Kleine en middelgrote bedrijven in Nederland lopen aanzienlijk cyberrisico. Uit de Cybersecurity Readiness Index 2025 van Cisco blijkt dat geen enkele Nederlandse mkb’er volledig voorbereid is op geavanceerde aanvallen, terwijl het aantal incidenten blijft toenemen.
Volgens de Nederlandse resultaten van Cisco’s Cybersecurity Readiness Index 2025 bevindt 16% van de mkb-bedrijven zich in de ‘beginner’-fase van hun beveiligingsstrategie. Een ruime meerderheid van 74% wordt geclassificeerd als ‘formative’: er zijn basismaatregelen getroffen, maar de beveiliging is onvoldoende op meerdere onderdelen. Slechts 10% behoort tot de categorie ‘progressive’, iets onder het niveau van bedrijven tot 1.000 medewerkers (15%).
Geen van de ondervraagde mkb-bedrijven haalt het hoogste volwassenheidsniveau (‘mature’). Bij grote ondernemingen ligt dat percentage op 5%.
Jan Heijdra, Field CTO Security bij Cisco Nederland, waarschuwt dat mkb-bedrijven niet immuun zijn voor phishing, ransomware en AI-gedreven aanvallen. Volgens hem onderschat een derde van de ondervraagde mkb’ers de kans op een ernstige cyberaanval binnen twee jaar.
Een derde van de Nederlandse mkb-bedrijven kreeg het afgelopen jaar daadwerkelijk te maken met een aanval. Ondanks die incidenten verhoogde slechts 22% het beveiligingsbudget in de afgelopen twee jaar; 7% verlaagde het zelfs. Bij grote bedrijven steeg het budget bij 32% en verlaagde slechts 1% de investeringen.
Veel mkb’ers geven aan dat hun beveiligingslandschap steeds complexer wordt. 46% gebruikt 11 tot 40 verschillende securityoplossingen; 6% loopt op tot 60 tools. Twee derde (67%) ziet die versnippering als een belemmering.
Ook de moderniseringsplannen blijven achter. Slechts 35% wil de beveiligingsinfrastructuur de komende twee jaar grondig vernieuwen. Investeringen in automatisering zijn laag (14%), net als uitbesteding aan managed services (4%). Grote organisaties scoren op deze punten aanzienlijk hoger.
Ondanks de relatief zwakke verdediging is 45% van de mkb’ers overtuigd dat hun huidige IT-infrastructuur genoeg bescherming biedt tegen toekomstige aanvallen. Slechts 30% wil investeren in training of nieuwe beveiligingsspecialisten.
Heijdra noemt dat een gevaarlijke overschatting: “Ons onderzoek laat een vals gevoel van veiligheid zien. Cyberaanvallen worden snel professioneler. De impact kan variëren van verstoring tot juridische aansprakelijkheid of faillissement.”
