Toepassing van Internetstandaarden voor websites van bedrijven, 2023
Een statistische analyse van Internet.nl-scoresOver deze publicatie
In dit rapport wordt het gebruik van internetstandaarden voor websites van bedrijven onderzocht. Het toepassen van (veilige) internetstandaarden verhoogt de veiligheid, betrouwbaarheid en toegankelijkheid van het internet. Voor dit onderzoek is de webtool Internet.nl van Platform Internetstandaarden gebruikt. Op Internet.nl kan je per website een scan uitvoeren om aan de hand van ruim 30 onderliggende testen op het juiste gebruik van internetstandaarden een eindscore te berekenen die tussen de 0 en 100 procent ligt. Bedrijven met een 100 procent score hebben een website die voldoet aan alle vereiste internetstandaarden. Door voor een representatieve steekproef van bedrijven een websitescan uit te voeren, kan per bedrijfsgrootteklasse en bedrijfstak gerapporteerd worden wat de gemiddelde Internet.nl-eindscore van bedrijven met een website is. Ook kan per onderliggende subtest gerapporteerd worden hoeveel bedrijven aan de juist internetstandaarden voldoet.
De gemiddelde eindscore van de websitescan van alle bedrijven met website met 2 of meer werknemers is in twee en een half jaar tijd met bijna 8 procent toegenomen van 60,3 procent in oktober 2020 naar 65,4 procent in april 2024. Hoewel de eindscore niet afhankelijk is van de bedrijfsgrootteklasse, is er wel een duidelijk verschil waarneembaar tussen de score voor de onderliggende subtesten. Zo scoren kleine bedrijven voornamelijk hoog voor het ondersteunen van IPv6 ten opzichte van grote bedrijven, terwijl grote bedrijven weer beter scoren op het gebruik van de juiste internetstandaarden om te voorkomen dat het emaildomein van het bedrijf kan misbruikt worden voor e-mail spam en phishing-aanvallen.
Erratum (28 juni 2024)
Ondanks de zorgvuldigheid waarmee de cijfers voor de ICT statistieken zijn samengesteld, is helaas geconstateerd dat de gepubliceerde cijfers voor de verslagperiode 2023 door een technische fout niet correct zijn. De cijfers voor specifiek kleine bedrijven (2 tot 10 werkzame personen) uit de financiële sector zijn substantieel aangepast. Het gevolg is dat voor alle figuren met een uitsplitsing naar bedrijfstak de waardes voor de financiële dienstverlening substantieel veranderd kan zijn. Alle figuren uitgesplitst naar grootteklasse bevatten ook de financiële sector en kunnen daarom beperkt aangepast zijn.
1. Introductie
1.1 Achtergrond
In 2020 is het CBS in opdracht van het ministerie van Economische Zaken en Klimaat samen met Platform Internetstandaarden een onderzoek begonnen naar het gebruik van internetstandaarden bij websites van bedrijven in Nederland. Doel van dit onderzoek is om in kaart te brengen hoe goed bedrijven per bedrijfsgrootteklasse en bedrijfstak (veilige) Internetstandaarden voor hun website gebruiken.
Het toepassen van internetstandaarden verhoogt de veiligheid, betrouwbaarheid en toegankelijkheid van het internet. In dit onderzoek wordt de webtool Internet.nl van Platform Internetstandaarden gebruikt, om websites van bedrijven te testen op gebruik het van internetstandaarden. Op Internet.nl is het mogelijk om een websiteadres in te voeren; Internet.nl zal dan een scan van de ingevoerde website maken om deze te toetsen op ruim dertig internetstandaarden. Met de uitkomsten van deze testen wordt een eindscore toegekend als percentage tussen 0 en 100 procent; een website met een 100 procent eindscore voldoet aan alle eisen om de website zo veilig en gestandaardiseerd mogelijk te maken.
In dit onderzoek wordt de scanmethodiek van Internet.nl toegepast op een representatieve steekproef van websites van bedrijven. De websites die gescand zijn, worden verkregen uit de CBS-enquête ‘ICT-gebruik bij bedrijven’ (verder kortweg ICT-enquête genoemd) van de jaren 2020, 2021, 2022 en 2023 (Zie Statline enquêtes CBS, 2020, 2021, 2022b, 2023a). In deze enquête wordt gevraagd of het bedrijf een eigen website heeft en, zo ja, wat de website (domeinnaam of URL) is met de meeste bezoekers (de hoofdwebsite). Deze websites worden achteraf via Internet.nl gescand. Doordat de websites via een representatieve steekproef verkregen zijn, kan per bedrijfsgrootteklasse en bedrijfstak bepaald worden hoe goed de juiste internetstandaarden worden toegepast voor de website van bedrijven.
De resultaten van de eerste scanronde op basis van de ICT-enquête 2020 zijn eerder gepubliceerd in de long-read CBS (2022c). In het rapport daarna (CBS, 2023b) werden daar nog drie scans bijgevoegd; twee scans op basis van de websites die verzameld zijn met de ICT-enquête van 2021 en 2022; de derde scan is in april 2023 uitgevoerd met dezelfde websites als 2022. Deze laatste scan bevatte voor het eerst ook een scan naar de e-mail kenmerken van de mail-servers van het bedrijf. In het rapport dat nu verschijnt worden weer twee nieuwe scan toegevoegd op basis van de website verkregen uit de ICT-enquête van 2023: één scan uitgevoerd in december 2023, één scan uitgevoerd in april 2024. In het huidige rapport kunnen we dus de resultaten van zes scans voor de webservers en drie scan voor de mail servers terugvinden. Een overzicht van alle scan data wordt in tabel 2.1.2 gegeven.
1.2 Type scans
In dit onderzoek zijn twee type scans op de website van bedrijven uitgevoerd: een scan naar het gebruik van Internetstandaarden van de website van bedrijven en een scan naar het gebruik van Internetstandaarden van het e-maildomein van het bedrijven. Beide type scans leveren uiteindelijk per domeinnaam een score tussen de 0 en 100 procent op. Deze score wordt door Internet.nl berekend aan de hand van de uitslag van bijna veertig onderliggende testen voor zowel de websitescan als de e-mailscan. De testen van de websitescan zijn weer onder te verdelen in vijf categorieën, namelijk:
IPv6: bereikbaarheid via een modern internetadres.
DNSSEC: gebruik van een ondertekende domeinnaam.
HTTPS: gebruik van een beveiligde verbinding.
Beveiligingsopties: gebruik van ingestelde Applicatie-beveiligingsopties.
RPKI: Autorisatie voor routering
Iedere categorie bestaat weer uit losse subtesten waarmee bepaald wordt of een bedrijf slaagt voor een categorie of niet. In tabel A.2.1 wordt een overzicht van de categorieën van de website scan met alle onderliggende subtesten gegeven.
De testen van de e-mailscans zijn ook op te verdelen in vijf categorieën, namelijk:
IPv6: bereikbaarheid via een modern internetadres.
DNSSEC: gebruik van een ondertekende domeinnaam.
DMARC, DKIM, SPF: Authenticatie als protectie tegene-mail phishing.
STARTTLS en DANE: beveiligde mailserver-verbinding.
RPKI: Autorisatie voor routering
Iedere categorie bestaat weer uit losse subtesten waarmee bepaald wordt of een bedrijf slaagt voor een categorie of niet. In tabel A.3.1 wordt een overzicht van de categorieën van de e-mailscan met alle onderliggende subtesten gegeven.
Zoals gezegd worden de resultaten van zowel de website- als e-mailscans gepresenteerd. De e-mailscans zijn alleen toegevoegd in de laatste twee scanrondes van 2023 en 2024. Alhoewel er in 2021 en 2022 wel e-mailscans uitgevoerd zijn, bleek bij de analyse achteraf dat voor deze scans het subdomain van de website niet correct verwijderd was. Er werd bijvoorbeeld op www.example.com gescand, terwijl voor de e-mailscans het subdomain www verwijderd had moeten worden om alleen example.com te scannen. In de laatste drie scans van april 2023 (waarbij dezelfde steekproef als 2022 genomen is) en december 2023 en april 2024 (waarbij het steekproef van 2023 is genomen) is het subdomein wel correct verwijderd. De uitkomsten van de e-mailscan met of zonder subdomein www verschillen echter van elkaar, waardoor de e-mailscan van 2021 en 2022 niet met de latere scans vergeleken kunnen worden. Om deze reden worden van de websitescans zes opeenvolgende perioden gepresenteerd, terwijl van de e-mailscans alleen de resultaten van de laatste drie rondes worden getoond.
Eerst wordt in hoofdstuk 2 in het kort de methode beschreven die gebruikt is om de Internet.nl scans uit te voeren en te analyseren. De resultaten van de websitescans en e-mailscans worden achtereenvolgens in hoofdstuk 3 en hoofdstuk 4 besproken. Een overzicht van alle onderliggende website en email testen wordt in de bijlagen B en C gegeven. In hoofdstuk 5 worden de conclusies van dit onderzoek gegeven.
