Wat zijn de gemiddelde kosten van een cyberaanval?

Cyberaanvallen kosten Nederlandse bedrijven gemiddeld €270.000 per incident. Voor mkb-bedrijven kan dit variëren van €110.000 tot €1,14 miljoen, afhankelijk van de aanval en bedrijfsomvang. Ransomware kost gemiddeld €35.000, phishing €70.000. Indirecte gevolgen, zoals stilstand en reputatieschade, maken de financiële impact nog groter. 60% van de kleine bedrijven gaat binnen zes maanden failliet na een aanval. Investeren in preventie en een cyberverzekering is cruciaal om risico’s te beperken en financiële schade te dekken.

Cyberverzekering samenstellen

Gemiddelde kosten van cyberaanvallen in Nederland

Cyberaanvallen brengen vaak onverwacht hoge kosten met zich mee voor Nederlandse bedrijven. De schade beperkt zich niet alleen tot directe verliezen, maar kan bedrijven maandenlang financieel onder druk zetten. Voor het mkb zijn de kosten soms zo hoog dat het voortbestaan van de onderneming in gevaar komt. Laten we de financiële impact per incident voor Nederlandse mkb-bedrijven nader bekijken.

Gemiddelde kosten per incident voor Nederlandse mkb-bedrijven

Nederlandse mkb-bedrijven zien gemiddeld een kostenplaatje van €270.000 per cyberaanval, inclusief herstelwerkzaamheden, stilstand van bedrijfsprocessen en reputatieschade ^[3]^[4]. De werkelijke kosten hangen sterk af van het type aanval en de grootte van het bedrijf.

Voor kleine bedrijven variëren de kosten per incident tussen €110.000 en €1,14 miljoen ^[5]. Specifiek kosten ransomware-aanvallen deze bedrijven gemiddeld €35.000, terwijl phishing-aanvallen gemiddeld €70.000 aan herstelkosten met zich meebrengen ^[7]. Wat nog zorgwekkender is: 60% van de kleine bedrijven die een cyberaanval ondergaan, gaat binnen zes maanden failliet ^[7].

Dave Maasland, CEO van ESET Nederland, benadrukt de ernst van de situatie voor het mkb:

“Het mkb in Nederland staat voor enorme uitdagingen. De kosten van een beveiligingsincident zijn torenhoog en de dreigingen nemen alleen maar toe. Tegelijkertijd moeten mkb-bedrijven continu innoveren en zich aanpassen aan snel veranderende marktomstandigheden. Cybersecurity moet eenvoudig en schaalbaar zijn. Hier schuilt een enorme kans voor Nederlandse IT-dienstverleners om het hart van onze economie te beschermen.” ^[4]

Nederland versus wereldwijde kostenvergelijking

Nederlandse bedrijven betalen in vergelijking met de rest van de wereld aanzienlijk meer voor cyberaanvallen. De gemiddelde kosten van €270.000 per incident liggen ongeveer €50.000 hoger dan het wereldwijde gemiddelde van €220.000 ^[3]^[4]. Alleen Denemarken benadert deze cijfers, met gemiddeld €268.000 per incident ^[4].

De hogere kosten in Nederland zijn te verklaren door verschillende factoren. Zo is er een sterke afhankelijkheid van IT-systemen, wat de impact van aanvallen vergroot. Daarnaast maken de relatief hoge arbeidskosten het oplossen van incidenten duurder. Specialisten die nodig zijn voor herstel en onderzoek zijn in Nederland simpelweg duurder dan in veel andere landen ^[3].

Uit onderzoek blijkt dat 74% van de Nederlandse mkb-bedrijven zich vooral zorgen maakt over de financiële gevolgen van cyberincidenten ^[4]. In april 2021 meldde 31% van de Nederlandse mkb-bedrijven slachtoffer te zijn geweest van cybercriminaliteit, een percentage dat in 2023 is gestegen naar 80% ^[3]. Bovendien gaf bijna driekwart van alle Nederlandse bedrijven in 2023 aan een cyberaanval te hebben ervaren ^[3]. De combinatie van personeelstekorten en technische uitdagingen, vooral binnen het mkb, maakt bedrijven extra kwetsbaar en verhoogt het risico op kostbare incidenten aanzienlijk.

