CYBERSECURITY STATISTIEKEN NEDERLAND 2026

Nederland behoort tot de top 5 meest aangevallen landen in Europa. De digitale infrastructuur, het hoge aantal internetgebruikers (98% van de bevolking) en de concentratie van datacenters maken ons land een aantrekkelijk doelwit. Volgens het Verizon DBIR 2025 is 83% van de aanvallen financieel gemotiveerd, terwijl 17% geopolitiek of spionage als drijfveer heeft.

Type cyberaanvallen in Nederland (2025)

Opvallend is de explosieve groei van supply chain-aanvallen (+45%). Aanvallers richten zich steeds vaker op toeleveranciers en softwarepartners om via één inbraak meerdere organisaties te treffen. Het SolarWinds-effect is in Nederland duidelijk zichtbaar: 34% van de bedrijven heeft in 2025 te maken gehad met een incident via een derde partij. Bij managed service providers (MSPs) was dit zelfs 48%, waarmee zij een cruciaal aanvalspad vormen naar het MKB.

De gemiddelde tijd tot detectie van een cyberaanval bedraagt 204 dagen in Nederland. Bedrijven die AI-gebaseerde detectiesystemen inzetten, reduceren dit tot gemiddeld 98 dagen. Organisaties met een volledig geautomatiseerd Security Operations Center (SOC) detecteren incidenten zelfs in minder dan 24 uur. Het verschil in kosten is aanzienlijk: een datalek dat binnen 100 dagen wordt gedetecteerd, kost gemiddeld €2,9 miljoen minder dan een lek dat 200+ dagen onopgemerkt blijft.

Cyberaanvallen per sector

Niet alle sectoren worden gelijk getroffen. De vijf meest aangevallen sectoren in Nederland zijn:

• Financiële dienstverlening — 58% van de bedrijven meldde minimaal één incident in 2025
• Gezondheidszorg — 52% werd getroffen, met stijgende ernst door kwetsbare medische apparatuur
• Overheid & publieke sector — 47% te maken met aanvallen, met name DDoS en spionage
• Maakindustrie — 44% aangevallen, vaak via kwetsbare OT-systemen (operationele technologie)
• ICT & telecom — 41% getroffen, met supply chain-aanvallen als grootste dreiging

Bronnen: NCSC Cybersecuritybeeld Nederland 2025, Verizon DBIR 2025, CBS ICT-gebruik bedrijven

Het gemiddelde losgeldbedrag dat in Nederland wordt geëist bedraagt €340.000, maar bij grote bedrijven lopen de eisen op tot €2,4 miljoen of meer. Van de getroffen organisaties betaalt 29% daadwerkelijk losgeld — ondanks het dringende advies van het NCSC en politie om dit niet te doen.

Van de bedrijven die losgeld betalen, krijgt slechts 67% al hun data volledig terug. In 18% van de gevallen worden de data alsnog gelekt op het dark web, ondanks betaling. Bij 11% van de betaalde gevallen volgt een tweede aanval binnen 12 maanden door dezelfde of een andere groep. De gemiddelde totale kosten van een ransomware-aanval (inclusief downtime, herstel en reputatieschade) bedragen €1,85 miljoen voor een middelgroot bedrijf.

De gemiddelde downtime na een ransomware-aanval bedraagt 23 dagen. Voor bedrijven zonder een getest incidentresponsplan loopt dit op tot 34 dagen. De indirecte kosten zijn vaak hoger dan het losgeld zelf: productiestilstand kost een gemiddeld bedrijf €8.500 per uur, klantverlies wordt geschat op 15-25% in het eerste jaar na een aanval, en de reputatieschade is voor 42% van de bedrijven "langdurig merkbaar".

