Cybersecuritymonitor 2024

Samenvatting

In de Cybersecuritymonitor rapporteert het CBS over de meest actuele stand van zaken rond de cyberweerbaarheid van bedrijven en personen in Nederland. Dat gebeurt hoofdzakelijk met CBS-cijfers over het aantal cybercrime-gerelateerde incidenten en -maatregelen die genomen worden om deze incidenten te voorkomen.

Hoofdstuk 2: Cybersecuritymaatregelen door bedrijven

  • Grotere bedrijven nemen vaker cybersecuritymaatregelen dan kleinere bedrijven. Voor sommige maatregelen is dit patroon sterker dan voor andere. Voor bijvoorbeeld een gangbare maatregel, zoals het gebruik van antivirussoftware, zijn de verschillen tussen grote en kleine bedrijven niet zo groot. Bij een moeilijker toe te passen maatregel, zoals de encryptie van data, zijn wel grotere verschillen te zien.
  • Vooral het gebruik van tweefactorauthenticatie is sinds 2017 flink toegenomen. Bij bedrijven met 10 tot 50 werkzame personen is dit zelfs ruim verdubbeld van 29 procent in 2017 naar 76 procent in 2024.
  • ICT-veiligheidswerkzaamheden werden in 2023 het vaakst volledig uitbesteed door bedrijven met 10 tot 50 werkzame personen. Bij grote bedrijven (250 of meer werkzame personen) werden de ICT-veiligheidswerkzaamheden juist het vaakst deels uitbesteed en deels door het eigen personeel uitgevoerd. Bedrijven in de ICT-sector zijn het vaakst in staat om hun ICT-veiligheidswerkzaamheden zelf uit te voeren.
  • Van alle bedrijven met 2 of meer werkzame personen was 17 procent in 2024 verzekerd voor cybersecurityincidenten. Grotere bedrijven waren vaker verzekerd dan kleinere bedrijven.
  • Bedrijven gebruiken steeds vaker veilige internetstandaarden op hun website. Zo is de gemiddelde eindscore voor de uitgevoerde websitescan van alle bedrijven met een website (2 of meer werkzame personen) sinds 2020 met 7,6 procentpunt toegenomen: van 60,4 procent in 2020 naar 68,0 procent in januari 2025.

Hoofdstuk 3: Cybersecurityincidenten bij bedrijven

  • Over de jaren heen hebben grote bedrijven consistent vaker cybersecurityincidenten dan kleine bedrijven. Dit geldt voor zowel interne incidenten als incidenten door een aanval van buitenaf. 
  • Het aandeel van bedrijven van een cybersecurityincident met een interne oorzaak of een aanval van buitenaf is door de jaren wel afgenomen. In 2016 had bijvoorbeeld nog bijna 40 procent van de grootste bedrijven (250 of meer werkzame personen) een cybersecurityincident door een aanval van buitenaf, terwijl dit in 2023 nog maar 16 procent was. 
  • Van alle cybersecurityincidenten kregen bedrijven het vaakst te maken met de uitval van een ICT-systeem met een interne oorzaak. In 2023 kreeg 9 procent van de bedrijven met 2 of meer werkzame personen hiermee te maken.
  • Lang niet alle cybersecurityincidenten gaan ook gepaard met kosten. Het aandeel van bedrijven met kosten aan het cybersecurityincident neemt bovendien af met de tijd. In 2023 ging ongeveer een vijfde van de cybersecurityincidenten gepaard met kosten.
  • Cybersecurityincidenten door een aanval van buitenaf kwamen in 2023 het vaakst voor in de ICT-sector (7 procent) en het minst vaak in de horeca (3 procent).
  • Cybersecurityincidenten met een interne oorzaak kwamen in 2023 het vaakst voor in de bedrijfstakken ‘Energie, water en afvalbeheer’ (18 procent) en ‘Gezondheids- en welzijnszorg’ (17 procent), en het minst vaak in de bedrijfstak ‘Verhuur van en handel in onroerend goed’ en de horeca (6 procent).
  • Grotere bedrijven worden percentueel gezien vaker slachtoffer van ransomware-aanval. Van alle bedrijven met 2 of meer werkzame personen kreeg 1 procent in 2023 te maken met een ransomware-aanval. Hoewel slechts 2 procent daarvan losgeld betaalde, kreeg ongeveer een derde wel te maken met andere kosten ten gevolge van de ransomware-aanval.  
  • Bedrijven met een ransomware-aanval schakelden in 2023 vaker een cybersecuritybedrijf (39 procent) in dan de politie (14 procent). 
  • In de eerste helft van 2024 kreeg de AP ruim 9,8 duizend keer een datalekmelding binnen. Hiermee ligt het aantal datalekmeldingen lager dan in de eerste helft van zowel 2023 als 2022 (beide 10,5 duizend). Meestal kwam de datalekmelding voort uit een incident met een brief of postpakket met persoonsgegevens. Bijna 70 procent van de datalekmeldingen werd gedaan door een groot bedrijf of grote organisatie (250 of meer werkzame personen).