2. Methodebeschrijving
2.1 Statistische analyse van het gebruik van internetstandaarden voor websites van bedrijven
2.1.1 Enquête ‘ICT-gebruik bij bedrijven’
De domeinnamen die in dit onderzoek gebruikt worden, zijn verkregen uit de enquête ‘ICT-gebruik bij bedrijven’ (kort: de ICT-enquête). In deze jaarlijkse enquête onderzoekt het CBS het gebruik van informatie- en communicatietechnologie (ICT) door bedrijven. Er wordt op verschillende aspecten van ICT-gebruik ingegaan, zoals ‘ICT-veiligheid’, ‘ICT en personeel’ en ‘software- en hardwaregebruik’. De gegevens worden uiteindelijk uitgesplitst naar bedrijfsgrootteklasse en bedrijfstak gepubliceerd op Statline.
breakdown | 2023 (% van bedrijven) | 2022 (% van bedrijven) | 2021 (% van bedrijven) | 2020 (% van bedrijven) |
---|---|---|---|---|
2 of meer werkzame personen | 71 | 77 | 78 | 71 |
250 of meer werkzame personen | 93 | 98 | 97 | 96 |
50 tot 250 werkzame personen | 93 | 95 | 95 | 91 |
10 tot 50 werkzame personen | 87 | 92 | 92 | 83 |
2 tot 10 werkzame personen | 67 | 74 | 75 | 68 |
ZZP'ers | 34 | 47 |
breakdown | 2023 (% van bedrijven) | 2022 (% van bedrijven) | 2021 (% van bedrijven) | 2020 (% van bedrijven) |
---|---|---|---|---|
ICT-sector | 80 | 86 | 87 | 79 |
Gezondheids- en welzijnszorg | 82 | 89 | 90 | 88 |
Verhuur/overige zakelijke dnst. | 67 | 77 | 75 | 70 |
Special. zakelijke diensten | 73 | 79 | 77 | 72 |
Verhuur en handel van onr. goed | 52 | 55 | 60 | 51 |
Financiële dienstverlening | 59 | 74 | 82 | 62 |
Informatie en communicatie | 76 | 84 | 89 | 80 |
Horeca | 73 | 78 | 83 | 69 |
Vervoer en opslag | 48 | 53 | 52 | 54 |
Handel | 74 | 78 | 79 | 73 |
Bouwnijverheid | 60 | 68 | 71 | 57 |
Energie, water, afvalbeheer | 79 | 71 | 61 | 61 |
Industrie | 78 | 83 | 83 | 79 |
In de ICT-enquête wordt gevraagd of het bedrijf een website heeft. In figuur 2.1.1(a) is te zien dat in 2023 bijna drie op de vier (71 procent) van de bedrijven met twee of meer werknemers deze vraag positief beantwoordt. Dit is minder dan het jaar hiervoor; in 2022 gaf nog 77 procent van de bedrijven met 2 of meer werknemers aan een website te hebben. Grote bedrijven hebben vaker een eigen website hebben dan kleine bedrijven: in 2023 had van de bedrijven met 250 en meer werknemers 93 procent een website tegen 67 procent van de bedrijven met 2 tot 10 werknemers. Zzp’ers zijn pas recent toegevoegd en worden in dit onderzoek alleen bij de scans van 2022 en april 2023 meegenomen. Voor deze laatste twee jaren worden de websites van dezelfde ICT-enquête 2022 genomen; daarom wordt in figuur 2.1.1 alleen het jaar 2022 getoond. Daarnaast is de vraag over websites niet in de laatste enquête van 2023 opgenomen. De scans van december 2023 en april 2024 zijn op deze laatste enquete gebaseerd. Hierdoor kunnen we helaas voor de laatste scan geen gegevens over zzp’ers laten zien.
Aan bedrijven die aangeven een website te hebben, wordt in de ICT-enquête vervolgens gevraagd om de URL (Uniform Resource Locator oftewel het internetadres) van de website gevraagd. Als het bedrijf meerdere websites heeft, wordt gevraagd de URL van de website met de meeste bezoekers per dag op te geven (de hoofdwebsite). Op deze manier heeft een bedrijf altijd hooguit één website gekoppeld. De websites die op deze manier verkregen zijn, vormen de invoer van de veiligheidsscan van Internet.nl, de website-scantool van Platform Internetstandaarden.
Label | Scandatum | Enquêtejaar | Websitescan | E-mailscan |
---|---|---|---|---|
2020 | 2020-10-22 | 2020 | Ja | Nee |
2021 | 2022-03-31 | 2021 | Ja | Nee |
2022 | 2022-12-24 | 2022 | Ja | Nee |
2023/apr | 2023-04-06 | 2022 | Ja | Ja |
2023/dec | 2023-12-07 | 2023 | Ja | Ja |
2024 | 2024-04-03 | 2023 | Ja | Ja |
2.1.2 Websitescan bij Internet.nl
De websites die uit de ICT-enquête verkregen worden, zijn vervolgens met de API van Internet.nl gescand. Op deze manier is er per bedrijf met een website een score voor het gebruik van internetstandaarden van de website verkregen. Ook worden alle uitslagen van de onderliggende subtesten geleverd, zodat per internetstandaard bepaald kan worden of hier aan voldaan wordt. Doordat is gewerkt met een statistisch representatieve steekproef, kunnen ook de landelijke gemiddelden van de uitkomsten per bedrijfsgrootteklasse en bedrijfstak worden berekend.
De Internet.nl webtool kan zowel de website als de e-mail van een bedrijf testen op het gebruik van (veilige) internetstandaarden. De scan van de websites is zes keer gedaan op basis van vier verschillende steekproeven voor de jaren 2020, 2021, 2022, en 2023 (Zie Statline enquêtes CBS, 2020, 2021, 2022b, 2023a). De vierde scan is gedaan op basis van de steekproef van 2022, alleen zijn de websites nogmaals 5 maanden later gescand. Hetzelfde geldt voor de laatste scan in april 2024 die uitgevoerd is op de steekproef van het enquêtejaar 2023. De details van de scandata zijn in tabel 2.1.2 terug te vinden. Per scan is de steekproef van websites van het bijbehorende enquêtejaar gebruikt. De scans worden dan ook aangeduid met het jaar en maand dat de scan uitgevoerd is. Als er maar één scan in een jaar gebruikt is, dan wordt alleen het jaartal ter referentie gebruikt.
In figuren 2.1.3(a) en 2.1.3(b) worden de verdelingen van de bedrijfsgrootteklassen en bedrijfstakken voor de achtereenvolgende jaren gegeven. Merk op dat in 2022 voor het eerst ook zzp’ers aan de enquête deelnamen met de grootteklasse van één werkzame persoon. Voor de verdeling over de bedrijfstakken worden altijd alleen de bedrijven met twee of meer werkzame personen meegenomen. Dit geldt ook voor alle gepresenteerde statistieken voor de bedrijfstakken in dit rapport. Daarnaast wordt in figuur 2.1.3(b) de verdeling over de bedrijfstakken getoond. In de resultaten zullen we ook de uitkomsten voor de ICT-sector presenteren; hierbij moet wel opgemerkt worden dat dit een samengestelde bedrijfstak is.
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
250 of meer werkzame personen | 12,0982 | 12,0982 | 8,79851 | 9,68212 | 9,72719 | 12,7643 |
50 tot 250 werkzame personen | 31,5343 | 31,5343 | 25,3323 | 26,8411 | 25,682 | 32,3643 |
10 tot 50 werkzame personen | 28,6234 | 28,6234 | 24,8538 | 27,1656 | 25,8672 | 31,0782 |
2 tot 10 werkzame personen | 27,7441 | 27,7441 | 26,236 | 24,1258 | 22,0158 | 23,7932 |
ZZP`ers | 14,7794 | 12,1854 | 16,7078 |
sbi_digit1_statline | 2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 |
---|---|---|---|---|---|---|
Gezondheid en welzijnszorg | 8,08265 | 8,08265 | 8,68977 | 8,55651 | 8,03678 | 9,09091 |
Verhuur/Overige zakelijke dnst. | 10,5743 | 10,5743 | 11,2074 | 11,0137 | 11,4766 | 11,567 |
Special. zakelijke dienstver. | 14,4941 | 14,4941 | 14,2393 | 13,9529 | 13,9971 | 14,4942 |
Verhuur/Handel onr.goed | 1,5193 | 1,5193 | 2,3281 | 2,00857 | 2,26406 | 1,29112 |
Financiële dienstverlening | 1,76238 | 1,76238 | 1,78668 | 2,1023 | 2,43918 | 1,7775 |
Informatie/Communicatie | 10,787 | 10,787 | 11,5051 | 9,33315 | 9,39396 | 8,95826 |
Horeca | 3,8894 | 3,8894 | 3,70872 | 3,7962 | 4,48433 | 3,29855 |
Vervoer/Opslag | 5,65178 | 5,65178 | 4,76448 | 5,64408 | 5,49753 | 6,20799 |
Handel | 18,2619 | 18,2619 | 16,1613 | 16,9189 | 15,7733 | 17,2886 |
Bouwnijverheid | 4,9529 | 4,9529 | 4,25014 | 4,86743 | 4,75327 | 4,93456 |
Energie/Water/Afval | 1,76238 | 1,76238 | 1,62426 | 1,57338 | 1,53856 | 1,40608 |
Industrie | 18,2619 | 18,2619 | 19,7347 | 20,233 | 20,3452 | 19,6852 |
2.1.3 Ophoging van de eindscore
Zoals gezegd wordt per domeinnaam een eindscore bepaald met de scanmethodiek van Internet.nl die weergeeft hoe goed de website van het bedrijf internetstandaarden toepast. Deze eindscore wordt berekend met subtesten die opgedeeld zijn naar de vijf categorieën die in paragraaf 1.2 gegeven zijn. Doordat de websites uit een representatie steekproef verkregen zijn, is het mogelijk om de gemiddelde score van de testuitslag per bedrijfsgrootteklasse en bedrijfstak te berekenen. Hiertoe wordt het gewogen gemiddelde met weegfactoren berekend, waarbij de weegfactor verkregen wordt door per bedrijfsgrootteklasse en bedrijfstak het aantal bedrijven in de populatie te delen door het aantal bedrijven in de steekproef. De uiteindelijk grootteklassen en bedrijfstakken die in dit rapport worden gebruikt, zijn opgenomen in tabel A.1.1 en tabel A.1.2.
