Over het algemeen kan gezegd worden dat het ICT-beveiligingsniveau van een bedrijf hoger is naarmate er meer maatregelen tegelijkertijd genomen worden. Figuur 2.1.1 laat zien dat elke maatregel vaker wordt genomen door grotere bedrijven dan door kleinere bedrijven. Voor sommige maatregelen is dit patroon sterker dan voor andere.

Voor bijvoorbeeld een gangbare maatregel als het gebruik van antivirussoftware zijn de verschillen tussen grotere en kleinere bedrijven niet zo groot: meer dan 80 procent van alle bedrijven met meer dan 2 werknemers gebruikt antivirussoftware, ongeacht de grootteklasse (figuur 2.1.1(a)). Bij een moeilijker toe te passen maatregel zoals het gebruik van een Virtual Private Netwerk (VPN) zijn er wel grotere verschillen te zien: 25 procent van de microbedrijven (2 tot 10 werknemers) maakte in 2022 gebruik van VPN, tegenover 81 procent van de grote bedrijven (250 of meer werknemers) (figuur 2.1.1(l)). Het is begrijpelijk dat grote bedrijven meer maatregelen treffen, omdat zij vaak een grotere en complexere ICT-infrastructuur hebben die een breder spectrum aan beveiligingsmaatregelen vereist.

Figuur 2.1.1 toont ook het percentage zzp’ers dat in 2020, 2021 en 2022 ICT-veiligheidsmaatregelen nam. Er kan geconcludeerd worden dat bij alle ICT-veiligheidsmaatregelen het percentage zzp’ers dat deze maatregelen neemt net iets lager is dan dat voor bedrijven in de bovenliggende grootteklasse van 2 tot 10 werknemers. Dit is consistent met de constatering dat kleinere bedrijven minder ICT-veiligheidsmaatregelen nemen dan grote bedrijven.

Figuur 2.1.1(j) laat zien dat het gebruik van een soft- of hardwaretoken voor het inloggen door een bedrijf sinds 2016 flink is toegenomen. Bij deze zogenaamde tweefactorauthenticatie[voetnoot: Strikt genomen is er nog een onderscheid te maken tussen tweefactorauthenticatie en tweestapsverificatie, maar dat laten we verder buiten beschouwing omdat beide vormen sowieso een extra beveiliging opleveren ten opzichte van het inloggen met enkel een wachtwoord.]moet naast een wachtwoord een extra code ingevoerd worden die per inlogsessie verandert. Deze code wordt verkregen via een specifiek apparaatje of via een app op de smartphone. Dit maakt inloggen een stuk veiliger, want zelfs als een wachtwoord onderschept wordt, biedt de vereiste extra code bescherming tegen inloggen door ongeautoriseerde gebruikers.

Het gebruik van soft- of hardwaretokens komt vanaf 2016 in alle grootteklassen steeds vaker voor. Bij grote bedrijven (250 of meer werknemers) is deze manier van inloggen bijvoorbeeld toegenomen van 71 procent in 2016 tot 91 procent in 2022. Bij microbedrijven (twee tot tien werknemers) is dit zelfs bijna verdubbeld van 23 procent in 2016 naar 45 procent in 2022.

Figuur 2.1.2 laat het aantal maatregelen voor enkele bedrijfstakken met twee of meer werknemers zien (de zzp’ers zijn hier dus niet in meegenomen). Bedrijven die meer met ICT bezig zijn of die een groot belang hebben bij het beveiligen van hun data, zoals respectievelijk de ICT-sector en de gezondheidszorg, scoren beter op het gebied van cybersecurity dan sectoren waar dit minder belangrijk lijkt, zoals de horeca. De horeca heeft wel relatief meer kleinere bedrijven, waarvan we eerder zagen dat deze minder cybersecuritymaatregelen nemen dan grote bedrijven. Maar het ligt ook voor dat hand de horeca minder cybersecuritymaatregelen neemt omdat ze voor hun werkzaamheden minder van ICT afhankelijk zijn. Dit blijkt bijvoorbeeld uit eerder op Statline gepubliceerde cijfers over de mate van digitalisering van bedrijven (CBS, 2021c).

