Bijna 60% van de kmo’s weet niet of ze aan de nieuwe Europese regelgeving rond cybersecurity moeten voldoen

In aanloop naar Cybersec Europe 2025 heeft Proximus NXT zijn zesde jaarlijkse cybersecurityrapport gepubliceerd, opgesteld in samenwerking met zijn filiaal Proximus NXT Luxembourg. Daaruit blijkt dat 56% van de zeer grote bedrijven in 2024 meer cyberincidenten rapporteerde en dat bijna 6 op de 10 kmo’s in de Belux niet (zeker) weet of ze al dan niet aan NIS2 moeten voldoen.

Voor het zesde jaar op rij onderzochten Proximus NXT en Proximus NXT Luxembourg hoe bedrijven in België en Luxemburg omgaan met cybersecurity. Meer dan 190 CEO’s, CIO’s en andere besluitvormers namen deel aan het onderzoek, dat resulteerde in het rapport ‘De impact van cyberdreigingen op Belux-bedrijven’.

Meer cyberincidenten bij zeer grote bedrijven, meer onzekerheid bij kmo’s

Het aandeel zeer grote bedrijven (> 2000 werknemers) dat het voorbije jaar te maken kreeg met een cyberincident, steeg van 45% in 2023 naar 56% in 2024. Een cyberincident wordt gedefinieerd als elk voorval dat de vertrouwelijkheid, integriteit of beschikbaarheid van de IT-systemen van een organisatie heeft aangetast, en/of heeft geleid tot productiviteitsverlies, juridische gevolgen, reputatieschade, dataverlies, enz.

Bij de kmo’s zegt 5% niet te weten of ze in het voorbije jaar werden getroffen door een cyberincident. Bij bedrijven met minder dan 10 werknemers loopt dit percentage zelfs op tot 9%. Hoe kleiner het bedrijf, hoe groter de onzekerheid of het in 2024 getroffen werd door een cyberincident. Ter informatie: volgens de meest recente cijfers van Statbel zijn 95,9% van de Belgische bedrijven micro-ondernemingen. De potentiële impact is dus niet te verwaarlozen.

Uit het rapport van Proximus blijkt ook dat kmo’s die getroffen werden door een cyberincident niet altijd weten wat de precieze oorzaak was. Ongeveer 1 op de 8 getroffen kmo’s (13%) kon niet zeggen of het ging om een doelgerichte aanval of een onopzettelijke fout, dit in tegenstelling tot grotere bedrijven, die meestal wel de oorzaak van cyberincidenten kennen.

De impact van cyberincidenten mag niet worden onderschat

Het rapport onthult ook de veelzijdige impact van cyberincidenten op bedrijven in de Belux: 56% van de respondenten rapporteerde kosten en middelen in verband met het melden van incidenten, terwijl 33% te maken kreeg met productiviteitsverlies. Een kwart van de getroffen bedrijven liep reputatieschade op. Bij 40% was er sprake van verstoring van de bedrijfsactiviteiten. In de meeste gevallen duurde dit echter minder dan een week.

Cyberincidenten kunnen leiden tot zware financiële verliezen, operationele disruptie en wettelijke aansprakelijkheid. Een goed begrip van de economische impact is essentieel voor bedrijven die hun activa willen beschermen en het vertrouwen van hun klanten behouden.

De Europese NIS2-richtlijn heeft indirect invloed op veel kmo’s in de Belux, maar 60% weet niet of ze die moeten naleven

Bijna 6 op de 10 kmo’s in de Belux weten niet (zeker) of ze al dan niet moeten voldoen aan de NIS2-richtlijn, die sinds oktober 2024 van kracht is. Deze Europese richtlijn verplicht organisaties om kritieke infrastructuur en persoonsgegevens streng te beveiligen. Het doel is om de veiligheid van netwerk- en informatiesystemen te versterken en zo de veerkracht van onze samenleving en de economie met betrekking tot cybersecurity te verzekeren.

De NIS2-richtlijn geldt voor organisaties in 18 sectoren, zodra ze minstens 50 werknemers tellen of een jaarlijkse omzet (of balanstotaal) van meer dan 10 miljoen EUR hebben, maar daar stopt het niet: organisaties die onder de NIS2-richtlijn vallen, moeten toezicht houden op de kwaliteit van de cyberbeveiligingsmaatregelen van hun directe leveranciers en dienstverleners. Een bedrijf dat niet binnen de scope van de richtlijn valt, is daarom nog niet automatisch vrijgesteld van de vereisten van NIS2.