Hoofdstuk 4: Online criminaliteit bij personen

  • In 2024 gaf 16 procent van de bevolking van 15 jaar of ouder aan in de afgelopen twaalf maanden slachtoffer te zijn geweest van een of meer vormen van online criminaliteit. De meesten werden slachtoffer van oplichting en fraude (9 procent). Meer mensen gaven in 2024 aan slachtoffer te zijn geweest van online criminaliteit dan in 2022 (toen 15 procent).
  • Slachtofferschap van online criminaliteit verschilde in 2024 nauwelijks naar geslacht en onderwijsniveau. Wel werden jongeren vaker getroffen dan ouderen: 20 procent van de 15- tot 25-jarigen, tegenover 10 procent van de 65-plussers.
  • In totaal heeft 48 procent van de slachtoffers van online criminaliteit in 2024 bij de politie of een andere instantie of persoon melding gemaakt.
  • Bijna alle 15-plussers gaven in 2024 aan één of meer beschermingsmaatregelen te nemen om persoonlijke informatie op het internet te beschermen. Het beperken of weigeren van (online) locatiegegevens was hierbij de meest genomen maatregel. In 2024 was er in vergelijking met 2022 een toename in verschillende maatregelen die mensen treffen.
  • De meest gebruikte maatregel om apparatuur en accounts te beveiligen was het vergrendelen van apparaten met een toegangscode, wachtwoord, vingerafdruk of Face ID: 80 procent van de 15-plussers gaf aan dit voor alle apparaten te doen.

Hoofdstuk 5: Opgelegde sancties voor computervredebreuk

  • Het Openbaar Ministerie (OM) en de rechter kunnen sancties opleggen aan verdachten van computervredebreuk (hacken). Het totaal aantal keren dat het OM een beslissing nam bij computervredebreukzaken nam toe van 440 in de periode 2012—2017 tot 705 in de periode 2018—2023. Van de 705 door het OM genomen beslissingen werden er 131 afgehandeld met een transactie, strafbeschikking of voorwaardelijk beleidssepot. 
  • In de periode 2018-2023 werden 132 computervredebreukzaken afgedaan door de rechter. Dit is bijna 55 procent meer dan in de periode 2012-2017. Bij 80 procent van de zaken deelde de rechter een straf uit.
  • Bij 79 procent van de zaken waarbij door de rechter een straf werd opgelegd in 2018—2023 betrof dit een taakstraf. Dat is meer dan in 2012—2017, toen nog 61 procent werd afgedaan met een taakstraf. Het aandeel opgelegde gevangenisstraffen is daarentegen bijna verdubbeld (43 procent in de periode 2018-2023, tegenover 23 procent in 2012-2017).