Ruim 70 procent van de middelgrote en kleine bedrijven in Nederland kreeg in 2023 te maken met cyberaanvallen. Onder zelfstandigen was dit 55 procent. Dat blijkt uit onderzoek van ABN Amro onder 895 organisaties.
Het grootbedrijf, met een jaaromzet van minimaal 25 miljoen euro, kreeg zelfs voor 86 procent cyberaanvallen te verwerken. De belangrijkste conclusie uit het onderzoek is dat ondanks het hoge dreigingsniveau de risicoperceptie in het Nederlandse bedrijfsleven achterblijft.
Het aantal cyberaanvallen neemt toe en de methodes worden steeds geraffineerder, maar Nederlandse bedrijven lijken de ernst van de dreiging te onderschatten. Uit recent onderzoek blijkt dat veel bedrijven pas actie ondernemen nadat ze al schade hebben ondervonden, zoals gehackte systemen, financiële verliezen of reputatieschade door gelekte klantgegevens.
Verontrustend is dat het aantal mkb-bedrijven dat cybercriminaliteit als een groot risico ziet juist is afgenomen. Terwijl maar liefst 59 procent van het grootbedrijf en 43 procent van het mkb al eens te maken heeft gehad met dit soort schade.
AI wapent cybercriminelen met nieuwe trucs
Uit het onderzoek blijkt dat cybercriminelen steeds geraffineerdere methodes gebruiken. Ruim de helft van de ondervraagde bedrijven ziet nieuwe ontwikkelingen op het gebied van AI als een grote bedreiging. Vorig jaar was dit nog geen kwart. Met behulp van AI kunnen oplichters bijvoorbeeld eenvoudig geloofwaardige phishingmails opstellen of nep-gesprekken voeren om inloggegevens of betalingen te bemachtigen.
Een veel voorkomende methode is CEO-fraude of whaling, waarbij criminelen zich voordoen als CEO of een ander hooggeplaatst persoon. Via e-mail, Whatsapp of zelfs deepfake-videogesprekken proberen ze medewerkers te verleiden tot het overmaken van geld of het delen van gevoelige informatie. Vooral grotere bedrijven zijn hiervoor vatbaar: in 2023 was bijna een derde van hen doelwit van zo’n aanval.
Nederlandse bedrijven dreigen achterop te raken door trage implementatie van nieuwe wetgeving
Om de weerbaarheid tegen cyberaanvallen te verhogen, treedt in oktober aanstaande de nieuwe Europese wetgeving NIS2 in werking. Deze wet verplicht bedrijven, met name in kritieke sectoren, om hun cyberveiligheid op orde te hebben. Bedrijven moeten onder andere de cyberrisico’s in hun toeleveringsketen in kaart brengen.
De mate waarin Nederlandse bedrijven hiermee bezig zijn, verschilt sterk. Daarnaast loopt Nederland achter op andere Europese landen zoals Duitsland en België met de implementatie van NIS2. Dit maakt Nederlandse bedrijven extra kwetsbaar.
Klanten eisen NIS2-compliance
Volgens Julia Krauwer, sector banker Technologie, Media & Telecom bij ABN AMRO, is het van cruciaal belang dat Nederlandse bedrijven snel actie ondernemen. Niet alleen om te voldoen aan de nieuwe wetgeving, maar ook omdat klanten in andere Europese landen dit van hun Nederlandse leveranciers zullen eisen. Bedrijven die niet voldoen aan NIS2 riskeren het om klanten te verliezen.
Daarnaast benadrukt Krauwer dat onvoldoende cyberweerbaarheid een risico vormt voor de hele keten. Directies moeten prioriteit geven aan het verbeteren van hun cybersecurity, zeker nu individuele bestuurders ook persoonlijk aansprakelijk kunnen worden gesteld bij nalatigheid.
