Cybersecuritymonitor 2023

2. Cybersecuritymaatregelen

Hoofdstuk 2 Cybersecuritymaatregelen

2.1 Bedrijven

Dit hoofdstuk gaat in op de maatregelen die bedrijven in Nederland nemen om zichzelf cyberweerbaar te maken. De cijfers komen uit de CBS-enquêtes ‘ICT-gebruik bij bedrijven 2017’  (CBS, 2017b, d, c, e, f), ‘ICT-gebruik bij bedrijven 2018’  (CBS, 2018b, d, c, e, f), ‘ICT-gebruik bij bedrijven 2019’  (CBS, 2019b, d, c, e, f), ‘ICT-gebruik bij bedrijven 2020’  (CBS, 2020b, d, c, e, f), ‘ICT-gebruik bij bedrijven 2021’  (CBS, 2021a, c, b, d, e), ‘ICT-gebruik bij bedrijven 2022’  (CBS, 2022b, d, c, e, f) en ‘ICT-gebruik bij bedrijven 2023’  (CBS, 2023c, e, d, f, g).

De jaarlijkse enquête ‘ICT-gebruik bij bedrijven’ (of kortweg: de ICT-enquête) wordt in samenwerking met de andere EU-landen uitgevoerd onder leiding van Eurostat. Een deel van de uitvoeringskosten van de ICT-enquête wordt door Eurostat gefinancierd. Het ministerie van Economische Zaken en Klimaat financiert extra onderdelen van het onderzoek die niet verplicht zijn op basis van EU-regelgeving.

Via de ICT-enquête wordt jaarlijks het ICT-gebruik van bedrijven in Nederland in kaart gebracht. Dit levert ook cijfers op die iets zeggen over de cyberweerbaarheid van bedrijven: de mate waarin zij bedrijfsprocessen en waardevolle data beveiligen tegen cybercriminelen. In deze monitor besteden we afzonderlijk aandacht aan de maatregelen die bedrijven nemen om zich te beveiligen tegen aanvallen van buitenaf en het optreden van ICT-veiligheidsincidenten. De maatregelen worden in dit hoofdstuk beschreven; de incidenten komen in het volgende hoofdstuk aan bod.

De ICT-enquête wordt gehouden onder ongeveer 20 duizend aselect getrokken Nederlandse bedrijven uit verschillende grootteklassen en bedrijfstakken. De afgelopen drie jaar werd ook een beknopte versie van de ICT-enquête naar zo’n 22 duizend zelfstandigen zonder personeel (zzp’ers) uitgestuurd. Deze beknopte versie bevat voornamelijk de ICT-veiligheidsvragen uit de enquête die naar de grote bedrijven gestuurd wordt. De resultaten van de zzp’ers worden de afgelopen drie jaar in deze monitor meegenomen en vergeleken met die van bedrijven met twee of meer werknemers.

In de bijlagen wordt in tabellen A.1.1 en A.1.2 een overzicht van respectievelijk alle grootteklassen en bedrijfstakken gegeven. In het huidige hoofdstuk worden de cijfers van vijf grootteklassen uitgelicht: zzp’ers (1 werkzame persoon), bedrijven met 2 tot 10 werkzame personen, bedrijven met 10 tot 50 werkzame personen, bedrijven met 50 tot 250 werkzame personen en bedrijven met 250 of meer werkzame personen. Daarnaast laten we nog voor vijf bedrijfstakken de cijfers zien: 1) Gezondheid en welzijnszorg (Zorg), 2) Financiële dienstverlening (Finan.Dnst.), 3) Horeca, 4) ICT-sector en 5) Industrie. Deze bedrijfstakken zijn gekozen omdat de resultaten van de genomen ICT-veiligheidsmaatregelen en de voorgekomen ICT-veiligheidsincidenten in deze bedrijfstakken het meest uiteenlopen. Bij de bespreking van de kosten laten we andere bedrijfstakken zien, namelijk de bedrijfstakken die de hoogste kosten van incidenten hebben gemeld.

Een compleet overzicht van de cijfers voor alle grootteklassen en bedrijfstakken kan in bijlage A.2 en bijlage A.3 gevonden worden, of zijn online beschikbaar op Statline (CBS, 2023a).

