Cybersecuritymonitor 2024
Over deze publicatie
Dit is het achtste jaar op rij dat het Centraal Bureau voor de Statistiek de Cybersecuritymonitor uitbrengt. Het doel van de monitor is te rapporteren over de meest actuele stand van zaken rond de cyberweerbaarheid van bedrijven en personen in Nederland. Dat gebeurt hoofdzakelijk met CBS‐cijfers over cybersecuritymaatregelen en cybersecurityincidenten. De Cybersecuritymonitor wordt mede op verzoek van het ministerie van Economische Zaken (EZ) gemaakt.
Samenvatting
In de Cybersecuritymonitor rapporteert het CBS over de meest actuele stand van zaken rond de cyberweerbaarheid van bedrijven en personen in Nederland. Dat gebeurt hoofdzakelijk met CBS-cijfers over het aantal cybercrime-gerelateerde incidenten en -maatregelen die genomen worden om deze incidenten te voorkomen.
Hoofdstuk 2: Cybersecuritymaatregelen door bedrijven
- Grotere bedrijven nemen vaker cybersecuritymaatregelen dan kleinere bedrijven. Voor sommige maatregelen is dit patroon sterker dan voor andere. Voor bijvoorbeeld een gangbare maatregel, zoals het gebruik van antivirussoftware, zijn de verschillen tussen grote en kleine bedrijven niet zo groot. Bij een moeilijker toe te passen maatregel, zoals de encryptie van data, zijn wel grotere verschillen te zien.
- Vooral het gebruik van tweefactorauthenticatie is sinds 2017 flink toegenomen. Bij bedrijven met 10 tot 50 werkzame personen is dit zelfs ruim verdubbeld van 29 procent in 2017 naar 76 procent in 2024.
- ICT-veiligheidswerkzaamheden werden in 2023 het vaakst volledig uitbesteed door bedrijven met 10 tot 50 werkzame personen. Bij grote bedrijven (250 of meer werkzame personen) werden de ICT-veiligheidswerkzaamheden juist het vaakst deels uitbesteed en deels door het eigen personeel uitgevoerd. Bedrijven in de ICT-sector zijn het vaakst in staat om hun ICT-veiligheidswerkzaamheden zelf uit te voeren.
- Van alle bedrijven met 2 of meer werkzame personen was 17 procent in 2024 verzekerd voor cybersecurityincidenten. Grotere bedrijven waren vaker verzekerd dan kleinere bedrijven.
- Bedrijven gebruiken steeds vaker veilige internetstandaarden op hun website. Zo is de gemiddelde eindscore voor de uitgevoerde websitescan van alle bedrijven met een website (2 of meer werkzame personen) sinds 2020 met 7,6 procentpunt toegenomen: van 60,4 procent in 2020 naar 68,0 procent in januari 2025.
Hoofdstuk 3: Cybersecurityincidenten bij bedrijven
- Over de jaren heen hebben grote bedrijven consistent vaker cybersecurityincidenten dan kleine bedrijven. Dit geldt voor zowel interne incidenten als incidenten door een aanval van buitenaf.
- Het aandeel van bedrijven van een cybersecurityincident met een interne oorzaak of een aanval van buitenaf is door de jaren wel afgenomen. In 2016 had bijvoorbeeld nog bijna 40 procent van de grootste bedrijven (250 of meer werkzame personen) een cybersecurityincident door een aanval van buitenaf, terwijl dit in 2023 nog maar 16 procent was.
- Van alle cybersecurityincidenten kregen bedrijven het vaakst te maken met de uitval van een ICT-systeem met een interne oorzaak. In 2023 kreeg 9 procent van de bedrijven met 2 of meer werkzame personen hiermee te maken.
- Lang niet alle cybersecurityincidenten gaan ook gepaard met kosten. Het aandeel van bedrijven met kosten aan het cybersecurityincident neemt bovendien af met de tijd. In 2023 ging ongeveer een vijfde van de cybersecurityincidenten gepaard met kosten.
- Cybersecurityincidenten door een aanval van buitenaf kwamen in 2023 het vaakst voor in de ICT-sector (7 procent) en het minst vaak in de horeca (3 procent).
- Cybersecurityincidenten met een interne oorzaak kwamen in 2023 het vaakst voor in de bedrijfstakken ‘Energie, water en afvalbeheer’ (18 procent) en ‘Gezondheids- en welzijnszorg’ (17 procent), en het minst vaak in de bedrijfstak ‘Verhuur van en handel in onroerend goed’ en de horeca (6 procent).
- Grotere bedrijven worden percentueel gezien vaker slachtoffer van ransomware-aanval. Van alle bedrijven met 2 of meer werkzame personen kreeg 1 procent in 2023 te maken met een ransomware-aanval. Hoewel slechts 2 procent daarvan losgeld betaalde, kreeg ongeveer een derde wel te maken met andere kosten ten gevolge van de ransomware-aanval.
- Bedrijven met een ransomware-aanval schakelden in 2023 vaker een cybersecuritybedrijf (39 procent) in dan de politie (14 procent).
- In de eerste helft van 2024 kreeg de AP ruim 9,8 duizend keer een datalekmelding binnen. Hiermee ligt het aantal datalekmeldingen lager dan in de eerste helft van zowel 2023 als 2022 (beide 10,5 duizend). Meestal kwam de datalekmelding voort uit een incident met een brief of postpakket met persoonsgegevens. Bijna 70 procent van de datalekmeldingen werd gedaan door een groot bedrijf of grote organisatie (250 of meer werkzame personen).
Hoofdstuk 4: Online criminaliteit bij personen
- In 2024 gaf 16 procent van de bevolking van 15 jaar of ouder aan in de afgelopen twaalf maanden slachtoffer te zijn geweest van een of meer vormen van online criminaliteit. De meesten werden slachtoffer van oplichting en fraude (9 procent). Meer mensen gaven in 2024 aan slachtoffer te zijn geweest van online criminaliteit dan in 2022 (toen 15 procent).
- Slachtofferschap van online criminaliteit verschilde in 2024 nauwelijks naar geslacht en onderwijsniveau. Wel werden jongeren vaker getroffen dan ouderen: 20 procent van de 15- tot 25-jarigen, tegenover 10 procent van de 65-plussers.
- In totaal heeft 48 procent van de slachtoffers van online criminaliteit in 2024 bij de politie of een andere instantie of persoon melding gemaakt.
- Bijna alle 15-plussers gaven in 2024 aan één of meer beschermingsmaatregelen te nemen om persoonlijke informatie op het internet te beschermen. Het beperken of weigeren van (online) locatiegegevens was hierbij de meest genomen maatregel. In 2024 was er in vergelijking met 2022 een toename in verschillende maatregelen die mensen treffen.
- De meest gebruikte maatregel om apparatuur en accounts te beveiligen was het vergrendelen van apparaten met een toegangscode, wachtwoord, vingerafdruk of Face ID: 80 procent van de 15-plussers gaf aan dit voor alle apparaten te doen.
Hoofdstuk 5: Opgelegde sancties voor computervredebreuk
- Het Openbaar Ministerie (OM) en de rechter kunnen sancties opleggen aan verdachten van computervredebreuk (hacken). Het totaal aantal keren dat het OM een beslissing nam bij computervredebreukzaken nam toe van 440 in de periode 2012—2017 tot 705 in de periode 2018—2023. Van de 705 door het OM genomen beslissingen werden er 131 afgehandeld met een transactie, strafbeschikking of voorwaardelijk beleidssepot.
- In de periode 2018-2023 werden 132 computervredebreukzaken afgedaan door de rechter. Dit is bijna 55 procent meer dan in de periode 2012-2017. Bij 80 procent van de zaken deelde de rechter een straf uit.
- Bij 79 procent van de zaken waarbij door de rechter een straf werd opgelegd in 2018—2023 betrof dit een taakstraf. Dat is meer dan in 2012—2017, toen nog 61 procent werd afgedaan met een taakstraf. Het aandeel opgelegde gevangenisstraffen is daarentegen bijna verdubbeld (43 procent in de periode 2018-2023, tegenover 23 procent in 2012-2017).
1. Inleiding
Dit is het achtste jaar op rij dat het Centraal Bureau voor de Statistiek (CBS) op verzoek van het ministerie van Economische Zaken (EZ) de Cybersecuritymonitor uitbrengt.1) Het doel van deze monitor is om te rapporteren over de meest actuele stand van zaken rond de cyberweerbaarheid van bedrijven en personen in Nederland. Dit wordt hoofdzakelijk gedaan met CBS‐cijfers uit verschillende bronnen, waaronder het onderzoek ICT-gebruik bij bedrijven (CBS, 2025a), het rapport Toepassing van internetstandaarden voor websites van bedrijven, 2024 (CBS, 2025d), de monitor Online Veiligheid en Criminaliteit 2024 (CBS, 2025c), het onderzoek Strafrechtspraak (CBS, 2024d), en het onderzoek over datalekmeldingen bij de Autoriteit Persoonsgegevens, 1e helft 2024 (CBS, 2024a). Voor een uitgebreidere toelichting op het fenomeen cybersecurity en de gerelateerde begrippen, zie de eerste Cybersecuritymonitor (CBS, 2017a).
De Cybersecuritymonitor is opgebouwd als volgt. In hoofdstuk 2 wordt ingegaan op het scala aan mogelijkheden die bedrijven nemen om de veiligheid van computers, smartphones, laptops, servers en netwerken te verhogen. In hoofdstuk 3 gaat het om het optreden van cybersecurityincidenten die de veiligheid van deze digitale systemen ondermijnen. Cybersecurityincidenten hoeven overigens niet altijd een gevolg van kwaadwillende acties te zijn, want ook een systeemfout waardoor gevoelige data naar buiten gebracht wordt of het verliezen van een onbeveiligde USB‐stick in de trein kan als een cybersecurityincident gezien worden. In hoofdstuk 4 wordt gekeken naar de strafbare feiten die zich voordoen bij personen, zoals incidenten in de sfeer van oplichting en fraude, computervredebreuk, en incidenten in de interpersoonlijke sfeer die niet altijd strafbaar zijn. In hoofdstuk 5 wordt tot slot ingegaan op de sancties die opgelegd zijn door het Openbaar Ministerie (OM) en de rechter aan verdachten van computervredebreuk.
2. Cybersecuritymaatregelen door bedrijven
In dit hoofdstuk wordt ingegaan op de maatregelen die bedrijven in Nederland nemen om zichzelf én hun website cyberweerbaar te maken. In paragraaf 2.1 wordt ingegaan op een breed scala aan maatregelen, zoals het gebruik van antivirussoftware of tweefactorauthenticatie. In paragraaf 2.2 wordt beschreven in hoeverre bedrijven (veilige) internetstandaarden op hun website gebruiken.
2.1 Maatregelen ter verhoging van de cyberweerbaarheid van bedrijven
De cijfers die in deze paragraaf worden getoond, zijn afkomstig uit het onderzoek ICT-gebruik bij bedrijven, oftewel de ‘ICT‐enquête’.
2.1.1 Genomen cybersecuritymaatregelen
De figuren 2.1.1 en 2.1.2 tonen het percentage van bedrijven dat verschillende cybersecuritymaatregelen toepast, naar respectievelijk bedrijfsgrootteklasse en bedrijfstak. De getoonde maatregelen zijn: het gebruik van antivirussoftware, het beschikken over methodes om de ICT-veiligheid in het bedrijf te beoordelen, de encryptie van data, het opslaan van logbestanden voor incidentanalyse, de beheer van toegangsrechten van gebruikers tot het (interne) bedrijfsnetwerk (network access control), de opslag van back-ups, het periodiek uitvoeren van risicoanalyses, het hebben van een beleid voor sterke wachtwoorden, het gebruik van tweefactorauthenticatie, en het gebruik van een VPN buiten het bedrijf. Voor zzp’ers zijn de gegevens pas beschikbaar vanaf 2021. Hoewel met deze maatregelen nooit een compleet beeld van het ICT-beveiligingsniveau van een bedrijf gegeven kan worden, ontstaat hierdoor wel een globale indruk, omdat elke extra maatregel een extra bijdrage levert aan de cyberweerbaarheid van een bedrijf.