2.2 Verdeling van de website over de verschillende domeinextensies
.nl (% van bedrijven met website) | .com (% van bedrijven met website) | .eu (% van bedrijven met website) | overig (% van bedrijven met website) | |
---|---|---|---|---|
2 of meer werkzame personen | 80,8431 | 12,7231 | 2,26492 | 4,16888 |
250 of meer werkzame personen | 68,4236 | 26,2129 | 3,04846 | 2,31498 |
50 tot 250 werkzame personen | 61,7555 | 30,8483 | 3,52153 | 3,87476 |
10 tot 50 werkzame personen | 76,134 | 17,0845 | 3,39254 | 3,38893 |
2 tot 10 werkzame personen | 82,8391 | 10,8293 | 1,97001 | 4,3616 |
.nl (% van bedrijven met website) | .com (% van bedrijven met website) | .eu (% van bedrijven met website) | overig (% van bedrijven met website) | |
---|---|---|---|---|
ICT-sector | 61,2583 | 22,8363 | 3,33065 | 12,5747 |
Gezondheid en welzijnszorg | 96,2555 | 2,87609 | 0,369619 | 0,498759 |
Verhuur/Overige zakelijke dnst. | 83,5798 | 10,9931 | 2,4682 | 2,95888 |
Special. zakelijke dienstver. | 76,5435 | 16,797 | 1,69533 | 4,96412 |
Verhuur/Handel onr.goed | 89,0017 | 10,3039 | 0 | 0,694368 |
Financiële dienstverlening | 81,6786 | 14,9766 | 3,34479 | 0 |
Informatie/Communicatie | 62,075 | 22,2857 | 2,57777 | 13,0616 |
Horeca | 90,7934 | 5,87544 | 0,60029 | 2,73086 |
Vervoer/Opslag | 61,6299 | 19,2881 | 8,19713 | 10,8848 |
Handel | 81,9774 | 10,428 | 3,94469 | 3,64995 |
Bouwnijverheid | 83,2146 | 13,6339 | 0,515666 | 2,6359 |
Energie/Water/Afval | 75,5772 | 16,185 | 0 | 8,23784 |
Industrie | 76,4749 | 21,2584 | 1,21686 | 1,04987 |
In de figuren 2.2.1(a) en 2.2.1(b) wordt per bedrijfsgrootteklasse en bedrijfstak de verdeling getoond van de domeinextensies over de meeste voorkomende extensies: .nl, .com en .eu. De figuur is gebaseerd op de websites verkregen uit de ICT-bedrijven enquête van het jaar 2023. Alle overige extensies zijn in één categorie overig samengenomen. Deze verdeling geeft dus de verdeling van de domeinextensies van de hoofdwebsite van bedrijven. Veel bedrijven hebben meerdere websites, dus de verdeling van alle websites bij elkaar genomen kan verschillen.
De verdeling per bedrijfsgrootteklasse getoond in figuur 2.2.1(a), toont aan dat .nl de meest voorkomende domeinextensie (of top level domain/tld) is: ruim 80 procent van de bedrijven met website met twee of meer werknemers heeft .nl als domeinextensie voor de hoofdwebsite. Ook is te zien dat .nl vaker voorkomt voor kleinere bedrijven, terwijl grote bedrijven met vijftig werknemers of meer relatief wat vaker .com als domeinextensie opgeven. Toch geeft ook van deze groep minimaal 62 procent van de bedrijven aan .nl als domeinextensie te hebben.
Naast .nl wordt ook .com vaak opgegeven als domeinnaamextensie: tot zo’n 30 procent van de bedrijven met 50 tot 250 werknemers[voetnoot: Zzp’ers zijn niet in de laatste scan’s meegenomen omdat de vraag over de websites niet aan zzp’ers gevraagd is, zodat we ook geen websites van zzp’ers hebben om te scannen. ]. De domeinextensie .eu heeft als derde nog een klein aandeel. Daarna zijn er nog veel domeinextensies (meer dan 70 verschillenden) die met zijn allen niet meer dan 4 procent van het totaal uitmaken. Deze domeinextensies worden met de categorie overig aangeduid.
Figuur 2.2.1(b) toont tenslotte de verdeling van domeinnaamextensies per bedrijfstak voor alle bedrijven met website met twee of meer werknemers. Het gebruik van de domeinextensie .nl ligt rond de 80 procent voor alle bedrijfstakken, waarbij de ‘Gezondheid en welzijnszorg’ met ruim 96 procent van de bedrijven relatief vaker .nl gebruikt, terwijl de ‘ICT-Sector’ met 61 procent van de bedrijven relatief minder .nl gebruikt.
2.3 Enkele internetstandaarden van alle .nl-websites volgens SIDN
In dit rapport wordt het gebruik van (veilige) internetstandaarden bij websites van bedrijven in kaart gebracht. Uitgesplitst naar bedrijfsgrootte en bedrijfstak wordt gepresenteerd welk percentage van bedrijven volgens Internet.nl de internetstandaarden correct toepast voor hun website. Per bedrijf wordt altijd hooguit één website gekoppeld zoals deze in de ICT-enquête door het bedrijf zelf ingevuld is. Er wordt gevraagd naar de website met gemiddeld de meeste bezoekers per dag, hier aangeduid als de hoofdwebsite van het bedrijf. In dit rapport wordt dus de bedrijfseenheid als statistische eenheid gebruikt.
De Stichting Internet Domeinregistratie Nederland (SIDN, 2024) rapporteert op hun dashboard (SIDN Lab, 2024) de tijdseries van een aantal internetstandaarden van alle websites met een .nl domeinextensie. In de rapportage van de SIDN is de website zelf de statistische eenheid: per internetstandaard wordt gerapporteerd welk percentage van alle websites met een .nl-domeinextensie deze standaard toepast. Door het verschil in statistische eenheid kunnen de cijfers in dit rapport dus niet direct vergeleken worden met de percentages van bedrijven die de veiligheidskenmerken toepast. Toch is het zinnig om enkele kenmerken naast elkaar te leggen zodat we kunnen zien of de trends in ieder geval ongeveer hetzelfde zijn.
Figuur 2.3.1 laat de ontwikkeling van vijf veiligheidskenmerken zien als percentage van alle websites met een .nl-domeinnaam zoals gemeten door het SIDN. Het gaat om de volgende kenmerken:
-
DNSSEC Percentage van alle .nl-websites dat is beveiligd met DNSSEC.
-
IPv6 Percentage van alle .nl-websites dat bereikbaar is via IPv6.
-
TLS Percentage van alle .nl-websites waarbij de verbinding tussen de webserver en gebruiker met TLS versleuteld is.
-
HSTS Percentage van alle .nl-websites met een HTTP Strict-Transport-Security HTTP-header (HSTS) waarmee ze browser laten weten dat de website alleen met HTTPS benaderd dient te worden.
-
RPKI Percentage van alle .nl-websites dat Autorisatie voor routering gebruikt. Hiermee kunnen netwerkbeheerders valideren of een gepubliceerde route tussen netwerken geldig is.
