Nieuws 13 oktober 2025

Onderzoek Grant Thornton: cyberincidenten nemen fors toe

Bedrijven doen veel te weinig aan cyberveiligheid. Bijna zeventig procent van de ondernemingen in Nederland heeft ervaring met cyberaanvallen. Vooral kleinere bedrijven lijken kwetsbaar.

In het tweede kwartaal van 2025 gaf 24 procent van ruim vierduizend bevraagde Nederlandse ondernemers en bestuurders in het mkb en de mid-market aan, dat hun organisatie een cyberaanval met significante impact had meegemaakt. In Q3 steeg dat aandeel naar ruim dertig procent. Daanaast gaf 39 procent aan te zijn getroffen door aanvallen met beperkte impact.

Daarmee heeft in totaal bijna 70 procent van de Nederlandse bedrijven ervaring met cyberaanvallen, zo blijkt uit onderzoek door Grant Thornton in 35 markten, waaronder Nederland.

Geen idee

Twintig procent van de bedrijven monitort niet op cyberaanvallen en heeft dus geen idee of ze al eens doelwit zijn geweest van een cyberaanval. Middelgrote Nederlandse bedrijven boeken wel vooruitgang op het gebied van cyberweerbaarheid. 64 procent stelt een uitgebreid cybersecuritybeleid te hebben, inclusief regelmatige updates en tests.

Tegelijk vertrouwt 28 procent van de ondervraagden nog steeds op basale maatregelen en reageert 25 procent voornamelijk ad hoc op incidenten. Bij 13 procent van de organisaties is er geen tot weinig aandacht voor cyberweerbaarheid.

Kwetsbaar

Vooral kleinere organisaties lijken kwetsbaar: ze worden vaker doelwit vanwege hun beperkte beveiligingscapaciteit, terwijl ze zich niet altijd bewust zijn van de ernst van de dreiging. Dit leidt weer tot weerbaarheidsrisico's in de keten, waardoor ook grotere organisaties indirect gevaar lopen, aldus het onderzoek.

"Ondanks dat de dreiging wordt erkend en cyberweerbaarheid steeds vaker op de bestuursagenda staat, zien we organisaties worstelen met een goede aanpak, waardoor de cyberweerbaarheid uiteindelijk achterblijft", aldus Migiel de Wit-Beets, partner Cyber Risk bij Grant Thornton Nederland. "En dat is zorgelijk, want in deze tijd van geopolitieke onrust en op allerlei vlak toenemende dreiging is het cruciaal dat bedrijven hun weerbaarheid op basis van kennis en maatregelen verder versterken. Je ziet aan recente voorbeelden van het Openbaar Ministerie en het Bevolkingsregister hoe kwetsbaar organisaties zijn en hoe geavanceerd hackers tegenwoordig te werk gaan. Tijd om wakker te worden dus!"

Cyberweerbaarheid agenderen

Volgens De Wit-Beets is cyberweerbaarheid een samenspel van processen, mensen en techniek, ondersteund door technische middelen en inzichten met behulp van monitoring. "Meerdere teams in de organisatie, inclusief bestuur, commissarissen en toezichthouders, zijn hierbij betrokken. Organisaties die nog niet (ver)gevorderd zijn met een adequaat beleid moedig ik aan om het onderwerp te agenderen."

Grant Thornton onderzocht ook de bekendheid met de Europese NIS2-richtlijn, die in Nederland wordt geïmplementeerd via de nieuwe Cyberbeveiligingswet. Vooral in sectoren zonder directe ketenverantwoordelijkheid lijkt de urgentie daarvan nog niet te zijn doorgedrongen. Er is verwarring over toepasselijkheid en verplichtingen, zeker voor bedrijven die indirect geraakt worden door compliance-eisen van hun opdrachtgevers.

Via het International Business Report (IBR) onderzoekt Grant Thornton sinds 1992 het mid-corporate bedrijfsleven. In Nederland deden dit jaar 4083 bedrijven mee aan het onderzoek.