2.1.1 Genomen ICT-veiligheidsmaatregelen per bedrijfsgrootteklasse
2.1.1 Genomen ICT-veiligheidsmaatregelen per bedrijfsgrootteklasse *{stroke-linejoin: round; stroke-linecap: butt} 2024-06-21T07:25:35.464827 image/svg+xml Matplotlib v3.9.0, https://matplotlib.org/

2.1.2  Genomen ICT-veiligheidsmaatregelen per bedrijfstak met 2 of meer werkzame personen

2.1.2 Genomen ICT-veiligheidsmaatregelen per bedrijfstak met 2 of meer werkzame personen *{stroke-linejoin: round; stroke-linecap: butt} 2024-06-21T07:25:26.609116 image/svg+xml Matplotlib v3.9.0, https://matplotlib.org/

2.1.1 Maatregelen ter verbetering van de cyberweerbaarheid

In de ICT-enquête worden verschillende vragen gesteld over de cyberweerbaarheid van bedrijven. Zo is aan bedrijven gevraagd welke ICT-veiligheidsmaatregelen zijn getroffen. Ook is gevraagd wie de ICT-veiligheidsmaatregelen binnen het bedrijf uitvoert: het eigen personeel, een extern bedrijf, of een combinatie van beide.

In dit deel bekijken we eerst hoe vaak verschillende cybersecuritymaatregelen door bedrijven toegepast worden. Figuren 2.1.1(a–l) en 2.1.2(a–l) tonen het aandeel bedrijven dat in de periode 2016–2022 verschillende cybersecuritymaatregelen toepast, naar grootteklasse en bedrijfstak.[voetnoot: Let op dat data van een bepaald jaar vaak komt uit de ICT-enquête van het jaar daarna. Zo komt de data die betrekking heeft op 2022 uit de ICT-enquête van 2023 (CBS, 2023c). ] Voor de duidelijkheid worden slechts vier grootteklassen en vier bedrijfstakken uitgelicht. Het volledige overzicht wordt in tabellen A.2.1 en A.2.3 gegeven en is terug te vinden op StatLine (CBS, 2023a). Uiteraard kan met deze twaalf maatregelen nooit een compleet beeld van het ICT-beveiligingsniveau van bedrijven gegeven worden. Toch ontstaat hierdoor wel een globale indruk, omdat elke extra maatregel die een bedrijf neemt een extra bijdrage levert aan de cyberweerbaarheid van het bedrijf.

Grotere bedrijven nemen meer maatregelen tegen cyberdreigingen

Over het algemeen kan gezegd worden dat het ICT-beveiligingsniveau van een bedrijf hoger is naarmate er meer maatregelen tegelijkertijd genomen worden. Figuur 2.1.1 laat zien dat elke maatregel vaker wordt genomen door grotere bedrijven dan door kleinere bedrijven. Voor sommige maatregelen is dit patroon sterker dan voor andere.

Voor bijvoorbeeld een gangbare maatregel als het gebruik van antivirussoftware zijn de verschillen tussen grotere en kleinere bedrijven niet zo groot: meer dan 80 procent van alle bedrijven met meer dan 2 werknemers gebruikt antivirussoftware, ongeacht de grootteklasse (figuur 2.1.1(a)). Bij een moeilijker toe te passen maatregel zoals het gebruik van een Virtual Private Netwerk (VPN) zijn er wel grotere verschillen te zien: 25 procent van de microbedrijven (2 tot 10 werknemers) maakte in 2022 gebruik van VPN, tegenover 81 procent van de grote bedrijven (250 of meer werknemers) (figuur 2.1.1(l)). Het is begrijpelijk dat grote bedrijven meer maatregelen treffen, omdat zij vaak een grotere en complexere ICT-infrastructuur hebben die een breder spectrum aan beveiligingsmaatregelen vereist.

Figuur 2.1.1 toont ook het percentage zzp’ers dat in 2020, 2021 en 2022 ICT-veiligheidsmaatregelen nam. Er kan geconcludeerd worden dat bij alle ICT-veiligheidsmaatregelen het percentage zzp’ers dat deze maatregelen neemt net iets lager is dan dat voor bedrijven in de bovenliggende grootteklasse van 2 tot 10 werknemers. Dit is consistent met de constatering dat kleinere bedrijven minder ICT-veiligheidsmaatregelen nemen dan grote bedrijven.