| Categorie | 2024, Antivirussoftware (% van bedrijven) | 2023, Antivirussoftware (% van bedrijven) | 2020, Antivirussoftware (% van bedrijven) | 2017, Antivirussoftware (% van bedrijven) | 2024, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2023, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2020, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2017, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2024, Encryptie van data (% van bedrijven) | 2023, Encryptie van data (% van bedrijven) | 2020, Encryptie van data (% van bedrijven) | 2017, Encryptie van data (% van bedrijven) | 2024, Logbestanden voor incidentanalyse (% van bedrijven) | 2023, Logbestanden voor incidentanalyse (% van bedrijven) | 2020, Logbestanden voor incidentanalyse (% van bedrijven) | 2017, Logbestanden voor incidentanalyse (% van bedrijven) | 2024, Network access control (% van bedrijven) | 2023, Network access control (% van bedrijven) | 2020, Network access control (% van bedrijven) | 2017, Network access control (% van bedrijven) | 2024, Opslag van back-ups (% van bedrijven) | 2023, Opslag van back-ups (% van bedrijven) | 2020, Opslag van back-ups (% van bedrijven) | 2017, Opslag van back-ups (% van bedrijven) | 2024, Risicoanalyses (% van bedrijven) | 2023, Risicoanalyses (% van bedrijven) | 2020, Risicoanalyses (% van bedrijven) | 2017, Risicoanalyses (% van bedrijven) | 2024, Beleid sterke wachtwoorden (% van bedrijven) | 2023, Beleid sterke wachtwoorden (% van bedrijven) | 2020, Beleid sterke wachtwoorden (% van bedrijven) | 2017, Beleid sterke wachtwoorden (% van bedrijven) | 2024, Tweefactorauthenticatie (% van bedrijven) | 2023, Tweefactorauthenticatie (% van bedrijven) | 2020, Tweefactorauthenticatie (% van bedrijven) | 2017, Tweefactorauthenticatie (% van bedrijven) | 2024, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2023, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2020, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2017, VPN-gebruik buiten het bedrijf (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 250 of meer werkzame personen | 99 | 99 | 98 | 98 | 88 | 87 | 81 | 72 | 90 | 89 | 83 | 69 | 92 | 92 | 91 | 88 | 92 | 91 | 72 | 67 | 97 | 97 | 95 | 94 | 87 | 86 | 80 | 75 | 98 | 97 | 96 | 93 | 97 | 96 | 87 | 71 | 86 | 85 | 86 | 85 |
| 50 tot 250 werkzame personen | 98 | 98 | 97 | 97 | 73 | 72 | 63 | 55 | 70 | 67 | 64 | 46 | 83 | 82 | 79 | 75 | 90 | 89 | 64 | 60 | 95 | 94 | 91 | 90 | 74 | 71 | 63 | 58 | 92 | 93 | 88 | 81 | 92 | 87 | 68 | 48 | 78 | 78 | 78 | 74 |
| 10 tot 50 werkzame personen | 94 | 94 | 92 | 93 | 47 | 44 | 41 | 34 | 48 | 47 | 44 | 29 | 58 | 56 | 55 | 49 | 72 | 70 | 48 | 42 | 85 | 84 | 82 | 80 | 49 | 47 | 42 | 34 | 80 | 81 | 74 | 64 | 76 | 70 | 54 | 29 | 53 | 52 | 52 | 47 |
| 2 tot 10 werkzame personen | 84 | 86 | 87 | 86 | 21 | 21 | 22 | 17 | 33 | 31 | 35 | 23 | 28 | 28 | 31 | 25 | 39 | 39 | 32 | 28 | 64 | 67 | 68 | 68 | 23 | 23 | 24 | 17 | 69 | 68 | 65 | 55 | 57 | 48 | 42 | 24 | 27 | 27 | 29 | 23 |
| 2 of meer werkzame personen | 86 | 88 | 89 | 87 | 27 | 27 | 28 | 22 | 37 | 35 | 38 | 25 | 34 | 34 | 37 | 31 | 46 | 45 | 37 | 31 | 68 | 70 | 71 | 71 | 29 | 28 | 29 | 22 | 72 | 71 | 68 | 57 | 61 | 53 | 46 | 26 | 33 | 33 | 35 | 29, Network access control |
| 1 werkzame persoon (zzp'er) | 77 | 81 | 11 | 11 | 28 | 32 | 17 | 19 | 23 | 26 | 59 | 64 | 13 | 15 | 65 | 71 | 52 | 54 | 22 | 24 |
| Categorie | 2024, Antivirussoftware (% van bedrijven) | 2023, Antivirussoftware (% van bedrijven) | 2020, Antivirussoftware (% van bedrijven) | 2017, Antivirussoftware (% van bedrijven) | 2024, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2023, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2020, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2017, Methodes beoordelen ICT-veiligheid (% van bedrijven) | 2024, Encryptie van data (% van bedrijven) | 2023, Encryptie van data (% van bedrijven) | 2020, Encryptie van data (% van bedrijven) | 2017, Encryptie van data (% van bedrijven) | 2024, Logbestanden voor incidentanalyse (% van bedrijven) | 2023, Logbestanden voor incidentanalyse (% van bedrijven) | 2020, Logbestanden voor incidentanalyse (% van bedrijven) | 2017, Logbestanden voor incidentanalyse (% van bedrijven) | 2024, Network access control (% van bedrijven) | 2023, Network access control (% van bedrijven) | 2020, Network access control (% van bedrijven) | 2017, Network access control (% van bedrijven) | 2024, Opslag van back-ups (% van bedrijven) | 2023, Opslag van back-ups (% van bedrijven) | 2020, Opslag van back-ups (% van bedrijven) | 2017, Opslag van back-ups (% van bedrijven) | 2024, Risicoanalyses (% van bedrijven) | 2023, Risicoanalyses (% van bedrijven) | 2020, Risicoanalyses (% van bedrijven) | 2017, Risicoanalyses (% van bedrijven) | 2024, Beleid sterke wachtwoorden (% van bedrijven) | 2023, Beleid sterke wachtwoorden (% van bedrijven) | 2020, Beleid sterke wachtwoorden (% van bedrijven) | 2017, Beleid sterke wachtwoorden (% van bedrijven) | 2024, Tweefactorauthenticatie (% van bedrijven) | 2023, Tweefactorauthenticatie (% van bedrijven) | 2020, Tweefactorauthenticatie (% van bedrijven) | 2017, Tweefactorauthenticatie (% van bedrijven) | 2024, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2023, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2020, VPN-gebruik buiten het bedrijf (% van bedrijven) | 2017, VPN-gebruik buiten het bedrijf (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Industrie | 92 | 92 | 91 | 93 | 33 | 32 | 32 | 26 | 32 | 33 | 35 | 22 | 39 | 38 | 42 | 36 | 53 | 51 | 40 | 34 | 76 | 75 | 77 | 77 | 35 | 32 | 31 | 24 | 71 | 71 | 67 | 58 | 63 | 54 | 43 | 24 | 42 | 41 | 42 | 36 |
| Energie, water, afvalbeheer | 94 | 93 | 88 | 91 | 42 | 47 | 35 | 35 | 40 | 42 | 38 | 29 | 53 | 50 | 51 | 48 | 62 | 64 | 51 | 37 | 76 | 82 | 70 | 78 | 42 | 45 | 37 | 33 | 77 | 79 | 71 | 67 | 69 | 63 | 46 | 34 | 50 | 51 | 50 | 42 |
| Bouwnijverheid | 85 | 88 | 89 | 85 | 23 | 20 | 22 | 16 | 22 | 19 | 23 | 15 | 26 | 23 | 29 | 20 | 38 | 32 | 31 | 20 | 62 | 66 | 66 | 64 | 20 | 17 | 21 | 16 | 64 | 64 | 64 | 50 | 47 | 39 | 33 | 16 | 26 | 24 | 26 | 20 |
| Handel | 86 | 87 | 89 | 88 | 25 | 24 | 27 | 19 | 32 | 27 | 33 | 20 | 32 | 34 | 35 | 29 | 43 | 43 | 37 | 29 | 65 | 69 | 72 | 67 | 26 | 26 | 26 | 20 | 71 | 70 | 67 | 57 | 55 | 46 | 43 | 21 | 33 | 31 | 34 | 26 |
| Vervoer en opslag | 87 | 88 | 87 | 84 | 21 | 20 | 23 | 18 | 29 | 27 | 30 | 17 | 25 | 26 | 31 | 25 | 33 | 29 | 30 | 23 | 62 | 62 | 65 | 61 | 26 | 23 | 24 | 19 | 64 | 64 | 65 | 56 | 56 | 44 | 45 | 21 | 25 | 24 | 26 | 23 |
| Horeca | 77 | 79 | 76 | 76 | 13 | 15 | 12 | 8 | 18 | 19 | 22 | 11 | 13 | 12 | 15 | 13 | 22 | 26 | 20 | 17 | 42 | 46 | 43 | 52 | 14 | 15 | 13 | 10 | 58 | 56 | 53 | 38 | 44 | 33 | 29 | 16 | 14 | 15 | 12 | 13 |
| Informatie en communicatie | 86 | 86 | 90 | 87 | 48 | 41 | 43 | 35 | 71 | 66 | 65 | 58 | 65 | 61 | 63 | 60 | 70 | 65 | 51 | 51 | 87 | 84 | 84 | 87 | 52 | 47 | 48 | 39 | 90 | 83 | 82 | 77 | 88 | 77 | 60 | 47 | 59 | 51 | 55 | 54 |
| Financiële dienstverlening | 92 | 88 | 92 | 88 | 54 | 49 | 55 | 41 | 55 | 54 | 56 | 38 | 65 | 57 | 59 | 50 | 71 | 64 | 55 | 48 | 85 | 82 | 76 | 75 | 59 | 54 | 51 | 39 | 81 | 83 | 80 | 75 | 83 | 75 | 64 | 45 | 48 | 51 | 55 | 51 |
| Verhuur en handel van onroerend goed | 80 | 84 | 82 | 80 | 21 | 25 | 28 | 25 | 26 | 31 | 37 | 26 | 29 | 30 | 33 | 31 | 43 | 44 | 33 | 36 | 62 | 66 | 64 | 69 | 23 | 24 | 24 | 22 | 72 | 65 | 59 | 51 | 61 | 56 | 39 | 28 | 25 | 32 | 31 | 34 |
| Specialistische zakelijke diensten | 89 | 91 | 92 | 90 | 31 | 32 | 30 | 28 | 46 | 47 | 46 | 31 | 42 | 44 | 44 | 39 | 57 | 58 | 41 | 38 | 81 | 84 | 80 | 83 | 32 | 34 | 31 | 25 | 79 | 77 | 73 | 67 | 75 | 68 | 52 | 31 | 39 | 43 | 44 | 36 |
| Verhuur en overige zakelijke diensten | 87 | 87 | 90 | 84 | 25 | 23 | 27 | 21 | 33 | 31 | 39 | 22 | 28 | 29 | 34 | 29 | 42 | 39 | 34 | 28 | 68 | 68 | 70 | 70 | 26 | 25 | 28 | 19 | 71 | 67 | 67 | 56 | 59 | 47 | 48 | 20 | 29 | 28 | 31 | 25 |
| Gezondheids- en welzijnszorg | 93 | 95 | 96 | 97 | 35 | 36 | 38 | 29 | 69 | 67 | 67 | 51 | 50 | 50 | 51 | 39 | 64 | 63 | 48 | 46 | 82 | 83 | 86 | 84 | 45 | 46 | 46 | 31 | 83 | 84 | 80 | 66 | 80 | 77 | 67 | 47 | 41 | 43 | 48 | 37 |
| ICT-sector | 88 | 87 | 90 | 90 | 54 | 47 | 44 | 37 | 76 | 71 | 67 | 60 | 70 | 69 | 65 | 64 | 75 | 72 | 53 | 54 | 89 | 87 | 84 | 89 | 58 | 53 | 50 | 42 | 91 | 86 | 84 | 80 | 90 | 84 | 63 | 49 | 64 | 58 | 59 | 59 |
Grotere bedrijven nemen vaker maatregelen tegen cyberdreigingen
Figuur 2.1.1 laat zien dat grotere bedrijven vaker cybersecuritymaatregelen nemen dan kleinere bedrijven. Voor sommige maatregelen is dit patroon sterker dan voor andere. Voor bijvoorbeeld een gangbare maatregel als het gebruik van antivirussoftware zijn de verschillen tussen grotere en kleinere bedrijven niet zo groot: meer dan 86 procent van alle bedrijven met meer dan 2 werkzame personen gebruikte in 2024 antivirussoftware, ongeacht de grootteklasse. Bij een moeilijker toe te passen maatregel, zoals de encryptie van data, zijn wel grotere verschillen te zien. In 2024 maakte bijvoorbeeld 33 procent van de microbedrijven (2 tot 10 werkzame personen) gebruik van de encryptie van data, tegenover 90 procent van de grote bedrijven (250 of meer werkzame personen). Het is begrijpelijk dat grote bedrijven meer maatregelen treffen, omdat zij vaak een grotere en complexere ICT-infrastructuur hebben dat een breder spectrum aan beveiligingsmaatregelen vereist. Over het algemeen worden cybersecuritymaatregelen het minst vaak genomen door zzp’ers.
Flinke toename van tweefactorauthenticatie
Figuur 2.1.1 laat zien dat vooral het gebruik van tweefactorauthenticatie sinds 2017 flink is toegenomen. Bij deze manier van inloggen moet naast een wachtwoord, ook een extra code ingevoerd worden die per inlogsessie verandert. Deze code wordt verkregen via een specifiek apparaatje of via een app op de smartphone. Dit maakt het inloggen een stuk veiliger, want zelfs als een wachtwoord onderschept wordt, biedt de vereiste extra code bescherming tegen inloggen door ongeautoriseerde gebruikers. Het gebruik van tweefactorauthenticatie komt vanaf 2017 in alle grootteklassen steeds vaker voor. Bij grote bedrijven (250 of meer werkzame personen) is dit bijvoorbeeld toegenomen van 71 procent in 2017 naar 97 procent in 2024. Bij bedrijven met 10 tot 50 werkzame personen is dit zelfs meer dan verdubbeld van 29 procent in 2017 naar 76 procent in 2024.
Bedrijfstakken met gevoelige (persoons)data nemen meer cybersecuritymaatregelen
Figuur 2.1.2 laat de genomen cybersecuritymaatregelen zien per bedrijfstak met 2 of meer werkzame personen. Bedrijfstakken die meer met ICT bezig zijn, of waarin met gevoelige (persoons)data wordt gewerkt, zoals de ICT-sector en de bedrijfstakken ‘Gezondheids- en welzijnszorg’ en ‘Financiële dienstverlening’, namen in 2024 vaker cybersecuritymaatregelen dan andere bedrijfstakken, zoals de horeca. Het ligt voor de hand dat er in de horeca minder cybersecuritymaatregelen worden genomen, omdat horecabedrijven voor hun werkzaamheden vaak minder afhankelijk zijn van ICT. Dit blijkt bijvoorbeeld uit eerdere cijfers over de mate van digitalisering van bedrijven.
Grotere bedrijven nemen een groter aantal cybersecuritymaatregelen tegelijk
Dat grote bedrijven vaker verschillende ICT-maatregelen nemen dan kleinere bedrijven, komt nogmaals terug in de figuren 2.1.3 en 2.1.4. In deze figuren wordt respectievelijk per bedrijfsgrootte en bedrijfstak het percentage bedrijven getoond dat een zeker aantal maatregelen neemt. De resultaten laten zien dat kleinere bedrijven vaak een kleiner aantal maatregelen nemen, terwijl grotere bedrijven juist vaker meerdere maatregelen tegelijk nemen. Van de grote bedrijven (250 of meer werkzame personen) nam in 2024 bijvoorbeeld 64 procent van de bedrijven alle tien de uitgevraagde maatregelen, tegenover 6 procent van de microbedrijven (2 tot 10 werkzame personen). In figuur 2.1.4 is te zien dat bedrijven in de ICT-sector over het algemeen de meeste maatregelen nemen, terwijl in de horeca minder maatregelen genomen worden. Merk op dat alleen een selectie van bedrijfstakken wordt getoond, namelijk de bedrijfstakken waar de genomen cybersecuritymaatregelen het meest uiteenlopen. Een overzicht van alle bedrijfstakken wordt getoond in tabel A.2.1.
| VARIABLE | 1 werkzame persoon (zzp'er) (% van bedrijven) | 2 of meer werkzame personen (% van bedrijven) | 2 tot 10 werkzame personen (% van bedrijven) | 10 tot 50 werkzame personen (% van bedrijven) | 50 tot 250 werkzame personen (% van bedrijven) | 250 of meer werkzame personen (% van bedrijven) |
|---|---|---|---|---|---|---|
| 0 | 12 | 9 | 10 | 3 | 1 | 1 |
| 1 | 10 | 6 | 7 | 2 | 0 | 0 |
| 2 | 14 | 10 | 12 | 4 | 1 | 0 |
| 3 | 15 | 11 | 13 | 6 | 1 | 0 |
| 4 | 15 | 11 | 12 | 8 | 2 | 0 |
| 5 | 13 | 10 | 11 | 9 | 4 | 1 |
| 6 | 8 | 9 | 9 | 11 | 6 | 2 |
| 7 | 5 | 9 | 8 | 12 | 9 | 4 |
| 8 | 2 | 8 | 6 | 13 | 13 | 9 |
| 9 | 2 | 7 | 5 | 13 | 21 | 19 |
| 10 | 4 | 10 | 6 | 19 | 42 | 64 |
| VARIABLE | ICT-sector (% van bedrijven) | Industrie (% van bedrijven) | Horeca (% van bedrijven) | Financiële dienstverlening (% van bedrijven) | Gezondheids- en welzijnszorg (% van bedrijven) |
|---|---|---|---|---|---|
| 0 | 2 | 6 | 17 | 5 | 3 |
| 1 | 0 | 6 | 11 | 3 | 2 |
| 2 | 2 | 10 | 20 | 4 | 5 |
| 3 | 3 | 8 | 15 | 4 | 6 |
| 4 | 8 | 12 | 10 | 9 | 6 |
| 5 | 9 | 11 | 9 | 5 | 11 |
| 6 | 7 | 10 | 6 | 4 | 12 |
| 7 | 9 | 9 | 3 | 16 | 17 |
| 8 | 10 | 9 | 3 | 11 | 12 |
| 9 | 17 | 9 | 3 | 15 | 12 |
| 10 | 33 | 11 | 3 | 26 | 14 |
2.1.2 Uitvoering ICT-veiligheidswerkzaamheden
In figuren 2.1.5 en 2.1.6 wordt de organisatie van de ICT-veiligheidswerkzaamheden onder de loep genomen. Per grootteklasse en bedrijfstak wordt gekeken wie de ICT-veiligheidswerkzaamheden binnen het bedrijf uitvoert: het eigen personeel, een extern bedrijf of een mix van beide. Met ICT-veiligheidswerkzaamheden wordt onder andere het uitvoeren van ICT-veiligheidstesten, het geven van ICT-veiligheidstrainingen of het oplossen van ICT-veiligheidsincidenten, bedoeld. Vanaf 2022 worden deze resultaten ook voor zzp'ers weergegeven. Merk op dat vanaf 2020 de vraagstelling wel is veranderd, door de optie ‘niet van toepassing' toe te voegen.