Ransomware per sector in Nederland

De gezondheidszorg is het zwaarst getroffen: 34% van de zorginstellingen heeft in 2025 te maken gehad met een ransomware-aanval. De urgentie van patiëntenzorg maakt deze sector bijzonder kwetsbaar — aanvallers weten dat ziekenhuizen sneller geneigd zijn te betalen. Het Ransomware-as-a-Service (RaaS) model verlaagt de drempel voor cybercriminelen: groepen als LockBit, BlackCat en Cl0p bieden ransomware als abonnementsdienst aan, waardoor ook minder technische criminelen aanvallen kunnen uitvoeren.

Double extortion (dubbele afpersing) is inmiddels standaard: 78% van de ransomware-aanvallen in Nederland combineert dataversleuteling met de dreiging van datalekken. In 2025 registreerde het NCSC 340 gevallen waarbij gestolen data daadwerkelijk op het dark web verschenen.

Bronnen: NCSC Jaaroverzicht 2025, Sophos State of Ransomware Report, Coveware Quarterly Report Q4 2025

Van alle cyberaanvallen in Nederland begint 41% met een phishing-aanval. De gemiddelde klikratio op phishing-e-mails bedraagt 3,4%, wat betekent dat van elke 1.000 phishingmails er 34 succesvol zijn. De gemiddelde werknemer heeft slechts 82 seconden nodig om op een kwaadaardige link te klikken na het openen van de e-mail.

AI-gegenereerde phishing is de snelst groeiende dreiging: het aantal door AI gemaakte phishing-berichten is in 2025 met 67% gestegen. Deze berichten zijn moeilijker te herkennen omdat ze grammaticaal correct zijn, gepersonaliseerd worden en de schrijfstijl van betrouwbare afzenders imiteren. Volgens Verizon DBIR 2025 is de succesratio van AI-phishing 2,3 keer hoger dan bij traditionele phishing.

Phishing: meest geïmiteerde merken (NL)

• Banken (ING, Rabobank, ABN AMRO) — 28% van alle phishing in Nederland
• Overheidsinstanties (Belastingdienst, DigiD) — 19% van alle phishing
• Pakketdiensten (PostNL, DHL) — 16% van alle phishing
• Techbedrijven (Microsoft, Google) — 14% van alle phishing
• Telecomproviders (KPN, T-Mobile) — 8% van alle phishing
• E-commerce (Bol, Amazon, Marktplaats) — 7% van alle phishing

Spear phishing (gerichte phishing op specifieke medewerkers) is verantwoordelijk voor 71% van de succesvolle inbraken bij bedrijven. CEO-fraude en business email compromise (BEC) veroorzaakten in 2025 in Nederland een geschatte schade van €92 miljoen. De gemiddelde BEC-aanval kost een bedrijf €124.000.

Smishing (sms-phishing) en vishing (voice phishing) groeien snel: het aantal smishing-incidenten steeg met 54% in 2025. QR-code phishing ('quishing') is een nieuwe trend: 12% van alle phishing-pogingen maakt inmiddels gebruik van kwaadaardige QR-codes. De Fraudehelpdesk ontving in 2025 meer dan 480.000 meldingen van phishing, een stijging van 28% ten opzichte van 2024.

Financiële schade door phishing in Nederland

De totale financiële schade door phishing in Nederland wordt geschat op €168 miljoen in 2025. Dit omvat directe diefstal via internetbankieren (€52 miljoen), credential theft en daaropvolgende aanvallen (€74 miljoen), en business email compromise (€42 miljoen). De Nederlandse Vereniging van Banken rapporteert dat de schade door bankphishing met 18% is gestegen ondanks geavanceerdere detectie, omdat aanvallers AI gebruiken om beveiliging te omzeilen. Per geslaagde phishing-aanval is de gemiddelde schade gestegen van €3.200 in 2023 naar €4.800 in 2025.

Bronnen: Verizon DBIR 2025, APWG Phishing Activity Trends Report, Fraudehelpdesk Jaaroverzicht 2025

Volgens het IBM Cost of a Data Breach Report 2025 bedragen de gemiddelde kosten van een datalek in Nederland €4,88 miljoen. Dit is een stijging van 12% ten opzichte van 2024 en 28% ten opzichte van 2022. De kosten per gelekt record zijn gestegen naar €176.