Toename authenticatie met soft- of hardwaretoken

Figuur 2.1.1(j) laat zien dat het gebruik van een soft- of hardwaretoken voor het inloggen door een bedrijf sinds 2016 flink is toegenomen. Bij deze zogenaamde tweefactorauthenticatie[voetnoot: Strikt genomen is er nog een onderscheid te maken tussen tweefactorauthenticatie en tweestapsverificatie, maar dat laten we verder buiten beschouwing omdat beide vormen sowieso een extra beveiliging opleveren ten opzichte van het inloggen met enkel een wachtwoord.]moet naast een wachtwoord een extra code ingevoerd worden die per inlogsessie verandert. Deze code wordt verkregen via een specifiek apparaatje of via een app op de smartphone. Dit maakt inloggen een stuk veiliger, want zelfs als een wachtwoord onderschept wordt, biedt de vereiste extra code bescherming tegen inloggen door ongeautoriseerde gebruikers.

Het gebruik van soft- of hardwaretokens komt vanaf 2016 in alle grootteklassen steeds vaker voor. Bij grote bedrijven (250 of meer werknemers) is deze manier van inloggen bijvoorbeeld toegenomen van 71 procent in 2016 tot 91 procent in 2022. Bij microbedrijven (twee tot tien werknemers) is dit zelfs bijna verdubbeld van 23 procent in 2016 naar 45 procent in 2022.

ICT-veiligheidsmaatregelen per bedrijfstak

Figuur 2.1.2 laat het aantal maatregelen voor enkele bedrijfstakken met twee of meer werknemers zien (de zzp’ers zijn hier dus niet in meegenomen). Bedrijven die meer met ICT bezig zijn of die een groot belang hebben bij het beveiligen van hun data, zoals respectievelijk de ICT-sector en de gezondheidszorg, scoren beter op het gebied van cybersecurity dan sectoren waar dit minder belangrijk lijkt, zoals de horeca. De horeca heeft wel relatief meer kleinere bedrijven, waarvan we eerder zagen dat deze minder cybersecuritymaatregelen nemen dan grote bedrijven. Maar het ligt ook voor dat hand de horeca minder cybersecuritymaatregelen neemt omdat ze voor hun werkzaamheden minder van ICT afhankelijk zijn. Dit blijkt bijvoorbeeld uit eerder op Statline gepubliceerde cijfers over de mate van digitalisering van bedrijven (CBS, 2021c).

Aantal genomen ICT-veiligheidsmaatregelen

Dat grote bedrijven vaker verschillende ICT-maatregelen nemen dan kleinere bedrijven komt nogmaals terug in figuren 2.1.3(a) en 2.1.3(b). In deze figuren wordt per bedrijfsgrootte en bedrijfstak het percentage bedrijven getoond dat een zeker aantal maatregelen neemt. De resultaten laten zien dat kleinere bedrijven hoger scoren op een kleiner aantal maatregelen, terwijl grotere bedrijven juist vaker meerdere maatregelen tegelijk nemen (figuur 2.1.3(a)). Van de grote bedrijven (250 of meer werknemers) neemt zelfs bijna 60 procent van de bedrijven alle tien de uitgevraagde maatregelen.[voetnoot: Van de twaalf maatregelen die in figuur 2.1.1 en figuur 2.1.2 getoond worden, nemen we er maar tien mee in figuur 3(a) en figuur 3(b) waar we het totaal aantal genomen maatregelen tonen. De reden hiervoor is dat de maatregelen ’ICT-cursus aan specialisten’ (d) en ’Updaten software’ (k) niet over alle jaren beschikbaar zijn.] In figuur 2.1.3(b) is te zien dat bedrijven in de ICT-sector over het algemeen de meeste maatregelen nemen, terwijl in de horeca vaker minder maatregelen genomen worden.

2.1.3(a) Verdeling van het aantal cybersecuritymaatregelen per grootteklasse, 2022.
Aantal maatregelen1 werkzame persoon (zzp'er) (% van bedrijven)2 tot 10 werkzame personen (% van bedrijven)10 tot 50 werkzame personen (% van bedrijven)50 tot 250 werkzame personen (% van bedrijven)250 of meer werkzame personen (% van bedrijven)
059310
188200
21113410
31312620
41411820
510101041
6781062
7671194
82611149
925132018
1035163759
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte, 2023 (CBS, 2023e)