ICT-veiligheidswerkzaamheden het vaakst uitbesteed door kleine bedrijven
Figuur 2.1.5 laat zien dat de ICT-veiligheidswerkzaamheden in 2023 het vaakst volledig werden uitbesteed door kleine bedrijven (10 tot 50 werkzame personen). Bij grote bedrijven (250 of meer werkzame personen) werden de werkzaamheden juist het vaakst deels uitbesteed en deels door het eigen personeel uitgevoerd. Dit laatste is niet opmerkelijk, omdat een groot bedrijf meer personeel in dienst heeft en vaker over de middelen beschikt om complexere zaken uit te besteden. Bij zzp'ers en microbedrijven (2 tot 10 werkzame personen) kwam de optie ‘Niet van toepassing’ het vaakst voor. In alle grootteklassen lijkt de optie ‘Niet van toepassing’ door de tijd heen wel toe te nemen.
ICT-veiligheidswerkzaamheden het vaakst uitgevoerd door eigen personeel in de ICT-sector
Figuur 2.1.6 toont aan dat bedrijven in de ICT-sector vaker in staat zijn om hun ICT-veiligheidswerkzaamheden zelf uit te voeren. In 2023 deed 48 procent dit volledig zelf. Dit is niet opmerkelijk, omdat het te verwachten is dat bij deze bedrijven voldoende expertise voorhanden is om de ICT-beveiliging zelf uit te voeren. In de bedrijfstakken ‘Gezondheids- en welzijnszorg’ en ‘Industrie’ werden de ICT-veiligheidswerkzaamheden in 2023 bij respectievelijk 39 procent en 35 procent van de bedrijven volledig uitbesteed. Bijna drie kwart van de horecabedrijven gaf daarentegen aan dat ICT-veiligheidswerkzaamheden in 2023 niet van toepassing waren. Dit hangt waarschijnlijk samen met het feit dat er in de horeca relatief weinig cybersecuritymaatregelen genomen worden, waardoor ICT-veiligheidswerkzaamheden vaker niet aan de orde zijn. Merk op dat slechts een selectie van bedrijfstakken wordt getoond, namelijk de bedrijfstakken waar de genomen cybersecuritymaatregelen het meest uiteenlopen. Een overzicht van alle bedrijfstakken is te vinden in tabel A.2.2.
| jaar | Extern bedrijf (% van bedrijven) | Eigen personeel (% van bedrijven) | Eigen personeel en extern bedrijf (% van bedrijven) | Niet van toepassing (% van bedrijven) |
|---|---|---|---|---|
| ≥250 werkzame personen | ||||
| 2023 | 15 | 19 | 63 | 3 |
| 2022 | 14 | 21 | 62 | 4 |
| 2019 | 20 | 22 | 58 | |
| 2018 | 17 | 17 | 67 | |
| 50 tot 250 werkzame personen | ||||
| 2023 | 35 | 18 | 40 | 7 |
| 2022 | 34 | 21 | 37 | 7 |
| 2019 | 42 | 24 | 34 | |
| 2018 | 34 | 21 | 45 | |
| 10 tot 50 werkzame personen | ||||
| 2023 | 45 | 15 | 18 | 22 |
| 2022 | 39 | 18 | 18 | 24 |
| 2019 | 59 | 27 | 14 | |
| 2018 | 47 | 25 | 27 | |
| 2 tot 10 werkzame personen | ||||
| 2023 | 23 | 15 | 6 | 56 |
| 2022 | 23 | 16 | 6 | 55 |
| 2019 | 42 | 51 | 7 | |
| 2018 | 31 | 53 | 16 | |
| ≥2 werkzame personen | ||||
| 2023 | 27 | 15 | 9 | 49 |
| 2022 | 26 | 17 | 9 | 49 |
| 2019 | 45 | 46 | 9 | |
| 2018 | 34 | 47 | 19 | |
| 1 werkzame persoon | ||||
| 2023 | 10 | 37 | 2 | 51 |
| 2022 | 10 | 35 | 4 | 51 |
| jaar | Extern bedrijf (% van bedrijven) | Eigen personeel (% van bedrijven) | Eigen personeel en extern bedrijf (% van bedrijven) | Niet van toepassing (% van bedrijven) |
|---|---|---|---|---|
| Industrie | ||||
| 2023 | 35 | 13 | 11 | 40 |
| 2022 | 33 | 15 | 11 | 41 |
| 2019 | 52 | 36 | 12 | |
| 2018 | 40 | 39 | 21 | |
| Horeca | ||||
| 2023 | 15 | 9 | 3 | 73 |
| 2022 | 18 | 11 | 4 | 68 |
| 2019 | 37 | 59 | 4 | |
| 2018 | 20 | 71 | 9 | |
| ICT-sector | ||||
| 2023 | 9 | 48 | 22 | 21 |
| 2022 | 5 | 52 | 19 | 24 |
| 2019 | 10 | 69 | 20 | |
| 2018 | 12 | 61 | 27 | |
| Financiële dienstverlening | ||||
| 2023 | 37 | 13 | 25 | 24 |
| 2022 | 33 | 18 | 16 | 33 |
| 2019 | 49 | 36 | 15 | |
| 2018 | 46 | 29 | 25 | |
| Gezondheids- en welzijnszorg | ||||
| 2023 | 39 | 14 | 14 | 33 |
| 2022 | 40 | 16 | 13 | 32 |
| 2019 | 54 | 32 | 14 | |
| 2018 | 44 | 29 | 27 | |
2.1.3 Verzekering voor cybersecurityincidenten
Grote bedrijven vaker verzekerd voor cybersecurityincidenten
Figuren 2.1.7 en 2.1.8 laten zien welk percentage van bedrijven per grootteklasse en bedrijfstak een verzekering voor cybersecurityincidenten afgesloten heeft. Van alle bedrijven met 2 of meer werkzame personen was 17 procent in 2024 verzekerd voor cybersecurityincidenten (figuur 2.1.7). Grotere bedrijven waren vaker verzekerd dan kleinere bedrijven. Van de zzp’ers was bijvoorbeeld slechts 6 procent verzekerd, terwijl van de bedrijven met 250 of meer werkzame personen zo’n 44 procent verzekerd was. Uit figuur 2.1.8 blijkt dat in 2024 de hoogste percentages van verzekerde bedrijven te vinden waren in de ICT-sector, en de bedrijfstakken ‘Financiële dienstverlening’, ‘Informatie en communicatie’, en ‘Gezondheids- en welzijnszorg’.
| dim_gk | 2024 (% van bedrijven) | 2023 (% van bedrijven) | 2022 (% van bedrijven) | 2019 (% van bedrijven) |
|---|---|---|---|---|
| 250 of meer werkzame personen | 44 | 44 | 44 | 34 |
| 50 tot 250 werkzame personen | 39 | 38 | 37 | 28 |
| 10 tot 50 werkzame personen | 29 | 30 | 29 | 25 |
| 2 tot 10 werkzame personen | 14 | 13 | 14 | 13 |
| 2 of meer werkzame personen | 17 | 17 | 17 | 16 |
| 1 werkzame persoon (zzp'er) | 6 | 6 | 6 |
| dim_sbi | 2024 (% van bedrijven) | 2023 (% van bedrijven) | 2022 (% van bedrijven) | 2019 (% van bedrijven) |
|---|---|---|---|---|
| Industrie | 19 | 18 | 17 | 13 |
| Energie, water, afvalbeheer | 23 | 22 | 14 | 18 |
| Bouwnijverheid | 12 | 11 | 9 | 10 |
| Handel | 14 | 14 | 14 | 14 |
| Vervoer en opslag | 11 | 11 | 13 | 11 |
| Horeca | 10 | 9 | 5 | 5 |
| Informatie en communicatie | 31 | 31 | 31 | 31 |
| Financiële dienstverlening | 39 | 33 | 41 | 35 |
| Verhuur en handel van onroerend goed | 21 | 19 | 22 | 16 |
| Specialistische zakelijke diensten | 23 | 22 | 23 | 22 |
| Verhuur en overige zakelijke diensten | 15 | 14 | 15 | 15 |
| Gezondheids- en welzijnszorg | 25 | 27 | 30 | 25 |
| ICT-sector | 35 | 36 | 35 | 32 |
2.2 Maatregelen ter beveiliging van de websites van bedrijven
In deze paragraaf wordt in kaart gebracht in hoeverre bedrijven (veilige) internetstandaarden gebruiken op hun website. Het CBS heeft hiervoor meer dan 16 000 websites van bedrijven met de webtool Internet.nl van Platform Internetstandaarden getest op het gebruik van bijna veertig internetstandaarden. Het toepassen van internetstandaarden verhoogt de veiligheid, betrouwbaarheid en toegankelijkheid van het internet. Voor meer achtergrondinformatie, zie het onderzoek Toepassing van internetstandaarden voor websites van bedrijven, 2024 (CBS, 2025d).
Steeds vaker veilige internetstandaarden op websites van bedrijven
Met de webtool Internet.nl zijn de websites van bedrijven getest op het gebruik van bijna veertig internetstandaarden. Op basis van de veertig onderliggende testen is aan elke website een eindscore tussen de 0 en 100 procent toegekend. Een website met een eindscore van 100 procent voldoet aan alle eisen om de website zo veilig, betrouwbaar en toegankelijk mogelijk te maken.
Figuur 2.2.1 toont de gemiddelde eindscore per bedrijfsgrootteklasse. Het is te zien dat deze eindscore voor alle bedrijfsgrootteklassen ongeveer gelijk is, en per jaar gestaag toeneemt. Zo is de gemiddelde Internet.nl-eindscore voor alle bedrijven met een website met 2 of meer werkzame personen gestegen van 60,4 procent in 2020 naar 68,0 procent in januari 2025. In figuur 2.2.2 wordt ook de gemiddelde eindscore per bedrijfstak getoond. In januari 2025 varieerde de gemiddelde eindscore van 66,1 procent voor de bedrijfstak ‘Vervoer en opslag’ tot 72,2 procent voor de bedrijfstak ‘Gezondheids- en welzijnszorg’. Vergeleken met een jaar eerder lijkt vooral de bedrijfstak ‘Financiële dienstverlening’ in het afgelopen jaar relatief veel aandacht besteed te hebben aan het implementeren van veilige internetstandaarden voor hun website.
| 2025 | 2024 | 2023 | 2020 | |
|---|---|---|---|---|
| 250 of meer werkzame personen | 68,7 | 67,0 | 65,0 | 59,2 |
| 50 tot 250 werkzame personen | 66,6 | 64,1 | 63,0 | 58,0 |
| 10 tot 50 werkzame personen | 67,8 | 65,8 | 64,4 | 59,2 |
| 2 tot 10 werkzame personen | 68,0 | 65,8 | 64,2 | 60,8 |
| 2 of meer werkzame personen | 68,0 | 65,8 | 64,2 | 60,4 |
| Zzp'ers | 70,1 | 67,3 |
| 2025 | 2024 | 2023 | 2020 | |
|---|---|---|---|---|
| ICT-sector | 66,9 | 65,2 | 68,9 | 61,4 |
| Gezondheids- en welzijnszorg | 72,2 | 68,0 | 67,6 | 62,7 |
| Verhuur en overige zakelijke diensten | 72,1 | 65,8 | 65,8 | 63,2 |
| Specialistische zakelijke dienstverlening | 69,0 | 67,8 | 68,9 | 60,9 |
| Verhuur en handel van onroerend goed | 66,4 | 63,5 | 64,8 | 59,4 |
| Financiële dienstverlening | 72,2 | 70,4 | 68,1 | 57,7 |
| Informatie en communicatie | 67,2 | 66,1 | 68,8 | 61,4 |
| Horeca | 70,0 | 67,4 | 61,0 | 63,3 |
| Vervoer en opslag | 66,1 | 64,7 | 63,1 | 57,7 |
| Handel | 67,8 | 63,7 | 63,2 | 59,4 |
| Bouwnijverheid | 71,2 | 66,2 | 66,9 | 57,7 |
| Energie, water, afvalbeheer | 67,4 | 64,5 | 63,4 | 56,8 |
| Industrie | 66,9 | 64,5 | 64,4 | 57,5 |
Kleinere bedrijven lopen voorop met IPv6, grote bedrijven met HSTS
Hoewel de eindscore vrij gelijkmatig over de verschillende bedrijfsgrootteklassen verdeeld is, laten de onderliggende subtesten wel duidelijke verschillen zien per bedrijfsgrootteklasse. Elk apparaat dat verbinding maakt met het internet heeft bijvoorbeeld een uniek IP-adres. Vroeger werden vooral IP-adressen van het type IP versie 4 (IPv4) gebruikt, maar omdat deze op dreigen te raken, worden er tegenwoordig ook steeds meer IP-adressen van het type ‘IP versie 6’ (IPv6) gebruikt. Het ondersteunen van IPv6 is belangrijk om het internet ook in de toekomst toegankelijk te houden. In figuur 2.2.3 is te zien dat kleinere bedrijven vaker een website hebben die bereikbaar is via een modern IPv6-adres. Dat kleine bedrijven vaker slagen dan grote bedrijven, komt wellicht doordat kleine bedrijven hun website vaker hosten bij externe providers, terwijl grote bedrijven hun website mogelijk vaker draaien op eigen servers die minder up-to-date zijn.
| 2025 | 2024 | 2023 | 2020 | |
|---|---|---|---|---|
| 250 of meer werkzame personen | 29,4 | 25,5 | 20,5 | 14,5 |
| 50 tot 250 werkzame personen | 31,0 | 27,7 | 24,2 | 18,3 |
| 10 tot 50 werkzame personen | 35,5 | 32,7 | 29,5 | 22,7 |
| 2 tot 10 werkzame personen | 39,5 | 37,0 | 37,2 | 31,9 |
| 2 of meer werkzame personen | 38,3 | 35,7 | 35,2 | 29,2 |
| Zzp'ers | 48,4 | 44,6 |
Aan de andere kant toont figuur 2.2.5 dat grotere bedrijven juist weer beter scoren op het ondersteunen van HSTS, oftewel HTTPS Strict Transport Security. Websites met HSTS vereisen dat de webbrowser de website alleen via het beveiligde HTTPS kunnen benaderen en niet via het onveilige HTTP-protocol. Dat grote bedrijven hier weer hoger op scoren, komt waarschijnlijk omdat deze instelling met de juiste kennis op netwerkniveau ingesteld kan worden. Waar bij IPv6 gebruik wordt gemaakt van de hardware van de webserver, vereist de ondersteuning van HSTS dat op netwerkniveau een IT-specialist de juiste instellingen gekozen heeft. Uit eerder gepubliceerde cijfers op Statline blijkt dan ook dat grote bedrijven vaker ICT-specialisten in dienst hebben.
| 2025 | 2024 | 2023 | 2020 | |
|---|---|---|---|---|
| 250 of meer werkzame personen | 35,3 | 35,2 | 29,4 | 35 |
| 50 tot 250 werkzame personen | 27,2 | 24,3 | 22,7 | 21,9 |
| 10 tot 50 werkzame personen | 20,0 | 16,0 | 14,3 | 13,7 |
| 2 tot 10 werkzame personen | 14,3 | 10,6 | 9,1 | 11,0 |
| 2 of meer werkzame personen | 16,1 | 12,4 | 10,7 | 12,3 |
| Zzp'ers | 8,6 | 6,8 |
3. Cybersecurityincidenten bij bedrijven
In het voorgaande hoofdstuk werd gekeken naar de maatregelen die bedrijven nemen om meer cyberweerbaar te worden. In dit hoofdstuk wordt ingegaan op de cybersecurityincidenten die plaatsvinden, ondanks de genomen maatregelen. Hierbij wordt allereerst gekeken naar interne incidenten, die door onopzettelijk of eigen toedoen ontstaan, en incidenten die ontstaan ten gevolge van een aanval van buitenaf (paragraaf 3.1). In de rest van het hoofdstuk wordt daarna specifiek ingegaan op ransomware-aanvallen (paragraaf 3.2) en datalekmeldingen bij de Autoriteit Persoonsgegevens (paragraaf 3.3).