Kosten per sector in Nederland

De gezondheidszorg heeft de hoogste kosten per record (€398) vanwege de gevoeligheid van medische data en de strenge regelgeving rondom patiëntgegevens. De financiële sector heeft de hoogste totale kosten door de omvang van de getroffen datasets.

Organisaties die AI en automatisering inzetten voor incidentdetectie besparen gemiddeld €1,76 miljoen per datalek. Bedrijven met een volledig geïmplementeerd security AI-platform betalen gemiddeld €3,12 miljoen per incident, versus €4,88 miljoen zonder. De detectietijd daalt van 204 naar 98 dagen. Bedrijven die AI succesvol implementeren in hun operaties, zijn ook beter voorbereid op cyberdreigingen.

De Autoriteit Persoonsgegevens (AP) legde in 2025 voor €6,7 miljoen aan boetes op voor AVG-overtredingen in verband met datalekken. Het gemiddelde boetebedrag was €890.000, met een maximum van €2,75 miljoen voor een grote retailer.

Verborgen kosten van een datalek

Naast de directe schade zijn er aanzienlijke verborgen kosten die vaak over het hoofd worden gezien:

• Klantverlies — gemiddeld 3,4% klantverloop in het jaar na een publiek datalek, met een waarde van €1,2 miljoen
• Verzekeringspremies — premieverhogingen van 25-40% in het jaar na een claim
• Juridische kosten — gemiddeld €340.000 aan juridisch advies, notificaties en mogelijke rechtszaken
• Compliance-kosten — audits en aanpassingen na een incident kosten gemiddeld €280.000
• Managementtijd — C-level besteedt gemiddeld 320 uur aan het afhandelen van een ernstig datalek
• Creditmonitoring — bij persoonsgegevens gemiddeld €45 per getroffen individu voor monitoring

Bronnen: IBM Cost of a Data Breach Report 2025, Autoriteit Persoonsgegevens Jaarverslag 2025, Ponemon Institute

In 2026 heeft slechts 24% van de Nederlandse bedrijven een cyberverzekering. Bij grote bedrijven (250+ medewerkers) ligt dit percentage op 52%, terwijl het MKB achterblijft met slechts 18%. De totale marktomvang voor cyberverzekeringen in Nederland bedraagt €420 miljoen, een groei van 34% ten opzichte van 2024.

De premies zijn in 2025 met gemiddeld 28% gestegen. Dit komt door het stijgende aantal claims (schaderatio van 72%), hogere gemiddelde schade per claim, en de toenemende complexiteit van cyberaanvallen. Sommige sectoren zagen premieverhogingen tot 45%, met name de gezondheidszorg en de publieke sector.

Verzekeraars stellen steeds strengere eisen

• MFA vereist — 94% van de verzekeraars eist multi-factor authenticatie als voorwaarde
• Endpoint Detection & Response (EDR) — 78% vereist actieve endpointbeveiliging
• Regelmatige back-ups — 89% eist bewijs van offline back-ups
• Security awareness training — 67% vereist jaarlijkse training voor medewerkers
• Incidentresponsplan — 72% vereist een gedocumenteerd plan
• Patchmanagement — 81% vraagt bewijs van tijdige software-updates

De gemiddelde uitkering bij een cyberclaim bedraagt €234.000. Bij ransomware-claims ligt dit hoger: gemiddeld €480.000. Opvallend: 38% van de claims wordt (deels) afgewezen wegens het niet naleven van de polisvoorwaarden, zoals het ontbreken van MFA of verouderde software.

Bronnen: Verbond van Verzekeraars, Aon Cyber Risk Monitor 2025, Marsh Global Insurance Market Index

In 2025 publiceerde het NCSC meer dan 6.800 beveiligingsadviezen, waarvan 1.247 met een HIGH of CRITICAL classificatie. Het NCSC verwerkte 4.200 incidentmeldingen van organisaties in de rijksoverheid en vitale infrastructuur, een stijging van 22% ten opzichte van 2024.

