Uit een nieuw rapport van Proximus NXT blijkt dat bijna 60 procent van de kmo’s in België en Luxemburg niet zeker weet of ze onder de nieuwe Europese NIS2-richtlijn vallen. Tegelijk melden zeer grote bedrijven meer cyberincidenten dan vorig jaar.
Proximus NXT en Proximus NXT Luxembourg bevroegen ruim 190 bedrijfsleiders, CIO’s en andere besluitvormers voor hun jaarlijkse cybersecurityrapport. Daaruit blijkt dat het aantal zeer grote bedrijven (meer dan 2.000 medewerkers) dat een cyberincident rapporteerde, gestegen is van 45 procent in 2023 naar 56 procent in 2024. Een cyberincident wordt daarbij breed gedefinieerd: van dataverlies en productiviteitsverlies tot juridische gevolgen of reputatieschade.
Kmo’s blijven niet gespaard, maar rapporteren opvallend minder incidenten. Toch geeft 5 procent van hen aan niet te weten of ze een cyberincident meemaakten. Bij micro-ondernemingen – minder dan tien werknemers – loopt dat aandeel op tot 9 procent. Volgens Statbel vallen 95,9 procent van de Belgische bedrijven onder deze categorie, wat het risico voor de bredere economie vergroot.
Lager bewustzijn en beperkte detectie bij kleinere bedrijven
De onzekerheid over de eigen situatie strekt zich ook uit tot kennis over regelgeving. Zo weet 59 procent van de kmo’s niet of de NIS2-wetgeving op hen van toepassing is. Deze Europese richtlijn legt strengere eisen op rond cybersecurity en incidentrapportering.
Daarnaast blijkt uit het rapport dat kleinere bedrijven minder zicht hebben op de oorzaak van een cyberincident. Bij 13 procent van de getroffen kmo’s bleef onduidelijk of het incident het gevolg was van een gerichte aanval of een menselijke fout. Bij grote bedrijven kon telkens een duidelijke oorzaak worden geïdentificeerd. Dit wijst op een verschil in maturiteit rond detectie en respons.
Cyberincidenten leiden volgens het rapport vaak tot operationele hinder: 40 procent van de getroffen bedrijven ondervond verstoring van de activiteiten, bij 33 procent was er productiviteitsverlies. In 56 procent van de gevallen bracht het incident bijkomende kosten met zich mee voor het melden of aanpakken ervan. Bij een kwart van de organisaties was er sprake van reputatieschade.
De resultaten tonen aan dat kmo’s in België en Luxemburg dringend werk moeten maken van meer bewustwording rond cybersecurity, inclusief kennis van hun verplichtingen onder Europese regelgeving.
lees ook