Dat grote bedrijven vaker verschillende ICT-maatregelen nemen dan kleinere bedrijven komt nogmaals terug in figuren 2.1.3(a) en 2.1.3(b). In deze figuren wordt per bedrijfsgrootte en bedrijfstak het percentage bedrijven getoond dat een zeker aantal maatregelen neemt. De resultaten laten zien dat kleinere bedrijven hoger scoren op een kleiner aantal maatregelen, terwijl grotere bedrijven juist vaker meerdere maatregelen tegelijk nemen (figuur 2.1.3(a)). Van de grote bedrijven (250 of meer werknemers) neemt zelfs bijna 60 procent van de bedrijven alle tien de uitgevraagde maatregelen.[voetnoot: Van de twaalf maatregelen die in figuur 2.1.1 en figuur 2.1.2 getoond worden, nemen we er maar tien mee in figuur 3(a) en figuur 3(b) waar we het totaal aantal genomen maatregelen tonen. De reden hiervoor is dat de maatregelen ’ICT-cursus aan specialisten’ (d) en ’Updaten software’ (k) niet over alle jaren beschikbaar zijn.] In figuur 2.1.3(b) is te zien dat bedrijven in de ICT-sector over het algemeen de meeste maatregelen nemen, terwijl in de horeca vaker minder maatregelen genomen worden.

Uit de verdeling van het aantal maatregelen is af te leiden welk deel van de bedrijven minimaal de helft van de gevraagde maatregelen neemt. Figuren 2.1.4(a) en 2.1.4(b) tonen per grootteklasse (a) en per bedrijfstak (b) het aandeel van bedrijven dat minstens vijf van de tien uitgevraagde ICT-veiligheidsmaatregelen neemt. Figuur 2.1.4(a) laat zien dat het aantal bedrijven dat vijf of meer maatregelen neemt tot 2021 is toegenomen. In 2022 is het aandeel van bedrijven met twee of meer werknemers dat minimaal vijf maatregelen neemt echter licht gedaald. Toch neemt in 2022 nog steeds 93 procent van de grote bedrijven (250 of meer werknemers) minimaal vijf van de tien maatregelen. Van de zzp’ers neemt 29 procent in 2022 vijf of meer van de gevraagde ICT-veiligheidsmaatregelen.

In figuur 2.1.4(b) is te zien dat in de bedrijfstakken ‘ICT-sector’, ‘Financiële dienstverlening’ en ‘Gezondheids- en welzijnszorg’ een relatief grote groep bedrijven meer dan vijf maatregelen treft (in 2022 ruim 70 procent), terwijl dit percentage voor de horeca een stuk lager ligt met ongeveer 25 procent. We kunnen echter zien dat, vergeleken met 2016, het aandeel bedrijven dat een groot aantal ICT-veiligheidsmaatregelen neemt, in alle bedrijfstakken is toegenomen. In 2022 neemt de toename van het percentage bedrijven dat minstens vijf maatregelen treft ten opzichte van 2021 wel iets af, behalve bij de horeca.

De gemiddelde Internet.nl-eindscore per bedrijfsgrootte is per jaar voor alle bedrijfsgrootteklassen ongeveer gelijk en neemt per jaar gestaag toe (zie figuur 2.2.2). Zo is de gemiddelde Internet.nl-eindscore voor alle bedrijven met een website met twee of meer werknemers gestegen van 60,3 procent in 2020 naar 65,5 procent in april 2024. Dit laat zien dat bedrijven in Nederland steeds beter de juiste internetstandaarden voor hun website toepassen.

Ook de Internet.nl-eindscore per bedrijfstak is gestegen sinds 2020, zoals weergegeven in figuur 2.2.3. Met name de bedrijfstak ‘Financiële dienstverlening’ heeft het afgelopen jaar relatief veel aandacht besteed aan het implementeren van veiligheidsstandaarden voor hun website. Opvallend is wel dat de eindscore van de ICT‐sector in april 2024 is gedaald ten opzichte van april 2023: van 72,2 procent naar 66,5 procent. Ook enkele andere sectoren vertonen tussen april en december 2023 een daling in de eindscore. Deze dalingen komen met name door een daling van het aantal bedrijven dat slaagt voor de categorie IPv6, de moderne standaard voor het IP-adres. Zie voor meer informatie hierover de publicatie ‘Toepassing van Internetstandaarden voor websites van bedrijven’ (CBS, 2024).

