Bedrijven iets beter bestand tegen cyberaanvallen
Nederlandse bedrijven beschermen zich beter tegen cyberaanvallen, maar er moet nog veel gebeuren.
Published on June 25, 2025
© Mikhail Nilov - Pexels
Mauro verruilde Sardinië voor Eindhoven en volgt als GREEN+ expert de energietransitie. Hij vertelt data-gedreven verhalen en maakt series over duurzaamheid.
Nu de tweede dag van de NAVO-top in Den Haag plaatsvindt, is digitale veiligheid een punt van zorg. Nederlandse bedrijven hebben in toenemende mate te maken met cyberaanvallen. Een eerder rapport van de bank ABN AMRO en onderzoeksbureau MWM2 benadrukte dat één op de vijf bedrijven in Nederland schade heeft ondervonden van een cyberaanval in 2024. Ze benadrukten ook de onvoorbereidheid van bedrijven. Ze voldoen lang niet altijd aan de nieuwe cyberweerbaarheidsnormen die zijn vastgesteld door de Europese NIS2-richtlijn en de Cyberweerbaarheidswet.
Volgens een nieuwe analyse van het CBS gebruikte in 2024 61% van de bedrijven twee-factor authenticatie (2FA), tegenover 26% in 2021. Verder heeft bijna driekwart van de bedrijven een wachtwoordbeleid geïmplementeerd. De cijfers hebben betrekking op accounts van klanten en werknemers.
2FA en wachtwoordbeleid zijn twee van de meest gebruikte manieren om accountbeveiliging te versterken. De eerste is een manier van inloggen die naast het wachtwoord ook een eenmalige code vereist om toegang te krijgen tot het account. Je hebt dit misschien zelf ingesteld op sommige van je persoonlijke accounts. Wachtwoordbeleid stelt eisen aan het maken van een wachtwoord voor een bepaalde account, zoals het gebruik van een minimum aantal tekens, cijfers en speciale tekens.
Achter de Cijfers
In Achter de Cijfers ontrafelen we elke aflevering één cijfer en bieden we inzichten met behulp van grafieken en diagrammen.
View Achter de Cijfers SeriesVerschillende toepassingen van twee-factor authenticatie
Zoals te zien is in bovenstaande lijngrafiek zijn het gebruik van 2FA en wachtwoordbeleid de afgelopen jaren sterk zijn toegenomen. Al varieert de toepassing sterk. Grotere bedrijven, door CBS gedefinieerd als bedrijven met meer dan 250 werknemers, maken vaker gebruik van 2FA dan kleinere bedrijven. Volgens de analisten wordt dezelfde trend ook waargenomen bij wachtwoordbeleid.
De belangrijkste kracht van tweefactor, is dat het een extra beveiligingslaag toevoegt tegen cybercriminelen, waardoor ze geen ongeautoriseerde toegang krijgen tot een specifieke account. Dit maakt het moeilijker voor een crimineel om toegang te krijgen tot een account, ook al hebben ze misschien het wachtwoord gestolen. Daarom is 2FA een van de meest gebruikte beveiligingsmaatregelen. Toch verschilt de toepassing in verschillende sectoren. Bedrijven in de informatietechnologie en communicatie (IT) maken het meest gebruik van tweestapsverificatie.
De dreiging is altijd aanwezig
De CBS-onderzoekers benadrukken tot slot dat, nu er meer maatregelen worden afgedwongen, het aantal incidenten afneemt. Het instituut meldt dat in 2017 ongeveer 40% van de grootste bedrijven aangaf in het voorgaande jaar te zijn getroffen door een aanval. Uit cijfers over vorig jaar blijkt dat dit aantal is gedaald tot 16%.
Toch blijft de dreiging van cyberaanvallen bestaan, gedreven door geopolitieke spanningen en de opkomst van AI en deepfakes. Russische hackers, zoals gerapporteerd door de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), staan bekend om hun cyberactiviteiten. De MIVD ontdekte een Russische aanval op de digitale systemen van een Nederlandse overheidsinstelling, bijvoorbeeld.
Daarnaast zijn deze hackers actief geweest met het in kaart brengen van kritieke infrastructuur, zoals onderzeese kabels, en het targeten van websites van politieke partijen en openbaar vervoerbedrijven. De MIVD merkt op dat Nederland de komende jaren een kritisch doelwit zal blijven.
Deze aanvallen hebben enorme economische gevolgen. Experts voorspellen dat de wereldwijde economische kosten van cybercriminaliteit dit jaar zullen stijgen tot 10,5 biljoen dollar per jaar - tien jaar geleden was dat nog 3 biljoen dollar. In Europa wordt de overheidssector het zwaarst getroffen, goed voor 20% van alle aanvallen, volgens het Agentschap voor Cyberveiligheid van de Europese Unie.
Regelgeving afdwingen
Als reactie op de toename van cyberaanvallen heeft de EU een aantal richtlijnen goedgekeurd die gericht zijn op bedrijven en consumenten. De richtlijnen worden vervolgens door de lidstaten omgezet in nationale wetten.
Nieuwe cyberbeveiligingsnormen zijn van kracht voor bedrijven sinds de goedkeuring van de richtlijn Netwerk- en informatiebeveiliging (NIS2). De NIS2 is bedoeld om de veiligheid van essentiële diensten te verbeteren, waaronder energie, bankieren en gezondheidszorg. De richtlijn bevat strengere beveiligingsnormen en eisen voor het melden van incidenten. De richtlijn introduceert bijvoorbeeld de zorgplicht, die organisaties verplicht risicobeoordelingen uit te voeren en dienovereenkomstig maatregelen te nemen. Het wetsvoorstel voor de toepassing van de NIS2-richtlijn is ingediend bij de Tweede Kamer.
Daarnaast is vorig jaar de Cyber Resilience Act (CRA) van kracht geworden, die strenge cyberveiligheidseisen introduceert voor producten die op de EU-markt komen. De CRA heeft betrekking op luidsprekers, camera's, besturingssystemen en games en verplicht fabrikanten en verkopers om de cyberveiligheid gedurende de hele levenscyclus van hun producten te garanderen. Volgens deze verordening moet een apparaat met een camera en microfoon worden ontworpen met beveiligingsfuncties zoals encryptie en authenticatie, en moet het minstens vijf jaar lang beveiligingsupdates ontvangen, naast andere vereisten. Tegen 2027 moeten alle producten voldoen aan de CRA.
