Nederlandse bedrijven zien cyberaanvallen als de grootste bedreiging voor hun bedrijfscontinuïteit. Daarmee staat het boven geopolitieke instabiliteit, personeelstekorten of AI-gerelateerde risico’s. Dat blijkt uit de State of Cybersecurity Report 2026 van HarfangLab. Het onderzoek werd in april 2026 uitgevoerd door Sapio Research onder 750 bedrijfsleiders in zes Europese landen, waaronder Nederland en België.
Bijna de helft van de Nederlandse organisaties (43 procent) verwacht dat een cyberincident al binnen dezelfde werkdag gevolgen heeft voor de omzet. Bij 7 procent kan dat zelfs al binnen enkele uren het geval zijn. Tegelijkertijd schatten Nederlandse leidinggevenden dat herstel na een incident gemiddeld 4,27 dagen duurt. De financiële schade begint dus snel, maar het herstel niet. Meer dan een kwart (29 procent) van de Nederlandse leidinggevenden geeft aan dat een verstoring van kritieke processen van 24 uur zou leiden tot aanzienlijk of ernstig omzetverlies, gelijkstaand aan minimaal 16 procent van de dagelijkse omzet.
Belgische organisaties vrezen de grootste financiële impact
Belgische bedrijven zijn het meest bezorgd over de financiële gevolgen van cyberincidenten. Ook dat blijkt uit het rapport van HarfangLab, een Europese aanbieder van endpoint detection and response-oplossingen. Meer dan een derde van de Belgische bedrijfsleiders geeft aan dat een verstoring van 24 uur zou leiden tot een verlies van 16 procent of meer van de dagelijkse omzet. Dat is het hoogste percentage van alle onderzochte Europese landen.
Deze verhoogde bezorgdheid is niet ongegrond. Ook Belgische organisaties schatten dat herstel na een cyberincident gemiddeld 4,32 dagen duurt. Terwijl de omzetschade binnen uren begint, duurt het dus bijna een volledige werkweek voordat de normale bedrijfsvoering is hersteld.
Verantwoordelijkheid voor cybersecurity blijft versnipperd
Ondanks die urgentie is de verantwoordelijkheid voor cyberveiligheid verdeeld. Volgens het rapport ligt die bij 31 procent van de Nederlandse respondenten bij de CIO, bij 30 procent bij de CEO en bij 22 procent bij de CISO. Een duidelijke eigenaar blijft dus uit. Meer dan de helft (54 procent) van de bedrijfsleiders zegt dat cybersecurity binnen hun organisatie primair als een technisch IT-vraagstuk wordt behandeld, in plaats van als een directieverantwoordelijkheid.
Opvallend genoeg verandert dat wanneer de financiële impact direct en tastbaar is. Organisaties waarbij een cyberincident al binnen enkele uren omzetverlies veroorzaakt, maken van cyberveiligheid vaker een CEO-prioriteit: gemiddeld 43 procent tegenover 30 procent. Ook de aansprakelijkheid na een incident is verdeeld. Bijna een derde (32 procent) verwacht dat de CEO verantwoordelijk wordt gehouden, terwijl 30 procent wijst naar CIO’s, CISO’s of CTO’s en 13 procent naar externe dienstverleners.
“Er is een duidelijke kloof zichtbaar tussen bewustzijn en eigenaarschap”, zegt Anouck Teiller, Deputy CEO van HarfangLab. “Bedrijfsleiders erkennen de verstoring en omzetverliezen die cyberincidenten kunnen veroorzaken, maar de verantwoordelijkheid voor cyberveiligheid blijft versnipperd en wordt nog te vaak gezien als een IT-vraagstuk.”
Bij Europese organisaties speelt een vergelijkbaar patroon. Slechts 18 procent noemt bedrijfscontinuïteit en snel herstel als primaire focus van de cybersecuritystrategie. De meerderheid kiest voor preventie, compliance of het inzetten van meerdere tools. Dit terwijl het herstel juist bepaalt hoe lang de omzetschade doorloopt.
Lees ook; Betalen aan criminelen of failliet: het duivelse dilemma
AI-adoptie loopt governance vooruit
Naast de vraag om eigenaarschap is er een tweede kloof zichtbaar, namelijk die tussen AI-adoptie en AI-governance. Nederlandse organisaties investeren in AI, waarbij de grootste groep dat primair doet voor productiviteit en efficiëntie (24 procent). Een groep van 16 procent richt AI-investeringen primair op cybersecurity en digitale verdediging.
De beveiligingsmaatregelen rond dat AI-gebruik lopen achter. Meer dan de helft van de Nederlandse organisaties (59 procent) vereist een veiligheidsbeoordeling voordat AI-tools worden ingezet. Dat is beter dan het Europese gemiddelde van 46 procent, maar slechts 49 procent beschikt over formeel vastgelegde AI-richtlijnen. In Europa gaat het om 40 van de bedrijven die dergelijke policies hanteren.
Regelgeving vergroot druk op bestuurders
De Nederlandse Cyberbeveiligingswet, de nationale implementatie van de NIS2-richtlijn, wordt naar verwachting in 2026 van kracht. Die wet verplicht organisaties in achttien kritieke sectoren om cyberrisico’s systematisch te analyseren en bedrijfscontinuïteitsplannen op orde te brengen. Ernstige incidenten moeten bovendien binnen 24 uur worden gemeld bij de toezichthouder.
Europese regelgeving wordt door Nederlandse bedrijfsleiders wel als kans gezien. Ruim twee derde (68 procent) beschouwt Europese cybersecurityregels als concurrentievoordeel. Maar de uitvoering is weerbarstig. Zo geeft 66 procent aan moeite te hebben met het begrijpen van wat de regelgeving concreet vraagt en 57 procent vindt het lastig het tempo van nieuwe wet- en regelgeving bij te houden.
Tegelijkertijd vergroot regelgeving de bestuurlijke verantwoordelijkheid. Meer dan de helft (60 procent) van de Nederlandse bedrijfsleiders stelt dat cybersecurityregelgeving leidt tot meer verantwoordelijkheid op bestuursniveau, terwijl 61 procent zich zorgen maakt over persoonlijke aansprakelijkheid bij cyberincidenten.
“Cyberweerbaarheid vraagt om duidelijk eigenaarschap, ondersteund door sterke interne expertise en betrouwbare externe partners”, aldus Teiller. “Organisaties die cyberveiligheid benaderen als een kwestie van bedrijfscontinuïteit, in plaats van een technisch probleem dat kan worden opgelost met een groter budget, zullen uiteindelijk het meest weerbaar zijn.”