De Autoriteit Persoonsgegevens ontving in 2025 28.400 meldingen van datalekken — gemiddeld 78 per dag. Van deze meldingen betrof 42% hacking of cyberaanvallen, 31% menselijke fouten (verzenden aan verkeerde ontvanger), en 27% technische storingen of verloren apparaten.

Incidentmeldingen per type (NCSC 2025)

Het Digital Trust Center (DTC), dat zich richt op het niet-vitale bedrijfsleven, bereikte in 2025 meer dan 180.000 bedrijven met dreigingsinformatie. Het DTC verstuurde 42.000 individuele notificaties aan bedrijven over kwetsbaarheden in hun systemen. Toch geeft 61% van de bedrijven aan niet te weten waar ze cyberincidenten moeten melden.

Datalekken bij de Autoriteit Persoonsgegevens

De meldplicht datalekken levert waardevolle inzichten op in de aard en omvang van beveiligingsincidenten:

• 28.400 datalekken gemeld in 2025, een stijging van 14% ten opzichte van 2024
• 42% veroorzaakt door hacking of kwaadaardige software
• 31% door menselijke fouten — verkeerd geadresseerde e-mails, bijlagen met verkeerde data
• Gezondheidszorg rapporteerde de meeste datalekken (24% van alle meldingen), gevolgd door overheid (18%) en financieel (14%)
• Gemiddeld 2.300 personen betrokken per gemeld datalek
• 14% van de meldingen leidde tot vervolgonderzoek door de AP

De AP heeft in 2025 haar handhavingscapaciteit met 30% uitgebreid en kondigde aan strenger te gaan controleren op de meldplicht. Organisaties die een datalek niet of te laat melden, riskeren boetes tot €10 miljoen of 2% van de jaaromzet.

Bronnen: NCSC Jaaroverzicht 2025, Autoriteit Persoonsgegevens Datalekkenrapportage, Digital Trust Center

Ondanks het feit dat 74% van de succesvolle aanvallen een menselijke component heeft, investeert slechts 39% van de Nederlandse bedrijven in jaarlijkse security awareness training voor medewerkers. De gemiddelde investering bedraagt slechts €38 per medewerker per jaar.

Bedrijven die wél structureel investeren in awareness-programma's zien indrukwekkende resultaten:

• 72% minder succesvolle phishing-aanvallen na 12 maanden structurele training
• 56% snellere meldtijd van verdachte e-mails door medewerkers
• 89% van de medewerkers herkent basale phishing-pogingen na training (vs. 47% daarvoor)
• ROI van 587% op awareness-investeringen over 3 jaar (KnowBe4 benchmark)

De meest effectieve trainingsprogramma's combineren gesimuleerde phishing-tests (maandelijks), micro-learnings (5-10 minuten per week) en gamification. Bedrijven die alleen jaarlijks een presentatie geven, zien minimale verbetering. De klikratio op gesimuleerde phishing daalt van gemiddeld 27% naar 4% na 12 maanden consistent trainen.

Wachtwoordhygiëne blijft een groot probleem: 41% van de Nederlandse werknemers hergebruikt wachtwoorden voor zakelijke en privé-accounts. Slechts 34% van de bedrijven heeft een wachtwoordmanager uitgerold. De meest gebruikte wachtwoorden in Nederland in 2025 waren nog steeds variaties op "welkom01", "123456" en "Qwerty123".

