2. Cybersecuritymaatregelen door bedrijven
In dit hoofdstuk wordt ingegaan op de maatregelen die bedrijven in Nederland nemen om zichzelf én hun website cyberweerbaar te maken. In paragraaf 2.1 wordt ingegaan op een breed scala aan maatregelen, zoals het gebruik van antivirussoftware of tweefactorauthenticatie. In paragraaf 2.2 wordt beschreven in hoeverre bedrijven (veilige) internetstandaarden op hun website gebruiken.
2.1 Maatregelen ter verhoging van de cyberweerbaarheid van bedrijven
De cijfers die in deze paragraaf worden getoond, zijn afkomstig uit het onderzoek ICT-gebruik bij bedrijven, oftewel de ‘ICT‐enquête’.
2.1.1 Genomen cybersecuritymaatregelen
De figuren 2.1.1 en 2.1.2 tonen het percentage van bedrijven dat verschillende cybersecuritymaatregelen toepast, naar respectievelijk bedrijfsgrootteklasse en bedrijfstak. De getoonde maatregelen zijn: het gebruik van antivirussoftware, het beschikken over methodes om de ICT-veiligheid in het bedrijf te beoordelen, de encryptie van data, het opslaan van logbestanden voor incidentanalyse, de beheer van toegangsrechten van gebruikers tot het (interne) bedrijfsnetwerk (network access control), de opslag van back-ups, het periodiek uitvoeren van risicoanalyses, het hebben van een beleid voor sterke wachtwoorden, het gebruik van tweefactorauthenticatie, en het gebruik van een VPN buiten het bedrijf. Voor zzp’ers zijn de gegevens pas beschikbaar vanaf 2021. Hoewel met deze maatregelen nooit een compleet beeld van het ICT-beveiligingsniveau van een bedrijf gegeven kan worden, ontstaat hierdoor wel een globale indruk, omdat elke extra maatregel een extra bijdrage levert aan de cyberweerbaarheid van een bedrijf.
| Categorie | 2024, Antivirussoftware (% van bedrijven) | 2023, Antivirussoftware (% van bedrijven) | 2020, Antivirussoftware (% van bedrijven) | 2017, Antivirussoftware (% van bedrijven) | 2024, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2023, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2020, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2017, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2024, Encryptie van data (% van bedrijven) | 2023, Encryptie van data (% van bedrijven) | 2020, Encryptie van data (% van bedrijven) | 2017, Encryptie van data (% van bedrijven) | 2024, Logbestanden voor incidentanalyse (% van bedrijven) | 2023, Logbestanden voor incidentanalyse (% van bedrijven) | 2020, Logbestanden voor incidentanalyse (% van bedrijven) | 2017, Logbestanden voor incidentanalyse (% van bedrijven) | 2024, Network access control (% van bedrijven) | 2023, Network access control (% van bedrijven) | 2020, Network access control (% van bedrijven) | 2017, Network access control (% van bedrijven) | 2024, Opslag van back-ups (% van bedrijven) | 2023, Opslag van back-ups (% van bedrijven) | 2020, Opslag van back-ups (% van bedrijven) | 2017, Opslag van back-ups (% van bedrijven) | 2024, Risicoanalyses (% van bedrijven) | 2023, Risicoanalyses (% van bedrijven) | 2020, Risicoanalyses (% van bedrijven) | 2017, Risicoanalyses (% van bedrijven) | 2024, Beleid sterke wachtwoorden (% van bedrijven) | 2023, Beleid sterke wachtwoorden (% van bedrijven) | 2020, Beleid sterke wachtwoorden (% van bedrijven) | 2017, Beleid sterke wachtwoorden (% van bedrijven) | 2024, Tweefactorauthenticatie (% van bedrijven) | 2023, Tweefactorauthenticatie (% van bedrijven) | 2020, Tweefactorauthenticatie (% van bedrijven) | 2017, Tweefactorauthenticatie (% van bedrijven) | 2024, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2023, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2020, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2017, VPN-gebruik buiten het bedrijf (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 250 of meer werkzame personen | 99 | 99 | 98 | 98 | 88 | 87 | 81 | 72 | 90 | 89 | 83 | 69 | 92 | 92 | 91 | 88 | 92 | 91 | 72 | 67 | 97 | 97 | 95 | 94 | 87 | 86 | 80 | 75 | 98 | 97 | 96 | 93 | 97 | 96 | 87 | 71 | 86 | 85 | 86 | 85 |