2.1.3(b) Verdeling van het aantal cybersecuritymaatregelen per bedrijfstak voor bedrijven met 2 of meer werknemers, 2022.
Aantal maatregelenGezondheids- en welzijnszorg (% van bedrijven)Financiële dienstverlening (% van bedrijven)ICT-sector (% van bedrijven)Industrie (% van bedrijven)Horeca (% van bedrijven)
02224617
1203611
24921020
36931115
48134128
51036911
6106992
71341083
812101174
91371491
10131327103
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak, 2023 (CBS, 2023d)

2.1.4(a) Percentage van bedrijven die in 2022 minimaal vijf van de tien gevraagde cybersecuritymaatregelen nemen per grootteklasse.
dim_gk2016 (% van bedrijven)2017 (% van bedrijven)2018 (% van bedrijven)2019 (% van bedrijven)2020 (% van bedrijven)2021 (% van bedrijven)2022 (% van bedrijven)
250 of meer werkzame personen94949798979893
50 tot 250 werkzame personen82838989919490
10 tot 50 werkzame personen54616965707571
2 tot 10 werkzame personen32374344424541
2 of meer werkzame personen37434949485247
1 werkzame persoon (zzp'er)322930
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfsgrootte, 2023 (CBS, 2023b)

2.1.4(b) Percentage van bedrijven met 2 of meer werknemers die in 2021 minimaal vijf van de tien gevraagde cybersecuritymaatregelen nemen per bedrijfstak.
dim_sbi2016 (% van bedrijven)2017 (% van bedrijven)2018 (% van bedrijven)2019 (% van bedrijven)2020 (% van bedrijven)2021 (% van bedrijven)2022 (% van bedrijven)
ICT-sector74737673738077
Gezondheids- en welzijnszorg57667473727871
Industrie42475353515552
Financiële dienstverlening59717470807543
Horeca20182221232124
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak, 2022 (CBS, 2022d)

Bijna de helft van de bedrijven met twee of meer werknemers nam in 2022 minstens vijf ICT-veiligheidsmaatregelen

Uit de verdeling van het aantal maatregelen is af te leiden welk deel van de bedrijven minimaal de helft van de gevraagde maatregelen neemt. Figuren 2.1.4(a) en 2.1.4(b) tonen per grootteklasse (a) en per bedrijfstak (b) het aandeel van bedrijven dat minstens vijf van de tien uitgevraagde ICT-veiligheidsmaatregelen neemt. Figuur 2.1.4(a) laat zien dat het aantal bedrijven dat vijf of meer maatregelen neemt tot 2021 is toegenomen. In 2022 is het aandeel van bedrijven met twee of meer werknemers dat minimaal vijf maatregelen neemt echter licht gedaald. Toch neemt in 2022 nog steeds 93 procent van de grote bedrijven (250 of meer werknemers) minimaal vijf van de tien maatregelen. Van de zzp’ers neemt 29 procent in 2022 vijf of meer van de gevraagde ICT-veiligheidsmaatregelen.

In figuur 2.1.4(b) is te zien dat in de bedrijfstakken ‘ICT-sector’, ‘Financiële dienstverlening’ en ‘Gezondheids- en welzijnszorg’ een relatief grote groep bedrijven meer dan vijf maatregelen treft (in 2022 ruim 70 procent), terwijl dit percentage voor de horeca een stuk lager ligt met ongeveer 25 procent. We kunnen echter zien dat, vergeleken met 2016, het aandeel bedrijven dat een groot aantal ICT-veiligheidsmaatregelen neemt, in alle bedrijfstakken is toegenomen. In 2022 neemt de toename van het percentage bedrijven dat minstens vijf maatregelen treft ten opzichte van 2021 wel iets af, behalve bij de horeca.

2.1.2 Uitvoering ICT-veiligheidswerkzaamheden

2.1.5(a) Uitvoering ICT-veiligheidswerkzaamheden per grootteklasse
 JaarExtern (% van bedrijven)Zelf/eigen personeel (% van bedrijven)Extern en zelf/eigen personeel (% van bedrijven)N.v.t. (% van bedrijven)
1 (zzp'ers)'18
1 (zzp'ers)'19
1 (zzp'ers)'201335349
1 (zzp'ers)'213427336
1 (zzp'ers)'222728342
2 - 9'183153160
2 - 9'19425170
2 - 9'202622646
2 - 9'212620648
2 - 9'222221552
10 - 49'184725280
10 - 49'195927140
10 - 49'2049171618
10 - 49'2148161917
10 - 49'2237231723
50 - 249'183421450
50 - 249'194224340
50 - 249'203922336
50 - 249'213619396
50 - 249'223325357
250 -'181717660
250 -'192022580
250 -'201923553
250 -'211520632
250 -'221326583
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte, 2022 (CBS, 2019a, 2020b, 2021e, 2022b)

