Eén op de vijf Belgische bedrijven kreeg het voorbije jaar te maken met een cybersecurity-incident, vooral door social engineering en het verlies van toestellen. Hoewel driekwart een cybersecuritystrategie heeft, blijft de compliance met NIS2-regelgeving laag en ontbreekt bij de meeste bedrijven een AI-beleid, ondanks wijdverspreid gebruik.
Het zevende cybersecurityrapport van Proximus NXT, uitgevoerd door onderzoeksbureau Ipsos, schetst een genuanceerd beeld van de digitale weerbaarheid van Belgische organisaties. Voor het eerst gebeurde het onderzoek via telefonische interviews bij 403 bedrijven met minstens tien medewerkers. De resultaten tonen aan dat cybersecurity steeds meer een strategische prioriteit wordt, maar dat de aanpak sterk verschilt naargelang de organisatiegrootte.
Vooral social engineering en phishing blijven dominante aanvalsvectoren. Bijna de helft van de bedrijven kreeg te maken met dergelijke pogingen, waarvan vier procent resulteerde in een geslaagd incident. Daarnaast blijkt het verlies of de diefstal van toestellen een belangrijk risico, dat in bijna de helft van de gevallen tot kosten leidt.
Cyberincidenten: prevalentie en impact
Drie op de vijf Belgische organisaties ondervonden het voorbije jaar een poging tot cyberaanval, maar slechts twintig procent kreeg effectief te maken met een geslaagd incident. De kans op een succesvolle aanval neemt toe naarmate de organisatie groter is. Bedrijven met meer dan 200 medewerkers rapporteren vaker incidenten dan kleinere entiteiten.
De financiële impact van cyberincidenten is aanzienlijk. Bijna zestig procent van de incidenten resulteerde in directe of indirecte kosten. Verlies of diefstal van toestellen leidde in 77 procent van de gevallen tot financiële schade, terwijl andere incidenten vaker reputatieschade veroorzaakten. Operationele verstoringen blijven meestal beperkt in tijd, met een oplossing binnen één werkdag in de meeste gevallen.
Organisatorische uitdagingen en regelgeving
Hoewel driekwart van de organisaties een cybersecuritystrategie heeft, voelt slechts een minderheid zich voldoende gewapend tegen actuele dreigingen. Grotere bedrijven vertrouwen vaker op interne IT-teams, terwijl kleinere organisaties samenwerken met externe partners. Toch blijft menselijk gedrag een zwakke schakel: bijna vier op de tien bedrijven organiseren geen structurele awarenesscampagnes.
Het tekort aan gespecialiseerde cybersecurity-expertise blijft een uitdaging, vooral bij grotere organisaties. Daarnaast blijkt de bekendheid met de NIS2-regelgeving toe te nemen, maar slechts vijftien procent van de bedrijven meent onder de verplichtingen te vallen. Van die groep voldoet twee derde nog niet volledig aan de vereisten.
AI-adoptie zonder beleid
Acht op de tien Belgische organisaties gebruiken kunstmatige intelligentie, maar slechts drie op de tien hebben een beleid rond het gebruik ervan. Vooral bij kleinere bedrijven ontbreekt een strategische omkadering, wat een risico vormt voor de beveiliging. De kloof tussen technologische adoptie en beleid wordt steeds groter, terwijl AI ook nieuwe aanvalsvectoren introduceert.
De resultaten van het Proximus NXT-rapport tonen aan dat Belgische organisaties vooruitgang boeken op het vlak van cybersecurity, maar dat er nog belangrijke uitdagingen blijven. Social engineering en phishing blijven dominante dreigingen, terwijl het verlies van toestellen een vaak onderschat risico vormt. De lage compliance met NIS2 en het ontbreken van een AI-beleid tonen aan dat er meer structurele maatregelen nodig zijn om de digitale weerbaarheid te versterken.