Nederlandse mkb-bedrijven hebben vals gevoel van cyberveiligheid

Kleine en middelgrote bedrijven in Nederland moeten cybersecurity hoger op de agenda zetten, blijkt uit de lokale resultaten van de Cisco’s Cybersecurity Readiness Index 2025, die wereldwijd peilt naar de cyberbeveiliging van zeer kleine tot erg grote bedrijven. Negen van de tien ondervraagde Nederlandse bedrijven met minstens 10 en tot 250 medewerkers, lopen aanzienlijke cyberrisico’s.

In ons land staat 16 procent van de mkb’ers aan het absolute begin van hun beveiligingsstrategie (‘beginner’). Een overgrote meerderheid van 74 procent heeft al enkele securitymaatregelen genomen maar behaalt een onvoldoende voor verschillende cyberbeveiligingsonderdelen (‘formative’). Slechts 10 procent scoort bovengemiddeld (‘progressive’), iets minder dan de 15 procent van de ondervraagde bedrijven tot 1.000 medewerkers. Opvallend is dat geen enkele van de ondervraagde Nederlandse mkb’ers volledig voorbereid is op cyberaanvallen (‘mature), terwijl 5 procent van de grote bedrijven wel al hoogste niveau van volwassenheid en cyberweerbaarheid heeft bereikt.

“Mkb-bedrijven zijn zeker niet immuun voor de toenemende phishing, ransomware of AI-gedreven aanvallen die wij zien op bedrijfsnetwerken, wel integendeel” waarschuwt Jan Heijdra, Field CTO Security bij Cisco Nederland. “Ze lopen vaak net extra risico omdat zij niet altijd over de middelen beschikken voor een uitgebreide IT-beveiliging. Ons rapport geeft aan dat Nederlandse mkb’ers de kans op een cyberaanval ook flink onderschatten: een derde van de ondervraagden acht het ‘onwaarschijnlijk’ dat ze binnen de twee jaar door een cyberaanval kunnen worden uitgeschakeld. Er is echter maar één zekerheid: cyberrisico’s gelden voor iedereen en dat bewustzijn is bij grote bedrijven aanzienlijk hoger.”

Grote kloof tussen mkb en grote bedrijven
Een derde van de ondervraagde Nederlandse mkb-bedrijven bevestigt dat ze het afgelopen jaar slachtoffer zijn geworden van een cyberaanval (tegenover 47% bij grote bedrijven). Toch verhoogde slechts een vijfde (22%) van de mkb-bedrijven de afgelopen twee jaar zijn budget voor cybersecurity. Zeven procent van de ondervraagden verlaagde zelfs zijn budget. Bij de grote bedrijven was dit beperkt tot 1 procent, en een derde (32%) verhoogde zijn budget.

De kloof dreigt in de toekomst nog groter worden: slechts 35% van de mkb’ers is van plan hun cyberinfrastructuur de komende één tot twee jaar grondig te moderniseren. Ze geven echter toe dat hun IT-beveiligingsinfrastructuur almaar complexer wordt: 46% van de mkb-bedrijven gebruikt 11 tot 40 verschillende beveiligingsoplossingen, en 6% zelfs tot 60. Twee van de drie (67%) bedrijven zien dit als een duidelijke belemmering voor hun verdediging.

Ook wil slechts 14% van de mkb’ers investeren in automatisering (tegenover 46% van de grote bedrijven). Iets meer dan een derde (36%) voorziet investeringen in zichtbaarheid (‘observability’) en analysemogelijkheden – tegenover 46% van de grote bedrijven. Slechts 4% van de mkb-bedrijven overweegt om strategisch bepaalde functies uit te besteden aan managed services, tegenover 25% van de grote ondernemingen.

Mkb overschat eigen cyberweerbaarheid
Ondanks hun relatief zwakke verdediging zijn mkb-bedrijven opvallend zelfverzekerd: 45% vindt hun huidige IT-infrastructuur voldoende om cyberaanvallen in de nabije toekomst te weerstaan. Slechts 30% van de mkb’ers is van plan te investeren in training of nieuwe medewerkers (tegenover 40% van de grote ondernemingen).

“Dit onderzoek weerspiegelt een vals gevoel van veiligheid bij Nederlandse mkb’ers. Velen onderschatten de snelheid en professionaliteit van hedendaagse cyberaanvallen. Die kunnen de bedrijfsvoering verstoren, klantvertrouwen ondermijnen, leiden tot juridische aansprakelijkheid en in het ergste geval een bedrijf tot faillissement dwingen. Mkb’ers doen er goed aan om hun verdediging op te krikken,” benadrukt Heijdra.