| 50 tot 250 werkzame personen | 98 | 98 | 97 | 97 | 73 | 72 | 63 | 55 | 70 | 67 | 64 | 46 | 83 | 82 | 79 | 75 | 90 | 89 | 64 | 60 | 95 | 94 | 91 | 90 | 74 | 71 | 63 | 58 | 92 | 93 | 88 | 81 | 92 | 87 | 68 | 48 | 78 | 78 | 78 | 74 |
| 10 tot 50 werkzame personen | 94 | 94 | 92 | 93 | 47 | 44 | 41 | 34 | 48 | 47 | 44 | 29 | 58 | 56 | 55 | 49 | 72 | 70 | 48 | 42 | 85 | 84 | 82 | 80 | 49 | 47 | 42 | 34 | 80 | 81 | 74 | 64 | 76 | 70 | 54 | 29 | 53 | 52 | 52 | 47 |
| 2 tot 10 werkzame personen | 84 | 86 | 87 | 86 | 21 | 21 | 22 | 17 | 33 | 31 | 35 | 23 | 28 | 28 | 31 | 25 | 39 | 39 | 32 | 28 | 64 | 67 | 68 | 68 | 23 | 23 | 24 | 17 | 69 | 68 | 65 | 55 | 57 | 48 | 42 | 24 | 27 | 27 | 29 | 23 |
| 2 of meer werkzame personen | 86 | 88 | 89 | 87 | 27 | 27 | 28 | 22 | 37 | 35 | 38 | 25 | 34 | 34 | 37 | 31 | 46 | 45 | 37 | 31 | 68 | 70 | 71 | 71 | 29 | 28 | 29 | 22 | 72 | 71 | 68 | 57 | 61 | 53 | 46 | 26 | 33 | 33 | 35 | 29, Network access control |
| 1 werkzame persoon (zzp'er) | 77 | 81 | 11 | 11 | 28 | 32 | 17 | 19 | 23 | 26 | 59 | 64 | 13 | 15 | 65 | 71 | 52 | 54 | 22 | 24 |
| Categorie | 2024, Antivirussoftware (% van bedrijven) | 2023, Antivirussoftware (% van bedrijven) | 2020, Antivirussoftware (% van bedrijven) | 2017, Antivirussoftware (% van bedrijven) | 2024, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2023, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2020, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2017, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2024, Encryptie van data (% van bedrijven) | 2023, Encryptie van data (% van bedrijven) | 2020, Encryptie van data (% van bedrijven) | 2017, Encryptie van data (% van bedrijven) | 2024, Logbestanden voor incidentanalyse (% van bedrijven) | 2023, Logbestanden voor incidentanalyse (% van bedrijven) | 2020, Logbestanden voor incidentanalyse (% van bedrijven) | 2017, Logbestanden voor incidentanalyse (% van bedrijven) | 2024, Network access control (% van bedrijven) | 2023, Network access control (% van bedrijven) | 2020, Network access control (% van bedrijven) | 2017, Network access control (% van bedrijven) | 2024, Opslag van back-ups (% van bedrijven) | 2023, Opslag van back-ups (% van bedrijven) | 2020, Opslag van back-ups (% van bedrijven) | 2017, Opslag van back-ups (% van bedrijven) | 2024, Risicoanalyses (% van bedrijven) | 2023, Risicoanalyses (% van bedrijven) | 2020, Risicoanalyses (% van bedrijven) | 2017, Risicoanalyses (% van bedrijven) | 2024, Beleid sterke wachtwoorden (% van bedrijven) | 2023, Beleid sterke wachtwoorden (% van bedrijven) | 2020, Beleid sterke wachtwoorden (% van bedrijven) | 2017, Beleid sterke wachtwoorden (% van bedrijven) | 2024, Tweefactorauthenticatie (% van bedrijven) | 2023, Tweefactorauthenticatie (% van bedrijven) | 2020, Tweefactorauthenticatie (% van bedrijven) | 2017, Tweefactorauthenticatie (% van bedrijven) | 2024, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2023, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2020, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2017, VPN-gebruik buiten het bedrijf (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Industrie | 92 | 92 | 91 | 93 | 33 | 32 | 32 | 26 | 32 | 33 | 35 | 22 | 39 | 38 | 42 | 36 | 53 | 51 | 40 | 34 | 76 | 75 | 77 | 77 | 35 | 32 | 31 | 24 | 71 | 71 | 67 | 58 | 63 | 54 | 43 | 24 | 42 | 41 | 42 | 36 |
