Een zomer vol cyberincidenten ligt achter ons, het zal u niet zijn ontgaan. De afgelopen maanden hebben cybercriminelen gegevens van tenminste honderdduizenden personen buitgemaakt bij onder andere een medisch laboratorium, vliegtuigmaatschappij, vakantieparkverhuurder en verschillende winkelketens. Slechts het topje van de ijsberg is zichtbaar.
Dit zijn geen incidentele gebeurtenissen, maar signalen dat iedereen kwetsbaar is. Volgens de jaarlijkse datalekkenrapportage van de Autoriteit Persoonsgegevens (AP) is het aantal datadiefstallen door cybercriminelen in 2024 bijna verdubbeld. Een recent onderzoek van Grant Thornton wijst uit dat bijna 70% van de 4.083 bevraagde Nederlandse bedrijven ervaring met cyberaanvallen heeft.
Ook blijkt dat veel bedrijven hun risico’s onderschatten, en hun weerbaarheid overschatten. Grant Thornton geeft aan dat de cyberdreiging wel wordt erkend, maar dat concrete actie vooralsnog uitblijft. Ook de AP meldt in haar datalekkenrapportage dat in 40% van de onderzochte gevallen er wel beleid tegen cyberaanvallen aanwezig was, maar dat dit beleid niet juist werd uitgevoerd of er sprake was van gebrekkige controle op uitvoering ervan. In 33% van de onderzochte gevallen was er geen of onvoldoende beleid tegen cyberaanvallen.
Boetes en aansprakelijkheden
Op Europees niveau is de toegenomen blootstelling van bedrijven aan cyberrisico’s niet onopgemerkt gebleven. Dit heeft geresulteerd in de NIS2-richtlijn. NIS2, opvolger van de NIS-richtlijn, is aangescherpte Europese cybersecurity wetgeving die organisaties verplicht hun digitale weerbaarheid structureel te versterken.
Deze aangescherpte regels gelden voor een brede groep organisaties in verschillende sectoren, van energie en zorg tot ICT-dienstverleners en aanbieders van digitale diensten, mits de drempelwaarde wordt gehaald. Organisaties die in scope zijn hebben onder andere te maken met een registratieplicht, zorgplichten en meldplichten bij incidenten. Bij overtredingen kunnen zware boetes worden opgelegd en verantwoordelijke personen, zoals het bestuur, aansprakelijk worden gesteld. Er wordt een actieve rol verwacht bij het vaststellen en goedkeuren van cybersecurity maatregelen, het houden van toezicht op de implementatie en uitvoering, het volgen van training om kennis te vergroten en het aanbieden van trainingen aan medewerkers.
In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (Cbw). De implementatietermijn verstreek op 18 oktober 2025, maar de Cbw is vertraagd en treedt naar verwachting pas in het tweede kwartaal van 2026 in werking. In andere landen, waaronder België, Italië en Oostenrijk is NIS2 al omgezet in nationale wetgeving en zijn de daaruit voortvloeiende verplichtingen al van kracht.
Schade en claims
Volgens een recent onderzoek van ABN Amro en MWM2 leed een op de vijf ondernemingen in 2024 schade door een cyberaanval. Bij grotere bedrijven met een omzet van meer dan 25 miljoen euro was dit zelfs drie op de tien.
Dergelijke schade kan bestaan uit juridische en operationele kosten, bedrijfsstagnatie door operationele verstoringen, verlies van data, bedrijfsgeheimen of IP, bestuurlijke boetes, reputatieschade en claims van de slachtoffers wiens gegevens zijn buitgemaakt. Immers, wanneer persoonsgegevens worden buitgemaakt door cybercriminelen is niet alleen de organisatie die doelwit is slachtoffer. Ook de personen van wie gegevens zijn buitgemaakt kunnen schade ondervinden.
De Algemene Verordening Gegevensbescherming (AVG) voorziet er nadrukkelijk in dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de AVG het recht heeft op vergoeding voor de geleden schade. In de Nederlandse rechtspraak worden regelmatig schadevergoedingen voor AVG-inbreuken en datalekken van enkele honderden of duizenden euro’s toegewezen. Betrekkelijke bedragen, totdat het aantal slachtoffers oploopt.
Daarbij komt dat op 7 oktober 2025 het gerechtshof Amsterdam in een tussenbeslissing in een massaschadeprocedure oordeelde dat ook immateriële schadevergoeding in collectieve actie kan worden gevorderd. Dat de daadwerkelijk geleden immateriële schade per persoon kan verschillen doet daaraan niet af. Voor eisers en collectieve belangenbehartigers interessant, voor bedrijven een extra risicofactor. Temeer wanneer een overtreding, datalek of cyberaanval in de openbaarheid komt.
Tot slot
Cyberweerbaarheid vraagt om structurele maatregelen die door de hele organisatie doorwerken. Bestuurders moeten hier actief op aansturen. Niet alleen om te voldoen aan wet- en regelgeving, maar als fundamentele verantwoordelijkheid richting klanten, medewerkers, toezichthouders en de eigen onderneming. Digitale veiligheid begint bij leiderschap. Zorg dat je organisatie voorbereid is – niet reactief, maar proactief.
