Waarom 80% van de MKB'ers zichzelf veiliger waant dan ze zijn

"Wij hebben een firewall en antivirussoftware, dus we zijn veilig." Klinkt herkenbaar?

Als jouw antwoord daarop ja is, ben je niet alleen. In het onderzoek voor ons meest recente cybertrends-rapport kwamen wij achter deze verontrustende tegenstelling: 85% van de MKB-bedrijven heeft al eens een cyberincident heeft meegemaakt (p. 4), maar 25% vindt het "helemaal niet lastig" en 55% slechts "een beetje lastig" om cybersecurity op orde te krijgen (p. 16).

Dit toont een zelfoverschatting aan binnen het MKB-segment. En met de razendsnelle ontwikkelingen op cybergebied is dat ook niet gek. Maar het is wel een gevaarlijke blinde vlek die je bedrijf kwetsbaar maakt voor aanvallen die jij niet ziet

De preventie-illusie, waarom een hek niet genoeg is

Stel je voor dat je jouw bedrijfspand beveiligt met alleen een stevig hek. Geen alarm, geen camera's en geen nachtbewaking. Als een inbreker over het hek klimt, merk je het pas als je 's ochtends aankomt en de schade al is aangericht. Digitaal vindt dit helaas vaak plaats bij veel MKB-bedrijven.

De focus ligt vooral op preventieve maatregelen (p. 16):

• 80% heeft basis preventie zoals firewalls en antivirussoftware
• Slechts 47% heeft detectiesystemen die inbraken kunnen opmerken
• Maar 46% heeft een plan voor wanneer het misgaat (reageren)
• Alleen 37% oefent met herstel na een aanval

Het probleem met deze eenzijdige focus?

De basis preventiemaatregelen zijn ook belangrijk en mogen niet onderschat worden. Maar door de focus alleen te leggen op preventie kunnen criminelen, net als in ons voorbeeld, ongemerkt binnendringen. Om vervolgens data te stelen en zich voorbereiden op een grote aanval. Zonder detectie ben je dus digitaal blind.

Wat niet weet, wat wél deert

"Er zit een enorm gat in kennis over cybersecurity tussen de grootste bedrijven en de kleinere spelers," stelt Coen Klaver, Director Cyber Defense bij ABN AMRO, in het rapport (p. 16). "Dan is het makkelijker om je veilig te wanen."

Deze kenniskloof manifesteert zich op verschillende manieren:

1. Onderschatting van statelijke dreigingen:
Slechts 9% van de organisaties ziet statelijke actoren als bedreiging (p. 8), terwijl steeds meer statelijke actoren een rol spelen in cyberaanvallen. “Er is een toename in aanvallen zichtbaar door cybercriminele groepen die zijdelings verbonden zijn met autoritaire regimes”, aldus Coen Klaver.

2. Onbekendheid met nieuwe wetgeving:
52% van het MKB kent de NIS2-verplichtingen niet (p. 18). Zelfs als je zelf niet NIS2-plichtig bent, kunnen grote klanten straks cybersecurity-eisen stellen die je niet kunt waarmaken. Des te eerder je hiermee bekend bent, des te beter.

3. Focus op de verkeerde metrics:
Veel MKB'ers meten hun veiligheid af aan het uitblijven van incidenten. Maar het feit dat je nog nooit gehackt bent wil niet zeggen dat je beveiliging op orde is. Het kan net zo goed betekenen dat je nog geen doelwit bent geweest.

Het gevaar van "het zal ons niet overkomen"

Ook blijkt dat bedrijven die nog nooit schade hebben geleden door cybercrime, het risico als beperkt ervaren. Het is goed om optimistisch te blijven, maar met cybersecurity erg gevaarlijk; alsof je zonder autogordel gaat rijden omdat je nog nooit een ongeluk hebt gehad.

Enkele belangrijke cijfers:

• 20% van alle bedrijven leed afgelopen jaar schade door cybercrime (p. 4)
• De gemiddelde schade voor een MKB-bedrijf: €270.000 per incident (p. 5)
• 7% kampte met operationele verstoringen: systemen plat, productie stil (p. 4)

Een concreet voorbeeld uit het rapport: Royal Dirkzwager, verantwoordelijk voor het begeleiden van zeeschepen, werd getroffen door ransomware. Dagenlang konden ze geen scheepsbewegingen monitoren. Klanten moesten noodscenario's activeren (p. 7).

De impact? Veel groter dan alleen IT-problemen.

De ‘reality check’ die je bedrijf nodig heeft

Dick Berlijn, voormalig Commandant der Strijdkrachten, geeft het volgende aan:

"Eigenlijk zitten we al in een digitaal oorlogsgebied, en we hebben te maken met tegenstanders met bijna onuitputtelijke middelen" (p. 8).

Als MKB'er vecht je o.a. tegen:

• Professionele criminele organisaties
• Statelijke actoren
• AI-gedreven aanvallen die steeds geavanceerder worden

Van overschatting naar onderscheiding

Het mooie is, zodra je je bewust bent van je kwetsbaarheden, kun je er iets aan doen. Bedrijven die al eens schade hebben geleden zijn vaak veel alerter. Maar jij hoeft niet te wachten op die dure les.

Start met deze drie stappen:

1. Erken de realiteit: 85% van de MKB-bedrijven is al eens aangevallen. Jij bent geen uitzondering.
2. Investeer in het complete plaatje: niet alleen preventie, maar ook detectie, respons en herstel.
3. Haal expertise in huis: je hoeft het niet alleen te doen. Professionele monitoring en ondersteuning maken het verschil tussen een klein incident en een bedrijfsramp.

Bron: ABN AMRO Cybertrends-rapport 2025

Wil je weten hoe het écht staat met jouw cyberweerbaarheid? Ontdek onze Cyber voor MKB oplossing voor een realistisch assessment en professionele ondersteuning.

→ Bekijk onze Cyber voor MKB oplossing