Bedrijven moeten wakker geschud worden: maak beleid rondom cyberrisico’s

Amsterdam, 13 oktober 2025 – Bedrijven doen veel te weinig aan cyberveiligheid. Recent onderzoek van accountants- en adviesorganisatie Grant Thornton laat zien dat bijna een kwart van de organisaties in Nederland in 2024 een cyberaanval met aanzienlijke impact heeft ervaren. Nog eens 39% van de Nederlandse bedrijven heeft cyberaanvallen met beperkte impact meegemaakt. Het meest zorgelijk is het percentage bedrijven dat niet weet of ze zijn aangevallen. 20% van de bedrijven monitort niet op cyberaanvallen en heeft dus geen idee of ze al eens doelwit zijn geweest van een cyberaanval. Bij 13% is er zelfs nauwelijks aandacht voor cyberweerbaarheid. En dat met almaar toenemende dreiging. Tijd om wakker te worden en naast beleid, ook services in te zetten om inzicht te krijgen op de (online) omgeving om deze op de juiste manier te beschermen, aldus Grant Thornton.

De resultaten komen uit het door Grant Thornton in 35 markten, waaronder Nederland, uitgevoerde International Business Report (IBR) dat sinds 1992 het mid-corporate bedrijfsleven onderzoekt. In Nederland deden 4083 bedrijven mee aan het onderzoek.

Toenemende dreiging: verhoog kennis en intensiveer maatregelen
Middelgrote Nederlandse bedrijven boeken wel vooruitgang op het gebied van cyberweerbaarheid. 64% van de organisaties zegt een uitgebreid cybersecuritybeleid te hebben, inclusief regelmatige updates en tests. Toch vertrouwt 28% van de ondervraagden nog steeds op basale maatregelen en reageert 25% voornamelijk ad hoc op incidenten. Bij 13% van de organisaties is geen tot weinig aandacht voor cyberweerbaarheid. Vooral kleinere organisaties lijken kwetsbaar: ze worden vaker doelwit vanwege hun beperkte beveiligingscapaciteit, terwijl ze zich niet altijd bewust zijn van de ernst van de dreiging. Dit leidt weer tot weerbaarheidsrisico’s in de keten, waardoor ook grotere organisatie indirect gevaar lopen.

“De onderzoeksresultaten laten zien dat veel organisaties inmiddels stappen hebben gezet op het gebied van cyberweerbaarheid. Ondanks dat de dreiging wordt erkend en cyberweerbaarheid steeds vaker op de bestuursagenda staat, zien we organisaties worstelen met een goede aanpak (lees: een aanpak die bij het organisatie DNA past) waardoor de cyberweerbaarheid uiteindelijk achterblijft”, zegt Migiel de Wit-Beets, partner Cyber Risk bij Grant Thornton Nederland. “En dat is zorgelijk, want in deze tijd van geopolitieke onrust en op allerlei vlak toenemende dreiging is het cruciaal dat bedrijven hun weerbaarheid op basis van kennis en maatregelen verder versterken. Je ziet aan recente voorbeelden van het Openbaar Ministerie en het Bevolkingsregister hoe kwetsbaar organisaties zijn en hoe (geavanceerd) hackers tegenwoordig te werk gaan. Tijd om wakker te worden dus! ”

Cyberweerbaarheid agenderen
De Wit-Beets vervolgt: “Cyberweerbaarheid is een samenspel van processen, mensen en techniek met de ondersteuning van technische middelen en inzichten met behulp van monitoring. Meerdere teams in de organisatie, inclusief bestuur, commissarissen en toezichthouders, zijn hierbij betrokken. Organisaties die nog niet (ver)gevorderd zijn met een adequaat beleid moedig ik aan om het onderwerp te agenderen.”