| Energie, water, afvalbeheer | 94 | 93 | 88 | 91 | 42 | 47 | 35 | 35 | 40 | 42 | 38 | 29 | 53 | 50 | 51 | 48 | 62 | 64 | 51 | 37 | 76 | 82 | 70 | 78 | 42 | 45 | 37 | 33 | 77 | 79 | 71 | 67 | 69 | 63 | 46 | 34 | 50 | 51 | 50 | 42 |
| Bouwnijverheid | 85 | 88 | 89 | 85 | 23 | 20 | 22 | 16 | 22 | 19 | 23 | 15 | 26 | 23 | 29 | 20 | 38 | 32 | 31 | 20 | 62 | 66 | 66 | 64 | 20 | 17 | 21 | 16 | 64 | 64 | 64 | 50 | 47 | 39 | 33 | 16 | 26 | 24 | 26 | 20 |
| Handel | 86 | 87 | 89 | 88 | 25 | 24 | 27 | 19 | 32 | 27 | 33 | 20 | 32 | 34 | 35 | 29 | 43 | 43 | 37 | 29 | 65 | 69 | 72 | 67 | 26 | 26 | 26 | 20 | 71 | 70 | 67 | 57 | 55 | 46 | 43 | 21 | 33 | 31 | 34 | 26 |
| Vervoer en opslag | 87 | 88 | 87 | 84 | 21 | 20 | 23 | 18 | 29 | 27 | 30 | 17 | 25 | 26 | 31 | 25 | 33 | 29 | 30 | 23 | 62 | 62 | 65 | 61 | 26 | 23 | 24 | 19 | 64 | 64 | 65 | 56 | 56 | 44 | 45 | 21 | 25 | 24 | 26 | 23 |
| Horeca | 77 | 79 | 76 | 76 | 13 | 15 | 12 | 8 | 18 | 19 | 22 | 11 | 13 | 12 | 15 | 13 | 22 | 26 | 20 | 17 | 42 | 46 | 43 | 52 | 14 | 15 | 13 | 10 | 58 | 56 | 53 | 38 | 44 | 33 | 29 | 16 | 14 | 15 | 12 | 13 |
| Informatie en communicatie | 86 | 86 | 90 | 87 | 48 | 41 | 43 | 35 | 71 | 66 | 65 | 58 | 65 | 61 | 63 | 60 | 70 | 65 | 51 | 51 | 87 | 84 | 84 | 87 | 52 | 47 | 48 | 39 | 90 | 83 | 82 | 77 | 88 | 77 | 60 | 47 | 59 | 51 | 55 | 54 |
| Financiële dienstverlening | 92 | 88 | 92 | 88 | 54 | 49 | 55 | 41 | 55 | 54 | 56 | 38 | 65 | 57 | 59 | 50 | 71 | 64 | 55 | 48 | 85 | 82 | 76 | 75 | 59 | 54 | 51 | 39 | 81 | 83 | 80 | 75 | 83 | 75 | 64 | 45 | 48 | 51 | 55 | 51 |
| Verhuur en handel van onroerend goed | 80 | 84 | 82 | 80 | 21 | 25 | 28 | 25 | 26 | 31 | 37 | 26 | 29 | 30 | 33 | 31 | 43 | 44 | 33 | 36 | 62 | 66 | 64 | 69 | 23 | 24 | 24 | 22 | 72 | 65 | 59 | 51 | 61 | 56 | 39 | 28 | 25 | 32 | 31 | 34 |
| Specialistische zakelijke diensten | 89 | 91 | 92 | 90 | 31 | 32 | 30 | 28 | 46 | 47 | 46 | 31 | 42 | 44 | 44 | 39 | 57 | 58 | 41 | 38 | 81 | 84 | 80 | 83 | 32 | 34 | 31 | 25 | 79 | 77 | 73 | 67 | 75 | 68 | 52 | 31 | 39 | 43 | 44 | 36 |
| Verhuur en overige zakelijke diensten | 87 | 87 | 90 | 84 | 25 | 23 | 27 | 21 | 33 | 31 | 39 | 22 | 28 | 29 | 34 | 29 | 42 | 39 | 34 | 28 | 68 | 68 | 70 | 70 | 26 | 25 | 28 | 19 | 71 | 67 | 67 | 56 | 59 | 47 | 48 | 20 | 29 | 28 | 31 | 25 |
| Gezondheids- en welzijnszorg | 93 | 95 | 96 | 97 | 35 | 36 | 38 | 29 | 69 | 67 | 67 | 51 | 50 | 50 | 51 | 39 | 64 | 63 | 48 | 46 | 82 | 83 | 86 | 84 | 45 | 46 | 46 | 31 | 83 | 84 | 80 | 66 | 80 | 77 | 67 | 47 | 41 | 43 | 48 | 37 |
| ICT-sector | 88 | 87 | 90 | 90 | 54 | 47 | 44 | 37 | 76 | 71 | 67 | 60 | 70 | 69 | 65 | 64 | 75 | 72 | 53 | 54 | 89 | 87 | 84 | 89 | 58 | 53 | 50 | 42 | 91 | 86 | 84 | 80 | 90 | 84 | 63 | 49 | 64 | 58 | 59 | 59 |
Grotere bedrijven nemen vaker maatregelen tegen cyberdreigingen
Figuur 2.1.1 laat zien dat grotere bedrijven vaker cybersecuritymaatregelen nemen dan kleinere bedrijven. Voor sommige maatregelen is dit patroon sterker dan voor andere. Voor bijvoorbeeld een gangbare maatregel als het gebruik van antivirussoftware zijn de verschillen tussen grotere en kleinere bedrijven niet zo groot: meer dan 86 procent van alle bedrijven met meer dan 2 werkzame personen gebruikte in 2024 antivirussoftware, ongeacht de grootteklasse. Bij een moeilijker toe te passen maatregel, zoals de encryptie van data, zijn wel grotere verschillen te zien. In 2024 maakte bijvoorbeeld 33 procent van de microbedrijven (2 tot 10 werkzame personen) gebruik van de encryptie van data, tegenover 90 procent van de grote bedrijven (250 of meer werkzame personen). Het is begrijpelijk dat grote bedrijven meer maatregelen treffen, omdat zij vaak een grotere en complexere ICT-infrastructuur hebben dat een breder spectrum aan beveiligingsmaatregelen vereist. Over het algemeen worden cybersecuritymaatregelen het minst vaak genomen door zzp’ers.
