Vlaamse bedrijven hebben nog een lange weg te gaan voordat ze opgewassen zijn tegen cyberdreigingen.
De nieuwste CS-Barometer 2024 van VLAIO brengt de cybersecuritymaturiteit van Vlaamse bedrijven in kaart en toont een gemengd beeld. Het bewustzijn neemt toe en steeds meer bedrijven nemen maatregelen, maar de tekortkomingen blijven aanwezig. Vooral KMO’s lopen achter op vlak van technische bescherming, strategische planning en interne kennisopbouw.
Niet iedereen neemt maatregelen
Uit het onderzoek blijkt dat 96,9 procent van de Vlaamse bedrijven minstens één maatregel neemt rond cybersecurity (CS). Toch blijft het vaak bij basisacties: 91,3 procent voert regelmatige software-updates uit, 89,7 procent maakt back-ups, en 71,1 procent gebruikt sterke paswoordregels. Meer diepgaande maatregelen zoals het bijhouden van logbestanden (49 procent), periodieke ICT-audits (41,2 procent) of veiligheidstesten (36,1 procent) worden veel minder toegepast. Slechts 29,3 procent gebruikt encryptie en amper 26 procent past biometrische authenticatie toe.
De maturiteit is afhankelijk van de grootte van het bedrijf. Waar 64,3 procent van de grote ondernemingen negen of meer maatregelen toepast, is dat slechts 17,8 procent bij microbedrijven en 22,4 procent bij kleine bedrijven. Bij microbedrijven zegt 16,3 procent minder dan drie maatregelen te nemen.
Slechts 1 op 4 bedrijven voldoet aan NIST
Naast technische bescherming zijn ook beheersmaatregelen cruciaal om risico’s te detecteren en te reageren op incidenten. De CS-Barometer toetst Vlaamse bedrijven aan het vijfdelige NIST-kader. Van de bedrijven die minstens één maatregel nemen, heeft:
- 74,4 procent een procedure om zich te beschermen tegen aanvallen,
- 61,1 procent een herstelprocedure,
- 53,9 procent een detectieprocedure,
- 42 procent een identificatieprocedure,
- en 39,1 procent een reactieprocedure.
Slechts 25,9 procent van de bedrijven heeft alle vijf types geïmplementeerd. 18,3 procent heeft er zelfs geen enkele. Vooral micro- en kleine ondernemingen lopen achter: maar 23,1 procent van de microbedrijven voldoet aan alle NIST-eisen, tegenover 58,7 procent van de grote ondernemingen.
Beleidsplannen en opleidingen
Een CS-beleidsdocument is niet aanwezig bij het grootste deel van de Vlaamse bedrijven. Slechts 23,4 procent heeft zo’n plan uitgestippeld. Bij grote bedrijven is dat 61 procent, bij microbedrijven slechts 16,7 procent.
Ook opleidingen blijven onderbenut. Slechts 43 procent van de bedrijven biedt hun medewerkers bewustwordingsactiviteiten aan. Dat terwijl 42,8 procent van de respondenten het gebrek aan bewustzijn als een groot risico ziet. Bij grote bedrijven vindt zelfs 55 procent dat de topbedreiging.
Supply chain te weinig beveiligd
Slechts 28 procent van de bedrijven legt cybersecurityeisen op aan leveranciers of onderaannemers. Een nog kleiner aandeel (24,9 %) krijgt zelf zulke eisen van klanten. Toch wordt dit belangrijker: het aandeel bedrijven dat klanteneisen opgelegd krijgt, is opvallend gestegen sinds 2022.
De meeste bedrijven (74,8%) rekenen op externe IT-dienstverleners. Slechts 34,9 procent schakelt gespecialiseerde CS-experten in. Grote bedrijven doen wel vaker beroep op eigen personeel (89,6 ) én op gespecialiseerde diensten (66%). Microbedrijven zijn daarentegen sterk afhankelijk van externe algemene IT-partners.
Cyberincidenten & trage vooruitgang
In 2024 gaf 3,9 procent van de bedrijven aan slachtoffer te zijn geweest van een geslaagde cyberaanval. 41,9 procent meldde één of meerdere mislukte pogingen. Ongeveer 1 op 5 bedrijven (19,6 %) kreeg te maken met niet-malafide ICT-incidenten, zoals uitval door defecte hardware. Grote bedrijven rapporteren vaker incidenten dan kleine.
43,8 procent van de bedrijven verhoogde het voorbije jaar het budget voor cybersecurity. Gemiddeld bedraagt het CS-budget nu 22 procent van het totale IT-budget, een stijging vergeleken met vorige jaren. Toch geven veel bedrijven aan dat ze drempels ervaren, zoals:
- Gebrek aan kennis of ervaring (60,7%),
- Moeilijkheden bij rekrutering (39,9%),
- Gebrek aan bewustzijn bij personeel (57,4%),
- Vrees voor verouderde maatregelen (37,7%).
De maturiteit van cybersecurity bij Vlaamse bedrijven groeit traag, maar blijft ongelijk verdeeld. Kleine en microbedrijven blijven het meest gevoelig. Structurele investering in kennis, bewustmaking én strategische planning zijn nodig als Vlaanderen ooit digitaal weerbaar wil worden.
