Kleine en middelgrote bedrijven in Nederland moeten cybersecurity veel hoger op de agenda zetten. Dat blijkt uit de Nederlandse resultaten van Cisco’s Cybersecurity Readiness Index 2025, een wereldwijde peiling onder organisaties van verschillende formaten. De uitkomsten laten een zorgwekkend beeld zien: negen op de tien mkb-bedrijven (10 tot 250 medewerkers) lopen aanzienlijke cyberrisico’s.
Mkb blijft steken in beginfase van cybervolwassenheid
Volgens de index bevindt 16% van de Nederlandse mkb’ers zich op het absolute startpunt van hun beveiligingsstrategie (‘beginner’). Een overweldigende 74% heeft wel enkele maatregelen getroffen, maar behaalt nog altijd een onvoldoende op diverse onderdelen (‘formative’). Slechts 10% van de ondervraagde bedrijven scoort bovengemiddeld (‘progressive’). Daarmee presteren zij zelfs iets minder goed dan bedrijven tot 1.000 medewerkers, waarvan 15% als ‘progressive’ wordt ingeschaald.
Opvallend is dat geen enkele mkb’er in Nederland het hoogste volwassenheidsniveau (‘mature’) behaalt, terwijl dat bij grote organisaties 5% is. Het mkb blijft daarmee structureel achter in cybersecurityvolwassenheid. Een derde van deze ondernemers acht het bovendien onwaarschijnlijk dat zij binnen twee jaar door een cyberaanval kunnen worden uitgeschakeld, wat volgens het rapport wijst op onderschatting van de risico’s.
Kloof in investeringen groeit verder
Ondanks dat één op de drie mkb-bedrijven aangeeft het afgelopen jaar slachtoffer te zijn geweest van een cyberaanval, verhoogde slechts 22% hun cybersecuritybudget in de afgelopen twee jaar. 7% verlaagde het budget zelfs. Bij grote bedrijven verhoogde 32% de investeringen, terwijl slechts 1% bezuinigde.
Ook voor de komende jaren ziet de trend er niet gunstig uit. Slechts 35% van de mkb’ers is van plan hun cyberinfrastructuur de komende een à twee jaar te moderniseren. Tegelijkertijd ervaren zij hun beveiliging als steeds complexer:
46% gebruikt 11 tot 40 verschillende beveiligingsoplossingen
6% gebruikt er zelfs tot 60
67% ziet deze versnippering als een belemmering voor effectieve verdediging
Daarnaast wil slechts 14% investeren in automatisering, tegenover 46% van de grote bedrijven. Ook op het gebied van zichtbaarheid en analyses (‘observability’) loopt het mkb achter: 36% plant investeringen, tegenover 46% bij grote bedrijven. Slechts 4% overweegt bepaalde beveiligingsfuncties uit te besteden aan managed services, terwijl dit bij grote ondernemingen 25% is.
Zelfoverschatting in het mkb
Ondanks de beperkte paraatheid is het zelfvertrouwen in het mkb opvallend hoog: 45% vindt hun huidige IT-infrastructuur voldoende om toekomstige cyberaanvallen af te slaan. Slechts 30% is van plan te investeren in training of nieuw personeel, terwijl dit bij grotere organisaties 40% is.
Volgens het onderzoek creëert deze houding een vals gevoel van veiligheid. Door de toenemende professionalisering van cyberaanvallen kan schade variëren van verstoring van de bedrijfsvoering tot verlies van klantvertrouwen, juridische problemen en zelfs faillissement. Het rapport benadrukt dat ondernemers hun verdediging moeten versterken om deze risico’s te beperken.
Wat jij nú kunt doen
Hoewel middelen en capaciteit vaak beperkt zijn, zijn er genoeg stappen die je kunt zetten om je cyberweerbaarheid te vergroten, zoals:
het consolideren van beveiligingsoplossingen om complexiteit te verminderen
het inzetten van basisautomatisering voor detectie en respons
het trainen van medewerkers in cyberhygiëne
het inzetten van managed security services voor kritieke onderdelen
Met de toenemende digitalisering van bedrijfsprocessen wordt het belang van een robuustere cybersecurityaanpak alleen maar groter. De Cisco-index onderstreept dat het Nederlandse mkb deze omslag niet langer kan uitstellen
Lees ook: Waarom ondernemers cybercrime onderschatten: vijf denkfouten in het mkb