Soorten kosten van cyberaanvallen

Cyberaanvallen brengen niet alleen directe kosten met zich mee, maar ook indirecte gevolgen die langdurig impact hebben op de bedrijfsvoering. Deze kosten vallen uiteen in twee categorieën: directe kosten, zoals herstel- en juridische uitgaven, en indirecte kosten, zoals stilstand en reputatieschade. Laten we beginnen met de directe kosten.

Directe kosten: herstel, juridische uitgaven en boetes

Directe kosten zijn de uitgaven die bedrijven maken tijdens of kort na een cyberaanval. Deze kosten zijn vaak meteen zichtbaar en kunnen binnen enkele dagen of weken oplopen tot tienduizenden euro’s.

De grootste kostenpost is vaak dataherstel en IT-diensten. Bedrijven moeten beschadigde systemen repareren, verloren data terughalen en hun IT-omgeving opnieuw beveiligen. Dit proces kost al snel tienduizenden euro’s ^[9].

Daarnaast zijn er kosten voor forensisch onderzoek, dat gemiddeld tussen de €13.500 en €27.000 ligt ^[9].

Bij datalekken zijn bedrijven verplicht om klanten op de hoogte te stellen en creditmonitoring aan te bieden. Dit kan variëren van €18.000 tot €45.000 ^[9].

Losgeldbetalingen vormen een groeiende financiële last. Voor kleinere bedrijven ligt het gemiddelde losgeld vaak boven de €9.000 ^[9]. Een opvallend voorbeeld is Change Healthcare, dat in februari 2024 naar verluidt €20 miljoen aan Bitcoin-losgeld betaalde ^[10].

Ook juridische kosten spelen een grote rol, bijvoorbeeld voor hulp bij het afhandelen van de gevolgen van een aanval. Dit kan nog verder oplopen door regelgevingsboetes, vooral bij schending van de AVG-wetgeving.“Directe kosten omvatten uitgaven voor onderzoek, incidentrespons, juridische kosten en regelgevingsboetes. Bovendien moet je de juridische kosten dragen voor het verstrekken van meldingen en creditmonitoringdiensten voor de getroffen partijen en individuen. Deze kosten alleen al kunnen je kleine bedrijf lamleggen.” – Visual Edge IT ^[8]

Indirecte kosten: stilstand en verloren inkomsten

Naast de directe uitgaven hebben cyberaanvallen ook indirecte gevolgen die vaak minder zichtbaar zijn, maar wel een enorme financiële impact kunnen hebben. Deze kosten ontstaan door verstoringen in de bedrijfsvoering en kunnen maandenlang doorwerken.

De grootste kostenpost binnen deze categorie is operationele stilstand. Volgens Gartner kost IT-stilstand gemiddeld €5.100 per minuut, wat neerkomt op ongeveer €270.000 per uur ^[12]. Voor Nederlandse mkb-bedrijven, die sterk afhankelijk zijn van hun IT-systemen, kan dit verwoestend zijn.

Wat zijn de gemiddelde kosten van een cyberaanval?

Uit onderzoek blijkt dat 46% van de IT-beslissers meer dan vier uur aan IT-gerelateerde stilstand ervaarde in een periode van 12 maanden ^[11]. Nog zorgwekkender is dat 23% van hen kosten rapporteerde die varieerden van €10.800 tot meer dan €900.000 per uur ^[11].

Verloren zakelijke kansen vormen een andere belangrijke indirecte kostenpost. Door systeemuitval kunnen bedrijven geen nieuwe deals sluiten of bestaande klanten goed bedienen. Daarnaast leidt verlaging van de productiviteit door IT-storingen tot extra kosten die vaak onderschat worden.

Reputatieschade heeft langdurige financiële gevolgen. Klanten verliezen vertrouwen in bedrijven die slachtoffer zijn van cyberaanvallen, wat leidt tot klantenverlies en dalende omzet. Een treffend voorbeeld is Meta, waar een storing resulteerde in een 5% daling van de aandelenkoers en een verlies van €5,4 miljard voor Mark Zuckerberg’s vermogen ^[12].