DNSSEC (% van .nl-domeinnamen) | IPv6 (% van .nl-domeinnamen) | TLS (% van .nl-domeinnamen) | HSTS (% van .nl-domeinnamen) | RPKI (% van .nl-domeinnamen) | |
---|---|---|---|---|---|
jan '19 | 53,5 | 39,7 | 31,1 | ||
feb '19 | 53,8 | 39,2 | 30,4 | ||
mrt '19 | 54,1 | 39,5 | 31,1 | ||
apr '19 | 54,2 | 40,0 | 31,8 | ||
mei '19 | 54,3 | 40,5 | 32,4 | ||
jun '19 | 54,5 | 40,6 | 32,6 | ||
jul '19 | 54,4 | 41,0 | 33,4 | ||
aug '19 | 54,4 | 41,2 | 33,9 | ||
sep '19 | 54,5 | 41,4 | 34,2 | ||
okt '19 | 54,6 | 42,0 | 34,6 | ||
nov '19 | 54,6 | 42,5 | 35,8 | ||
dec '19 | 54,7 | 42,7 | 36,5 | ||
jan '20 | 54,8 | 43,1 | 36,4 | 8,5 | |
feb '20 | 54,9 | 43,5 | 36,8 | 8,7 | |
mrt '20 | 55,0 | 43,7 | 37,7 | 8,8 | |
apr '20 | 55,2 | 44,0 | 38,6 | 9,2 | |
mei '20 | 55,4 | 44,5 | 38,8 | 9,3 | |
jun '20 | 55,4 | 46,7 | 39,4 | 10,0 | |
jul '20 | 55,6 | 47,0 | 39,8 | 10,1 | |
aug '20 | 55,5 | 47,1 | 40,0 | 9,7 | |
sep '20 | 55,5 | 47,2 | 40,1 | 9,6 | |
okt '20 | 55,5 | 47,5 | 40,5 | 9,7 | |
nov '20 | 55,4 | 47,8 | 40,8 | 9,9 | |
dec '20 | 55,7 | 48,2 | 41,2 | 10,0 | 49,9 |
jan '21 | 56,0 | 48,8 | 41,4 | 10,8 | 50,1 |
feb '21 | 56,2 | 49,0 | 41,9 | 11,7 | 50,1 |
mrt '21 | 56,2 | 45,9 | 46,3 | 11,0 | 51,2 |
apr '21 | 56,4 | 50,1 | 43,4 | 12,0 | 52,1 |
mei '21 | 56,2 | 49,9 | 43,7 | 11,4 | 53,7 |
jun '21 | 56,1 | 50,3 | 43,4 | 12,1 | 53,0 |
jul '21 | 56,1 | 50,4 | 43,9 | 12,3 | 54,0 |
aug '21 | 56,6 | 45,8 | 44,1 | 12,5 | 53,4 |
sep '21 | 57,0 | 50,5 | 43,8 | 13,0 | 58,9 |
okt '21 | 57,1 | 50,7 | 44,0 | 12,7 | 62,6 |
nov '21 | 57,1 | 50,5 | 44,3 | 13,2 | 59,9 |
dec '21 | 57,0 | 51,0 | 44,5 | 13,1 | 59,3 |
jan '22 | 57,1 | 49,0 | 45,1 | 13,2 | 58,2 |
feb '22 | 57,3 | 46,0 | 48,9 | 14,1 | 57,4 |
mrt '22 | 57,4 | 45,3 | 46,7 | 14,3 | 58,5 |
apr '22 | 57,3 | 46,6 | 45,8 | 15,9 | 58,5 |
mei '22 | 57,4 | 46,8 | 46,4 | 16,2 | 58,5 |
jun '22 | 57,4 | 50,8 | 43,3 | 15,3 | 58,5 |
jul '22 | 57,6 | 51,0 | 43,0 | 15,1 | 58,5 |
aug '22 | 57,8 | 47,1 | 43,4 | 15,0 | 79,0 |
sep '22 | 57,8 | 45,8 | 44,5 | 15,6 | 79,0 |
okt '22 | 57,8 | 46,4 | 43,5 | 15,4 | 79,0 |
nov '22 | 57,9 | 51,4 | 43,6 | 15,5 | 78,0 |
dec '22 | 57,9 | 51,6 | 44,4 | 15,7 | 80,2 |
jan '23 | 58,4 | 51,5 | 44,3 | 15,7 | 81,3 |
feb '23 | 58,4 | 51,5 | 44,0 | 15,9 | 81,0 |
mrt '23 | 58,3 | 51,8 | 44,5 | 15,7 | 81,5 |
apr '23 | 58,3 | 51,7 | 44,9 | 15,6 | 81,3 |
mei '23 | 58,3 | 51,7 | 44,8 | 15,5 | 81,4 |
jun '23 | 58,4 | 50,7 | 45,9 | 16,0 | 80,8 |
jul '23 | 59,3 | 52,2 | 45,1 | 15,9 | 83,9 |
aug '23 | 60,0 | 52,2 | 45,7 | 16,0 | 83,9 |
sep '23 | 60,6 | 52,7 | 45,7 | 16,1 | 84,0 |
okt '23 | 61,0 | 52,7 | 46,0 | 16,2 | 84,0 |
nov '23 | 61,6 | 52,9 | 46,3 | 15,9 | 84,3 |
dec '23 | 61,7 | 53,3 | 46,5 | 16,1 | 84,4 |
jan '24 | 61,7 | 53,3 | 47,0 | 16,2 | 84,5 |
Bron: SIDN, 2022 |
De grafieken op het dashboard van SIDN tonen aan dat een steeds groter wordend aandeel van de .nl-websites de internetstandaarden correct toepast. In dit rapport kunnen we deze trend vergelijken met het toepassen van veiligheidsstandaarden per bedrijfsgrootteklasse en bedrijfstak. Voor de scans in dit rapport zijn alle domeinextensies meegenomen zijn, niet alleen .nl-websites. In paragraaf 2.2 is aangetoond dat rond de 80 procent van de hoofdwebsite bij bedrijven een .nl-website is. Toch zijn de uitkomsten in dit rapport niet direct te vergelijken met de cijfers gepresenteerd bij SIDN, omdat in dit rapport alleen de hoofdwebsite van ieder bedrijf genomen wordt, terwijl bedrijven best meerdere websites kunnen hebben. Daarnaast worden bij SIDN alle .nl-websites meegenomen, ook websites die geen eigendom zijn van een bedrijf, maar bijvoorbeeld eigendom zijn van particulieren of domain resellers. Direct vergelijken is dus niet mogelijk, maar we kunnen wel trends naast elkaar leggen.
3. Resultaten websitescans
3.1 Introductie
Met de websitescan van Internet.nl wordt getest of websites, mailservers en internetverbindingen aan de moderne internetstandaarden voldoen. In dit hoofdstuk worden de resultaten van de websitescan van de websites van bedrijven besproken om zo per bedrijfsgrootteklasse en bedrijfstak in kaart te brengen welk percentage bedrijven de juiste internetstandaarden toepast. De resultaten van de e-mailscan worden in het volgende hoofdstuk besproken.
De website-analyse van Internet.nl bevat vijf categorieën:
-
IPv6: bereikbaarheid via een modern internetadres.
-
DNSSEC: gebruik van een ondertekende domeinnaam.
-
HTTPS: gebruik van een beveiligde verbinding.
-
Beveiligingsopties: gebruik van ingestelde Applicatie-beveiligingsopties.
-
RPKI: Autorisatie voor routering
De laatste categorie is pas in 2022 toegevoegd. De score per categorie wordt bepaald met verschillende losse subtesten die binnen de categorie vallen. In dit hoofdstuk worden de resultaten per categorie gepresenteerd; in Appendix B worden de resultaten van alle onderliggende subtesten gegeven die per categorie uitgevoerd zijn. Een overzicht van de vijf categorieën met de bijbehorende subtesten kan in Tabel A.2.1 gevonden worden.
In sectie 3.2 wordt eerst naar de gemiddelde Internet.nl-eindscores en de gemiddelde scores per categorie per bedrijfsgrootteklasse en bedrijfstak gekeken. Daarna wordt in paragraaf 3.3 nog de verdeling van alle eindscores laten zien.