Alhoewel de eindscore vrij gelijkmatig over de verschillende bedrijfsgrootteklassen verdeeld is, vertonen de onderliggende subtesten waarop de eindscore gebaseerd is wel duidelijke verschillen afhankelijk van de bedrijfsgrootteklasse. Kleinere bedrijven hebben bijvoorbeeld vaker een website die bereikbaar is via een modern IPv6 internetadres (Figuur 2.2.4) (36 procent). IPv6 is de opvolger van IPv4, dat tegen zijn tijd aanloopt wat betreft het aantal beschikbare adressen dat dit internetprotocol aanbiedt. Ondersteunen van IPv6 is belangrijk om het internet ook in de toekomst toegankelijk te houden. Dat grote bedrijven nog niet zo hoog scoren (26 procent) komt waarschijnlijk omdat de website van grote bedrijven vaak op eigen, misschien al wat oudere servers draait. Ondersteunen van IPv6 vereist dus een behoorlijke investering terwijl het niet direct op korte termijn veel voordeel oplevert: het raakt niet aan de veiligheid van de website, alleen aan de toegankelijkheid in de toekomst.

Aan de andere kant is te zien dat grote bedrijven juist weer goed scoren op het ondersteunen van HSTS, oftewel HTTPS Strict Transport Security (Figuur 2.2.5). Websites met HSTS vereisen dat de webbrowser de website alleen via het beveiligde HTTPS kunnen benaderen en niet via het onveilige HTTP-protocol. Dat grote bedrijven hier weer hoger op scoren komt waarschijnlijk omdat deze instelling met de juiste kennis op netwerk niveau ingesteld kan worden en het direct de veiligheid van de website te goede komt. Bij IPv6 wordt gebruikgemaakt van de hardware van de webserver, terwijl ondersteuning van HSTS vereist dat op netwerkniveau een IT-specialist de juiste instellingen gekozen heeft. Uit eerder gepubliceerde cijfers op statline blijkt dat grote bedrijven vaker ICT-specialisten in dienst hebben (CBS, 2021c). Zie voor een volledig overzicht van alle internetstandaarden de publicatie Toepassing van Internetstandaarden voor websites van bedrijven (CBS, 2024).

In figuren 3.1.1(a) en 3.1.1(b) wordt per bedrijfsgrootteklasse het percentage van bedrijven getoond dat minstens één ICT‐veiligheidsincident heeft gehad als gevolg van een interne oorzaak (a) of een aanval van buitenaf (b). Voor beide figuren worden dus de hiervoor genoemde type incidenten (uitval ICT-systeem, datavernietiging en dataonthulling) samengenomen. Het lichtgekleurde deel van de staafdiagrammen geeft het percentage bedrijven dat aangeeft dat er kosten met het ICT-incident gemoeid waren.

Grote bedrijven hebben over de jaren heen consistent meer incidenten dan kleine bedrijven. Dit geldt voor zowel interne incidenten als incidenten door een aanval van buitenaf. Voor dit patroon kunnen meerdere oorzaken zijn. Bij interne incidenten, zoals uitval van ICT-systemen door hardware of software storingen, kan meespelen dat grote bedrijven vaker een grotere en complexere ICT-infrastructuur hebben. Een groter aantal computers of meer hardware binnen een bedrijf gaat immers gepaard met een grotere kans dat er schade aan één van de systemen optreedt. Bij incidenten door een aanval van buitenaf is het daarnaast aannemelijk dat grote bedrijven interessanter zijn voor cybercriminelen. Bij grote bedrijven valt immers meer te halen en daar is de (publiciteits)schade groter. Tot slot kan meespelen dat grote bedrijven vaak meer ICT-specialisten in dienst hebben. Hierdoor kan de kans op detectie van ICT‐veiligheidsincidenten groter zijn.