Remote werk en cybersecurity

Het hybride werken heeft het aanvalsoppervlak vergroot. In 2025 werkt 47% van de Nederlandse kenniswerkers minimaal twee dagen per week thuis. De impact op cybersecurity is meetbaar:

• 38% van de datalekken is gerelateerd aan remote werk of BYOD (Bring Your Own Device)
• 27% van de thuiswerkers gebruikt het zakelijke netwerk zonder VPN
• 44% deelt het thuisnetwerk met onbeveiligde IoT-apparaten (smart speakers, camera's)
• Bedrijven met een remote workforce boven 50% betalen gemiddeld €1,1 miljoen meer per datalek

Bronnen: Verizon DBIR 2025, KnowBe4 Benchmarking Report, Proofpoint State of the Phish 2025

De totale cybersecuritymarkt in Nederland bedraagt in 2026 naar schatting €4,2 miljard, een groei van 16% ten opzichte van 2025. Bedrijven besteden gemiddeld 11,2% van hun IT-budget aan cybersecurity, tegenover 8,6% in 2023. Experts adviseren een minimum van 15%.

Waar investeren bedrijven in?

Opvallend is de sterke groei in governance, risk & compliance (+42%), direct gedreven door de NIS2-implementatie. Bedrijven investeren fors in het op orde krijgen van hun compliancekader. Cloud security is de grootste budgetpost (24%), logisch gezien de versnelde migratie naar cloud-omgevingen.

De Nederlandse overheid investeert in 2026 €395 miljoen in cybersecurity, waarvan €120 miljoen naar het NCSC, €85 miljoen naar Defensie Cyber Command, en €45 miljoen naar het DTC en programma's voor het bedrijfsleven. Het kabinet heeft aangekondigd dit budget tot 2028 met 25% te verhogen.

Nederlandse cybersecurity-startups haalden in 2025 €380 miljoen aan funding op. Er zijn nu meer dan 450 cybersecuritybedrijven gevestigd in Nederland, met zwaartepunten in Den Haag (The Hague Security Delta) en Eindhoven (Brainport).

Bronnen: Gartner IT Spending Forecast 2026, IDC European Cybersecurity Market, Rijksbegroting 2026, Techleap.nl

AI als verdedigingswapen

Van de Nederlandse bedrijven met meer dan 100 medewerkers zet 58% AI in voor cybersecurity. De voornaamste toepassingen zijn:

• Anomaliedetectie — AI-systemen analyseren netwerkverkeer en detecteren afwijkingen 12x sneller dan handmatige analyse
• Geautomatiseerde incidentrespons — SOAR-platformen (Security Orchestration, Automation & Response) automatiseren 68% van de routinematige security-taken
• Vulnerability management — AI-scanners identificeren kwetsbaarheden 4x sneller en prioriteren op basis van risico
• Threat intelligence — Machine learning analyseert dagelijks miljarden datapunten om nieuwe dreigingen vroegtijdig te detecteren
• E-mailfiltering — AI-gebaseerde filters blokkeren 99,2% van de phishing-pogingen (vs. 94% bij traditionele filters)

Organisaties die AI en automatisering extensief inzetten voor cybersecurity, besparen gemiddeld €1,76 miljoen per datalek en detecteren incidenten 108 dagen sneller dan organisaties zonder AI-tools.

AI als aanvalswapen

Cybercriminelen gebruiken AI steeds vaker voor:

• AI-gegenereerde phishing — 67% groei in 2025, met 2,3x hogere succesratio
• Deepfake voice & video — 340% toename in deepfake-aanvallen voor CEO-fraude
• Geautomatiseerde kwetsbaarheidscans — AI scant duizenden systemen in minuten in plaats van uren
• Polymorphe malware — AI genereert unieke malwarevarianten die traditionele antivirussoftware omzeilen
• Password cracking — AI-modellen kraken wachtwoorden tot 60% sneller dan brute-force

Het NCSC waarschuwt dat generatieve AI de drempel voor cybercriminaliteit significant verlaagt. Minder technisch vaardige criminelen kunnen nu geavanceerde aanvallen uitvoeren met behulp van AI-tools die op het dark web beschikbaar zijn. De kosten voor het opzetten van een phishing-campagne zijn door AI met 95% gedaald.