3.1 Cybersecurityincidenten door eigen toedoen of een aanval van buitenaf
In de ICT‐enquête (zie paragraaf 2.1) worden twee soorten cybersecurityincidenten onderscheiden: incidenten met een interne oorzaak en incidenten door een aanval van buitenaf. Voor beide soorten incidenten worden drie varianten onderscheiden.
3.1.1 Cybersecurityincidenten per bedrijfsgrootteklasse
In de ICT‐enquête wordt aan bedrijven gevraagd hoe vaak ze te maken hebben gehad met de eerder genoemde cybersecurityincidenten in het jaar daarvoor. Ook wordt gevraagd of er kosten werden gemaakt ten gevolge van de cybersecurityincidenten.3) Deze vragen zijn inmiddels acht opeenvolgende jaren voorgelegd. In het volgende deel worden de resultaten eerst per bedrijfsgrootteklasse besproken. Daarna wordt gekeken naar de ontwikkeling per bedrijfstak.
Cybersecurityincidenten komen vaker voor bij grote bedrijven
In figuren 3.1.1 en 3.1.2 wordt het percentage van bedrijven getoond naar bedrijfsgrootteklasse dat minstens één cybersecurityincident heeft gehad als gevolg van een aanval van buitenaf (figuur 3.1.1) of een interne oorzaak (figuur 3.1.2). Het linkerdeel van de staafjes geeft het percentage van bedrijven weer dat aangeeft dat er kosten met het incident gemoeid waren.
Over de jaren heen blijken grote bedrijven consistent vaker cybersecurityincidenten te hebben dan kleine bedrijven. Dit geldt voor zowel interne incidenten als incidenten door een aanval van buitenaf. Voor dit patroon kunnen meerdere oorzaken zijn. Zo kan bij interne incidenten, zoals uitval van ICT-systemen door hardware of software storingen, meespelen dat grote bedrijven vaker een grotere en complexere ICT-infrastructuur hebben. Een groter aantal computers of meer hardware binnen een bedrijf gaat immers gepaard met een grotere kans dat er schade aan één van de systemen optreedt. Bij incidenten door een aanval van buitenaf is het daarnaast aannemelijk dat grote bedrijven interessanter zijn voor cybercriminelen. Bij grote bedrijven valt immers meer te halen en daar is de (publiciteits)schade groter. Tot slot kan meespelen dat grote bedrijven vaak meer ICT-specialisten in dienst hebben. Hierdoor kan de kans op detectie van ICT‐veiligheidsincidenten groter zijn.
| jaar | Incident met kosten, Alle typen1) (% van bedrijven) | Incident zonder kosten, Alle typen1) (% van bedrijven) | Incident met kosten, Uitval ICT-systeem (% van bedrijven) | Incident zonder kosten, Uitval ICT-systeem (% van bedrijven) | Incident met kosten, Vernietiging data (% van bedrijven) | Incident zonder kosten, Vernietiging data (% van bedrijven) | Incident met kosten, Onthulling data (% van bedrijven) | Incident zonder kosten, Onthulling data (% van bedrijven) | Totaal, Alle typen1) (% van bedrijven) | Totaal, Uitval ICT-systeem (% van bedrijven) | Totaal,Vernietiging data (% van bedrijven) | Totaal, Onthulling data (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 250 of meer werkzame personen | ||||||||||||
| 2023 | 4 | 12 | 2 | 5 | 1 | 1 | 2 | 7 | 16 | 7 | 2 | 9 |
| 2022 | 5 | 14 | 3 | 6 | 2 | 1 | 3 | 8 | 19 | 9 | 3 | 11 |
| 2019 | 9 | 10 | 6 | 5 | 3 | 3 | 3 | 5 | 19 | 11 | 6 | 8 |
| 2016 | 18 | 21 | 12 | 10 | 9 | 15 | 2 | 3 | 39 | 22 | 24 | 5 |
| 50 tot 250 werkzame personen | ||||||||||||
| 2023 | 2 | 8 | 2 | 4 | 1 | 1 | 1 | 3 | 10 | 6 | 2 | 4 |
| 2022 | 3 | 8 | 2 | 5 | 1 | 1 | 1 | 4 | 11 | 7 | 2 | 5 |
| 2019 | 5 | 7 | 3 | 5 | 2 | 1 | 1 | 3 | 12 | 8 | 3 | 4 |
| 2016 | 15 | 14 | 9 | 8 | 8 | 10 | 1 | 1 | 29 | 17 | 18 | 2 |
| 10 tot 50 werkzame personen | ||||||||||||
| 2023 | 2 | 5 | 1 | 3 | 0 | 1 | 1 | 2 | 7 | 4 | 1 | 3 |
| 2022 | 2 | 5 | 2 | 3 | 1 | 1 | 0 | 2 | 7 | 5 | 2 | 2 |
| 2019 | 4 | 5 | 4 | 3 | 2 | 1 | 1 | 1 | 9 | 7 | 3 | 2 |
| 2016 | 10 | 8 | 6 | 6 | 6 | 5 | 1 | 1 | 18 | 12 | 11 | 2 |
| 2 tot 10 werkzame personen | ||||||||||||
| 2023 | 1 | 3 | 1 | 1 | 0 | 1 | 0 | 1 | 4 | 2 | 1 | 1 |
| 2022 | 1 | 3 | 1 | 2 | 1 | 1 | 0 | 1 | 4 | 3 | 2 | 1 |
| 2019 | 2 | 4 | 2 | 2 | 1 | 1 | 0 | 1 | 6 | 4 | 2 | 1 |
| 2016 | 4 | 5 | 3 | 3 | 2 | 2 | 1 | 0 | 9 | 6 | 4 | 1 |
| 2 of meer werkzame personen | ||||||||||||
| 2023 | 1 | 4 | 1 | 2 | 0 | 1 | 0 | 1 | 5 | 3 | 1 | 1 |
| 2022 | 2 | 3 | 1 | 2 | 1 | 1 | 0 | 2 | 5 | 3 | 2 | 2 |
| 2019 | 3 | 4 | 2 | 3 | 1 | 1 | 0 | 2 | 7 | 5 | 2 | 2 |
| 2016 | 6 | 5 | 4 | 4 | 3 | 3 | 1 | 1 | 11 | 8 | 6 | 2 |
| 1 werkzame persoon (zzp'er) | ||||||||||||
| 2023 | 1 | 3 | 0 | 2 | 0 | 1 | 0 | 2 | 4 | 2 | 1 | 2 |
| 2022 | 1 | 3 | 0 | 2 | 0 | 2 | 0 | 1 | 4 | 2 | 2 | 1 |
| 1) De categorie 'Alle typen' geeft het percentage van bedrijven weer dat ten minste één type incident (uitval ICT-systeem, vernietiging data, onthulling data) heeft gehad. | ||||||||||||
| jaar | Incident met kosten, Alle typen1) (% van bedrijven) | Incident zonder kosten, Alle typen1) (% van bedrijven) | Incident met kosten, Uitval ICT-systeem (% van bedrijven) | Incident zonder kosten, Uitval ICT-systeem (% van bedrijven) | Incident met kosten, Vernietiging data (% van bedrijven) | Incident zonder kosten, Vernietiging data (% van bedrijven) | Incident met kosten, Onthulling data (% van bedrijven) | Incident zonder kosten, Onthulling data (% van bedrijven) | Totaal, Alle typen1) (% van bedrijven) | Totaal, Uitval ICT-systeem (% van bedrijven) | Totaal, Vernietiging data (% van bedrijven) | Totaal, Onthulling data (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 250 of meer werkzame personen | ||||||||||||
| 2023 | 9 | 36 | 9 | 29 | 1 | 3 | 1 | 16 | 45 | 38 | 4 | 17 |
| 2022 | 14 | 32 | 13 | 27 | 2 | 3 | 2 | 16 | 46 | 40 | 5 | 18 |
| 2019 | 30 | 35 | 27 | 29 | 4 | 4 | 6 | 19 | 65 | 56 | 8 | 25 |
| 2016 | 31 | 31 | 28 | 26 | 7 | 6 | 4 | 12 | 62 | 54 | 13 | 16 |
| 50 tot 250 werkzame personen | ||||||||||||
| 2023 | 6 | 24 | 5 | 22 | 1 | 3 | 0 | 6 | 30 | 27 | 4 | 6 |
| 2022 | 8 | 24 | 8 | 21 | 1 | 2 | 1 | 4 | 32 | 29 | 3 | 5 |
| 2019 | 22 | 31 | 21 | 29 | 2 | 4 | 1 | 7 | 53 | 50 | 6 | 8 |
| 2016 | 26 | 29 | 25 | 27 | 5 | 5 | 2 | 4 | 55 | 52 | 10 | 6 |
| 10 tot 50 werkzame personen | ||||||||||||
| 2023 | 4 | 15 | 4 | 13 | 1 | 1 | 0 | 2 | 19 | 17 | 2 | 2 |
| 2022 | 5 | 17 | 5 | 15 | 0 | 2 | 0 | 2 | 22 | 20 | 2 | 2 |
| 2019 | 16 | 23 | 15 | 23 | 2 | 3 | 1 | 3 | 39 | 38 | 5 | 4 |
| 2016 | 18 | 24 | 18 | 23 | 3 | 4 | 1 | 2 | 42 | 41 | 7 | 3 |
| 2 tot 10 werkzame personen | ||||||||||||
| 2023 | 1 | 6 | 1 | 6 | 0 | 1 | 0 | 1 | 7 | 7 | 1 | 1 |
| 2022 | 2 | 8 | 2 | 7 | 0 | 1 | 0 | 1 | 10 | 9 | 1 | 1 |
| 2019 | 8 | 17 | 8 | 16 | 1 | 2 | 1 | 1 | 25 | 24 | 3 | 2 |
| 2016 | 9 | 14 | 8 | 13 | 2 | 3 | 1 | 1 | 23 | 21 | 5 | 2 |
| 2 of meer werkzame personen | ||||||||||||
| 2023 | 2 | 8 | 2 | 7 | 0 | 1 | 0 | 1 | 10 | 9 | 1 | 1 |
| 2022 | 3 | 9 | 3 | 9 | 0 | 2 | 0 | 1 | 12 | 12 | 2 | 1 |
| 2019 | 10 | 19 | 10 | 17 | 1 | 2 | 1 | 1 | 29 | 27 | 3 | 2 |
| 2016 | 11 | 16 | 10 | 16 | 3 | 2 | 1 | 1 | 27 | 26 | 5 | 2 |
| 1 werkzame persoon (zzp'er) | ||||||||||||
| 2023 | 1 | 6 | 1 | 5 | 0 | 1 | 0 | 1 | 7 | 6 | 1 | 1 |
| 2022 | 1 | 6 | 1 | 5 | 1 | 1 | 0 | 1 | 7 | 6 | 2 | 1 |
| 1) De categorie 'Alle typen' geeft het percentage van bedrijven weer dat ten minste één type incident (uitval ICT-systeem, vernietiging data, onthulling data) heeft gehad. | ||||||||||||
Aandeel bedrijven met cybersecurityincidenten neemt af
Het aandeel van bedrijven met ten minste één cybersecurityincident met een interne oorzaak (figuur 3.1.2) of een aanval van buitenaf (figuur 3.1.1) neemt door de jaren heen af. Deze daling is zichtbaar voor alle bedrijfsgrootteklassen. In 2016 had bijvoorbeeld nog bijna 40 procent van de grootste bedrijven (250 of meer werkzame personen) een cybersecurityincident door een aanval van buitenaf, terwijl dit in 2023 nog maar 16 procent was.
De daling van het aantal incidenten met een interne oorzaak schommelt over de tijd. Voor de grootste bedrijven (250 of meer werkzame personen) zien we bijvoorbeeld een toename voor jaren 2016-2019, gevolgd door een afname in de jaren daarna. Dit kan te maken hebben met het feit dat interne incidenten niet per se te voorkomen zijn; een hardwareonderdeel kan nu eenmaal kapotgaan. De afname na 2019 is daarnaast mogelijk deels te verklaren doordat de uitleg van de categorie ‘dataonthulling door eigen personeel’ is gewijzigd. Vanaf 2020 is hier uitdrukkelijk bij vermeld dat het gaat om onopzettelijke dataonthulling door eigen personeel, en niet om opzettelijk toedoen. Dit kan hebben geleid tot een afname van het aantal incidenten met een interne oorzaak.
Uitval ICT-systeem vaakst voorkomende type incident
Van alle cybersecurityincidenten kregen bedrijven het vaakst te maken met de uitval van een ICT-systeem met een interne oorzaak (figuur 3.1.2). Zo kreeg 9 procent van de bedrijven met 2 of meer werkzame personen in 2023 te maken met dit type incident. Een kleiner deel (3 procent) kreeg te maken met de uitval van een ICT-systeem door een aanval van buitenaf (figuur 3.1.1). De overige type incidenten (vernietiging of onthulling van data) deden zich voor bij 1 procent van de bedrijven. Dit geldt voor zowel de incidenten door een aanval van buitenaf als door een interne oorzaak.
Een vijfde van de cybersecurityincidenten gaat gepaard met kosten
Ten slotte laten figuren 3.1.1 en 3.1.2 zien dat lang niet alle cybersecurityincidenten ook gepaard gaan met kosten. Het aandeel van bedrijven met kosten aan het cybersecurityincident neemt daarnaast af met de tijd. Zo had in 2016 nog bijna 41 procent van de bedrijven met ten minste één cybersecurityincident met een interne oorzaak (2 of meer werkzame personen) ook daadwerkelijk kosten aan het incident, terwijl dit in 2023 nog maar 20 procent was. Van de bedrijven met ten minste één cybersecurityincident door een aanval van buitenaf (2 of meer werkzame personen) had in 2016 nog bijna 55 procent kosten aan het incident, terwijl dit in 2023 nog maar 20 procent was.
3.1.2 Cybersecurityincidenten per bedrijfstak
Figuren 3.1.3 en 3.1.4 tonen het aandeel van bedrijven met ten minste één cybersecurityincident met een interne oorzaak (figuur 3.1.3) of door een aanval van buitenaf (figuur 3.1.4) per bedrijfstak (2 of meer werkzame personen). Merk op dat alleen een selectie van bedrijfstakken wordt getoond, namelijk de bedrijfstakken waar de cybersecurityincidenten het meest uiteenlopen. Een overzicht van alle bedrijfstakken wordt getoond in tabel A.3.1 t/m A.3.8.
