Belgische bedrijven nemen cybersecurity steeds serieuzer, maar blijven kwetsbaar voor klassieke én nieuwe digitale risico’s. Vooral phishing, social engineering, verloren toestellen en het ontbreken van duidelijke regels rond kunstmatige intelligentie zorgen voor zorgen. Dat blijkt uit het zevende cybersecurityrapport van Proximus NXT, uitgevoerd door onderzoeksbureau Ipsos.
Voor het onderzoek werden 403 Belgische bedrijven met minstens tien medewerkers telefonisch bevraagd. De resultaten schetsen een dubbel beeld. Enerzijds beschikt driekwart van de organisaties inmiddels over een cybersecuritystrategie. Anderzijds kreeg één op de vijf bedrijven het afgelopen jaar toch te maken met een geslaagd cybersecurity-incident. Drie op de vijf organisaties zagen bovendien minstens één poging tot cyberaanval.
Phishing en social engineering
Phishing en social engineering blijven de belangrijkste aanvalsvormen. Bijna de helft van de bedrijven kreeg te maken met pogingen waarbij criminelen medewerkers proberen te misleiden, bijvoorbeeld via e-mail, telefoon of andere vormen van digitale manipulatie. In vier procent van de gevallen leidde dat daadwerkelijk tot een incident. Daarmee blijft menselijk gedrag een belangrijke zwakke plek in de digitale beveiliging van organisaties.
Ook het verlies of de diefstal van toestellen blijkt een onderschat risico. Wanneer laptops, smartphones of andere apparaten zoekraken, kan dat niet alleen leiden tot datalekken, maar ook tot financiële schade. Volgens het rapport resulteerde verlies of diefstal van toestellen in 77 procent van de gevallen in kosten. Bij cyberincidenten in bredere zin kreeg bijna zestig procent van de getroffen organisaties te maken met directe of indirecte financiële gevolgen.
Impact
De impact van incidenten verschilt sterk per bedrijf. Grotere organisaties, met meer dan 200 medewerkers, rapporteren vaker geslaagde aanvallen dan kleinere bedrijven. Tegelijk beschikken zij vaker over interne IT-teams. Kleinere bedrijven zijn juist meer aangewezen op externe partners. Toch voelen lang niet alle organisaties zich voldoende beschermd tegen de actuele dreigingen. Bijna vier op de tien bedrijven organiseren bovendien geen structurele bewustwordingscampagnes voor medewerkers, terwijl juist phishing en social engineering sterk afhankelijk zijn van menselijke alertheid.
Een ander aandachtspunt is regelgeving. De bekendheid met de Europese NIS2-regels neemt toe, maar de naleving blijft beperkt. Slechts vijftien procent van de bedrijven denkt onder de verplichtingen te vallen. Van die groep voldoet twee derde nog niet volledig aan de eisen. Dat wijst erop dat veel organisaties nog zoekende zijn naar wat de nieuwe regels concreet voor hen betekenen.
Snelle opmars AI
Daar komt de snelle opmars van kunstmatige intelligentie bij. Acht op de tien Belgische organisaties gebruiken inmiddels AI, maar slechts drie op de tien hebben daarvoor een beleid. Vooral bij kleinere bedrijven ontbreekt vaak een duidelijke strategie. Dat is riskant, omdat AI niet alleen kansen biedt voor efficiënter werken, maar ook nieuwe beveiligingsvragen oproept.
Het rapport maakt duidelijk dat Belgische bedrijven stappen zetten, maar dat digitale weerbaarheid meer vraagt dan technologie alleen. Zonder beleid, training, controle en aandacht voor menselijk gedrag blijven phishing, dataverlies en verkeerd gebruik van AI hardnekkige risico’s.