Flinke toename van tweefactorauthenticatie
Figuur 2.1.1 laat zien dat vooral het gebruik van tweefactorauthenticatie sinds 2017 flink is toegenomen. Bij deze manier van inloggen moet naast een wachtwoord, ook een extra code ingevoerd worden die per inlogsessie verandert. Deze code wordt verkregen via een specifiek apparaatje of via een app op de smartphone. Dit maakt het inloggen een stuk veiliger, want zelfs als een wachtwoord onderschept wordt, biedt de vereiste extra code bescherming tegen inloggen door ongeautoriseerde gebruikers. Het gebruik van tweefactorauthenticatie komt vanaf 2017 in alle grootteklassen steeds vaker voor. Bij grote bedrijven (250 of meer werkzame personen) is dit bijvoorbeeld toegenomen van 71 procent in 2017 naar 97 procent in 2024. Bij bedrijven met 10 tot 50 werkzame personen is dit zelfs meer dan verdubbeld van 29 procent in 2017 naar 76 procent in 2024.
Bedrijfstakken met gevoelige (persoons)data nemen meer cybersecuritymaatregelen
Figuur 2.1.2 laat de genomen cybersecuritymaatregelen zien per bedrijfstak met 2 of meer werkzame personen. Bedrijfstakken die meer met ICT bezig zijn, of waarin met gevoelige (persoons)data wordt gewerkt, zoals de ICT-sector en de bedrijfstakken ‘Gezondheids- en welzijnszorg’ en ‘Financiële dienstverlening’, namen in 2024 vaker cybersecuritymaatregelen dan andere bedrijfstakken, zoals de horeca. Het ligt voor de hand dat er in de horeca minder cybersecuritymaatregelen worden genomen, omdat horecabedrijven voor hun werkzaamheden vaak minder afhankelijk zijn van ICT. Dit blijkt bijvoorbeeld uit eerdere cijfers over de mate van digitalisering van bedrijven.
Grotere bedrijven nemen een groter aantal cybersecuritymaatregelen tegelijk
Dat grote bedrijven vaker verschillende ICT-maatregelen nemen dan kleinere bedrijven, komt nogmaals terug in de figuren 2.1.3 en 2.1.4. In deze figuren wordt respectievelijk per bedrijfsgrootte en bedrijfstak het percentage bedrijven getoond dat een zeker aantal maatregelen neemt. De resultaten laten zien dat kleinere bedrijven vaak een kleiner aantal maatregelen nemen, terwijl grotere bedrijven juist vaker meerdere maatregelen tegelijk nemen. Van de grote bedrijven (250 of meer werkzame personen) nam in 2024 bijvoorbeeld 64 procent van de bedrijven alle tien de uitgevraagde maatregelen, tegenover 6 procent van de microbedrijven (2 tot 10 werkzame personen). In figuur 2.1.4 is te zien dat bedrijven in de ICT-sector over het algemeen de meeste maatregelen nemen, terwijl in de horeca minder maatregelen genomen worden. Merk op dat alleen een selectie van bedrijfstakken wordt getoond, namelijk de bedrijfstakken waar de genomen cybersecuritymaatregelen het meest uiteenlopen. Een overzicht van alle bedrijfstakken wordt getoond in tabel A.2.1.