Cybersecurityincidenten het meest voorkomend in de ICT-sector
Cybersecurityincidenten door een aanval van buitenaf kwamen in 2023 het vaakst voor in de ICT-sector (7 procent), en het minst vaak in de horeca (3 procent) (figuur 3.1.3). Voor de horeca is dit niet vreemd, omdat de mate van digitalisering daar vaak lager is dan in andere bedrijfstakken, waardoor de kans op uitval door een hardware‐ of softwarestoring ook kleiner is. Cybersecurityincidenten met een interne oorzaak kwamen in 2023 het vaakst voor in de bedrijfstakken ‘Energie, water en afvalbeheer’ (18 procent) en ‘Gezondheids- en welzijnszorg’ (17 procent). In deze bedrijfstak gingen de cybersecurityincidenten ook redelijk vaak gepaard met kosten. In de bedrijfstak ‘Verhuur van en handel in onroerend goed’ en de horeca kwamen cybersecurityincidenten met een interne oorzaak het minst vaak voor (6 procent).
| jaar | Incident met kosten, Alle typen1) (% van bedrijven) | Incident zonder kosten, Alle typen1) (% van bedrijven) | Incident met kosten, Uitval ICT-systeem (% van bedrijven) | Incident zonder kosten, Uitval ICT-systeem (% van bedrijven) | Incident met kosten, Vernietiging data (% van bedrijven) | Incident zonder kosten, Vernietiging data (% van bedrijven) | Incident met kosten, Onthulling data (% van bedrijven) | Incident zonder kosten, Onthulling data (% van bedrijven) | Totaal, Alle typen1) (% van bedrijven) | Totaal, Uitval ICT-systeem (% van bedrijven) | Totaal, Vernietiging data (% van bedrijven) | Totaal, Onthulling data (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Industrie | ||||||||||||
| 2023 | 1 | 4 | 1 | 2 | 0 | 1 | 1 | 1 | 5 | 3 | 1 | 2 |
| 2022 | 1 | 4 | 1 | 2 | 1 | 1 | 0 | 2 | 5 | 3 | 2 | 2 |
| 2019 | 4 | 5 | 3 | 4 | 2 | 2 | 1 | 1 | 9 | 7 | 4 | 2 |
| 2016 | 9 | 5 | 6 | 4 | 5 | 4 | 1 | 1 | 14 | 10 | 9 | 2 |
| Horeca | ||||||||||||
| 2023 | 1 | 2 | 0 | 2 | 1 | 1 | 0 | 1 | 3 | 2 | 2 | 1 |
| 2022 | 1 | 1 | 1 | 1 | 0 | 1 | 0 | 1 | 2 | 2 | 1 | 1 |
| 2019 | 2 | 3 | 2 | 2 | 0 | 1 | 0 | 0 | 5 | 4 | 1 | 0 |
| 2016 | 2 | 4 | 1 | 2 | 1 | 3 | 0 | 1 | 6 | 3 | 4 | 1 |
| Financiële dienstverlening | ||||||||||||
| 2023 | 1 | 2 | 1 | 0 | 0 | 0 | 0 | 2 | 3 | 1 | 0 | 2 |
| 2022 | 2 | 7 | 2 | 4 | 0 | 4 | 0 | 3 | 9 | 6 | 4 | 3 |
| 2019 | 4 | 7 | 4 | 3 | 1 | 2 | 1 | 2 | 11 | 7 | 3 | 3 |
| 2016 | 7 | 8 | 2 | 5 | 4 | 4 | 1 | 1 | 15 | 7 | 8 | 2 |
| Gezondheids- en welzijnszorg | ||||||||||||
| 2023 | 1 | 3 | 1 | 2 | 0 | 0 | 1 | 1 | 4 | 3 | 0 | 2 |
| 2022 | 1 | 4 | 0 | 2 | 1 | 0 | 0 | 2 | 5 | 2 | 1 | 2 |
| 2019 | 3 | 5 | 3 | 4 | 1 | 1 | 0 | 1 | 8 | 7 | 2 | 1 |
| 2016 | 4 | 4 | 2 | 2 | 2 | 3 | 0 | 1 | 8 | 4 | 5 | 1 |
| ICT-sector | ||||||||||||
| 2023 | 2 | 5 | 2 | 3 | 0 | 1 | 0 | 2 | 7 | 5 | 1 | 2 |
| 2022 | 3 | 7 | 2 | 6 | 1 | 3 | 1 | 2 | 10 | 8 | 4 | 3 |
| 2019 | 3 | 7 | 2 | 6 | 1 | 1 | 0 | 2 | 10 | 8 | 2 | 2 |
| 2016 | 6 | 8 | 5 | 7 | 2 | 3 | 1 | 0 | 14 | 12 | 5 | 1 |
| 1) De categorie 'Alle typen' geeft het percentage van bedrijven weer dat ten minste één type incident (uitval ICT-systeem, vernietiging data, onthulling data) heeft gehad. | ||||||||||||
| jaar | Incident met kosten, Alle typen1) (% van bedrijven) | Incident zonder kosten, Alle typen1) (% van bedrijven) | Incident met kosten, Uitval ICT-systeem (% van bedrijven) | Incident zonder kosten, Uitval ICT-systeem (% van bedrijven) | Incident met kosten, Vernietiging data (% van bedrijven) | Incident zonder kosten, Vernietiging data (% van bedrijven) | Incident met kosten, Onthulling data (% van bedrijven) | Incident zonder kosten, Onthulling data (% van bedrijven) | Totaal, Alle typen1) (% van bedrijven) | Totaal, Uitval ICT-systeem (% van bedrijven) | Totaal, Vernietiging data (% van bedrijven) | Totaal, Onthulling data (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Industrie | ||||||||||||
| 2023 | 3 | 10 | 3 | 9 | 1 | 1 | 0 | 1 | 13 | 12 | 2 | 1 |
| 2022 | 3 | 11 | 3 | 10 | 0 | 1 | 0 | 1 | 14 | 13 | 1 | 1 |
| 2019 | 13 | 20 | 12 | 20 | 2 | 3 | 1 | 2 | 33 | 32 | 5 | 3 |
| 2016 | 14 | 17 | 14 | 16 | 3 | 3 | 1 | 1 | 31 | 30 | 6 | 2 |
| Horeca | ||||||||||||
| 2023 | 1 | 5 | 1 | 5 | 0 | 1 | 0 | 1 | 6 | 6 | 1 | 1 |
| 2022 | 2 | 8 | 1 | 8 | 1 | 2 | 0 | 1 | 10 | 9 | 3 | 1 |
| 2019 | 4 | 18 | 4 | 16 | 1 | 1 | 0 | 0 | 22 | 20 | 2 | 0 |
| 2016 | 6 | 9 | 5 | 8 | 2 | 3 | 0 | 1 | 15 | 13 | 5 | 1 |
| Financiële dienstverlening | ||||||||||||
| 2023 | 1 | 14 | 1 | 12 | 0 | 1 | 0 | 3 | 15 | 13 | 1 | 3 |
| 2022 | 4 | 19 | 4 | 15 | 0 | 2 | 0 | 5 | 23 | 19 | 2 | 5 |
| 2019 | 15 | 21 | 15 | 19 | 2 | 2 | 1 | 4 | 36 | 34 | 4 | 5 |
| 2016 | 12 | 18 | 11 | 18 | 2 | 2 | 1 | 2 | 30 | 29 | 4 | 3 |
| Gezondheids- en welzijnszorg | ||||||||||||
| 2023 | 2 | 15 | 2 | 12 | 0 | 2 | 0 | 4 | 17 | 14 | 2 | 4 |
| 2022 | 4 | 16 | 4 | 14 | 0 | 1 | 0 | 4 | 20 | 18 | 1 | 4 |
| 2019 | 14 | 25 | 13 | 23 | 1 | 1 | 1 | 5 | 39 | 36 | 2 | 6 |
| 2016 | 13 | 21 | 12 | 21 | 1 | 2 | 0 | 2 | 34 | 33 | 3 | 2 |
| ICT-sector | ||||||||||||
| 2023 | 2 | 13 | 2 | 11 | 0 | 2 | 0 | 2 | 15 | 13 | 2 | 2 |
| 2022 | 2 | 13 | 2 | 13 | 0 | 2 | 1 | 1 | 15 | 15 | 2 | 2 |
| 2019 | 10 | 25 | 9 | 24 | 1 | 2 | 1 | 3 | 35 | 33 | 3 | 4 |
| 2016 | 10 | 19 | 10 | 18 | 2 | 4 | 1 | 2 | 29 | 28 | 6 | 3 |
| 1) De categorie 'Alle typen' geeft het percentage van bedrijven weer dat ten minste één type incident (uitval ICT-systeem, vernietiging data, onthulling data) heeft gehad. | ||||||||||||
3.2 Ransomware-aanvallen
Sinds 2021 wordt er in de ICT‐enquête ook specifiek gevraagd naar ransomware-aanvallen. Bij een ransomware-aanval worden de ICT‐systemen van een bedrijf of particulier door middel van malware geblokkeerd, om zo het slachtoffer te chanteren om losgeld (‘ransom’) te betalen om de systemen weer vrij te geven. Ransomware wordt door de Nationaal Coördinator Terrorismebestrijding en Veiligheid als een belangrijk risico voor de nationale veiligheid gezien (NCTV, 2023).
Grotere bedrijven percentueel gezien vaker slachtoffer van ransomware-aanval
Figuren 3.2.1 en 3.2.2 tonen respectievelijk de percentages van bedrijven met een ransomware-aanval per grootteklasse en bedrijfstak in 2023.4) Figuur 3.2.1 laat zien dat grotere bedrijven in 2023 percentueel gezien iets vaker te maken kregen met een ransomware-aanval dan kleine bedrijven. Zo kreeg 2 procent van de bedrijven met 50 of meer werkzame personen in 2023 te maken met een ransomware-aanval, tegenover 1 procent bij de bedrijven met minder dan 50 werkzame personen. Figuur 3.2.2 laat zien dat bedrijven in de ICT‐sector het vaakst werden getroffen door een ransomware-aanval (2 procent). In de bedrijfstakken ‘Bouwnijverheid’ en ‘Financiële dienstverlening’ was het aandeel van bedrijven met een ransomware-aanval het laagst (0 procent).
| dim_gk | 2023 (% van bedrijven) |
|---|---|
| 250 of meer werkzame personen | 2 |
| 50 tot 250 werkzame personen | 2 |
| 10 tot 50 werkzame personen | 1 |
| 2 tot 10 werkzame personen | 1 |
| 2 of meer werkzame personen | 1 |
| 1 werkzame persoon (zzp'er) | 1 |
| dim_sbi | 2023 (% van bedrijven) |
|---|---|
| Industrie | 1 |
| Energie, water, afvalbeheer | 1 |
| Bouwnijverheid | 0 |
| Handel | 1 |
| Vervoer en opslag | 1 |
| Horeca | 1 |
| Informatie en communicatie | 1 |
| Financiële dienstverlening | 0 |
| Verhuur en handel van onroerend goed | 1 |
| Specialistische zakelijke diensten | 1 |
| Verhuur en overige zakelijke diensten | 1 |
| Gezondheids- en welzijnszorg | 1 |
| ICT-sector | 2 |
In het komende deel van deze paragraaf wordt ingezoomd op de bedrijven die in 2023 te maken kregen met een ransomware-aanval. Vanwege het beperkte aantal bedrijven dat deze vragen te zien heeft gekregen, is ervoor gekozen om deze resultaten alleen uit te splitsen naar bedrijfsgrootte.
Sinds 2024 wordt er in de ICT‐enquête een onderscheid gemaakt tussen twee soorten ransomware-aanvallen: (1) ransomware-aanvallen waarbij bestanden of ICT‐systemen versleuteld worden om alleen na betaling van losgeld weer vrij te geven, en (2) ransomware-aanvallen waarbij bestanden gestolen worden en gedreigd wordt dat de informatie openbaar gemaakt wordt. Figuur 3.2.3 laat zien hoe vaak beide typen ransomware-aanvallen in 2023 voorkwamen per grootteklasse. Het blijkt dat bijna de helft van de bedrijven met een ransomware-aanval (2 of meer werkzame personen) aangaf met beide typen ransomware-aanvallen te maken te hebben gehad (47 procent). Overigens hoeft dit niet te betekenen dat er sprake was van tweevoudige afpersing.5) Beide typen aanvallen konden zich immers ook los van elkaar voordoen. Een groot deel van de bedrijven gaf aan alleen een ransomware-aanval te hebben gehad waarbij bestanden of ICT‐systemen versleuteld waren (44 procent). Het overige deel gaf aan alleen een ransomware-aanval te hebben gehad waarbij bestanden gestolen waren en gedreigd werd deze openbaar te maken (9 procent).
| dim_gk | Bestanden versleuteld én dreiging openbaarmaking (% van bedrijven met ransomware-aanval) | Alleen bestanden versleuteld (% van bedrijven met ransomware-aanval) | Alleen dreiging openbaarmaking (% van bedrijven met ransomware-aanval) |
|---|---|---|---|
| 250 of meer werkzame personen | 57 | 31 | 12 |
| 50 tot 250 werkzame personen | 49 | 44 | 7 |
| 10 tot 50 werkzame personen | 51 | 40 | 10 |
| 2 tot 10 werkzame personen | 46 | 46 | 8 |
| 2 of meer werkzame personen | 47 | 44 | 9 |
| 1 werkzame persoon (zzp'er) | 49 | 8 | 43 |
Slechts 2 procent van bedrijven met ransomware-aanval betaalt losgeld
Figuur 3.2.4 geeft het percentage weer van bedrijven met een ransomware-aanval dat losgeld betaald heeft. Van alle bedrijven met een ransomware-aanval met 2 of meer werkzame personen betaalde 2 procent in 2023 losgeld. Dit lage percentage komt voornamelijk door het grote aantal kleine bedrijven (2 tot 10 werkzame personen) dat aangaf geen losgeld te betalen. Door grotere bedrijven werd wel vaker losgeld betaald. Zo betaalde 10 procent van de bedrijven met 50 tot 250 werkzame personen met een ransomware-aanval in 2023 losgeld.
| dim_gk | 2023 (% van bedrijven met ransomware-aanval) |
|---|---|
| 250 of meer werkzame personen | 5 |
| 50 tot 250 werkzame personen | 10 |
| 10 tot 50 werkzame personen | 9 |
| 2 tot 10 werkzame personen | 0 |
| 2 of meer werkzame personen | 2 |
| 1 werkzame persoon (zzp'er) | 0 |
Naast losgeld kunnen bedrijven ook andere kosten hebben ten gevolge van een ransomware-aanval, zoals het vervangen van getroffen ICT-systemen, het inhuren van ICT-specialisten om de schade te beperken, of het eventuele productieverlies ten gevolge van de ransomware-aanval. Figuur 3.2.5 geeft weer welk percentage van bedrijven met een ransomware-aanval, aangeeft andere kosten te hebben gehad. Uit deze figuur blijkt dat ongeveer een derde van de bedrijven met een ransomware-aanval in 2023 andere kosten had ten gevolge van de ransomware-aanval. Grotere bedrijven hadden vaker andere kosten dan kleinere bedrijven.
| dim_gk | 2023 (% van bedrijven met ransomware-aanval) |
|---|---|
| 250 of meer werkzame personen | 36 |
| 50 tot 250 werkzame personen | 39 |
| 10 tot 50 werkzame personen | 30 |
| 2 tot 10 werkzame personen | 32 |
| 2 of meer werkzame personen | 32 |
| 1 werkzame persoon (zzp'er) | 14 |
Bedrijven met ransomware-aanval schakelen vaker een cybersecuritybedrijf in dan de politie
Figuren 3.2.6 en 3.2.7 tonen het percentage van bedrijven met een ransomware-aanval dat als gevolg daarvan hulp heeft ingeschakeld van respectievelijk de politie of een cybersecuritybedrijf. Van alle bedrijven met 2 of meer werkzame personen die in 2023 een ransomware-aanval hadden, schakelde 14 procent de hulp in van de politie (figuur 3.2.6). Een groter aandeel stapte naar een cybersecuritybedrijf (39 procent) (figuur 3.2.7). Het is hierbij uiteraard mogelijk dat een bedrijf hulp inschakelde van zowel de politie als een cybersecuritybedrijf. Opvallend is wel dat kleinere bedrijven minder vaak de hulp inschakelden van de politie of een cybersecuritybedrijf dan grotere bedrijven. Van de microbedrijven (2 tot 10 werkzame personen) stapte in 2023 bijvoorbeeld 14 procent naar de politie, tegenover 34 procent van de grote bedrijven (250 of meer werkzame personen).
| dim_gk | 2023 (% van bedrijven met een ransomware-aanval) |
|---|---|
| 250 of meer werkzame personen | 34 |
| 50 tot 250 werkzame personen | 26 |
| 10 tot 50 werkzame personen | 9 |
| 2 tot 10 werkzame personen | 14 |
| 2 of meer werkzame personen | 14 |
| 1 werkzame persoon (zzp'er) | 12 |
| dim_gk | 2023 (% van bedrijven met een ransomware-aanval) |
|---|---|
| 250 of meer werkzame personen | 64 |
| 50 tot 250 werkzame personen | 64 |
| 10 tot 50 werkzame personen | 57 |
| 2 tot 10 werkzame personen | 34 |
| 2 of meer werkzame personen | 39 |
| 1 werkzame persoon (zzp'er) | 24 |
3.3 Datalekmeldingen bij de Autoriteit Persoonsgegevens
Bedrijven en organisaties die een datalek hebben, dienen dit te melden bij de Autoriteit Persoonsgegevens (AP). In de eerste helft van 2024 kreeg de AP ruim 9,8 duizend keer een datalekmelding binnen. Hiermee ligt het aantal datalekmeldingen lager dan in de eerste helft van zowel 2023 als 2022 (beide 10,5 duizend).
