteviging van de inzet op de uitvoering van de Nederlandse Cybersecuritystrategie (NLCS) is noodzakelijk. Het kabinet neemt de risico’s van digitalisering serieus en onderstreept de noodzaak om zich met urgentie in te blijven zetten op de uitvoering van de NLCS, de implementatie van de herziene richtlijn Netwerk- en Informatiebeveiliging (NIS2) en de Cyber Resilience Act (CRA).

    Download hier het Cybersecuritybeeld 2025

Gerelateerd nieuws

Een strategische aanpak voor het beheren van AI-risico's

Kunstmatige intelligentie (AI) verandert het bedrijfsleven in een ongekend tempo. Vooral Generatieve AI heeft de verwachtingen van experts ver overtroffen en decennia aan voorspelde vooruitgang samengeperst in slechts enkele jaren. Tegen 2028 verwacht 62% van de bedrijfsleiders dat AI in alle onderdelen van hun organisatie is geïntegreerd. Maar terwijl 45% AI ziet als een grote kans, maakt 56% zich zorgen over de cybersecurity- en privacyrisico’s die gepaard gaan met deze snelle adoptie.

Van Data tot Intelligence: cirkel van inzicht en actie

We leven in een tijd waarin data als het nieuwe goud wordt gezien. Iedere organisatie verzamelt, meet, modelleert en bewaart — alsof méér data vanzelf leidt tot méér kennis. Maar data is geen doel. Het is slechts de grondstof voor begrip. Pas wanneer we van data de creator kennen en het kunnen ordenen, duiden en plaatsen in context, ontstaat echte informatie. En wanneer die informatie voor de gebruiker betekenis krijgt, ontstaat intelligence — inzicht waarop je kunt handelen.

Clare’s Law tegen huiselijk geweld in Nederland: redmiddel of risico?

In het eerste halfjaar ontving Veilig Thuis ruim 66.000 meldingen van huiselijk geweld. Een stijging van 10 procent vergeleken met dezelfde periode in 2022. Terwijl deze cijfers toenemen, groeit ook de roep om slachtoffers beter te beschermen. Steeds vaker valt daarbij de naam Clare’s Law, een Britse wet waarmee politie-informatie over het geweldsverleden van (potentiële) partners kan worden gedeeld.

Zorg & Sociaal

EU-wetswijzingen 'digitale omnibus' zorgelijk voor grondrechten

Vandaag publiceert de Europese Commissie een voorstel om de digitale EU-regelgeving te versimpelen, de zogenaamde digitale omnibus. De verordeningen over AI en gegevensbescherming vormen daarin een belangrijk onderdeel. Het College voor de Rechten van de Mens signaleert een zorgwekkende afzwakking van de bescherming van grondrechten in het omnibusvoorstel.
Meer nieuws