3.2 Resultaten van Internet.nl per bedrijfsgrootteklasse en -tak
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
2 of meer werkzame personen | 65,4962 | 64,7957 | 65,128 | 64,2967 | 62,9902 | 60,2582 |
250 of meer werkzame personen | 67,177 | 66,1217 | 63,8731 | 65,5517 | 63,9056 | 59,1599 |
50 tot 250 werkzame personen | 65,9197 | 65,2085 | 63,3331 | 63,4316 | 61,6097 | 57,9416 |
10 tot 50 werkzame personen | 65,0928 | 64,594 | 64,6896 | 63,9189 | 62,8176 | 59,21 |
2 tot 10 werkzame personen | 65,5368 | 64,8005 | 65,3006 | 64,413 | 63,093 | 60,751 |
ZZP`ers | 66,4535 | 65,9663 | 65,9119 |
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
ICT-sector | 66,5489 | 65,2448 | 72,1893 | 67,4429 | 64,5944 | 61,4255 |
Gezondheid en welzijnszorg | 69,0775 | 68,8349 | 63,1516 | 64,6749 | 65,0333 | 62,7654 |
Verhuur/Overige zakelijke dnst. | 65,7952 | 66,1478 | 68,6571 | 65,1739 | 66,5899 | 62,8383 |
Special. zakelijke dienstver. | 67,494 | 65,7712 | 66,1916 | 68,1523 | 67,4131 | 60,8665 |
Verhuur/Handel onr.goed | 61,5673 | 60,8581 | 62,2589 | 63,4953 | 59,3655 | 58,7703 |
Financiële dienstverlening | 75,5254 | 75,5554 | 60,8485 | 67,0038 | 61,0665 | 57,4777 |
Informatie/Communicatie | 67,2441 | 66,0296 | 70,3639 | 67,9954 | 64,8884 | 61,3975 |
Horeca | 70,7858 | 67,9595 | 71,0632 | 62,8369 | 60,235 | 63,2981 |
Vervoer/Opslag | 67,904 | 66,7983 | 64,9701 | 62,7863 | 65,1802 | 57,0039 |
Handel | 61,8528 | 62,0079 | 64,0296 | 63,093 | 63,2257 | 59,2627 |
Bouwnijverheid | 62,5624 | 62,5417 | 64,9052 | 64,449 | 64,7454 | 57,3998 |
Energie/Water/Afval | 63,9033 | 63,7289 | 57,1559 | 61,49 | 63,4786 | 56,9504 |
Industrie | 64,2602 | 64,4739 | 63,8694 | 62,8844 | 62,0358 | 57,4035 |
3.2.1 Eindscore niet afhankelijk van bedrijfsgrootte, wel van bedrijfstak
In figuren 3.2.1(a) en 3.2.1(b) wordt per bedrijfsgrootteklasse en bedrijfstak voor de jaren 2020 tot en met april 2024 de eindscores van de websites van bedrijven in Nederland getoond zoals die door de scan met Internet.nl bepaald zijn. De gemiddelde eindscore per bedrijfsgrootte (figuur 3.2.1(a)) is per jaar voor alle bedrijfsgrootteklassen ongeveer gelijk en neemt met de tijd gestaag toe. Zo stijgt de gemiddelde Internet.nl-eindscore voor alle bedrijven met website met 2 of meer werknemers van 60,3 procent in 2020 naar 65,5 procent in april 2024; een absolute stijging van 5,2 procentpunten en een relatieve stijging van 8,6 procent in april 2024 ten opzichte van 2020. Voor bedrijven met website met 250 of meer werknemers was de Internet.nl-eindscore in 2020 nog 59,2 procent, terwijl dat in 2024 tot 67,2 procent is toegenomen. Deze toename van de eindscore is in dezelfde mate te zien voor de andere bedrijfsgrootteklassen. De zzp’ers zijn pas in 2022 toegevoegd, dus hiervoor zijn nog maar 2 waardes beschikbaar[voetnoot: De scan in april 2023 vond 5 maanden later plaatst dan de scan in 2022; voor de scans van december 2023 en april 2024 was er geen scandata beschikbaar voor zzp’ers, omdat de vraag over websites niet in de enquête van 2023 gevraagd is. Voor de nu lopende enquête van 2024 is de vraag voor zzp’ers wel weer toegevoegd.].
In de Cybersecuritymonitor (CBS, 2022a) wordt geconstateerd dat kleine bedrijven vaak minder maatregelen treffen dan grote bedrijven om hun ICT-systemen te beveiligen, maar bij het toepassen van internetstandaarden valt het op dat kleine bedrijven het even goed, zo niet beter, doen dan grote bedrijven. Een verklaring zou kunnen zijn dat kleine bedrijven vaker ICT-specialisten inhuren om hun website te bouwen en dat hierbij nieuwere standaarden worden gebruikt. Grote bedrijven hebben mogelijk vaker een website die al wat langer geleden ontwikkeld is in een tijd dat er nog minder aandacht was voor standaarden en dat deze later ook niet alsnog zijn toegepast bij onderhoudswerkzaamheden.
Figuur 3.2.1(b) toont de gemiddelde eindscore per bedrijfstak voor de jaren 2020 tot en met april 2024. In april 2024 varieerde de gemiddelde eindscore van 61,6 procent voor de bedrijfstak ‘Verhuur en handel van onroerend goed’ tot 75,5 procent voor de Financiële dienstverlening. Daarnaast is te zien dat de totale eindscore voor alle bedrijfstakken tussen 2020 en april 2024 gestegen is, met stijgingen van een paar procentpunt voor bijvoorbeeld de Handel tot ruim achttien procentpunt voor de Financiële dienstverlening. De Financiële dienstverlening heeft met name het afgelopen jaar relatief veel aandacht besteed aan het implementeren van veiligheidsstandaarden voor hun website. Opvallend is verder dat de eindscore van de ICT-sector in april 2024 is gedaald ten opzichte van april 2023: van 72,2 procent naar 66,5 procent. Naast de ICT-sector vertonen ook andere sectoren tussen april en december 2023 een daling in de eindscore. In de volgende paragraaf wordt aangetoond dat deze daling met name komt door de daling in bedrijven die slagen voor de categorie IPv6.
3.2.2 Uitkomsten Internet.nl-websitescan per categorie
De eindscore per categorie wordt samengesteld uit de onderliggende testen zoals in tabel A.2.1 gegeven is. Deze testen zijn in vijf categorieën opgedeeld: IPv6, DNSSEC, HTTPS, Beveiligingsopties en RPKI. Als een bedrijf binnen een categorie aan voldoende testen voldoet, zal de categorie door de Internet.nl-scan met ‘geslaagd’ aangeduid worden. In de figuren 3.2.2, 3.2.3, 3.2.4, 3.2.5 en 3.2.6 wordt voor de vijf categorieën het percentage van geslaagde bedrijven per bedrijfsgrootteklasse en bedrijfstak getoond. Terwijl de eindscores weinig per bedrijfsgrootteklasse en bedrijfstak variëren, is nu te zien dat er wel aanzienlijke verschillen per categorie zijn. Deze verschillen worden hier onder besproken.
De uitslag van een categorie wordt bepaald aan de hand van de uitkomsten van de onderliggende testen die door een scan van Internet.nl uitgevoerd wordt. De uitkomsten van alle onderliggende testen worden in de appendix B gegeven in de figuren B.1.1 tot en met B.5.4. In deze figuren is terug te vinden voor welke testen de verschillen tussen de verschillende bedrijfsgrootteklassen ontstaan. Hieronder worden de resultaten per categorie besproken en waar nodig naar de belangrijkste subtesten verwezen.
Categorie IPv6
De categorie IPv6 geeft aan in hoeverre een website bereikbaar is via een modern internetadres. Figuur 3.2.2(a) laat zien dat in april 2024 kleine bedrijven met twee tot tien werknemers bijna 50 procent vaker slagen voor de categorie IPv6 dan grote bedrijven met 250 of meer werknemers (respectievelijke 32,1 en 22,9 procent). Deze verhouding in is in april 2024 wel minder scheef geworden omdat er voor de grote bedrijven met 250 of meer werknemers een lichte stijging van het percentage geslaagde bedrijven te zien is, terwijl dit percentage voor kleine bedrijven juist gedaald is.
Dat kleine bedrijven vaker voor de categorie IPv6 slagen dan grote bedrijven komt wellicht doordat kleine bedrijven de website vaker bij externe providers hosten die meestal moderne netwerkinstellingen hebben. Grote bedrijven draaien de website vaker op hun eigen servers die niet altijd up-to-date zijn. Het ontbreken van ondersteuning van IPv6 brengt niet direct een veiligheidsrisico met zich mee, dus voor veel grote bedrijven is er minder aanleiding om hun servers aan te passen om IPv6 te gaan ondersteunen.
De uitsplitsing van de categorie IPv6 naar bedrijfstak getoond in figuur 3.2.2(b) laat zien dat de bedrijfstakken ‘Financiële dienstverlening’ en bedrijfstak ‘Vervoer/Opslag’ het ondersteunen van IPv6 goed op orde hebben. De scan van 2024 toont voor de Financiële dienstverlening ook een sterke toename van het percentage van bedrijven dat slaagt voor de categorie IPv6: waar in april 2023 nog gemiddeld 26,3 procent van bedrijven uit de Financiële dienstverlening bedrijven slaagde voor deze categorie, is dat in april 2024 toegenomen tot 47,0 procent.
Opvallend is dat in de scans van december 2023 en april 2024, een aantal bedrijfstakken juist een sterke daling laten zien op de categorie IPv6, met name de sectoren die daar in april 2023 nog vrij hoog in scoorden, zoals de ‘ICT-sector’ (daalde van 55,8% in april, 2023 naar 30.3% in april, 2024) en de ‘Gezondheid en welzijnszorg’ (daalde van 39,1% in april, 2023 naar 30,6% in april, 2024). Om bij Internet.nl te slagen voor categorie IPv6, moeten aan meer onderliggende testen voldaan worden. Deze uitslagen worden in appendix B gegeven. Het is te zien dat de daling van de categorie IPv6 voor de ICT-sector met name komt door de daling van de onderliggende testen van de adressen en bereikbaarheid van de webserver met IPv6 (respectievelijk figuren B.1.3 en B.1.4) en de test op gelijke website op IPv4 en IPv6, te zien in figuur B.1.5.