| VARIABLE | 1 werkzame persoon (zzp'er) (% van bedrijven) | 2 of meer werkzame personen (% van bedrijven) | 2 tot 10 werkzame personen (% van bedrijven) | 10 tot 50 werkzame personen (% van bedrijven) | 50 tot 250 werkzame personen (% van bedrijven) | 250 of meer werkzame personen (% van bedrijven) |
|---|---|---|---|---|---|---|
| 0 | 12 | 9 | 10 | 3 | 1 | 1 |
| 1 | 10 | 6 | 7 | 2 | 0 | 0 |
| 2 | 14 | 10 | 12 | 4 | 1 | 0 |
| 3 | 15 | 11 | 13 | 6 | 1 | 0 |
| 4 | 15 | 11 | 12 | 8 | 2 | 0 |
| 5 | 13 | 10 | 11 | 9 | 4 | 1 |
| 6 | 8 | 9 | 9 | 11 | 6 | 2 |
| 7 | 5 | 9 | 8 | 12 | 9 | 4 |
| 8 | 2 | 8 | 6 | 13 | 13 | 9 |
| 9 | 2 | 7 | 5 | 13 | 21 | 19 |
| 10 | 4 | 10 | 6 | 19 | 42 | 64 |
| VARIABLE | ICT-sector (% van bedrijven) | Industrie (% van bedrijven) | Horeca (% van bedrijven) | Financiële dienstverlening (% van bedrijven) | Gezondheids- en welzijnszorg (% van bedrijven) |
|---|---|---|---|---|---|
| 0 | 2 | 6 | 17 | 5 | 3 |
| 1 | 0 | 6 | 11 | 3 | 2 |
| 2 | 2 | 10 | 20 | 4 | 5 |
| 3 | 3 | 8 | 15 | 4 | 6 |
| 4 | 8 | 12 | 10 | 9 | 6 |
| 5 | 9 | 11 | 9 | 5 | 11 |
| 6 | 7 | 10 | 6 | 4 | 12 |
| 7 | 9 | 9 | 3 | 16 | 17 |
| 8 | 10 | 9 | 3 | 11 | 12 |
| 9 | 17 | 9 | 3 | 15 | 12 |
| 10 | 33 | 11 | 3 | 26 | 14 |
2.1.2 Uitvoering ICT-veiligheidswerkzaamheden
In figuren 2.1.5 en 2.1.6 wordt de organisatie van de ICT-veiligheidswerkzaamheden onder de loep genomen. Per grootteklasse en bedrijfstak wordt gekeken wie de ICT-veiligheidswerkzaamheden binnen het bedrijf uitvoert: het eigen personeel, een extern bedrijf of een mix van beide. Met ICT-veiligheidswerkzaamheden wordt onder andere het uitvoeren van ICT-veiligheidstesten, het geven van ICT-veiligheidstrainingen of het oplossen van ICT-veiligheidsincidenten, bedoeld. Vanaf 2022 worden deze resultaten ook voor zzp'ers weergegeven. Merk op dat vanaf 2020 de vraagstelling wel is veranderd, door de optie ‘niet van toepassing' toe te voegen.
ICT-veiligheidswerkzaamheden het vaakst uitbesteed door kleine bedrijven
Figuur 2.1.5 laat zien dat de ICT-veiligheidswerkzaamheden in 2023 het vaakst volledig werden uitbesteed door kleine bedrijven (10 tot 50 werkzame personen). Bij grote bedrijven (250 of meer werkzame personen) werden de werkzaamheden juist het vaakst deels uitbesteed en deels door het eigen personeel uitgevoerd. Dit laatste is niet opmerkelijk, omdat een groot bedrijf meer personeel in dienst heeft en vaker over de middelen beschikt om complexere zaken uit te besteden. Bij zzp'ers en microbedrijven (2 tot 10 werkzame personen) kwam de optie ‘Niet van toepassing’ het vaakst voor. In alle grootteklassen lijkt de optie ‘Niet van toepassing’ door de tijd heen wel toe te nemen.
ICT-veiligheidswerkzaamheden het vaakst uitgevoerd door eigen personeel in de ICT-sector
Figuur 2.1.6 toont aan dat bedrijven in de ICT-sector vaker in staat zijn om hun ICT-veiligheidswerkzaamheden zelf uit te voeren. In 2023 deed 48 procent dit volledig zelf. Dit is niet opmerkelijk, omdat het te verwachten is dat bij deze bedrijven voldoende expertise voorhanden is om de ICT-beveiliging zelf uit te voeren. In de bedrijfstakken ‘Gezondheids- en welzijnszorg’ en ‘Industrie’ werden de ICT-veiligheidswerkzaamheden in 2023 bij respectievelijk 39 procent en 35 procent van de bedrijven volledig uitbesteed. Bijna drie kwart van de horecabedrijven gaf daarentegen aan dat ICT-veiligheidswerkzaamheden in 2023 niet van toepassing waren. Dit hangt waarschijnlijk samen met het feit dat er in de horeca relatief weinig cybersecuritymaatregelen genomen worden, waardoor ICT-veiligheidswerkzaamheden vaker niet aan de orde zijn. Merk op dat slechts een selectie van bedrijfstakken wordt getoond, namelijk de bedrijfstakken waar de genomen cybersecuritymaatregelen het meest uiteenlopen. Een overzicht van alle bedrijfstakken is te vinden in tabel A.2.2.