Voor mkb-bedrijven kan supply chain-verstoring een extra uitdaging vormen. Wanneer zij hun leveringsverplichtingen niet kunnen nakomen, kunnen contractuele boetes en verlies van toekomstige opdrachten het gevolg zijn.

Deze combinatie van directe en indirecte kosten maakt duidelijk waarom cyberaanvallen zo’n grote financiële impact hebben op Nederlandse mkb-bedrijven. Waar de directe kosten vaak binnen enkele weken worden afgehandeld, kunnen de indirecte gevolgen maanden- of zelfs jarenlang doorwerken in de bedrijfsresultaten.

Casestudies en branchegegevens

Hier zie je hoe cyberaanvallen de financiële grenzen van Nederlandse mkb-bedrijven overstijgen. Eerst worden enkele concrete voorbeelden besproken, gevolgd door recente statistieken die de impact van deze aanvallen op bedrijven in Nederland benadrukken.

Nederlandse mkb-voorbeelden van cyberaanvallen

Nijhuis Bouw uit Rijssen kreeg in februari 2025 te maken met een ransomware-aanval. Hierbij werden gegevens van huurders blootgelegd. De schade liep op tot meer dan €75.000, met kosten voor herstel en juridische verplichtingen richting getroffen huurders ^[13].

SalesGig, een bedrijf in de zakelijke dienstverlening, werd eind 2024 slachtoffer van een aanval waarbij klantgegevens werden gegijzeld. Dit leidde tot twee weken stilstand en herstelkosten van €40.000. Naast de directe schade miste het bedrijf ook zakelijke kansen ^[13].

Wiley Metal Fabricating, een metaalbewerkingsbedrijf, werd aangevallen door de Medusa-groep. Hierdoor raakten productie en planning ernstig verstoord. De totale schade werd geschat op €120.000, met zowel directe herstelkosten als langdurige operationele gevolgen ^[13].

Deze voorbeelden laten zien dat cyberaanvallen bedrijven in alle sectoren raken, van bouw en zakelijke dienstverlening tot productie. De financiële gevolgen zijn vaak aanzienlijk en vormen een duidelijke waarschuwing.

Statistieken over cyberaanvallen bij Nederlandse bedrijven

De cijfers maken de ernst van de situatie nog duidelijker. In 2024 meldde 43% van de Nederlandse mkb-bedrijven een cyberincident, een stijging van 18% ten opzichte van het jaar ervoor ^[13]. De gemiddelde kosten per incident liggen tussen de €45.000 en €100.000. Deze bedragen omvatten herstel- en juridische kosten, maar ook verliezen door stilstand en reputatieschade ^[13].

In de afgelopen twee jaar heeft 77% van de Nederlandse mkb-bedrijven te maken gehad met cybercriminaliteit, met gemiddelde kosten van €270.000 per incident ^[15]. Bovendien is 28% van de bedrijven doelwit geweest van digitale fraude. Van deze groep verloor 16% daadwerkelijk geld, terwijl bijna 10% klanten verloor na een aanval ^[14].

Op internationaal niveau blijkt dat 43% van alle cyberaanvallen gericht is op kleine bedrijven, terwijl slechts 14% van deze bedrijven zich goed voorbereid voelt ^[6]. Daarnaast heeft 83% van de kleine en middelgrote bedrijven geen strategie om financieel te herstellen van een aanval, en 91% heeft geen cyberverzekering ^[6].

De combinatie van toenemende aanvallen, hoge kosten en een gebrek aan voorbereiding onderstreept waarom cyberaanvallen een groeiend probleem vormen voor de Nederlandse mkb-sector. Zowel de casestudies als de cijfers maken duidelijk dat geen enkel bedrijf, ongeacht de sector of omvang, veilig is.

Financiële verliezen beperken met cyberverzekering

De cijfers laten duidelijk zien dat cyberaanvallen een flinke financiële impact hebben op Nederlandse mkb-bedrijven. Een combinatie van cyberverzekering en preventieve maatregelen kan helpen om deze risico’s te beheersen. Hier is hoe deze aanpak de financiële gevolgen van cyberincidenten kan verminderen.

Cyberverzekering samenstellen

Wat biedt een cyberverzekering voor mkb-bedrijven?