Meestal kwam de datalekmelding voort uit een incident met een brief of postpakket met persoonsgegevens. In 41 procent van de datalekmeldingen in de eerste helft van 2024 ging het om zo’n incident. Ook in voorgaande jaren kwam dit type incident het meeste voor. Het gaat hier bijvoorbeeld om een brief of postpakket dat is verstuurd of afgegeven aan een verkeerde ontvanger, of een brief of postpakket dat geopend retour is ontvangen of is kwijtgeraakt. In 18 procent van de datalekmeldingen ging het om een incident waarbij er iets misging met persoonsgegevens in een email, zoals versturen aan een verkeerde ontvanger. In 8 procent van de datalekmeldingen vond er een vorm van cybercrime plaats, zoals hacking, malware of phishing. Bij de overige incidenten (33 procent) gaat het onder andere om persoonsgegevens die zijn toegevoegd aan een verkeerd dossier, persoonsgegevens van een klant die zijn getoond in het verkeerde klantportaal, of om een usb-stick of papier met persoonsgegevens dat is kwijtgeraakt.
| Type incident | Aantal |
|---|---|
| Brief of postpakket met persoonsgegevens | 4029 |
| Email met persoonsgegevens | 1760 |
| Hacking, malware en/of phishing | 797 |
| Overig | 3219 |
| Bron: CBS, Autoriteit Persoonsgegevens (AP) | |
| *voorlopige cijfers | |
Datalekmeldingen vooral van grote bedrijven
Bijna 70 procent van de datalekmeldingen werd gedaan door een groot bedrijf of grote organisatie (250 of meer werkzame personen). Hiermee vertegenwoordigen grote bedrijven of organisaties (0,2 procent van alle bedrijven in Nederland) een relatief groot aandeel in de datalekmeldingen. Veel minder meldingen kwamen van kleinere bedrijven (0 tot 50 of 50 tot 250 werkzame personen). Beide iets meer dan 1 400 meldingen.
De helft van de datalekmeldingen kwam vanuit de bedrijfstak ‘Openbaar bestuur, overheidsdiensten en verplichte sociale verzekeringen’ (ruim 2,5 duizend) of een organisatie in de bedrijfstak ‘Gezondheids- en welzijnszorg’ (2,4 duizend). Hierbij gaat het vooral ook om de grote bedrijven waar de datalekmeldingen vandaan kwamen.
| Land | Aantal |
|---|---|
| Bedrijfsgrootte (werkzame personen) | |
| 250 of meer | 6430 |
| 50 tot 250 | 1410 |
| 0 tot 50 | 1420 |
| Bedrijfstak (SBI 2008) | |
| Openbaar bestuur en overheidsdiensten | 2540 |
| Gezondheids- en welzijnszorg | 2400 |
| Handel, vervoer en horeca | 1090 |
| Financiële dienst- verlening | 980 |
| Specialistische zakelijke diensten | 550 |
| Onderwijs | 500 |
| Verhuur en overige zakelijke diensten | 390 |
| Informatie en communicatie | 300 |
| Landbouw en nijverheid | 230 |
| Cultuur, sport, recreatie en overige dienstverlening | 160 |
| Verhuur en handel van onroerend goed | 120 |
| Bron: CBS, Autoriteit Persoonsgegevens (AP) | |
| *voorlopige cijfers | |
4) In tegenstelling tot eerdere edities van de Cybersecuritymonitor is ervoor gekozen om de cijfers af te ronden op hele percentages, net zoals op StatLine. Een percentage van 0 hoeft dus niet te betekenen dat er helemaal geen bedrijven zijn die een ransomware-aanval hebben gehad.
5) Er is sprake van tweevoudige afpersing als beide typen aanvallen tegelijkertijd voorkomen (DTC, 2025). Zelfs als bedrijven hun versleutelde data via een back-up kunnen herstellen, bestaat er dan alsnog een gevaar dat gevoelige data openbaar gemaakt wordt.
4. Online criminaliteit bij personen
In dit hoofdstuk worden enkele cijfers beschreven over online criminaliteit en thema’s rondom online veiligheid bij personen. De cijfers zijn afkomstig uit de monitor Online Veiligheid en Criminaliteit 2022 en 2024 (CBS, 2022d; CBS, 2025c). Op verzoek van het ministerie van Justitie en Veiligheid heeft het CBS met het onderzoek Online Veiligheid en Criminaliteit in 2022 voor het eerst de stand van zaken op het terrein van online veiligheid en criminaliteit in samenhang onderzocht. In 2024 is het de tweede keer dat het CBS deze beide thema’s in één onderzoek heeft gecombineerd.
4.1 Online criminaliteit
Onder online criminaliteit worden delicten en incidenten geschaard die via internet, e‐mail of app plaatsvinden. Het betreft strafbare feiten in de sfeer van oplichting en fraude (aan‐ en verkoopfraude, fraude betalingsverkeer, identiteitsfraude, phishing), computervredebreuk (ook wel hacken) en om incidenten in de interpersoonlijke sfeer die niet altijd strafbaar zijn zoals bedreigingen, pesten, stalken en shamesexting. Shamesexting is een vorm van seksueel grensoverschrijdend gedrag, waarbij naaktfoto’s of -filmpjes van het slachtoffer online worden verspreid of hiermee wordt gedreigd.
4.1.1 Meer slachtoffers online criminaliteit in 2024
In 2024 gaf 16 procent van de bevolking van 15 jaar of ouder aan in de afgelopen twaalf maanden slachtoffer te zijn geweest van een of meer vormen van online criminaliteit. Dit zijn bijna 2,4 miljoen mensen. De meesten werden slachtoffer van oplichting en fraude (9 procent), en dan met name van aankoopfraude. Met hacken had 4 procent te maken en eveneens 4 procent met online bedreiging en intimidatie. Krap 1 procent werd slachtoffer van andere online delicten.
| 2024 (% mensen van 15 jaar of ouder) | 2022 (% mensen van 15 jaar of ouder) | |
|---|---|---|
| Online criminaliteit totaal | 15,7 | 14,8 |
| Online oplichting en fraude | 9,4 | 7,6 |
| Aankoopfraude | 7,2 | 5,6 |
| Verkoopfraude | 1,5 | 1,3 |
| Fraude betalingsverkeer | 1,2 | 1 |
| Phishing | 0,7 | 0,7 |
| Identiteitsfraude | 0,6 | 0,5 |
| Hacken | 3,9 | 4,6 |
| Hacken account | 3,2 | 3,6 |
| Hacken apparaat | 1,4 | 1,9 |
| Online bedreiging en intimidatie | 4,1 | 4,1 |
| Online bedreiging | 1,9 | 1,9 |
| Online pesten | 1,4 | 1,3 |
| Online stalken | 1,2 | 1,2 |
| Shamesexting | 0,7 | 0,7 |
| Overige online delicten | 0,6 | 0,6 |
| Bron: CBS, Online Veiligheid en Criminaliteit | ||
In 2024 gaven meer mensen aan slachtoffer te zijn geweest van online criminaliteit dan in 2022 (toen 15 procent). Deze toename was met name zichtbaar bij slachtoffers van online oplichting en fraude. Het aandeel slachtoffers van hacken was in 2024 juist lager dan in 2022. Van online bedreiging en intimidatie en van andere online delicten werden in beide jaren ongeveer evenveel mensen slachtoffer.
4.1.2 Jongeren het vaakst slachtoffer van online criminaliteit
Slachtofferschap van online criminaliteit verschilde nauwelijks naar geslacht en onderwijsniveau. Wel werden jongeren vaker getroffen dan ouderen: 20 procent van de 15- tot 25-jarigen, tegenover 10 procent van de 65-plussers. Vooral bij het slachtofferschap van online bedreiging en intimidatie was het verschil tussen jongere en oudere leeftijdsgroepen groot.
4.1.3 Bijna de helft maakte melding van online criminaliteit
In totaal heeft 48 procent van de slachtoffers van online criminaliteit in 2024 bij de politie of een andere instantie of persoon melding gemaakt: 18 procent bij de politie (16 procent deed ook aangifte) en 45 procent bij een andere instantie of persoon. Hacken werd het minst vaak bij de politie gemeld en aangegeven, respectievelijk door 12 en 10 procent van de slachtoffers.
De meest genoemde reden om het voorval niet bij de politie te melden of geen aangifte te doen was dat er niet aan wordt gedacht, of dat men het niet zo belangrijk vond (40 procent), gevolgd door ‘het helpt toch niets’ (32 procent).
4.2 Online veiligheid
Er wordt steeds meer gebruik gemaakt van internet. Hiermee stijgt het risico om slachtoffer te worden van criminele activiteiten. Het veilig gebruik van internet en het nemen van beveiligingsmaatregelen zijn dan ook belangrijke thema’s in relatie tot online criminaliteit.
4.2.1 Merendeel neemt online beschermingsmaatregelen
Bijna alle 15-plussers gaven in 2024 aan één of meer beschermingsmaatregelen te nemen om persoonlijke informatie op het internet te beschermen. Het beperken of weigeren van (online) locatiegegevens is de meest genomen maatregel: 83 procent gaf aan dit te hebben gedaan. Ongeveer 75 procent zei de toegang tot hun profiel en geplaatste berichten op social media te beperken. Eveneens 75 procent gaf aan alleen strikt noodzakelijke cookies bij gebruik van websites te accepteren. Het aanpassen van privacy-instellingen van accounts en het controleren van de veiligheid van de URL (dat is het adres) van de website werden elk door ongeveer 60 procent gedaan.
Minder vaak genomen maatregelen waren het lezen van de privacyregels, het afschermen van de camera van de computer, tablet of mobiele telefoon door bijv. het gebruik van een webcamcover of schuifje voor de camera, het veranderen van browserinstellingen en het invullen van verzonnen persoonsgegevens.
| Beschermen | 2024 (% mensen van 15 jaar of ouder) |
|---|---|
| Minstens één maatregel | 95,3 |
| Toegang tot locatiegegevens beperken | 83,2 |
| Toegang tot profielgegevens beperken | 75,6 |
| Alleen strikt noodzakelijke cookies accepteren | 74,5 |
| Privacy-instellingen accounts aanpassen | 63,6 |
| Veiligheid website controleren | 60,4 |
| Instellingen browser veranderen om cookies te blokkeren | 47,9 |
| Afschermen camera | 47,8 |
| Privacyregels lezen | 47,7 |
| Verzonnen gegevens invullen | 30,7 |
| Bron: CBS, Online Veiligheid en Criminaliteit 2024 | |
| 1)Meerdere antwoorden mogelijk. | |
In 2024 was er in vergelijking met 2022 een toename in verschillende maatregelen die mensen treffen. Meer mensen zeiden dat zij alleen strikt noodzakelijke cookies accepteren, de instellingen van de browser veranderen om cookies te blokkeren, en verzonnen gegevens invullen. Het lezen van de privacyregels en het controleren van de veiligheid van websites werd iets minder vaak gedaan.
4.2.2 Toegangsbeveiliging voor apparaten of accounts meest gebruikte maatregel
Naast maatregelen om persoonlijke informatie online te beschermen, kan ook gebruik worden gemaakt van beveiligingsmaatregelen voor apparaten en accounts. Dit met het doel om misbruik van persoonlijke informatie door anderen te voorkomen.
De meest gebruikte maatregel om apparatuur en accounts te beveiligen was het vergrendelen van apparaten met een toegangscode, wachtwoord, vingerafdruk of Face ID: 80 procent van de 15-plussers gaf aan dit voor alle apparaten te doen. Het controleren van bijlages in e-mails vóór het openen ervan werd door 74 procent gedaan en 58 procent voerde updates van apparatuur of apps direct of zo snel mogelijk uit.
Maatregelen die het minst vaak werden genomen, waren het gebruik van tweetrapsverificatie en vooral het gebruik van een VPN-verbinding en wachtwoorden van minimaal zestien tekens. Wel gaven relatief veel mensen aan voor sommige (maar niet voor alle) accounts een ander wachtwoord te gebruiken (55 procent).
| Onderwerp | Ja, voor alle apparaten of accounts / Ja, vaak* (% mensen van 15 jaar of ouder) | Ja, voor sommige apparaten of accounts / Ja, soms* (% mensen van 15 jaar of ouder) | Nee (% mensen van 15 jaar of ouder) | Internet afgelopen 12 mnd. niet gebruikt (% mensen van 15 jaar of ouder) |
|---|---|---|---|---|
| Toegangscode, wachtwoord, vingerafdruk, Face ID gebruiken | 80,6 | 15,9 | 2,6 | 0,8 |
| Bijlage in e-mails controleren vóór openen | 73,8 | 18,5 | 6,8 | 0,8 |
| Updates direct uitvoeren | 58,0 | 30,3 | 10,9 | 0,8 |
| Wachtwoorden veilig bewaren | 53,4 | 27,3 | 18,5 | 0,8 |
| Links controleren vóór openen | 46,5 | 37,4 | 15,3 | 0,8 |
| Antivirus of virusscanner gebruiken | 43,3 | 37,9 | 17,9 | 0,8 |
| Back-ups maken op een andere computer | 42,8 | 41,1 | 15,3 | 0,8 |
| Verschillende wachtwoorden voor accounts | 38,0 | 54,7 | 6,4 | 0,8 |
| Tweetrapsverificatie gebruiken | 26,5 | 48,9 | 23,8 | 0,8 |
| VPN-verbinding gebruiken | 17,4 | 21,2 | 60,5 | 0,8 |
| Wachtwoorden van minimaal 16 tekens gebruiken | 16,4 | 43,5 | 39,2 | 0,8 |
| Bron: CBS, Online Veiligheid en Criminaliteit 2024 | ||||
| * De antwoorden 'Ja, vaak' en 'Ja, soms' hebben betrekking op de beveiligingsmaatregelen 'back-ups maken op een andere computer', 'links controleren vóór openen', 'bijlage in e-mails controleren vóór openen' en 'VPN-verbinding gebruiken'. | ||||
In vergelijking met 2022 gebruikten in 2024 meer mensen een toegangscode, wachtwoord, vingerafdruk of Face ID voor alle apparaten of accounts. Ook het gebruik van wachtwoorden van minimaal zestien tekens voor alle accounts, en de toepassing van tweetrapsverificatie zijn toegenomen. Wel gebruikten minder mensen antivirussoftware of een virusscanner voor alle apparaten, en controleert men minder vaak de afzender of het bestandstype voor het openen van een bijlage in een e-mail.