2.1.5(b) Uitvoering ICT-veiligheidswerkzaamheden voor bedrijven met 2 of meer werknemers voor de periode 2018-2021 per bedrijfstak
 JaarExtern (% van bedrijven)Zelf/eigen personeel (% van bedrijven)Extern en zelf/eigen personeel (% van bedrijven)N.v.t. (% van bedrijven)
Industrie'184039210
Industrie'195236120
Industrie'2036171136
Industrie'2135161237
Industrie'2232171140
ICT'181261270
ICT'191069210
ICT'209521920
ICT'217541920
ICT'225541823
Horeca'18207190
Horeca'19375940
Horeca'201620163
Horeca'212112364
Horeca'221616365
Finan.Dnst.'184629250
Finan.Dnst.'194936150
Finan.Dnst.'2039291814
Finan.Dnst.'2136171928
Finan.Dnst.'2230251530
Zorg'184429270
Zorg'195432140
Zorg'2045211123
Zorg'2143161625
Zorg'2238201230
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte, 2021 (CBS, 2019a, 2020b, 2021e, 2022b)

In figuren 2.1.5(a) en 2.1.5(b) wordt de organisatie van de ICT-veiligheidswerkzaamheden onder de loep genomen. Per grootteklasse en bedrijfstak wordt gekeken wie de ICT-veiligheidswerkzaamheden binnen het bedrijf uitvoert: het eigen personeel, een extern bedrijf of een mix van beide. Vanaf het jaar 2020 worden deze resultaten ook voor zzp’ers weergegeven. In 2020 is de vraagstelling wel enigszins veranderd; vanaf dat moment is de optie ‘niet van toepassing’ namelijk toegevoegd. In de jaren daarvoor was deze optie er niet en moesten bedrijven aangeven of de ICT-veiligheidswerkzaamheden werden uitgevoerd of werden uitbesteed (of een mix daarvan). Deze verandering is waarschijnlijk de oorzaak van de verschuiving die zichtbaar is in de resultaten vanaf 2020, vooral onder de kleinere bedrijven.

Figuur 2.1.5(a) laat zien dat de ICT-veiligheidswerkzaamheden het vaakst volledig worden uitbesteed door kleine bedrijven (10 tot 50 werknemers). Bij grote bedrijven (250 of meer werknemers) worden de maatregelen juist het vaakst deels uitbesteed en deels door het eigen personeel uitgevoerd. Dit laatste is niet opmerkelijk omdat een groot bedrijf meer personeel beschikbaar heeft om standaardmaatregelen zelf uit te voeren en daarnaast over de middelen beschikt om complexere zaken uit te besteden. Bij zzp’ers en microbedrijven (2 tot 10 werkzame personen) komt de optie ‘Niet van toepassing’ het vaakst voor. Dit komt overeen met de constatering dat door kleinere bedrijven minder maatregelen worden genomen dan door grote bedrijven. In alle grootteklassen lijkt de optie ‘Niet van toepassing’ door de tijd heen wel toe te nemen. Ook lijkt het erop dat de ICT-veiligheidswerkzaamheden steeds vaker volledig door het eigen personeel worden uitgevoerd, vooral bij grotere bedrijven (10 of meer werknemers).

Figuur 2.1.5(b) laat tot slot zien dat bedrijven in de ICT-sector vaak in staat zijn om de ICT-veiligheidswerkzaamheden zelf uit te voeren; zo’n 54 procentdoet dit volledig zelf. Ook dit is niet opmerkelijk omdat het te verwachten is dat bij deze bedrijven voldoende expertise voorhanden is om de ICT-beveiliging zelf uit te voeren. In de bedrijfstakken ‘Zorg’ en ‘Industrie’ worden de ICT-beveiligingswerkzaamheden bij zo’n 40 procentvan de bedrijven volledig uitbesteed. De Horeca heeft het meest gebruik gemaakt van de nieuwe categorie ‘Niet van toepassing’: ruim twee derde van de horecabedrijven zegt dat ICT-beveiligingswerkzaamheden niet van toepassing. Dit hangt waarschijnlijk samen met het feit dat de Horeca relatief weinig ICT-maatregelen neemt, zodat ICT-veiligheidswerkzaamheden vaker niet aan de orde zijn.

