IBR

Cyberdreiging groeit, voorbereiding blijft achter: een wake-up call voor het mkb

Cyberdreiging groeit
De cyberweerbaarheid van Nederlandse bedrijven staat onder druk. Uit de meest recente cijfers van het International Business Report (IBR) blijkt dat het aantal significante cyberincidenten in het mkb en de mid-market fors toeneemt. Tegelijkertijd daalt het aantal bedrijven met een structureel cybersecuritybeleid.
Onderwerpen

Incidenten worden ernstiger én zichtbaarder

In het tweede kwartaal van 2025 gaf 24 procent van de 4083 bevraagde Nederlandse ondernemers en bestuurders in het mkb en de mid-market aan dat hun organisatie een cyberaanval met significante impact had meegemaakt. In Q3 is dat gestegen naar ruim 30 procent. Naast de 30 procent van bedrijven die een significante cyberaanval heeft meegemaakt, geeft nog eens 39 procent aan te zijn getroffen door aanvallen met beperkte impact. Daarmee heeft in totaal bijna 70% van de Nederlandse bedrijven ervaring met cyberaanvallen. Een signaal dat de dreiging reëel is.  
 
Opvallend is het aandeel bedrijven dat aangeeft “niet te weten” of ze zijn aangevallen, stabiel blijft rond de 20 procent. Dat wijst op een gebrek aan monitoring en inzicht. Vooral kleinere organisaties lijken kwetsbaar: ze worden vaker doelwit vanwege hun beperkte beveiligingscapaciteit, terwijl ze zich niet altijd bewust zijn van de ernst van de dreiging.

Dreiging wordt erkend, maar te weinig actie

Waar in Q2 nog 20 procent van de bedrijven een toename van cyberdreiging verwachtte, is dat in Q3 gestegen naar ruim 31 procent. Ondanks deze ervaringen denkt 55 procent van de bedrijven dat het dreigingsniveau in de komende 12 maanden ongeveer gelijk blijft. Tegelijkertijd daalt het aantal organisaties dat denkt dat het risico gelijk blijft. De perceptie verandert, maar de vertaalslag naar actie blijft uit. Externe factoren zoals AI-gestuurde aanvallen en geopolitieke spanningen spelen hierin een rol. Hybride werkmodellen zorgen bovendien voor een groter aanvalsoppervlak, vooral bij mkb-bedrijven die hun beveiliging niet hebben aangepast aan deze nieuwe realiteit. Toch blijkt uit het SASI-rapport dat meer dan 60 procent van de mkb-gebruikersaccounts nog altijd geen Multi-Factor Authenticatie (MFA) heeft geactiveerd. Gastgebruikers worden vaak niet gemonitord, wat extra risico’s oplevert.  

Voorbereiding neemt af ondanks toegenomen dreiging

In Q2 gaf 64 procent van de bedrijven aan een uitgebreid cybersecuritybeleid te hebben met regelmatige updates en tests. In Q3 is dat gedaald naar 54 procent. Daarnaast blijkt uit het onderzoek dat 28 procent van de bedrijven vertrouwt op basale maatregelen en 25 procent vooral ad hoc reageert op incidenten. Bij 13 procent is nauwelijks aandacht voor cyberweerbaarheid. Het aantal bedrijven dat vooral ad hoc reageert of nauwelijks maatregelen heeft, stijgt licht. Dit wijst op een kloof tussen risicoperceptie en daadwerkelijke weerbaarheid. Veel mkb-bedrijven hebben moeite om beleid structureel te onderhouden door beperkte capaciteit. Er lijkt sprake van ‘compliance fatigue’ of onderschatting van de noodzaak. Reactief beleid is niet meer voldoende: wie wacht tot er iets gebeurt, loopt achter de feiten aan. Uit externe analyses blijkt dat veel mkb-bedrijven pas in actie komen na een incident, wat leidt tot hogere kosten en grotere schade.

NIS2: bekendheid groeit, maar nog onvoldoende 

De NIS2-richtlijn krijgt steeds meer aandacht. In Q3 is 35 procent van de respondenten zeer bekend met de richtlijn en werkt aan compliance, tegenover 24 procent in Q2. Toch is bijna één op de vijf respondenten (19 procent) nauwelijks of niet bekend. Vooral in sectoren zonder directe ketenverantwoordelijkheid lijkt de urgentie nog niet te zijn doorgedrongen. Er is verwarring over toepasselijkheid en verplichtingen, zeker voor bedrijven die indirect geraakt worden door compliance-eisen van hun opdrachtgevers. Naast NIS2 zijn er diverse andere wetgevingen die organisaties verplichten tot verhoogde digitale compliance, variërend van operationele veerkracht in de financiële sector (DORA) tot strengere regels voor AI-toepassingen en datadeling (AI Act en Data Act). Het is essentieel voor bedrijven om op de hoogte te blijven van deze ontwikkelingen en tijdig maatregelen te nemen om aan de nieuwe eisen te voldoen. Niet-naleving kan leiden tot boetes en reputatieschade

Wat betekent dit voor jou als ondernemer?

De cijfers laten zien dat bewustzijn groeit, maar dat structurele actie achterblijft. Dat is een risico. Cybersecurity is geen IT-vraagstuk, maar een strategisch thema. Juist in het mkb en de mid-market, waar de impact van een aanval direct voelbaar is, is proactief beleid essentieel.

Wil je weten waar jouw organisatie staat?  

Neem contact met ons op voor een concrete audit of adviesgesprek. Samen zorgen we ervoor dat je weerbaar bent tegen de dreiging van morgen. 

Neem contact op