Nederlandse bedrijven: 'Cyberrisico's vormen grootste bedreiging'

Dat blijkt uit onderzoek van HarfangLab, gespecialiseerd in cybersecurity voor workspace detection and response. Uit het onderzoek komt naar voren dat 69% van de ondervraagde organisaties verwacht dat een cyberincident een aanzienlijke impact heeft op zowel de bedrijfsvoering als de omzet. Bijna de helft (43%) geeft aan dat een cyberaanval al binnen dezelfde werkdag gevolgen heeft voor de omzet, terwijl 7% dit zelfs binnen enkele uren verwacht. Ondanks deze risico’s noemt slechts 23% van de organisaties bedrijfscontinuïteit en snel herstel als de belangrijkste focus van hun cybersecuritystrategie. Bovendien ziet 54% van de bedrijfsleiders cybersecurity vooral als een technisch probleem, in plaats van een gedeelde verantwoordelijkheid van de directie.

Cybersecurity krijgt wel prioriteit op de agenda van de CEO wanneer de omzet direct in gevaar komt. Organisaties die binnen enkele uren omzetverlies ervaren na een cyberincident, maken cyberveiligheid vaker een topprioriteit voor de CEO (43% tegenover 30% gemiddeld). Dit suggereert dat de betrokkenheid van de top toeneemt wanneer de impact op de bedrijfsvoering direct en tastbaar wordt.

Omzetverlies treedt snel op, herstel duurt lang

Nederlandse bedrijfsleiders beschouwen cyberaanvallen als de grootste bedreiging voor bedrijfscontinuïteit, nog voor geopolitieke instabiliteit, personeelstekorten en risico’s gerelateerd aan AI-agents. Cyberrisico’s krijgen prioriteit omdat ze direct, meetbaar en operationeel van aard zijn.

Meer dan een kwart (29%) van de leidinggevenden geeft aan dat een verstoring van kritieke bedrijfsprocessen van 24 uur zou leiden tot aanzienlijk of ernstig omzetverlies, gelijk aan ten minste 16% van de dagelijkse omzet. Daarnaast verwacht 3% van de bedrijfsleiders zelfs een verlies van 25% of meer van de dagelijkse omzet. Tegelijkertijd schatten Nederlandse leidinggevenden dat het gemiddeld 4,27 dagen duurt om na een cyberincident weer volledig operationeel te zijn. Hierdoor ontstaat een groeiende kloof tussen de snelheid waarmee financiële schade optreedt en de tijd die nodig is om te herstellen.

Verantwoordelijkheid blijft versnipperd

Hoewel cyberrisico’s steeds vaker als een bedrijfsrisico worden gezien, is de verantwoordelijkheid ervoor verdeeld over verschillende technische en bestuurlijke functies. Hierdoor ontbreekt in veel organisaties een duidelijke verantwoordelijke voor cyberweerbaarheid.

Uit het onderzoek blijkt dat de verantwoordelijkheid voor cyberveiligheid bij 30% van de organisaties bij de CEO ligt, bij 22% bij de CISO en bij 31% bij de CIO. Ook na een datalek of cyberincident is de verantwoordelijkheid versnipperd: 32% van de respondenten verwacht dat de CEO verantwoordelijk wordt gehouden, terwijl 30% wijst naar CIO’s, CISO’s of CTO’s. Daarnaast noemt 13% externe dienstverleners als verantwoordelijke partij.

AI-investeringen groeien sneller dan cybergovernance

Terwijl organisaties zich steeds bewuster worden van cyberdreigingen, investeren zij in hoog tempo in kunstmatige intelligentie. De grootste groep investeert vooral in productiviteit en efficiëntie (24%), terwijl slechts 16% AI-investeringen primair richt op cybersecurity en digitale verdediging.

Meer dan de helft van de Nederlandse organisaties (59%) vereist een veiligheidsbeoordeling voordat AI-tools worden ingezet. Slechts 49% beschikt over formeel vastgelegde AI-richtlijnen. Deze resultaten suggereren dat veel bedrijven AI sneller implementeren dan dat zij de noodzakelijke governance- en beveiligingsmaatregelen ontwikkelen. Hierdoor ontstaat een groeiende disbalans tussen de snelheid van AI-adoptie en het vermogen om nieuwe veiligheidsrisico’s effectief te beheersen.

Regelgeving vergroot bestuurlijke verantwoordelijkheid

Nu cyberrisico’s steeds nauwer verbonden raken met bedrijfscontinuïteit, neemt de druk vanuit wet- en regelgeving toe. Cyberveiligheid verschuift daardoor steeds meer naar de bestuurskamer.

Meer dan de helft (60%) van de Nederlandse bedrijfsleiders stelt dat cybersecurityregelgeving leidt tot meer verantwoordelijkheid op bestuursniveau. Daarnaast maakt 61% zich zorgen over persoonlijke aansprakelijkheid bij cyberincidenten. Hoewel 68% van de respondenten Europese cybersecurityregelgeving ziet als een concurrentievoordeel, blijkt de praktische uitvoering voor veel organisaties uitdagend. Zo geeft 66% aan moeite te hebben om te begrijpen wat regelgeving concreet van hen verlangt, terwijl 57% het lastig vindt om het tempo van nieuwe wet- en regelgeving bij te houden.

Kloof tussen bewustzijn en eigenaarschap

"Er is een duidelijke kloof zichtbaar tussen bewustzijn en eigenaarschap", zegt Anouck Teiller, Deputy CEO van HarfangLab. "Bedrijfsleiders erkennen de verstoring en omzetverliezen die cyberincidenten kunnen veroorzaken, maar de verantwoordelijkheid voor cyberveiligheid blijft versnipperd en wordt nog te vaak gezien als een IT-vraagstuk.”  

“Cyberweerbaarheid vraagt om duidelijk eigenaarschap, ondersteund door sterke interne expertise en betrouwbare externe partners. Organisaties die cyberveiligheid benaderen als een kwestie van bedrijfscontinuïteit, in plaats van een technisch probleem dat kan worden opgelost met een groter budget, zullen uiteindelijk het meest weerbaar zijn."