Het Centraal Bureau voor de Statistiek (CBS) heeft voor het achtste jaar op rij de Cybersecuritymonitor uitgebracht. Hierin wordt gerapporteerd over de cyberweerbaarheid van bedrijven en huishoudens in Nederland. De Cybersecuritymonitor wordt mede op verzoek van het ministerie van Economische Zaken (EZ) gemaakt. Hieronder zoomt het Digital Trust Center (DTC) in op een selectie van de belangrijkste bevindingen voor het Nederlandse bedrijfsleven, van zelfstandige ondernemers tot grote bedrijven.
De meest relevante conclusie die we dit jaar kunnen trekken is dat steeds meer bedrijven maatregelen nemen om hun klanten of medewerkers veilig te laten inloggen op hun ICT-systemen, websites en apps. Het gebruik nam toe van 26% in 2017, naar 61% in 2024. Het gebruik van tweefactorauthenticatie door kleinere bedrijven met 10 tot 50 werknemers is zelfs ruim verdubbeld: van 29% in 2017 naar 76% in 2024.
Cybersecuritymaatregelen
- Vaker gebruik van veilige manieren om in te loggen - Zowel grote als kleine bedrijven gebruiken steeds vaker veilige manieren om te loggen. Zo maakt 97% van de bedrijven met 250 of meer werknemers in 2024 gebruik van tweefactorauthenticatie, tegen 57% van de bedrijven met 2 tot 10 werkzame personen. Het gebruik van veilige manieren om in te loggen is bij kleinere bedrijven wel sneller gestegen. Zo is het gebruik van tweefactorauthenticatie door bedrijven met 10 tot 50 werknemers ruim verdubbeld: van 29% in 2017 naar 76% in 2024.
- Kleine bedrijven besteden ICT-veiligheidswerkzaamheden het vaakst uit - ICT-veiligheidswerkzaamheden werden in 2023 het vaakst volledig uitbesteed door kleine bedrijven (10 tot 50 werkzame personen). Bij grote bedrijven (250 of meer werkzame personen) werden de werkzaamheden juist het vaakst deels uitbesteed en deels door het eigen personeel uitgevoerd. Dit laatste is niet opmerkelijk, omdat een groot bedrijf meer personeel in dienst heeft en vaker over de middelen beschikt om complexere zaken uit te besteden.
Cybersecurityincidenten
Ondanks alle genomen maatregelen blijven cybersecurityincidenten plaatsvinden. Grote bedrijven hebben vaker cyberincidenten dan kleine bedrijven, maar bij alle bedrijfsgroottes daalde het aantal bedrijven met incidenten. In 2017 gaf nog bijna 40% van de grootste bedrijven (250 of meer werknemers) aan in het jaar daarvoor een incident door een aanval van buitenaf te hebben gehad, in 2024 was dat nog maar 1%.
Grotere bedrijven zijn percentueel gezien vaker slachtoffer van ransomware-aanval. Van alle bedrijven met 2 of meer werkzame personen kreeg 1% in 2023 te maken met een ransomware-aanval. Hoewel slechts 2% daarvan losgeld betaalde, kreeg ongeveer een derde wel te maken met andere kosten ten gevolge van de ransomware-aanval.
Lang niet alle cybersecurityincidenten gaan gepaard met kosten. Ook neemt het aandeel van bedrijven met kosten aan het cybersecurityincident neemt af met de tijd. Zo had in 2016 nog bijna 41% van de bedrijven met ten minste één cybersecurityincident met een interne oorzaak (2 of meer werkzame personen) daadwerkelijk kosten aan het incident. Dit was in 2023 nog maar 20%. Van de bedrijven met ten minste één cybersecurityincident door een aanval van buitenaf (2 of meer werkzame personen) had in 2016 nog bijna 55% kosten aan het incident. Ook dit percentage is in 2023 gedaald naar 20%.