In figuren 3.1.1(a) en 3.1.1(b) is te zien dat het totale aantal ICT‐veiligheidsincidenten met zowel een interne oorzaak (a) als door een aanval van buitenaf (b) is afgenomen. Deze daling is zichtbaar voor bedrijven in alle bedrijfsgrootteklassen. In 2016 had bijvoorbeeld nog bijna 40 procent van de grootste bedrijven een ICT-veiligheidsincident door een aanval van buitenaf, terwijl dit in 2022 nog maar 18 procent was.

De daling van het aantal incidenten met een interne oorzaak is dit niet consistent, maar schommelt over de tijd. Voor de grootste bedrijven zien we bijvoorbeeld een toename voor de jaren 2017 – 2019, gevolgd door een afname voor de jaren 2020 – 2022. Dit kan te maken hebben met het feit dat interne incidenten niet per se te voorkomen zijn; een hardwareonderdeel kan nu eenmaal kapotgaan. De afname in 2020 is mogelijk deels te verklaren doordat de uitleg van de categorie ‘dataonthulling door eigen personeel’ is gewijzigd. Vanaf 2020 is hier namelijk uitdrukkelijk bij vermeld dat het gaat om onopzettelijke dataonthulling door eigen personeel, en niet om opzettelijk toedoen. Omdat het bij opzettelijke incidenten gaat om cybercrime, zijn dit eigenlijk incidenten die veroorzaakt worden door een aanval van buitenaf. Dit kan hebben geleid tot een afname van het aantal gerespondeerde incidenten door een interne oorzaak.

Ten slotte laten figuren 3.1.1(a) en 3.1.1(b) ook zien dat lang niet alle ICT-veiligheidsincidenten ook gepaard gaan met kosten. Dit geldt voor ICT‐veiligheidsincidenten met zowel een interne oorzaak als door een aanval van buitenaf. In 2016–2019 had ongeveer de helft van de bedrijven met ten minste één ICT-veiligheidsincident ook daadwerkelijk kosten aan het incident. In 2020–2022 was dit nog maar het geval bij ongeveer een derde van de bedrijven. Sinds 2020 wordt aan bedrijven ook gevraagd hoe hoog de kosten waren als percentage van de omzet. Deze resultaten worden later in dit hoofdstuk besproken.

Figuur 3.1.3 toont per bedrijfsgrootteklasse het percentage van bedrijven dat ten minste één uitval van een ICT-systeem, datavernietiging, of dataonthulling had als gevolg van een interne oorzaak (a1, b1, c1) of een aanval van buitenaf (a2, b2, c2).

Tot nu toe zagen we dat het aandeel van bedrijven met een ICT-veiligheidsincident als gevolg van een interne oorzaak toeneemt met de bedrijfsgrootteklasse. Figuur 3.1.3(a1) laat nu zien dat deze toename voornamelijk is toe te schrijven aan de uitval van een ICT-systeem door een hardware- of softwarestoring. Van de bedrijven met 2 tot 10 werkzame personen had bijvoorbeeld 9 procent in 2022 ten minste één uitval door een storing, terwijl dit voor bedrijven met meer dan 250 werkzame personen 37 procent was. De overige twee incidenten, zoals getoond in de figuren 3.1.3(b1, c1), kwamen ook vaker voor bij grote bedrijven. Maar omdat deze incidenten minder vaak voorkwamen, droegen ze minder bij aan het totaal van interne incidenten.

Ook in de onderliggende categorieën van incidenten is de daling van het aantal bedrijven met ten minste één intern ICT-veiligheidsincident grotendeels zichtbaar. De ontwikkeling over de tijd per incident is echter minder eenduidig. Bijvoorbeeld, tot aan 2019 was er een toename te zien in dataonthulling als gevolg van interne incidenten bij grote bedrijven met 250 of meer werknemers, zoals weergegeven in figuur 3.1.3(c1), terwijl er vanaf 2020 weer een afname te zien is. Een vergelijkbaar patroon is waarneembaar voor de uitval van ICT-systemen, zoals weergegeven in figuur 3.1.3(a1). Deze trends wijken dus af van de ontwikkeling van het totale aantal interne incidenten.

