CBS-monitor: waarom security voor mkb een strategische groeikans is

Laten we beginnen met de redenen voor optimisme. De monitor laat duidelijk een stijgende lijn zien in weerbaarheid. Er is meer aandacht voor security in het bedrijfsleven, een groter bewustzijn van risico’s én veel bedrijven werken aan een betere infrastructuur.  

Het onderzoek toont aan dat mkb-bedrijven hun digitale defensie drastisch hebben opgevoerd. Toepassing van tweefactorauthenticatie is sinds 2017 verviervoudigd bij bedrijven met 10 tot 50 medewerkers. In 2017 gebruikte nog maar 29 procent deze maatregel; vandaag is dat gestegen tot 76 procent.  

Dit maakt duidelijk dat de basismaatregelen bij veel bedrijven inmiddels normaal zijn geworden. Ook antivirussoftware is bijna standaard: 94 procent van het mkb gebruikt dit. En websites van mkb-bedrijven worden steeds veiliger. De gemiddelde score op veilige internetstandaarden klom van 59,2 procent in 2020 naar 67,8 procent in januari 2025. Dat zijn geen kleine stapjes. Het wijst erop dat cyberbeveiliging eindelijk is doorgedrongen tot het midden- en kleinbedrijf.

Ook interessant: ‘Onderzoek naar digitalisering mkb: kennisgebrek grootste obstakel’

Toch toont hetzelfde onderzoek een verontrustend blinde vlek. Het mkb is kwetsbaar voor ransomware-aanvallen, dat zijn aanvallen waarbij criminelen bestanden vergrendelen en losgeld eisen. In 2023 raakten ransomware-aanvallen circa 1 procent van alle bedrijven met meer dan twee werkzame personen. Maar die statistiek is misleidend: het getroffen mkb wist niet altijd wat te doen, zo stelt het CBS vast.

Veel bedrijven contacteerden de politie (14 procent), terwijl bedrijven die wel een cybersecuritybedrijf inschakelden (39 procent) veel beter geholpen werden. Erger nog: ongeveer een derde van de mkb-bedrijven die ransomware meemaakten, liep aanzienlijke extra kosten op door verloren productiviteit en herstelkosten.

Meer over cybercrime voorkomen: 'Wees spookfacturen en andere factuurfraude te slim af (met tips)'

Een ander inzicht uit het onderzoek brengt een ander risico aan het licht. Het mkb besteedt ICT-veiligheidswerkzaamheden massaal uit: 45 procent van bedrijven met 10 tot 50 werkzame personen zei in 2023 deze taken volledig aan een extern bedrijf over te laten. Dit kan verstandig zijn als je geen IT’er in huis hebt. Maar het brengt ook het risico met zich mee dat niemand in het bedrijf precies weet welke maatregelen getroffen zijn, of erger nog: dat er maatregelen helemaal niet getroffen zijn. Bovendien: slechts 29 procent van het mkb (10-50 werkzame personen) heeft zich verzekerd tegen cyberincidenten. Dat betekent dat drie op vier mkb-bedrijven volledig blootstaan als ze slachtoffer worden. Ter vergelijking: 44 procent van grote bedrijven is verzekerd. 

Ook interessant (en heel belangrijk): 'NIS2: maak uw bedrijf klaar voor de toekomst met deze checklists'

Niet elk mkb-bedrijf loopt hetzelfde risico. Het onderzoek laat duidelijk zien dat bepaalde sectoren veel voorzichtiger zijn dan anderen. Bedrijven in financiële dienstverlening, gezondheids- en welzijnszorg, en natuurlijk de ICT-sector nemen meer maatregelen dan gemiddeld. Zij gebruiken vaker encryptie van data (complexer dan antivirus installeren) en hebben vaker risicoanalyses uitgevoerd. Horecabedrijven hebben veruit het meest ontspannen houding tegenover cyberbeveiliging. Slechts 77 procent gebruikt antivirussoftware, en veel horecabedrijven zeggen dat cyberbeveiliging gewoonweg niet van toepassing is op hun bedrijfsmodel. Dat is begrijpelijk: een klein café heeft minder IT-complexiteit. Maar online reserveringssystemen, betaalsystemen en gast­data liggen ook voor horecabedrijven op het internet. Het is dus een blinde vlek. 

De Cybersecuritymonitor 2024 geeft twee waarschuwingen tegelijk: 

1 Nederlands mkb-bedrijven zijn aanmerkelijk beter voorbereid op cyberaanvallen dan vijf jaar geleden, maar ze zijn nog altijd niet volledig klaar voor de risico’s. Ransomware, onverzekerde bedrijven en te veel vertrouwen op uitbesteding zijn hardnekkige zwakke plekken. 

2 “We zijn te klein om gehackt te worden”? Die tijden zijn voorbij. De statistieken tonen: je bent klein noch groot. Je bent online, dus je bent kwetsbaar. Maar je bent ook veel minder kwetsbaar dan je denkt als je de juiste stappen zet. 

Lees verder: ‘Schokkend: driekwart mkb-bedrijven was doelwit cybercrime’

Gemiddeld genomen lijkt er dus vooruitgang te zijn geboekt: organisaties zijn beter voorbereid. Maat elke ondernemer moet voor zijn bedrijf bepalen: lopen wij voor of achter op andere partijen in onze markt?

In het eerste geval: wees ervan bewust dat u een concurrentievoordeel heeft.  In het tweede geval: haak aan. Zorg dat u niet achterblijft. Maak security een integraal onderdeel van uw bedrijfsstrategie, niet alleen een IT-vraagstuk. Zo verandert u dreiging in zekerheid. En zekerheid in groei. Uw volgende stap: een check van uw security¬portfolio, een interne dialoog over verantwoordelijkheid en een concreet plan voor de komende twaalf maanden. Want in een digitale economie is weerbaarheid geen optie meer. Het is een vereiste. 

Belangrijk om te lezen: ‘Is uw digitale voordeur wel op slot? Zo werkt de Security Scan’