Categorie DNSSEC
De categorie DNSSEC geeft aan of een website met een geldige handtekening ondertekend is. In 2020 scoorden kleine bedrijven nog het beste op deze categorie, maar in figuur 3.2.3(a) is te zien dat de verschillen kleiner geworden zijn: in april 2024 slaagde gemiddeld 52,8 procent van de bedrijven met website met twee of meer werknemers voor de categorie DNSSEC (dit was in 2020 nog 44 procent). De bedrijven met een website met 50 tot 250 werknemers zitten daar het meest onder: 47,8 procent slaagt in 2024 voor de categorie DNSSEC. Bedrijven met 2 tot 10 werknemers score het hoogst voor deze categorie: bijna 54 procent van deze bedrijven heeft in 2024 een website met een geldige handtekening.
De categorie wordt in het geval van DNSSEC bepaald door maar twee onderliggende testen: DNSSEC aanwezig (figuur B.2.1) en DNSSEC geldig (figuur B.2.2) en daarom is te zien dat de scoreverdeling van de categorie DNSSEC bijna identiek is aan de onderliggende testen. Volgens SIDN Lab (2024) heeft begin 2024 ongeveer 62 procent van alle .nl-websites een geldige DNSSEC handtekening (zie figuur 2.3.1). In 2020 was dit nog ongeveer 55 procent. Alhoewel het gemiddelde van alle bedrijven met een website onder deze waarde ligt, komt de stijgende trend tussen beide cijfers wel overeen.
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
2 of meer werkzame personen | 31,1368 | 30,4065 | 34,641 | 31,9506 | 29,7081 | 25,393 |
250 of meer werkzame personen | 22,8542 | 21,3232 | 16,4838 | 20,9529 | 18,0369 | 12,3905 |
50 tot 250 werkzame personen | 25,8207 | 24,2713 | 20,7219 | 22,9646 | 19,8815 | 15,1657 |
10 tot 50 werkzame personen | 27,9139 | 27,1986 | 26,5516 | 25,5438 | 24,6642 | 18,9439 |
2 tot 10 werkzame personen | 32,1344 | 31,4494 | 36,9671 | 34,0546 | 31,6145 | 28,2569 |
ZZP`ers | 43,4975 | 40,8151 | 39,9819 |
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
ICT-sector | 30,3174 | 30,3345 | 55,8133 | 45,124 | 41,065 | 22,8027 |
Gezondheid en welzijnszorg | 30,6295 | 27,9922 | 39,13 | 40,0594 | 42,5556 | 24,9398 |
Verhuur/Overige zakelijke dnst. | 37,5711 | 35,3926 | 40,6353 | 33,558 | 35,6839 | 27,0427 |
Special. zakelijke dienstver. | 35,3707 | 30,3135 | 39,1126 | 40,3001 | 38,1949 | 26,2157 |
Verhuur/Handel onr.goed | 27,7399 | 21,885 | 28,1165 | 27,3773 | 24,4744 | 14,5592 |
Financiële dienstverlening | 47,0478 | 47,0478 | 26,2743 | 34,6772 | 24,7895 | 18,1362 |
Informatie/Communicatie | 31,0577 | 31,3913 | 51,8101 | 48,2392 | 43,0373 | 24,1336 |
Horeca | 35,4547 | 35,9503 | 44,4584 | 32,6863 | 30,6833 | 32,6042 |
Vervoer/Opslag | 46,3211 | 43,9999 | 38,5604 | 33,1343 | 32,953 | 24,0674 |
Handel | 26,4536 | 27,9732 | 38,7962 | 32,4507 | 31,5067 | 25,8583 |
Bouwnijverheid | 25,9269 | 25,2208 | 36,0069 | 36,4181 | 33,9742 | 22,0922 |
Energie/Water/Afval | 13,8569 | 13,8569 | 27,3082 | 25,0302 | 27,6936 | 20,963 |
Industrie | 30,4574 | 31,3996 | 33,7628 | 32,8964 | 30,8405 | 21,2921 |
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
2 of meer werkzame personen | 52,8314 | 51,8757 | 50,963 | 47,9782 | 45,6796 | 43,9233 |
250 of meer werkzame personen | 52,0924 | 50,6003 | 50,9041 | 48,346 | 44,7446 | 38,1722 |
50 tot 250 werkzame personen | 47,8294 | 46,8702 | 46,5698 | 43,0982 | 39,9097 | 34,2747 |
10 tot 50 werkzame personen | 48,8587 | 48,7734 | 50,3604 | 47,3984 | 43,8491 | 40,8919 |
2 tot 10 werkzame personen | 53,873 | 52,7495 | 51,2629 | 48,3623 | 46,4433 | 45,6129 |
ZZP`ers | 50,349 | 50,6122 | 49,6503 |
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
ICT-sector | 53,9443 | 50,3575 | 54,5282 | 48,4681 | 41,9287 | 43,0455 |
Gezondheid en welzijnszorg | 65,2348 | 65,7754 | 47,4215 | 47,1331 | 43,6227 | 51,9444 |
Verhuur/Overige zakelijke dnst. | 49,0817 | 50,2327 | 55,2302 | 53,1857 | 52,9403 | 50,1073 |
Special. zakelijke dienstver. | 52,7898 | 52,5746 | 53,1967 | 56,0236 | 52,7512 | 43,605 |
Verhuur/Handel onr.goed | 53,2536 | 53,2536 | 48,2305 | 49,354 | 38,6038 | 44,007 |
Financiële dienstverlening | 74,9107 | 74,9107 | 37,2953 | 52,0617 | 41,1511 | 39,5949 |
Informatie/Communicatie | 56,0199 | 52,6003 | 54,0161 | 48,1034 | 42,3525 | 41,4371 |
Horeca | 64,8772 | 62,4052 | 59,0523 | 45,2847 | 42,6141 | 49,2101 |
Vervoer/Opslag | 50,0002 | 49,8296 | 50,1226 | 47,377 | 48,4023 | 37,3712 |
Handel | 47,3739 | 45,7905 | 44,6932 | 44,9957 | 46,0813 | 40,4723 |
Bouwnijverheid | 49,4782 | 49,8097 | 49,2123 | 49,3429 | 55,0566 | 45,9399 |
Energie/Water/Afval | 50,9661 | 50,9661 | 41,9486 | 44,4196 | 45,7458 | 40,0739 |
Industrie | 45,2082 | 45,622 | 50,4318 | 46,0433 | 43,4521 | 37,7173 |
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
2 of meer werkzame personen | 7,33802 | 6,7153 | 5,46277 | 5,92409 | 6,08616 | 4,34458 |
250 of meer werkzame personen | 20,5099 | 20,4334 | 13,9712 | 23,3806 | 22,1679 | 12,658 |
50 tot 250 werkzame personen | 13,4972 | 11,9921 | 9,12081 | 13,921 | 13,5611 | 8,02086 |
10 tot 50 werkzame personen | 7,65596 | 7,71806 | 6,57195 | 8,6842 | 8,65554 | 5,02247 |
2 tot 10 werkzame personen | 6,82381 | 6,09883 | 5,00495 | 4,63458 | 4,8375 | 3,71785 |
ZZP`ers | 2,55251 | 3,87557 | 5,13915 |
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
ICT-sector | 15,8239 | 15,5099 | 8,53787 | 9,55232 | 9,60317 | 6,34847 |
Gezondheid en welzijnszorg | 9,96923 | 9,92653 | 1,29662 | 3,11085 | 3,91514 | 4,4083 |
Verhuur/Overige zakelijke dnst. | 7,59297 | 7,39464 | 6,3778 | 3,42675 | 4,90795 | 2,86851 |
Special. zakelijke dienstver. | 6,42531 | 6,23841 | 2,35581 | 4,2114 | 4,1691 | 4,8188 |
Verhuur/Handel onr.goed | 11,055 | 10,5491 | 11,3445 | 12,6037 | 14,2252 | 18,2763 |
Financiële dienstverlening | 4,04206 | 3,4317 | 1,05937 | 6,81139 | 6,53785 | 10,2235 |
Informatie/Communicatie | 16,5009 | 15,9865 | 7,11733 | 7,95705 | 7,96544 | 4,963 |
Horeca | 8,12906 | 8,1476 | 9,74498 | 3,38954 | 4,71103 | 4,93001 |
Vervoer/Opslag | 4,14356 | 4,89372 | 0,947547 | 4,42484 | 7,04909 | 3,39566 |
Handel | 4,80453 | 2,87683 | 3,03296 | 3,48968 | 5,56898 | 4,00606 |
Bouwnijverheid | 2,64195 | 2,85526 | 0,563446 | 6,85113 | 8,14387 | 1,17948 |
Energie/Water/Afval | 2,49655 | 4,26925 | 8,37479 | 8,52636 | 9,73622 | 5,16411 |
Industrie | 9,84726 | 10,0344 | 3,56154 | 5,41247 | 4,68685 | 4,35645 |
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
2 of meer werkzame personen | 0 | 0 | 0 | 0 | 0,000938503 | 2,80694 |
250 of meer werkzame personen | 0 | 0 | 0 | 0 | 0,0861677 | 10,1737 |
50 tot 250 werkzame personen | 0 | 0 | 0 | 0 | 0 | 6,6356 |
10 tot 50 werkzame personen | 0 | 0 | 0 | 0 | 0 | 3,29127 |
2 tot 10 werkzame personen | 0 | 0 | 0 | 0 | 0 | 2,24391 |