5. Opgelegde sancties voor computervredebreuk
Het Openbaar Ministerie (OM) en de rechter kunnen sancties opleggen aan verdachten van computervredebreuk (hacken). In een deel van de gevallen deelt het OM zonder tussenkomst van de rechter een strafbeschikking uit, biedt een transactie aan of besluit tot het seponeren van de zaak onder bepaalde voorwaarden (voorwaardelijk beleidssepot). Veelal bestaan strafbeschikkingen of transacties uit een taakstraf, een geldboete of schadevergoeding. Een deel van de zaken stuurt het OM door naar de rechter die op zijn beurt een straf of maatregel kan opleggen. In dit hoofdstuk worden enkele cijfers hierover beschreven. De cijfers zijn afkomstig uit het CBS-onderzoek Strafrechtspraak (CBS, 2024d).
Aantal OM-sepots verdubbeld, gelijk aantal OM-schuldigverklaringen
Het totaal aantal keren dat het OM een beslissing nam bij computervredebreukzaken nam toe van 440 in de periode 2012—2017 tot 705 in de periode 2018—2023. Dat betekent een toename van 60 procent. In de periode 2018-2023 werden 131 van de in totaal 705 (19 procent) door het OM genomen beslissingen inzake computervredebreuk afgehandeld door het OM met een transactie, strafbeschikking of voorwaardelijk beleidssepot (tabel 4.2.1). Deze zaken zijn dus afgehandeld met een strafoplegging zonder tussenkomst van een rechter. Dit aandeel is sterk afgenomen ten opzichte van de periode 2012—2017, toen nog 29 procent van het totaal aantal door het OM genomen beslissingen met een strafoplegging werd afgehandeld. Het aantal zaken wat door het OM onvoorwaardelijk is geseponeerd is verdubbeld, het betreft 391 zaken in de periode 2018—2023. Een deel van de zaken stuurt het OM door naar de rechter waarna de rechter bij schuldigverklaring een straf of maatregel op kan leggen. In 2018-2023 werden 162 zaken doorgestuurd naar de rechter. Dat is een toename van 62 procent in vergelijking met de periode 2012-2017.
Ook meer rechterlijke beslissingen
In de periode 2018-2023 werden 132 computervredebreukzaken afgedaan door de rechter. Bijna 55 procent meer dan in de periode 2012-2017. Bij 106 (80 procent) van de computervredebreukzaken die door de rechter zijn afgedaan in 2018—2023 deelde de rechter een straf uit tegenover 73 procent van de zaken in de periode 2012—2017. De meeste overige door de rechter afgedane zaken leiden tot vrijspraak dan wel een schuldigverklaring zonder straf.
| 2012-2017 | 2018-20231) | |
|---|---|---|
| Door OM genomen beslissingen, totaal | 440 | 705 |
| Door OM genomen beslissingen, strafoplegging OM2) | 128 | 131 |
| Door OM genomen beslissingen, door OM doorgestuurd naar de rechter (dagvaarding en oproep na verzet) | 100 | 162 |
| Straf opgelegd door rechter | 62 | 106 |
| 1) De aantallen ingeschreven rechtbankstrafzaken, totaal beslissingen door OM en onvoorwaardelijke sepots zijn in 2019 (in elk geval deels) gestegen als gevolg van een wijziging in het vastleggen van sepots. Tot 2019 legde de officier van justitie een groot deel van de sepotbeslissingen vast in BOSZ, een politiesysteem. Vanaf 1 januari 2019 worden alle sepotbeslissingen geregistreerd in het GPS-systeem van het OM. Daarom tellen deze zaken nu mee bij zowel de instroom als de uitstroom (technische sepots, vallende onder de categorie onvoorwaardelijke sepots) 2)Door het OM afgedaan met transactie, strafbeschikking of voorwaardelijk beleidssepot. | ||
Rechter legt vaker gevangenis- en taakstraf op maar minder boetes
Voor de zaken die bij de rechter tot een straf leiden betreft dit relatief vaak een taakstraf.
Bij 79 procent van de zaken waarbij door de rechter een straf werd opgelegd in 2018—2023 betrof dit een taakstraf. Dat is meer dan in 2012—2017 toen nog 61 procent werd afgedaan met een taakstraf. Het aandeel door de rechter opgelegde boetes is gedaald van 31 procent in 2012—2017 naar 8 procent in 2018—2023. Het aandeel opgelegde gevangenisstraffen is daarentegen bijna verdubbeld. Bij 43 procent van de schuldigverklaringen in de periode 2018-2023 tegenover 23 procent in 2012-2017 waarbij door de rechter een straf werd opgelegd betrof dit een gevangenisstraf.
| 2012-2017 (% van aantal strafzaken) | 2018-2023 (% van aantal strafzaken) | |
|---|---|---|
| Taakstraf | 61,3 | 79,2 |
| Maatregelen2) | 24,2 | 27,4 |
| Gevangenisstraf | 22,6 | 43,4 |
| Geldboete | 30,6 | 7,5 |
| Onbekende straffen | 16,1 | 4,7 |
| Bijkomende straffen | 8,1 | 18,9 |
| 1) Een strafzaak kan meerdere straffen toegekend krijgen (bijvoorbeeld taakstraf en geldboete), dus het totaal overstijgt de 100 procent. 2) Betaling aan de staat, onttrekking aan het verkeer. | ||
Bijlage A. Tabellen
A.1 Definities
| Code | Bedrijfsgrootteklasse | Aanduiding in tekst |
|---|---|---|
| Totaal | 2 of meer werkzame personen | Totaal |
| 1 | 1 werkzame persoon | Zzp'er |
| 2- 9 | 2 tot 10 werkzame personen | Microbedrijf |
| 10- 49 | 10 tot 50 werkzame personen | Klein bedrijf |
| 50- 249 | 50 tot 250 werkzame personen | Middelgroot bedrijf |
| 250+ | 250 of meer werkzame personen | Groot bedrijf |
| Letteraanduiding | Bedrijfstak |
|---|---|
| C | Industrie |
| D-E | Energie, water, afvalbeheer |
| F | Bouwnijverheid |
| G | Handel |
| H | Vervoer en opslag |
| I | Horeca |
| J | Informatie en communicatie |
| K | Financiële dienstverlening |
| L | Verhuur en handel van onroerend goed |
| M | Specialistische zakelijke diensten |
| N | Verhuur en overige zakelijke diensten |
| Q | Gezondheids- en welzijnszorg |
| ICT | ICT-sector |
| Code | Bedrijfstak |
|---|---|
| 26.1 | Vervaardiging van elektronische componenten en printplaten |
| 26.2 | Vervaardiging van computers en randapparatuur |
| 26.3 | Vervaardiging van communicatieapparatuur |
| 26.4 | Vervaardiging van consumentenelektronica |
| 26.8 | Vervaardiging van informatiedragers |
| 46.5 | Groothandel in ICT‐apparatuur |
| 58.2 | Uitgeverijen van software |
| 61 | Telecommunicatie |
| 62 | Dienstverlenende activiteiten op het gebied van informatietechnologie |
| 63.1 | Gegevensverwerking, webhosting en aanverwante activiteiten, webportals |
| 95.1 | Reparatie van computers en communicatieapparatuur |
A.2 Cybersecuritymaatregelen bij bedrijven
In de figuren 2.1.4 en 2.1.6 werd een selectie van bedrijfstakken getoond. De volgende tabellen tonen de cijfers voor alle bedrijfstakken. In elke tabel wordt het percentage van bedrijven getoond.
| Aantal maatregelen | Industrie | Energie, water, afvalbeheer | Bouwnijverheid | Handel | Vervoer en opslag | Horeca | Informatie en communicatie | Financiële dienstverlening | Verhuur en handel van onroerend goed | Specialistische zakelijke diensten | Verhuur en overige zakelijke diensten | Gezondheids- en welzijnszorg | ICT-sector |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 0 | 6 | 6 | 13 | 9 | 10 | 17 | 2 | 5 | 17 | 5 | 11 | 3 | 2 |
| 1 | 6 | 4 | 9 | 7 | 9 | 11 | 1 | 3 | 2 | 3 | 6 | 2 | 0 |
| 2 | 10 | 10 | 15 | 10 | 12 | 20 | 3 | 4 | 7 | 6 | 9 | 5 | 2 |
| 3 | 8 | 5 | 11 | 12 | 15 | 15 | 6 | 4 | 12 | 9 | 16 | 6 | 3 |
| 4 | 12 | 7 | 10 | 12 | 12 | 10 | 9 | 9 | 13 | 12 | 12 | 6 | 8 |
| 5 | 11 | 6 | 10 | 10 | 11 | 9 | 9 | 5 | 16 | 12 | 8 | 11 | 9 |
| 6 | 10 | 11 | 8 | 9 | 7 | 6 | 6 | 4 | 7 | 14 | 8 | 12 | 7 |
| 7 | 9 | 11 | 8 | 9 | 5 | 3 | 11 | 16 | 5 | 11 | 8 | 17 | 9 |
| 8 | 9 | 11 | 5 | 8 | 5 | 3 | 9 | 11 | 7 | 9 | 8 | 12 | 10 |
| 9 | 9 | 8 | 4 | 5 | 5 | 3 | 16 | 15 | 7 | 9 | 7 | 12 | 17 |
| 10 | 11 | 20 | 7 | 8 | 8 | 3 | 28 | 26 | 6 | 11 | 8 | 14 | 33 |
| Bedrijfstak | Jaar | Extern bedrijf | Eigen personeel | Eigen personeel en extern bedrijf | Niet van toepassing |
|---|---|---|---|---|---|
| Industrie | 2018 | 40 | 39 | 21 | . |
| Industrie | 2019 | 52 | 36 | 12 | . |
| Industrie | 2022 | 33 | 15 | 11 | 41 |
| Industrie | 2023 | 35 | 13 | 11 | 40 |
| Energie, water, afvalbeheer | 2018 | 38 | 38 | 24 | . |
| Energie, water, afvalbeheer | 2019 | 51 | 31 | 18 | . |
| Energie, water, afvalbeheer | 2022 | 38 | 17 | 17 | 28 |
| Energie, water, afvalbeheer | 2023 | 39 | 12 | 19 | 30 |
| Bouwnijverheid | 2018 | 38 | 48 | 14 | . |
| Bouwnijverheid | 2019 | 50 | 44 | 6 | . |
| Bouwnijverheid | 2022 | 27 | 9 | 5 | 59 |
| Bouwnijverheid | 2023 | 30 | 9 | 6 | 55 |
| Handel | 2018 | 34 | 48 | 18 | . |
| Handel | 2019 | 44 | 48 | 8 | . |
| Handel | 2022 | 23 | 18 | 8 | 52 |
| Handel | 2023 | 26 | 15 | 8 | 50 |
| Vervoer en opslag | 2018 | 29 | 53 | 18 | . |
| Vervoer en opslag | 2019 | 44 | 49 | 8 | . |
| Vervoer en opslag | 2022 | 18 | 15 | 7 | 60 |
| Vervoer en opslag | 2023 | 22 | 9 | 7 | 62 |
| Horeca | 2018 | 20 | 71 | 9 | . |
| Horeca | 2019 | 37 | 59 | 4 | . |
| Horeca | 2022 | 18 | 11 | 4 | 68 |
| Horeca | 2023 | 15 | 9 | 3 | 73 |
| ICT-sector | 2018 | 12 | 61 | 27 | . |
| ICT-sector | 2019 | 10 | 69 | 20 | . |
| ICT-sector | 2022 | 5 | 52 | 19 | 24 |
| ICT-sector | 2023 | 9 | 48 | 22 | 21 |
| Informatie en communicatie | 2018 | 12 | 60 | 29 | . |
| Informatie en communicatie | 2019 | 13 | 66 | 21 | . |
| Informatie en communicatie | 2022 | 6 | 48 | 16 | 29 |
| Informatie en communicatie | 2023 | 10 | 44 | 19 | 27 |
| Financiële dienstverlening | 2018 | 46 | 29 | 25 | . |
| Financiële dienstverlening | 2019 | 49 | 36 | 15 | . |
| Financiële dienstverlening | 2022 | 33 | 18 | 16 | 33 |
| Financiële dienstverlening | 2023 | 37 | 13 | 25 | 24 |
| Verhuur en handel van onroerend goed | 2018 | 42 | 39 | 19 | . |
| Verhuur en handel van onroerend goed | 2019 | 52 | 40 | 7 | . |
| Verhuur en handel van onroerend goed | 2022 | 33 | 13 | 8 | 47 |
| Verhuur en handel van onroerend goed | 2023 | 27 | 8 | 9 | 56 |
| Specialistische zakelijke diensten | 2018 | 38 | 40 | 22 | . |
| Specialistische zakelijke diensten | 2019 | 45 | 43 | 12 | . |
| Specialistische zakelijke diensten | 2022 | 32 | 19 | 12 | 37 |
| Specialistische zakelijke diensten | 2023 | 29 | 18 | 13 | 40 |
| Verhuur en overige zakelijke diensten | 2018 | 35 | 47 | 19 | . |
| Verhuur en overige zakelijke diensten | 2019 | 50 | 43 | 7 | . |
| Verhuur en overige zakelijke diensten | 2022 | 26 | 13 | 8 | 53 |
| Verhuur en overige zakelijke diensten | 2023 | 28 | 12 | 7 | 53 |
| Gezondheids- en welzijnszorg | 2018 | 44 | 29 | 27 | . |
| Gezondheids- en welzijnszorg | 2019 | 54 | 32 | 14 | . |
| Gezondheids- en welzijnszorg | 2022 | 40 | 16 | 13 | 32 |
| Gezondheids- en welzijnszorg | 2023 | 39 | 14 | 14 | 33 |
A.3 Cybersecurityincidenten bij bedrijven
In de figuren 3.1.3 en 3.1.4 werd een selectie van bedrijfstakken getoond. De volgende tabellen tonen de cijfers voor alle bedrijfstakken. In elke tabel wordt het percentage van bedrijven getoond.