2.2 Websites

Deze paragraaf beschrijft de maatregelen die bedrijven nemen om de beveiliging en betrouwbaarheid van hun websites te verhogen. Het gebruik van veilige en moderne internetstandaarden speelt hierbij een belangrijke rol.

2.2.1 Aandeel .nl-domeinnamen met DNSSEC-beveiliging stijgt

DNSSEC is een beveiligingssysteem voor het Domain Name System (DNS), oftewel het internet-telefoonboek dat zorgt voor de vertaling van domeinnamen naar IP-adressen. DNSSEC breidt DNS uit met een extra beveiliging. Met alleen DNS is de vertaling van een domeinnaam namelijk niet beveiligd. Hierdoor kan een kwaadwillende het internetverkeer van een gebruiker omleiden naar een vals IP-adres en vervolgens vertrouwelijke gegevens of zelfs geld ontfutselen. Met DNSSEC wordt bij de vertaling van domeinnaam naar IP-adres een digitale handtekening toegevoegd die een internetgebruiker automatisch kan laten controleren. Hierdoor wordt het omleiden naar een vals IP-adres voorkomen. DNSSEC is daarmee een belangrijk wapen in de strijd tegen phishing en pharming.[voetnoot: Bij pharming probeert een cybercrimineel gegevens van gebruikers te verkrijgen door ze naar een nepversie van een echte website te leiden. Bij phishing probeert een cybercrimineel op een meer directe manier gegevens van een gebruiker te verkrijgen door personen te benaderen met e-mails die lijken op de e-mail van een bank met een verzoek om inloggegevens te geven. ]De domeinregistratie en het bijhouden van het gebruik van DNSSEC in Nederland wordt uitgevoerd door de Stichting Internet Domeinregistratie Nederland (SIDN).

2.2.1 Percentage .nl-domeinnamen met DNSSEC
Jaar% van aantal .nl-domeinnamen (% van .nl-domeinnamen)
feb '1327,1
mrt '1327,5
apr '1327,6
mei '1328,5
jun '1328,6
jul '1328,8
aug '1328,8
sep '1330,2
okt '1330,3
nov '1331,1
dec '1331,1
jan '1431,2
feb '1431,2
mrt '1431,2
apr '1431,1
mei '1431,2
jun '1431,7
jul '1432,2
aug '1433,8
sep '1433,8
okt '1433,8
nov '1434,6
dec '1440,6
jan '1540,8
feb '1541,0
mrt '1543,2
apr '1543,7
mei '1543,6
jun '1543,6
jul '1543,6
aug '1543,8
sep '1543,6
okt '1544,0
nov '1543,9
dec '1544,3
jan '1644,3
feb '1644,0
mrt '1644,5
apr '1644,2
mei '1644,2
jun '1644,2
jul '1644,7
aug '1645,0
sep '1645,0
okt '1645,0
nov '1645,5
dec '1645,5
jan '1745,5
feb '1745,6
mrt '1745,7
apr '1746,0
mei '1746,4
jun '1747,2
jul '1747,7
aug '1748,5
sep '1748,8
okt '1749,0
nov '1749,2
dec '1749,3
jan '1849,3
feb '1849,4
mrt '1849,7
apr '1852,0
mei '1852,2
jun '1852,3
jul '1852,6
aug '1852,7
sep '1853,1
okt '1853,3
nov '1853,4
dec '1853,5
jan '1953,8
feb '1954,0
mrt '1954,2
apr '1954,3
mei '1954,5
jun '1954,4
jul '1954,4
aug '1954,5
sep '1954,6
okt '1954,6
nov '1954,7
dec '1954,8
jan '2054,9
feb '2055,0
mrt '2055,2
apr '2055,4
mei '2055,5
jun '2055,5
jul '2055,5
aug '2055,5
sep '2055,5
okt '2055,4
nov '2055,7
dec '2055,9
jan '2156,2
feb '2156,2
mrt '2156,4
apr '2156,2
mei '2156,1
jun '2156,0
jul '2156,6
aug '2157,0
sep '2157,1
okt '2157,1
nov '2157,0
dec '2157,1
jan '2257,3
feb '2257,3
mrt '2257,3
apr '2257,4
mei '2257,4
jun '2257,5
jul '2257,8
aug '2257,8
sep '2257,8
okt '2257,8
nov '2257,9
dec '2258,3
jan '2358,4
feb '2358,4
mrt '2358,3
apr '2358,3
mei '2358,4
jun '2359,2
Bron: SIDN, 2022