ZZP`ers | 0 | 0 | 0 |
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
ICT-sector | 0 | 0 | 0 | 0 | 0 | 5,49211 |
Gezondheid en welzijnszorg | 0 | 0 | 0 | 0 | 0,00319347 | 3,31918 |
Verhuur/Overige zakelijke dnst. | 0 | 0 | 0 | 0 | 0 | 1,80056 |
Special. zakelijke dienstver. | 0 | 0 | 0 | 0 | 0 | 2,78655 |
Verhuur/Handel onr.goed | 0 | 0 | 0 | 0 | 0 | 3,06604 |
Financiële dienstverlening | 0 | 0 | 0 | 0 | 0 | 5,67106 |
Informatie/Communicatie | 0 | 0 | 0 | 0 | 0 | 4,43054 |
Horeca | 0 | 0 | 0 | 0 | 0 | 1,49802 |
Vervoer/Opslag | 0 | 0 | 0 | 0 | 0 | 2,73867 |
Handel | 0 | 0 | 0 | 0 | 0 | 3,22134 |
Bouwnijverheid | 0 | 0 | 0 | 0 | 0 | 1,47459 |
Energie/Water/Afval | 0 | 0 | 0 | 0 | 0 | 4,65089 |
Industrie | 0 | 0 | 0 | 0 | 0 | 2,52412 |
2024 | 2023/dec | 2023/apr | 2022 | |
---|---|---|---|---|
2 of meer werkzame personen | 79,883 | 76,8053 | 68,6969 | 68,2858 |
250 of meer werkzame personen | 79,1541 | 75,3576 | 63,9052 | 62,0677 |
50 tot 250 werkzame personen | 74,9727 | 69,261 | 65,7127 | 61,4323 |
10 tot 50 werkzame personen | 79,1235 | 75,4417 | 69,1084 | 68,6317 |
2 tot 10 werkzame personen | 80,276 | 77,4525 | 68,7956 | 68,6445 |
ZZP`ers | 69,8302 | 69,7643 |
2024 | 2023/dec | 2023/apr | 2022 | |
---|---|---|---|---|
ICT-sector | 82,2303 | 78,5136 | 76,1382 | 75,7216 |
Gezondheid en welzijnszorg | 75,359 | 75,1607 | 72,3611 | 69,443 |
Verhuur/Overige zakelijke dnst. | 79,7518 | 73,4757 | 68,4058 | 65,1618 |
Special. zakelijke dienstver. | 79,1299 | 76,439 | 67,5639 | 67,96 |
Verhuur/Handel onr.goed | 71,0848 | 61,1695 | 58,5936 | 65,0101 |
Financiële dienstverlening | 68,4182 | 62,7683 | 72,2384 | 71,6427 |
Informatie/Communicatie | 83,3945 | 78,7899 | 73,3528 | 72,4087 |
Horeca | 84,3334 | 83,9615 | 70,6682 | 63,4563 |
Vervoer/Opslag | 86,7913 | 84,2335 | 58,0364 | 64,3466 |
Handel | 79,5973 | 75,1462 | 74,6686 | 71,719 |
Bouwnijverheid | 78,3529 | 77,9776 | 61,2822 | 72,3586 |
Energie/Water/Afval | 92,2043 | 85,753 | 64,0291 | 68,8828 |
Industrie | 77,5122 | 75,8258 | 65,462 | 67,0782 |
Categorie HTTPS
De categorie HTTPS geeft aan of de website van een bedrijf voldoende beveiligd is. Ditmaal is in figuur 3.2.4(a) te zien dat grote bedrijven aanzienlijk beter scoren voor de categorie HTTPS dan kleine bedrijven. Wel is opvallend dat het slagingspercentage voor deze categorie vrij laag is: slechts 7,3 procent van alle bedrijven met website met 2 of meer werknemers had in 2024 een positieve uitslag voor de categorie HTTPS. Dit lage slagingspercentage voor de categorie HTTPS wordt veroorzaakt door het groot aantal subtesten dat gebruikt wordt om de categorie HTTPS te doen slagen; als één van de subtesten niet slaagt, zal hiermee ook de totale categorie HTTPS niet slagen.
Figuur 3.2.4(b) toont aan dat de websites van de bedrijfstakken ‘ICT-sector’ en ‘Informatie/Communicatie’ het beste scoren voor de categorie HTTPS. De ICT-sector is wel een samengestelde bedrijfstak bestaande uit bedrijfsactiviteiten van verschillende andere bedrijfstakken, waaronder enkele bedrijfsactiviteiten uit de ‘Informatie /Communicatie‘ bedrijfstak, dus dit verklaart de overeenkomst tussen beiden. In de meeste bedrijfstakken is het aantal bedrijven met een website die in 2024 slaagt voor de categorie HTTPS, vergeleken met 2023, toegenomen. Dit geldt alleen niet voor de bedrijfstakken Verhuur/overige zakelijke diensten, Horeca, Handel en Energie/water/afval.
Ondanks dat niet veel bedrijven slagen voor de categorie HTTPS, is in figuur B.3.1(a) toch te zien dat ruim 93 procent van alle bedrijven met website met twee of meer werknemers HTTPS beschikbaar heeft op de website. Figuur B.3.1(b) toont dat dit min of meer gelijkmatig over de bedrijfstakken verdeeld is.
Één van de testen binnen de categorie HTTPS waar bedrijven slecht op scoren is het gebruik van HSTS, zoals in figuur B.3.4 te zien is. HSTS staat voor ‘HTTP Strict-Transport-Security HTTP-header’ en laat browsers weten dat een website alleen met HTTPS benaderd moet worden en dat alle toekomstige verzoeken met HTTP automatisch moeten worden omgezet in verzoeken met HTTPS. Door de lage score op deze subtest, valt ook de score op de totale categorie HTTPS laag uit. Van alle bedrijven met 2 of meer werknemers slaagt in april 2024 maar 13,4 procent voor deze test (zie figuur B.3.4(a)). Het is waarschijnlijk deze test de uitkomst voor de totale categorie HTTPS bepaalt, omdat de verdeling van de slagingspercentages over de bedrijfsgrootteklasse en -takken voor de categorie HTTPS en de subtest HSTS sterk overeenkomen. De lage score op HSTS komt overeen de meting van SIDN Lab (2024): in figuur 2.3.1 is te zien dat in 2024 maar 16 procent van alle .nl-websites slaagt voor deze test.
Categorie Beveiligingsopties
Met beveiligingsopties wordt bedoeld het instellen van de juiste Security Headers om browsermechanismen te activeren om bezoekers te beschermen tegen aanvallen met bijvoorbeeld cross-site scripting (XSS) of framing. In 2020 slaagde nog ruim 10 procent van de grote bedrijven met 250 of meer werknemers voor deze categorie en 2,8 procent van alle bedrijven met twee of meer werknemers. Vanaf 2021 slaagde geen van gescande bedrijven voor deze categorie, zodat de licht en donker blauwe staafje niet meer zichtbaar zijn. Dat geen van de bedrijven vanaf 2021 slaagde voor deze categorie komt doordat geen van de bedrijven slaagde voor één onderliggende subtest, namelijk de subtest ‘Content-security policy‘, te zien in figuur B.4.3. Deze test is op 21 maart 2021 strenger geworden; waar het niveau van vereiste vóór deze datum nog optioneel was, is dat na deze datum verhoogd tot ‘Aanbevolen’ (Platform Internetstandaarden, 2021). Blijkbaar zijn er nog nauwelijks bedrijven die de subtest Content Security Policy volgens de laatste eisen voor hun website uitvoeren, waardoor ook de hele categorie ‘beveiligingsopties’ geen succesvolle resultaten oplevert.
De andere onderliggende subtesten van deze categorie vertonen nog wel een positieve trend over de jaren heen. Zo slagen over de jaren 2020, 2021 en 2022 steeds meer bedrijven met een website voor de subtest X-frame-options zoals getoond in B.4.1. Alle bedrijven met twee of meer werknemers stijgen van 12,1 procent in 2020 naar 15,7 procent in 2022. Alleen daalt het percentage van bedrijven dat slaagt voor deze test in 2023 naar 12,9, om vervolgens in de laatste scan van 2024 een lichte stijging te laten zien naar 14,3 procent. Verder slagen grote bedrijven vaker voor deze test dan kleine: van bedrijven met website met 250 of meer werknemers slaagt 29,7 procent tegen 12,9 procent van de bedrijven met website met 2 tot 10 werknemers.