| 2016 | 2016 | 2019 | 2019 | 2022 | 2022 | 2023 | 2023 | |
|---|---|---|---|---|---|---|---|---|
| Bedrijfstak | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten |
| Totaal (2 of meer werkzame personen) | 11 | 6 | 7 | 3 | 5 | 2 | 5 | 1 |
| Industrie | 14 | 9 | 9 | 4 | 5 | 1 | 5 | 1 |
| Energie, water, afvalbeheer | 14 | 7 | 5 | 2 | 6 | 1 | 6 | 1 |
| Bouwnijverheid | 13 | 6 | 7 | 3 | 6 | 2 | 5 | 1 |
| Handel | 12 | 6 | 7 | 2 | 6 | 2 | 5 | 1 |
| Vervoer en opslag | 10 | 5 | 7 | 3 | 5 | 1 | 4 | 1 |
| Horeca | 6 | 2 | 5 | 2 | 2 | 1 | 3 | 1 |
| ICT-sector | 14 | 6 | 10 | 3 | 10 | 3 | 7 | 2 |
| Informatie en communicatie | 14 | 5 | 10 | 3 | 9 | 2 | 6 | 2 |
| Financiële dienstverlening | 15 | 7 | 11 | 4 | 9 | 2 | 3 | 1 |
| Verhuur en handel van onroerend goed | 11 | 4 | 6 | 3 | 6 | 3 | 4 | 1 |
| Specialistische zakelijke diensten | 12 | 6 | 6 | 2 | 4 | 1 | 5 | 2 |
| Verhuur en overige zakelijke diensten | 12 | 7 | 7 | 3 | 4 | 1 | 4 | 1 |
| Gezondheids- en welzijnszorg | 8 | 4 | 8 | 3 | 5 | 1 | 4 | 1 |
| 1) Deze tabel toont het percentage van bedrijven dat ten minste één type incident (uitval ICT-systeem, vernietiging data, onthulling data) heeft gehad. | ||||||||
| 2016 | 2016 | 2019 | 2019 | 2022 | 2022 | 2023 | 2023 | |
|---|---|---|---|---|---|---|---|---|
| Bedrijfstak | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten |
| Totaal (2 of meer werkzame personen) | 8 | 4 | 5 | 2 | 3 | 1 | 3 | 1 |
| Industrie | 10 | 6 | 7 | 3 | 3 | 1 | 3 | 1 |
| Energie, water, afvalbeheer | 8 | 3 | 4 | 1 | 3 | 1 | 4 | 0 |
| Bouwnijverheid | 9 | 4 | 5 | 2 | 4 | 1 | 3 | 0 |
| Handel | 8 | 4 | 5 | 2 | 4 | 1 | 3 | 1 |
| Vervoer en opslag | 5 | 3 | 5 | 2 | 3 | 1 | 3 | 1 |
| Horeca | 3 | 1 | 4 | 2 | 2 | 1 | 2 | 0 |
| ICT-sector | 12 | 5 | 8 | 2 | 8 | 2 | 5 | 2 |
| Informatie en communicatie | 12 | 4 | 8 | 2 | 7 | 1 | 5 | 2 |
| Financiële dienstverlening | 7 | 2 | 7 | 4 | 6 | 2 | 1 | 1 |
| Verhuur en handel van onroerend goed | 6 | 3 | 4 | 1 | 3 | 1 | 2 | 1 |
| Specialistische zakelijke diensten | 9 | 5 | 4 | 2 | 2 | 1 | 3 | 1 |
| Verhuur en overige zakelijke diensten | 8 | 4 | 4 | 2 | 2 | 0 | 3 | 1 |
| Gezondheids- en welzijnszorg | 4 | 2 | 7 | 3 | 2 | 0 | 3 | 1 |
| 2016 | 2016 | 2019 | 2019 | 2022 | 2022 | 2023 | 2023 | |
|---|---|---|---|---|---|---|---|---|
| Bedrijfstak | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten |
| Totaal (2 of meer werkzame personen) | 6 | 3 | 2 | 1 | 2 | 1 | 1 | 0 |
| Industrie | 9 | 5 | 4 | 2 | 2 | 1 | 1 | 0 |
| Energie, water, afvalbeheer | 9 | 5 | 1 | 0 | 0 | 0 | 0 | 0 |
| Bouwnijverheid | 8 | 3 | 3 | 1 | 2 | 1 | 2 | 1 |
| Handel | 6 | 3 | 2 | 1 | 2 | 1 | 1 | 0 |
| Vervoer en opslag | 6 | 3 | 2 | 1 | 1 | 0 | 1 | 0 |
| Horeca | 4 | 1 | 1 | 0 | 1 | 0 | 2 | 1 |
| ICT-sector | 5 | 2 | 2 | 1 | 4 | 1 | 1 | 0 |
| Informatie en communicatie | 4 | 2 | 2 | 1 | 3 | 1 | 0 | 0 |
| Financiële dienstverlening | 8 | 4 | 3 | 1 | 4 | 0 | 0 | 0 |
| Verhuur en handel van onroerend goed | 6 | 2 | 3 | 2 | 3 | 2 | 1 | 0 |
| Specialistische zakelijke diensten | 5 | 2 | 2 | 0 | 1 | 0 | 1 | 1 |
| Verhuur en overige zakelijke diensten | 7 | 4 | 2 | 1 | 1 | 0 | 1 | 0 |
| Gezondheids- en welzijnszorg | 5 | 2 | 2 | 1 | 1 | 1 | 0 | 0 |
| 2016 | 2016 | 2019 | 2019 | 2022 | 2022 | 2023 | 2023 | |
|---|---|---|---|---|---|---|---|---|
| Bedrijfstak | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten |
| Totaal (2 of meer werkzame personen) | 2 | 1 | 2 | 0 | 2 | 0 | 1 | 0 |
| Industrie | 2 | 1 | 2 | 1 | 2 | 0 | 2 | 1 |
| Energie, water, afvalbeheer | 2 | 0 | 2 | 1 | 3 | 0 | 3 | 1 |
| Bouwnijverheid | 2 | 0 | 1 | 0 | 3 | 1 | 2 | 0 |
| Handel | 2 | 1 | 2 | 0 | 1 | 0 | 1 | 0 |
| Vervoer en opslag | 2 | 1 | 2 | 1 | 2 | 1 | 1 | 0 |
| Horeca | 1 | 0 | 0 | 0 | 1 | 0 | 1 | 0 |
| ICT-sector | 1 | 1 | 2 | 0 | 3 | 1 | 2 | 0 |
| Informatie en communicatie | 1 | 1 | 2 | 0 | 2 | 0 | 2 | 0 |
| Financiële dienstverlening | 2 | 1 | 3 | 1 | 3 | 0 | 2 | 0 |
| Verhuur en handel van onroerend goed | 1 | 1 | 2 | 1 | 2 | 1 | 2 | 0 |
| Specialistische zakelijke diensten | 2 | 1 | 2 | 0 | 1 | 0 | 1 | 0 |
| Verhuur en overige zakelijke diensten | 2 | 1 | 3 | 1 | 3 | 0 | 1 | 0 |
| Gezondheids- en welzijnszorg | 1 | 0 | 1 | 0 | 2 | 0 | 2 | 1 |
| 2016 | 2016 | 2019 | 2019 | 2022 | 2022 | 2023 | 2023 | |
|---|---|---|---|---|---|---|---|---|
| Bedrijfstak | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten |
| Totaal (2 of meer werkzame personen) | 27 | 11 | 29 | 10 | 12 | 3 | 10 | 2 |
| Industrie | 31 | 14 | 33 | 13 | 14 | 3 | 13 | 3 |
| Energie, water, afvalbeheer | 32 | 15 | 35 | 14 | 20 | 4 | 18 | 4 |
| Bouwnijverheid | 24 | 10 | 23 | 11 | 10 | 3 | 7 | 1 |
| Handel | 28 | 12 | 29 | 9 | 11 | 2 | 10 | 2 |
| Vervoer en opslag | 22 | 9 | 23 | 10 | 9 | 3 | 8 | 2 |
| Horeca | 15 | 6 | 22 | 4 | 10 | 2 | 6 | 1 |
| ICT-sector | 29 | 10 | 35 | 10 | 15 | 2 | 15 | 2 |
| Informatie en communicatie | 30 | 11 | 34 | 9 | 14 | 3 | 13 | 2 |
| Financiële dienstverlening | 30 | 12 | 36 | 15 | 23 | 4 | 15 | 1 |
| Verhuur en handel van onroerend goed | 33 | 13 | 24 | 10 | 14 | 5 | 6 | 2 |
| Specialistische zakelijke diensten | 31 | 13 | 31 | 12 | 13 | 3 | 12 | 3 |
| Verhuur en overige zakelijke diensten | 24 | 9 | 25 | 8 | 11 | 2 | 9 | 1 |
| Gezondheids- en welzijnszorg | 34 | 13 | 39 | 14 | 20 | 4 | 17 | 2 |
| 1) Deze tabel toont het percentage van bedrijven dat ten minste één type incident (uitval ICT-systeem, vernietiging data, onthulling data) heeft gehad. | ||||||||
| 2016 | 2016 | 2019 | 2019 | 2022 | 2022 | 2023 | 2023 | |
|---|---|---|---|---|---|---|---|---|
| Bedrijfstak | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten |
| Totaal (2 of meer werkzame personen) | 26 | 10 | 27 | 10 | 12 | 3 | 9 | 2 |
| Industrie | 30 | 14 | 32 | 12 | 13 | 3 | 12 | 3 |
| Energie, water, afvalbeheer | 29 | 12 | 31 | 13 | 18 | 4 | 15 | 4 |
| Bouwnijverheid | 22 | 9 | 21 | 11 | 10 | 3 | 6 | 1 |
| Handel | 26 | 11 | 28 | 9 | 11 | 2 | 9 | 2 |
| Vervoer en opslag | 21 | 9 | 23 | 9 | 9 | 3 | 8 | 2 |
| Horeca | 13 | 5 | 20 | 4 | 9 | 1 | 6 | 1 |
| ICT-sector | 28 | 10 | 33 | 9 | 15 | 2 | 13 | 2 |
| Informatie en communicatie | 28 | 10 | 32 | 8 | 14 | 2 | 12 | 1 |
| Financiële dienstverlening | 29 | 11 | 34 | 15 | 19 | 4 | 13 | 1 |
| Verhuur en handel van onroerend goed | 29 | 11 | 22 | 10 | 12 | 4 | 6 | 2 |
| Specialistische zakelijke diensten | 29 | 12 | 30 | 11 | 12 | 3 | 11 | 3 |
| Verhuur en overige zakelijke diensten | 22 | 8 | 23 | 7 | 10 | 2 | 8 | 1 |
| Gezondheids- en welzijnszorg | 33 | 12 | 36 | 13 | 18 | 4 | 14 | 2 |
| 2016 | 2016 | 2019 | 2019 | 2022 | 2022 | 2023 | 2023 | |
|---|---|---|---|---|---|---|---|---|
| Bedrijfstak | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten |
| Totaal (2 of meer werkzame personen) | 5 | 3 | 3 | 1 | 2 | 0 | 1 | 0 |
| Industrie | 6 | 3 | 5 | 2 | 1 | 0 | 2 | 1 |
| Energie, water, afvalbeheer | 7 | 4 | 7 | 2 | 1 | 0 | 3 | 0 |
| Bouwnijverheid | 5 | 2 | 4 | 1 | 1 | 0 | 1 | 0 |
| Handel | 6 | 3 | 3 | 1 | 1 | 0 | 1 | 0 |
| Vervoer en opslag | 4 | 2 | 3 | 2 | 1 | 0 | 1 | 0 |
| Horeca | 5 | 2 | 2 | 1 | 3 | 1 | 1 | 0 |
| ICT-sector | 6 | 2 | 3 | 1 | 2 | 0 | 2 | 0 |
| Informatie en communicatie | 6 | 2 | 3 | 1 | 2 | 0 | 1 | 0 |
| Financiële dienstverlening | 4 | 2 | 4 | 2 | 2 | 0 | 1 | 0 |
| Verhuur en handel van onroerend goed | 8 | 3 | 3 | 1 | 3 | 1 | 1 | 0 |
| Specialistische zakelijke diensten | 5 | 3 | 4 | 2 | 2 | 0 | 1 | 0 |
| Verhuur en overige zakelijke diensten | 4 | 2 | 4 | 1 | 1 | 0 | 1 | 0 |
| Gezondheids- en welzijnszorg | 3 | 1 | 2 | 1 | 1 | 0 | 2 | 0 |
| 2016 | 2016 | 2019 | 2019 | 2022 | 2022 | 2023 | 2023 | |
|---|---|---|---|---|---|---|---|---|
| Bedrijfstak | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten | Incident gehad | Met kosten |
| Totaal (2 of meer werkzame personen) | 2 | 1 | 2 | 1 | 1 | 0 | 1 | 0 |
| Industrie | 2 | 1 | 3 | 1 | 1 | 0 | 1 | 0 |
| Energie, water, afvalbeheer | 5 | 3 | 3 | 1 | 2 | 0 | 3 | 0 |
| Bouwnijverheid | 2 | 1 | 1 | 0 | 0 | 0 | 0 | 0 |
| Handel | 2 | 1 | 2 | 1 | 1 | 0 | 1 | 0 |
| Vervoer en opslag | 1 | 1 | 2 | 1 | 1 | 0 | 0 | 0 |
| Horeca | 1 | 0 | 0 | 0 | 1 | 0 | 1 | 0 |
| ICT-sector | 3 | 1 | 4 | 1 | 2 | 1 | 2 | 0 |
| Informatie en communicatie | 3 | 1 | 4 | 1 | 2 | 0 | 2 | 0 |
| Financiële dienstverlening | 3 | 1 | 5 | 1 | 5 | 0 | 3 | 0 |
| Verhuur en handel van onroerend goed | 2 | 1 | 4 | 2 | 2 | 0 | 1 | 0 |
| Specialistische zakelijke diensten | 2 | 1 | 3 | 1 | 2 | 0 | 1 | 0 |
| Verhuur en overige zakelijke diensten | 2 | 1 | 2 | 1 | 1 | 0 | 1 | 0 |
| Gezondheids- en welzijnszorg | 2 | 0 | 6 | 1 | 4 | 0 | 4 | 0 |
Referenties
CBS (2017a). Cybersecuritymonitor 2017.
CBS (2017b). ICT-gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte, 2017. StatLine.
CBS (2018a). Cybersecuritymonitor 2018.
CBS (2018b). ICT-gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte, 2018. StatLine.
CBS (2019a). Cybersecuritymonitor 2019.
CBS (2019b). ICT-gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte, 2019. StatLine.
CBS (2020a). Cybersecuritymonitor 2020.
CBS (2020b). ICT-gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte, 2020. StatLine.
CBS (2021a). ICT-gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte, 2021. StatLine.
CBS (2021b). ICT-gebruik bij zzp'ers; bedrijfstak en bedrijfsgrootte, 2021. StatLine.
CBS (2022a). Cybersecuritymonitor 2021.
CBS (2022b). ICT-gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte, 2022. StatLine.
CBS (2022c). ICT-gebruik bij zzp'ers; bedrijfstak en bedrijfsgrootte, 2022. StatLine.
CBS (2022d). Online Veiligheid en Criminaliteit 2022.
CBS (2023a). Cybersecuritymonitor 2022.
CBS (2023b). ICT-gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte, 2023. StatLine.
CBS (2023c). ICT-gebruik bij zzp'ers; bedrijfstak en bedrijfsgrootte, 2023. StatLine.
CBS (2024a). Datalekmeldingen bij Autoriteit Persoonsgegevens, 1e helft 2024.
CBS (2024b). ICT-gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte, 2024. StatLine.
CBS (2024c). ICT-gebruik bij zzp'ers; bedrijfstak en bedrijfsgrootte, 2024. StatLine.
CBS (2024d). Vervolging en berechting misdrijven; persoonskenmerken. StatLine.
CBS (2025a). ICT-gebruik bij bedrijven. Wat behelst het onderzoek?
CBS (2025b). Cybersecuritymonitor 2023.
CBS (2025c). Online Veiligheid en Criminaliteit 2024.
CBS (2025d). Toepassing van Internetstandaarden voor websites van bedrijven, 2024.
DTC (2025). Ransomware.
NCTV (2023). Cybersecuritybeeld Nederland 2023.