Bronnen: IBM Cost of a Data Breach 2025, NCSC Cybersecuritybeeld, Capgemini Research Institute AI in Cybersecurity

1. Zero Trust wordt de standaard

In 2026 heeft 42% van de grote Nederlandse organisaties een Zero Trust Architecture (ZTA) geïmplementeerd, tegenover 18% in 2023. Zero Trust gaat uit van het principe "never trust, always verify" — elk verzoek wordt geverifieerd, ongeacht de locatie of het netwerk. Gartner voorspelt dat in 2028 meer dan 70% van de bedrijven Zero Trust als kernstrategie hanteert.

2. Quantum-safe cryptografie

Met de komst van quantumcomputers worden huidige encryptiestandaarden kwetsbaar. Het NCSC adviseert Nederlandse organisaties om nu al te beginnen met de migratie naar quantum-safe algoritmen. Naar schatting is slechts 8% van de Nederlandse organisaties begonnen met een post-quantum cryptografie-strategie. De verwachting is dat quantumcomputers rond 2030-2035 huidige RSA-encryptie kunnen breken.

3. Cybersecurity-as-a-Service groeit explosief

Het uitbesteden van cybersecurity aan Managed Security Service Providers (MSSPs) groeit met 27% per jaar. In 2026 maakt 38% van het MKB gebruik van een MSSP, tegenover 22% in 2024. De gemiddelde kosten voor een managed SOC-dienst bedragen €2.500 tot €8.000 per maand voor een MKB-bedrijf, aanzienlijk goedkoper dan een eigen SOC.

4. OT/IoT-security wordt kritiek

Het aantal verbonden IoT-apparaten in Nederland groeit naar 48 miljoen in 2026. Operationele Technologie (OT) in de industrie, energie en water is steeds vaker doelwit van cyberaanvallen. In 2025 steeg het aantal aanvallen op OT-systemen met 35%. Het NCSC classificeert OT-security als één van de drie prioriteiten voor 2026.

5. Cyber resilience boven preventie

De focus verschuift van 100% preventie naar cyber resilience: het vermogen om aanvallen te weerstaan, snel te detecteren en te herstellen. In 2026 heeft 56% van de grote bedrijven een formeel cyber resilience-programma, inclusief regelmatige crisisoefeningen. De gemiddelde hersteltijd na een ransomware-aanval daalde van 23 naar 16 dagen bij bedrijven met een resilience-programma.

6. Regulering neemt toe

Naast NIS2 komen er nieuwe regelgevingskaders die Nederlandse bedrijven raken:

• Cyber Resilience Act (CRA) — verplicht cybersecurity-eisen voor hardware en software met digitale elementen (2027)
• DORA — Digital Operational Resilience Act voor de financiële sector (actief sinds 2025)
• AI Act — bevat cybersecurity-eisen voor high-risk AI-systemen (gefaseerde invoering 2025-2027)
• eIDAS 2.0 — Europese digitale identiteit met security-vereisten (2026)

7. Cybersecurity en de boardroom

Cybersecurity is definitief een boardroom-onderwerp: 76% van de Nederlandse bestuurders noemt cybersecurity als top-3 risico (tegenover 42% in 2022). Het aantal bedrijven met een CISO op C-level steeg naar 34% bij bedrijven met meer dan 250 medewerkers. Bestuurders besteden gemiddeld 14% van hun tijd aan cybersecurity-gerelateerde beslissingen.

De totale mondiale kosten van cybercriminaliteit worden geschat op $10,5 biljoen in 2025 (Cybersecurity Ventures), groeiend naar $15,6 biljoen in 2029. Als cybercriminaliteit een land was, zou het de derde economie ter wereld zijn, na de VS en China. Voor bedrijven die digitaal opereren, is cybersecurity geen optie meer maar een basisvereiste.

Bronnen: Gartner Predictions 2026, NCSC Cybersecuritybeeld 2025, Cybersecurity Ventures, IDC FutureScape