Het CBS heeft de Cybersecuritymonitor 2025 gepubliceerd. De monitor verschijnt voor het negende jaar op rij en geeft een actueel beeld van de digitale weerbaarheid van bedrijven en personen in Nederland. Het CBS gebruikt daarvoor onder meer cijfers over genomen cybersecuritymaatregelen, gemelde incidenten en online criminaliteit. De publicatie verscheen op 28 mei 2026 en wordt mede gemaakt op verzoek van het ministerie van Economische Zaken en Klimaat.
Grote verschillen in digitale weerbaarheid
Voor mkb-ondernemers is vooral het verschil tussen grote en kleinere bedrijven relevant. Grote bedrijven nemen duidelijk vaker meerdere beveiligingsmaatregelen tegelijk. In 2025 nam 86 procent van de grote bedrijven 10 of meer van de 12 onderzochte maatregelen, tegenover 13 procent van de microbedrijven. De onderzochte maatregelen lopen uiteen van antivirussoftware, back-ups en sterke wachtwoorden tot encryptie, logging, toegangsbeheer en risicoanalyses.
MFA wordt steeds meer de ondergrens
Een positieve ontwikkeling is de groei van multifactorauthenticatie. Bij kleine bedrijven, 10 tot 50 werknemers, steeg het gebruik daarvan van 29 procent in 2017 naar 79 procent in 2025. Daarmee is MFA steeds meer een normale basismaatregel geworden voor toegang tot bijvoorbeeld e-mail, hosting, cloudsoftware en beheersystemen.
Voorbereiding op incidenten blijft zwak
Tegelijk blijft voorbereiding een zwak punt. Slechts 19 procent van alle bedrijven met 2 of meer werknemers had in 2025 ICT-veiligheidsdocumenten. Nog opvallender: maar 4 procent oefende in 2024 één of meer cyberincidenten door een aanval van buitenaf. Voor mkb-bedrijven betekent dit dat de techniek misschien deels geregeld is, maar dat vaak onduidelijk blijft wie wat doet bij phishing, uitval, datalekken of een gehackte website.
Ook phishing blijft een brede dreiging. Bijna een kwart van de bedrijven gaf aan in 2024 te maken te hebben gehad met phishing- of spoofing-aanvallen. Daarnaast steeg het aantal datalekmeldingen bij de Autoriteit Persoonsgegevens naar 37,8 duizend in 2024.
De belangrijkste les voor mkb-ondernemers: cybersecurity is geen losse technische klus meer. Het vraagt om structureel beheer, duidelijke verantwoordelijkheden, veilige toegang, actuele back-ups en een plan voor als het misgaat.