| jaar | Extern bedrijf (% van bedrijven) | Eigen personeel (% van bedrijven) | Eigen personeel en extern bedrijf (% van bedrijven) | Niet van toepassing (% van bedrijven) |
|---|---|---|---|---|
| ≥250 werkzame personen | ||||
| 2023 | 15 | 19 | 63 | 3 |
| 2022 | 14 | 21 | 62 | 4 |
| 2019 | 20 | 22 | 58 | |
| 2018 | 17 | 17 | 67 | |
| 50 tot 250 werkzame personen | ||||
| 2023 | 35 | 18 | 40 | 7 |
| 2022 | 34 | 21 | 37 | 7 |
| 2019 | 42 | 24 | 34 | |
| 2018 | 34 | 21 | 45 | |
| 10 tot 50 werkzame personen | ||||
| 2023 | 45 | 15 | 18 | 22 |
| 2022 | 39 | 18 | 18 | 24 |
| 2019 | 59 | 27 | 14 | |
| 2018 | 47 | 25 | 27 | |
| 2 tot 10 werkzame personen | ||||
| 2023 | 23 | 15 | 6 | 56 |
| 2022 | 23 | 16 | 6 | 55 |
| 2019 | 42 | 51 | 7 | |
| 2018 | 31 | 53 | 16 | |
| ≥2 werkzame personen | ||||
| 2023 | 27 | 15 | 9 | 49 |
| 2022 | 26 | 17 | 9 | 49 |
| 2019 | 45 | 46 | 9 | |
| 2018 | 34 | 47 | 19 | |
| 1 werkzame persoon | ||||
| 2023 | 10 | 37 | 2 | 51 |
| 2022 | 10 | 35 | 4 | 51 |
| jaar | Extern bedrijf (% van bedrijven) | Eigen personeel (% van bedrijven) | Eigen personeel en extern bedrijf (% van bedrijven) | Niet van toepassing (% van bedrijven) |
|---|---|---|---|---|
| Industrie | ||||
| 2023 | 35 | 13 | 11 | 40 |
| 2022 | 33 | 15 | 11 | 41 |
| 2019 | 52 | 36 | 12 | |
| 2018 | 40 | 39 | 21 | |
| Horeca | ||||
| 2023 | 15 | 9 | 3 | 73 |
| 2022 | 18 | 11 | 4 | 68 |
| 2019 | 37 | 59 | 4 | |
| 2018 | 20 | 71 | 9 | |
| ICT-sector | ||||
| 2023 | 9 | 48 | 22 | 21 |
| 2022 | 5 | 52 | 19 | 24 |
| 2019 | 10 | 69 | 20 | |
| 2018 | 12 | 61 | 27 | |
| Financiële dienstverlening | ||||
| 2023 | 37 | 13 | 25 | 24 |
| 2022 | 33 | 18 | 16 | 33 |
| 2019 | 49 | 36 | 15 | |
| 2018 | 46 | 29 | 25 | |
| Gezondheids- en welzijnszorg | ||||
| 2023 | 39 | 14 | 14 | 33 |
| 2022 | 40 | 16 | 13 | 32 |
| 2019 | 54 | 32 | 14 | |
| 2018 | 44 | 29 | 27 | |
2.1.3 Verzekering voor cybersecurityincidenten
Grote bedrijven vaker verzekerd voor cybersecurityincidenten
Figuren 2.1.7 en 2.1.8 laten zien welk percentage van bedrijven per grootteklasse en bedrijfstak een verzekering voor cybersecurityincidenten afgesloten heeft. Van alle bedrijven met 2 of meer werkzame personen was 17 procent in 2024 verzekerd voor cybersecurityincidenten (figuur 2.1.7). Grotere bedrijven waren vaker verzekerd dan kleinere bedrijven. Van de zzp’ers was bijvoorbeeld slechts 6 procent verzekerd, terwijl van de bedrijven met 250 of meer werkzame personen zo’n 44 procent verzekerd was. Uit figuur 2.1.8 blijkt dat in 2024 de hoogste percentages van verzekerde bedrijven te vinden waren in de ICT-sector, en de bedrijfstakken ‘Financiële dienstverlening’, ‘Informatie en communicatie’, en ‘Gezondheids- en welzijnszorg’.