Figuur 2.2.1 toont dat het percentage met DNSSEC-beveiligde .nl-websites in de periode 2014 — 2024 is toegenomen tot bijna 62 procent. In de eerste jaren was deze toename groter dan in de latere jaren. Toch is dit percentage in 2024 weer wat sneller gestegen te zien ten opzichte van het jaar daarvoor. Tussen 2023 en 2024 nam het percentage met DNSSEC-beveiligde .nl-websites namelijk toe met ongeveer 3 procent.

2.2.2 Gebruik van internetstandaarden bij websites van bedrijven in Nederland

In de CBS-publicatie ‘Toepassing van Internetstandaarden voor websites van bedrijven’ (CBS, 2024) wordt een representatieve steekproef van websites van bedrijven met de webtool Internet.nl van Platform Internetstandaarden gescand om de mate van standaardisatie van websites van bedrijven in Nederland te bepalen. Deze mate van standaardisatie wordt uitgedrukt in een eindscore tussen de 0% en 100%, waarbij 100% betekent dat een website aan alle internetstandaarden volgens de norm van Platform internetstandaarden voldoet.[voetnoot: Een score van 100 procent wil echter nog niet zeggen dat een online dienst per definitie veilig is; er zijn nog meer aspecten die een rol spelen. De Internet.nl-test is dus een test op het gebruik van de juiste internetstandaarden en geen veiligheidstest.] Het toepassen van internetstandaarden, zoals het gebruik van een domein-handtekening of HTTPS bij een website, is belangrijk omdat het de veiligheid, betrouwbaarheid en toegankelijkheid van het internet verhoogt.

Standaardisatie van websites van bedrijven neemt gestaag toe

De gemiddelde Internet.nl-eindscore per bedrijfsgrootte is per jaar voor alle bedrijfsgrootteklassen ongeveer gelijk en neemt per jaar gestaag toe (zie figuur 2.2.2). Zo is de gemiddelde Internet.nl-eindscore voor alle bedrijven met een website met twee of meer werknemers gestegen van 60,3 procent in 2020 naar 65,5 procent in april 2024. Dit laat zien dat bedrijven in Nederland steeds beter de juiste internetstandaarden voor hun website toepassen.

Ook de Internet.nl-eindscore per bedrijfstak is gestegen sinds 2020, zoals weergegeven in figuur 2.2.3. Met name de bedrijfstak ‘Financiële dienstverlening’ heeft het afgelopen jaar relatief veel aandacht besteed aan het implementeren van veiligheidsstandaarden voor hun website. Opvallend is wel dat de eindscore van de ICT‐sector in april 2024 is gedaald ten opzichte van april 2023: van 72,2 procent naar 66,5 procent. Ook enkele andere sectoren vertonen tussen april en december 2023 een daling in de eindscore. Deze dalingen komen met name door een daling van het aantal bedrijven dat slaagt voor de categorie IPv6, de moderne standaard voor het IP-adres. Zie voor meer informatie hierover de publicatie ‘Toepassing van Internetstandaarden voor websites van bedrijven’ (CBS, 2024).

2.2.2 Gemiddelde eindscore op Internet.nl per bedrijfsgrootteklasse.
 20242023/dec2023/apr202220212020
2 of meer werkzame personen65,496264,795765,12864,296762,990260,2582
250 of meer werkzame personen67,17766,121763,873165,551763,905659,1599
50 tot 250 werkzame personen65,919765,208563,333163,431661,609757,9416
10 tot 50 werkzame personen65,092864,59464,689663,918962,817659,21
2 tot 10 werkzame personen65,536864,800565,300664,41363,09360,751
ZZP`ers66,453565,966365,9119