Figuren 3.1.3(a2, b2, c2) laten verder zien dat alle typen incidenten als gevolg van een aanval van buitenaf vaker voorkomen bij grote bedrijven dan bij kleine bedrijven. Dit komt ook overeen met het eerder beschreven patroon voor het totaal van incidenten door een aanval van buitenaf. Tot slot zagen we eerder dat er sprake was van een afname van het aandeel bedrijven met ten minste één ICT-veiligheidsincident door een aanval van buitenaf. In figuren 3.1.3(a2, b2, c2) is nu te zien dat deze afname vooral toe te schrijven is aan de afname van het aandeel bedrijven met een uitval van een ICT-systeem en datavernietiging door een aanval van buitenaf. Het aandeel bedrijven dat een dataonthulling als gevolg van een cyberinbraak meldt, is juist toegenomen over de afgelopen jaren. De ontwikkelingen variëren dus sterk naar het type incident.

Figuur 3.1.4 laat per bedrijfstak het percentage van bedrijven zien dat ten minste één uitval van een ICT-systeem, datavernietiging, of dataonthulling had als gevolg van een interne oorzaak (a1, b1, c1) of een aanval van buitenaf (a2, b2, c2). Net zoals bij de afname van ICT-veiligheidsincidenten per bedrijfsgrootteklasse, zien we voor bijna alle bedrijfstakken een afname van het percentage bedrijven dat een ICT-veiligheidsincident met een interne oorzaak en door een aanval van buitenaf meldt. Opvallend genoeg geldt dit in 2022 ten opzichte van 2016 niet voor de bedrijfstakken ‘Financiële diensten’ en ‘Zorg’; we zien bij dataonthulling door een intern incident een toename, zoals getoond in figuur 3.1.4(c1). Ook zien we bij bijna alle bedrijfstakken dat het aandeel bedrijven dat een dataonthulling als gevolg van een cyberinbraak meldt, is toegenomen.

Figuren 3.1.5(a) en 3.1.5(b) laten per bedrijfsgrootteklasse (a) en bedrijfstak (b) de hoogte van de kosten van de interne ICT-veiligheidsincidenten zien als percentage van de omzet. De hoogte van de samengestelde staafjes geeft het percentage weer van de bedrijven die kosten hadden aan een intern ICT-veiligheidsincident. De staafjes komen dus overeen met de hoogte van de lichtgekleurde delen van de staafjes in de figuren 3.1.1(b) en 3.1.2(b). Met kleur is aangegeven hoe hoog de kosten waren als percentage van de totale omzet van het bedrijf. De percentages zijn opgedeeld in zes categorieën: ‘Minder dan 1%’, ‘1 tot 2%’, ‘2 tot 5%’, ‘5 tot 10%’, ‘10 tot 50%’, of ‘50% of meer’.

Uit figuur 3.1.5(a) blijkt dat in 2022 in de meeste gevallen de kosten minder dan 1 procent van de bedrijfsomzet bedroegen. Bij een klein deel van de bedrijven waren de kosten meer dan 1 procent van de omzet. In 2022 meldde bijvoorbeeld 0,1 procent van de kleine bedrijven (2 tot 10 werknemers) met ten minste één ICT-veiligheidsincident dat de kosten tussen 5 tot 10 procent van de totale omzet waren. Bij deze bedrijven moeten de incidenten dus een behoorlijk grote impact hebben gehad.

Figuur 3.1.5(b) laat daarnaast zien dat het aandeel bedrijven met kosten aan een intern ICT-veiligheidsincident in de bedrijfstak ‘Financiële dienstverlening’ flink is gedaald. Toch waren er in deze bedrijfstak alsnog relatief veel bedrijven waarbij de kosten hoger waren dan één procent van de bedrijfsomzet. In de bedrijfstak ‘Energie/water/afval’ steeg het aandeel bedrijven met kosten aan een intern ICT-veiligheidsincident juist behoorlijk, met name waar de kosten tussen de 2 en 5 procent van de totale omzet waren. In de horeca bleef het aandeel met kosten in 2022 ongeveer gelijk, maar daalde de hoogte van de kosten als percentage van de bedrijfsomzet.