| dim_gk | 2024 (% van bedrijven) | 2023 (% van bedrijven) | 2022 (% van bedrijven) | 2019 (% van bedrijven) |
|---|---|---|---|---|
| 250 of meer werkzame personen | 44 | 44 | 44 | 34 |
| 50 tot 250 werkzame personen | 39 | 38 | 37 | 28 |
| 10 tot 50 werkzame personen | 29 | 30 | 29 | 25 |
| 2 tot 10 werkzame personen | 14 | 13 | 14 | 13 |
| 2 of meer werkzame personen | 17 | 17 | 17 | 16 |
| 1 werkzame persoon (zzp'er) | 6 | 6 | 6 |
| dim_sbi | 2024 (% van bedrijven) | 2023 (% van bedrijven) | 2022 (% van bedrijven) | 2019 (% van bedrijven) |
|---|---|---|---|---|
| Industrie | 19 | 18 | 17 | 13 |
| Energie, water, afvalbeheer | 23 | 22 | 14 | 18 |
| Bouwnijverheid | 12 | 11 | 9 | 10 |
| Handel | 14 | 14 | 14 | 14 |
| Vervoer en opslag | 11 | 11 | 13 | 11 |
| Horeca | 10 | 9 | 5 | 5 |
| Informatie en communicatie | 31 | 31 | 31 | 31 |
| Financiële dienstverlening | 39 | 33 | 41 | 35 |
| Verhuur en handel van onroerend goed | 21 | 19 | 22 | 16 |
| Specialistische zakelijke diensten | 23 | 22 | 23 | 22 |
| Verhuur en overige zakelijke diensten | 15 | 14 | 15 | 15 |
| Gezondheids- en welzijnszorg | 25 | 27 | 30 | 25 |
| ICT-sector | 35 | 36 | 35 | 32 |
2.2 Maatregelen ter beveiliging van de websites van bedrijven
In deze paragraaf wordt in kaart gebracht in hoeverre bedrijven (veilige) internetstandaarden gebruiken op hun website. Het CBS heeft hiervoor meer dan 16 000 websites van bedrijven met de webtool Internet.nl van Platform Internetstandaarden getest op het gebruik van bijna veertig internetstandaarden. Het toepassen van internetstandaarden verhoogt de veiligheid, betrouwbaarheid en toegankelijkheid van het internet. Voor meer achtergrondinformatie, zie het onderzoek Toepassing van internetstandaarden voor websites van bedrijven, 2024 (CBS, 2025d).
Steeds vaker veilige internetstandaarden op websites van bedrijven
Met de webtool Internet.nl zijn de websites van bedrijven getest op het gebruik van bijna veertig internetstandaarden. Op basis van de veertig onderliggende testen is aan elke website een eindscore tussen de 0 en 100 procent toegekend. Een website met een eindscore van 100 procent voldoet aan alle eisen om de website zo veilig, betrouwbaar en toegankelijk mogelijk te maken.
Figuur 2.2.1 toont de gemiddelde eindscore per bedrijfsgrootteklasse. Het is te zien dat deze eindscore voor alle bedrijfsgrootteklassen ongeveer gelijk is, en per jaar gestaag toeneemt. Zo is de gemiddelde Internet.nl-eindscore voor alle bedrijven met een website met 2 of meer werkzame personen gestegen van 60,4 procent in 2020 naar 68,0 procent in januari 2025. In figuur 2.2.2 wordt ook de gemiddelde eindscore per bedrijfstak getoond. In januari 2025 varieerde de gemiddelde eindscore van 66,1 procent voor de bedrijfstak ‘Vervoer en opslag’ tot 72,2 procent voor de bedrijfstak ‘Gezondheids- en welzijnszorg’. Vergeleken met een jaar eerder lijkt vooral de bedrijfstak ‘Financiële dienstverlening’ in het afgelopen jaar relatief veel aandacht besteed te hebben aan het implementeren van veilige internetstandaarden voor hun website.