2.2.3 Gemiddelde eindscore op Internet.nl per bedrijfstak met 2 of meer werknemers.
 20242023/dec2023/apr202220212020
ICT-sector66,548965,244872,189367,442964,594461,4255
Gezondheid en welzijnszorg69,077568,834963,151664,674965,033362,7654
Verhuur/Overige zakelijke dnst.65,795266,147868,657165,173966,589962,8383
Special. zakelijke dienstver.67,49465,771266,191668,152367,413160,8665
Verhuur/Handel onr.goed61,567360,858162,258963,495359,365558,7703
Financiële dienstverlening75,525475,555460,848567,003861,066557,4777
Informatie/Communicatie67,244166,029670,363967,995464,888461,3975
Horeca70,785867,959571,063262,836960,23563,2981
Vervoer/Opslag67,90466,798364,970162,786365,180257,0039
Handel61,852862,007964,029663,09363,225759,2627
Bouwnijverheid62,562462,541764,905264,44964,745457,3998
Energie/Water/Afval63,903363,728957,155961,4963,478656,9504
Industrie64,260264,473963,869462,884462,035857,4035

Kleinere bedrijven lopen voorop met IPv6, grote bedrijven met HSTS

Alhoewel de eindscore vrij gelijkmatig over de verschillende bedrijfsgrootteklassen verdeeld is, vertonen de onderliggende subtesten waarop de eindscore gebaseerd is wel duidelijke verschillen afhankelijk van de bedrijfsgrootteklasse. Kleinere bedrijven hebben bijvoorbeeld vaker een website die bereikbaar is via een modern IPv6 internetadres (Figuur 2.2.4) (36 procent). IPv6 is de opvolger van IPv4, dat tegen zijn tijd aanloopt wat betreft het aantal beschikbare adressen dat dit internetprotocol aanbiedt. Ondersteunen van IPv6 is belangrijk om het internet ook in de toekomst toegankelijk te houden. Dat grote bedrijven nog niet zo hoog scoren (26 procent) komt waarschijnlijk omdat de website van grote bedrijven vaak op eigen, misschien al wat oudere servers draait. Ondersteunen van IPv6 vereist dus een behoorlijke investering terwijl het niet direct op korte termijn veel voordeel oplevert: het raakt niet aan de veiligheid van de website, alleen aan de toegankelijkheid in de toekomst.

2.2.4 Percentage van bedrijven met website met geslaagde website-test `IPv6-bereikbaarheid van webservers' per bedrijfsgrootteklasse.
 20242023/dec2023/apr202220212020
2 of meer werkzame personen34,513333,860638,378435,749133,610228,7308
250 of meer werkzame personen25,642624,366920,050723,811221,96814,569
50 tot 250 werkzame personen28,486327,993124,103526,651523,051418,1452
10 tot 50 werkzame personen31,055130,930229,290329,464829,000722,6436
2 tot 10 werkzame personen35,598834,840240,911937,842835,451431,5388
ZZP`ers48,095445,579244,148

Aan de andere kant is te zien dat grote bedrijven juist weer goed scoren op het ondersteunen van HSTS, oftewel HTTPS Strict Transport Security (Figuur 2.2.5). Websites met HSTS vereisen dat de webbrowser de website alleen via het beveiligde HTTPS kunnen benaderen en niet via het onveilige HTTP-protocol. Dat grote bedrijven hier weer hoger op scoren komt waarschijnlijk omdat deze instelling met de juiste kennis op netwerk niveau ingesteld kan worden en het direct de veiligheid van de website te goede komt. Bij IPv6 wordt gebruikgemaakt van de hardware van de webserver, terwijl ondersteuning van HSTS vereist dat op netwerkniveau een IT-specialist de juiste instellingen gekozen heeft. Uit eerder gepubliceerde cijfers op statline blijkt dat grote bedrijven vaker ICT-specialisten in dienst hebben (CBS, 2021c). Zie voor een volledig overzicht van alle internetstandaarden de publicatie Toepassing van Internetstandaarden voor websites van bedrijven (CBS, 2024).

2.2.5 Percentage van bedrijven met website met geslaagde website-test `HSTS policy aangeboden' per bedrijfsgrootteklasse.
 20242023/dec2023/apr202220212020
2 of meer werkzame personen13,459412,492212,315712,404311,966112,492
250 of meer werkzame personen37,043936,298629,97937,708336,89834,9956
50 tot 250 werkzame personen27,716526,937122,711826,489524,315122,0194
10 tot 50 werkzame personen16,127615,578815,074716,739615,59513,9036
2 tot 10 werkzame personen11,965410,902811,160510,327510,074210,9487
ZZP`ers4,695997,212959,3434