Categorie autorisatie voor Routering (RPKI)
Als laatste wordt naar de categorie RPKI gekeken in figuur 3.2.6. Deze categorie test of een website een route-aankondiging heeft die kan worden gematcht aan de gepubliceerde route-autorisatie (RPKI). Deze categorie is pas in 2022 aan de web-scan door Internet.nl toegevoegd en er zijn daarom nog maar drie scans gemaakt waarin RPKI is meegenomen. De uitkomsten van de scans eind 2022 en begin 2023 zijn nagenoeg gelijk. De scan van begin 2024 laat wel een stijging zien bij alle bedrijfsgrootteklassen. Van alle bedrijven met website met 2 of meer werknemers slaagt bijna 80 procent voor deze categorie en geen van de andere bedrijfsgrootteklassen heeft een score lager dan 75 procent van de bedrijven met website (zie figuur 3.2.6(a)). Figuur 3.2.6(b) toont aan dat de bedrijfstak Energie/water/afval het hoogste scoort en dat geen van de bedrijfstakken een slagingspercentage onder de 68 procent voor de categorie RPKI heeft.
In figuren B.5.1 tot en met B.5.4 worden de resultaten van de onderliggende subtesten getoond. Deze waardes liggen allemaal boven de waarde voor de totale categorie. Dit komt doordat een website pas voor de hele categorie slaagt als zowel de website zelf als de nameserver een valide RPKI hebben. Het komt echter regelmatig voor dat alleen RPKI op de website geldig is en op de nameserver niet en vice versa, zodat de categorie RPKI minder vaak slaagt dan de onderliggende subtesten.
Als alleen naar de uitslag van een valide RPKI op de website gekeken wordt (figuur B.5.2) dan is te zien dat 80 procent van de bedrijven met een website een geldige RPKI op de website heeft. In figuur 2.3.1 kan teruggevonden worden dat SIDN Lab (2024) meet dat voor 11 januari 2024 zo’n 85 procent van alle .nl-websites een valide RPKI op de website heeft en dat na 11 februari 2024 dit percentage stabiel blijft voor alle .nl-websites. De Internet.nl scan was april, 2024 uitgevoerd; de resultaten voor RPKI op de website komen dus goed overeen.
3.3 Verdelingen van de eindscores van de websitescan van alle bedrijven
Alhoewel de gemiddelde score van alle websites van bedrijven in 2024 Nederland zo rond de 65 procent ligt, is hierboven al geconstateerd dat de uitslag voor de verschillende categorieën wel per bedrijfsgrootteklasse en bedrijfstak varieert. In deze paragraaf wordt gekeken naar de spreiding van de eindscores over alle bedrijven heen.
3.3.1 Verdeling van de website-scan Internet.nl-score in april 2024
Percentiel | 2020 | 2021 | 2022 | 2023/apr | 2024 |
---|---|---|---|---|---|
25 | 42 | 48 | 48 | 48 | 48 |
50 (mediaan) | 64 | 70 | 70 | 70 | 70 |
75 | 76 | 80 | 92 | 94 | 78 |
De verdeling van de eindscore voor alle bedrijven in Nederland is voor april 2024 te zien in figuur 3.3.1[voetnoot: De verdelingen van alle jaren worden in de appendix B.6 gegeven; de cijfers van de percentielen zijn wel in tabel 3.3.2 terug te vinden]. De verdeling vertoont pieken rond de 30, 50, 70 en 90 procent. In figuur 3.3.1 zijn verder nog drie kwartielen Q1, Q2, en Q3 weergegeven. De verdeling van de overige jaren wordt in appendix B.6 gegeven (figuur B.6.1). In de verdeling van 2020 geeft het eerste kwartiel Q1 aan dat 25 procent van de bedrijven een eindscore lager dan 42 procent haalt. Het tweede kwartiel Q2 (de mediaan), geeft in 2020 aan dat de helft van alle bedrijven een score hoger dan 64 procent haalt. Het derde kwartiel geeft ten slotte aan dat 25 procent van de bedrijven een score hoger dan 76 procent haalt (in 2020).
In het voorgaand rapport (CBS, 2022c) werd aangetoond dat voor 2020 de pieken in de verdeling min of meer overeen komen met het aantal categorieën waarvoor een website geslaagd is. De spreiding rondom een piek wordt veroorzaakt door spreiding van het aantal geslaagde onderliggende subtesten. De scorebepaling is echter dynamisch en past zich aan aan de veiligheidseisen en bovendien is er een categorie bijgekomen. Inderdaad is te zien is dat de verdeling van de scores over de jaren daarom ook verandert. Meer bedrijven schuiven richting de 100 procent score op, wat blijkt dat de piek rond de 100 procent die toegenomen is.
Tabel 3.3.2 geeft de waardes voor de percentielen die in de figuren gevisualiseerd zijn. Inderdaad is te zien dat de 75 percentiel langzaam groter wordt; deze waarde geeft aan dat 75 procent van de bedrijven een score gelijk of lager dan dit percentiel heeft, of anders gezegd, dat 25 procent van de bedrijven een score hoger dan deze waarde heeft. In 2020 had 25 procent van de bedrijven een score die groter dan 76 was; in 2024 had 25 procent van de bedrijven een score die groter dan 78 was.
3.4 Welke bedrijven hebben de hoogste en laagste score voor de websitescan?
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
2 of meer werkzame personen | 19,9014 | 18,8404 | 20,8681 | 18,4078 | 17,658 | 13,5933 |
250 of meer werkzame personen | 13,5685 | 12,531 | 11,6574 | 11,246 | 8,71676 | 4,843 |
50 tot 250 werkzame personen | 15,6803 | 14,3952 | 12,6458 | 11,4555 | 9,6766 | 6,7528 |
10 tot 50 werkzame personen | 16,6476 | 16,4399 | 17,7907 | 15,518 | 14,2391 | 9,87388 |
2 tot 10 werkzame personen | 20,8298 | 19,6081 | 21,9009 | 19,5369 | 19,036 | 15,3379 |
ZZP`ers | 28,2582 | 25,496 | 24,431 |
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
ICT-sector | 21,5263 | 19,2942 | 33,4797 | 27,7395 | 20,6033 | 13,1115 |
Gezondheid en welzijnszorg | 23,5602 | 21,0967 | 27,6586 | 22,214 | 20,8777 | 15,0736 |
Verhuur/Overige zakelijke dnst. | 27,286 | 26,6253 | 23,4753 | 19,1628 | 22,7043 | 15,7819 |
Special. zakelijke dienstver. | 21,7555 | 20,0695 | 26,3347 | 28,4277 | 25,5995 | 15,0286 |
Verhuur/Handel onr.goed | 11,931 | 6,07611 | 19,3605 | 19,5101 | 16,1555 | 9,46755 |
Financiële dienstverlening | 41,9286 | 41,9286 | 12,2162 | 22,0164 | 13,3897 | 5,94578 |
Informatie/Communicatie | 22,014 | 20,2356 | 30,7446 | 29,2411 | 22,7469 | 13,0343 |
Horeca | 27,2045 | 25,2281 | 29,5962 | 17,6358 | 17,0483 | 18,7387 |
Vervoer/Opslag | 21,9916 | 19,6363 | 11,9352 | 13,7494 | 20,5279 | 13,1174 |
Handel | 15,802 | 15,6419 | 19,4562 | 16,2062 | 18,9635 | 12,8839 |
Bouwnijverheid | 13,7863 | 14,3172 | 32,8974 | 26,7187 | 25,2973 | 9,95297 |
Energie/Water/Afval | 10,7765 | 10,7765 | 10,9983 | 15,8226 | 15,9089 | 9,36082 |
Industrie | 15,4244 | 15,5212 | 19,844 | 17,4963 | 15,4797 | 9,51417 |
2024 | 2023/dec | 2023/apr | 2022 | 2021 | 2020 | |
---|---|---|---|---|---|---|
2 of meer werkzame personen | 1,41917 | 1,34006 | 1,10284 | 1,34405 | 1,22187 | 0,830078 |
250 of meer werkzame personen | 4,32873 | 4,29331 | 3,70697 | 4,30705 | 2,77708 | 1,08396 |
50 tot 250 werkzame personen | 2,92028 | 2,90722 | 1,56277 | 2,09601 | 1,81381 | 0,850249 |
10 tot 50 werkzame personen | 1,72811 | 1,70971 | 1,49745 | 1,76921 | 1,83519 | 1,00963 |
2 tot 10 werkzame personen | 1,25108 | 1,15616 | 0,979864 | 1,16677 | 1,02065 | 0,77164 |
ZZP`ers | 0,834045 | 1,46264 | 1,44588 |