| 2025 | 2024 | 2023 | 2020 | |
|---|---|---|---|---|
| 250 of meer werkzame personen | 68,7 | 67,0 | 65,0 | 59,2 |
| 50 tot 250 werkzame personen | 66,6 | 64,1 | 63,0 | 58,0 |
| 10 tot 50 werkzame personen | 67,8 | 65,8 | 64,4 | 59,2 |
| 2 tot 10 werkzame personen | 68,0 | 65,8 | 64,2 | 60,8 |
| 2 of meer werkzame personen | 68,0 | 65,8 | 64,2 | 60,4 |
| Zzp'ers | 70,1 | 67,3 |
| 2025 | 2024 | 2023 | 2020 | |
|---|---|---|---|---|
| ICT-sector | 66,9 | 65,2 | 68,9 | 61,4 |
| Gezondheids- en welzijnszorg | 72,2 | 68,0 | 67,6 | 62,7 |
| Verhuur en overige zakelijke diensten | 72,1 | 65,8 | 65,8 | 63,2 |
| Specialistische zakelijke dienstverlening | 69,0 | 67,8 | 68,9 | 60,9 |
| Verhuur en handel van onroerend goed | 66,4 | 63,5 | 64,8 | 59,4 |
| Financiële dienstverlening | 72,2 | 70,4 | 68,1 | 57,7 |
| Informatie en communicatie | 67,2 | 66,1 | 68,8 | 61,4 |
| Horeca | 70,0 | 67,4 | 61,0 | 63,3 |
| Vervoer en opslag | 66,1 | 64,7 | 63,1 | 57,7 |
| Handel | 67,8 | 63,7 | 63,2 | 59,4 |
| Bouwnijverheid | 71,2 | 66,2 | 66,9 | 57,7 |
| Energie, water, afvalbeheer | 67,4 | 64,5 | 63,4 | 56,8 |
| Industrie | 66,9 | 64,5 | 64,4 | 57,5 |
Kleinere bedrijven lopen voorop met IPv6, grote bedrijven met HSTS
Hoewel de eindscore vrij gelijkmatig over de verschillende bedrijfsgrootteklassen verdeeld is, laten de onderliggende subtesten wel duidelijke verschillen zien per bedrijfsgrootteklasse. Elk apparaat dat verbinding maakt met het internet heeft bijvoorbeeld een uniek IP-adres. Vroeger werden vooral IP-adressen van het type IP versie 4 (IPv4) gebruikt, maar omdat deze op dreigen te raken, worden er tegenwoordig ook steeds meer IP-adressen van het type ‘IP versie 6’ (IPv6) gebruikt. Het ondersteunen van IPv6 is belangrijk om het internet ook in de toekomst toegankelijk te houden. In figuur 2.2.3 is te zien dat kleinere bedrijven vaker een website hebben die bereikbaar is via een modern IPv6-adres. Dat kleine bedrijven vaker slagen dan grote bedrijven, komt wellicht doordat kleine bedrijven hun website vaker hosten bij externe providers, terwijl grote bedrijven hun website mogelijk vaker draaien op eigen servers die minder up-to-date zijn.
| 2025 | 2024 | 2023 | 2020 | |
|---|---|---|---|---|
| 250 of meer werkzame personen | 29,4 | 25,5 | 20,5 | 14,5 |
| 50 tot 250 werkzame personen | 31,0 | 27,7 | 24,2 | 18,3 |
| 10 tot 50 werkzame personen | 35,5 | 32,7 | 29,5 | 22,7 |
| 2 tot 10 werkzame personen | 39,5 | 37,0 | 37,2 | 31,9 |
| 2 of meer werkzame personen | 38,3 | 35,7 | 35,2 | 29,2 |
| Zzp'ers | 48,4 | 44,6 |
Aan de andere kant toont figuur 2.2.5 dat grotere bedrijven juist weer beter scoren op het ondersteunen van HSTS, oftewel HTTPS Strict Transport Security. Websites met HSTS vereisen dat de webbrowser de website alleen via het beveiligde HTTPS kunnen benaderen en niet via het onveilige HTTP-protocol. Dat grote bedrijven hier weer hoger op scoren, komt waarschijnlijk omdat deze instelling met de juiste kennis op netwerkniveau ingesteld kan worden. Waar bij IPv6 gebruik wordt gemaakt van de hardware van de webserver, vereist de ondersteuning van HSTS dat op netwerkniveau een IT-specialist de juiste instellingen gekozen heeft. Uit eerder gepubliceerde cijfers op Statline blijkt dan ook dat grote bedrijven vaker ICT-specialisten in dienst hebben.
| 2025 | 2024 | 2023 | 2020 | |
|---|---|---|---|---|
| 250 of meer werkzame personen | 35,3 | 35,2 | 29,4 | 35 |
| 50 tot 250 werkzame personen | 27,2 | 24,3 | 22,7 | 21,9 |
| 10 tot 50 werkzame personen | 20,0 | 16,0 | 14,3 | 13,7 |
| 2 tot 10 werkzame personen | 14,3 | 10,6 | 9,1 | 11,0 |
| 2 of meer werkzame personen | 16,1 | 12,4 | 10,7 | 12,3 |
| Zzp'ers | 8,6 | 6,8 |