Een cyberverzekering ondersteunt Nederlandse mkb-bedrijven bij het herstellen van financiële schade, verlies van klantgegevens en onderbrekingen in de bedrijfsvoering na een cyberaanval ^[1]. De dekking omvat zowel directe kosten, zoals schadeherstel, juridische bijstand en compensatie voor financiële verliezen, als indirecte kosten door bedrijfsstilstand en herstel ^[16].

De gemiddelde kostprijs van stilstand door cyberaanvallen ligt rond de €1,56 miljoen. Kleinere bedrijven besteden gemiddeld €955.429 om hun bedrijfsprocessen weer op gang te krijgen na een aanval ^[17].

De cyberverzekeringsmarkt in Nederland is in opmars. De bruto premie-inkomsten zijn gestegen naar ongeveer €101 miljoen, een flinke toename ten opzichte van de €65 miljoen in 2022 ^[16]. Verzekeraars werken vaak samen met experts op het gebied van IT, beveiliging, wetgeving, forensisch onderzoek en communicatie om hun klanten beter te ondersteunen ^[16].

Investeren in preventie voor de lange termijn

Hoewel een cyberverzekering een belangrijke vangnetfunctie heeft, blijft preventie de meest effectieve manier om risico’s en kosten te beperken. Door te investeren in zaken als training, IT-infrastructuur en risicobeoordelingen kunnen bedrijven de kans op incidenten aanzienlijk verkleinen. Dit versterkt ook de waarde van een cyberverzekering. Het wordt aangeraden dat kleine bedrijven minstens 3% van hun totale budget besteden aan cyberbeveiliging ^[17].

Bovendien kunnen maatregelen zoals multi-factor authenticatie (MFA), endpoint detection and response (EDR) en een goed uitgewerkt Business Continuity Plan (BCP) niet alleen de veiligheid verhogen, maar ook verzekeringspremies met wel 25% verlagen ^[19]. Het hebben van een solide IT Disaster Recovery-strategie en inzicht in risico’s via tools zoals de Digitale Veiligheidsrisico Classificatie helpt bedrijven sneller te reageren en te herstellen na een incident ^[16].

Cyberverzekering of preventie? Waarom kiezen als je kunt combineren?

De keuze tussen een cyberverzekering en preventieve maatregelen hoeft geen “of-of”-situatie te zijn. De beste resultaten worden bereikt door beide strategieën te combineren.

Momenteel heeft slechts 17% van de mkb-bedrijven een cyberverzekering ^[19], terwijl 64% van de kleine bedrijven niet bekend is met het bestaan ervan ^[2]. Dit terwijl de kosten van cyberaanvallen voor mkb-bedrijven variëren van €120.000 tot €1,24 miljoen ^[19]. Daartegenover staan bedrijven die investeren in MFA, EDR en BCP-frameworks; zij kunnen niet alleen hun premies met 25% verlagen, maar ook het risico op aanvallen fors verminderen ^[19].

Aspect	Preventie	Cyberverzekering	Gecombineerde aanpak
Kosten	3% van totale uitgaven	Variabele premies	Lagere premies door preventie
Bescherming	Vermindert risico’s	Dekt financiële schade	Optimale bescherming
Herstel	Eigen middelen	Professionele ondersteuning	Sneller herstel
Langetermijn effect	Lagere kans op incidenten	Doorlopende dekking	Beste rendement

Bedrijven die beide strategieën toepassen, profiteren van lagere kosten, een betere dekking en een kleinere kans op dure cyberincidenten.

“In de huidige technologie-afhankelijke wereld kunnen organisaties alleen succesvol zijn als ze hun digitale verdediging versterken met robuust, meerlagig risicomanagement. Cyberverzekering is een effectieve component in deze aanpak.”
– Stefan Golling, Bestuurslid verantwoordelijk voor Global Clients en Noord-Amerika, Munich Re ^[18]

Conclusie: Bescherm je bedrijf tegen cyberrisico’s

Uit cijfers blijkt dat cyberaanvallen een groeiend probleem vormen voor Nederlandse bedrijven. Vorig jaar werd maar liefst één op de vijf bedrijven in het algemene bedrijfsleven slachtoffer van een cyberaanval, terwijl dit bij grote ondernemingen zelfs drie op de tien was ^[20].

Vooral mkb-bedrijven bevinden zich in een kwetsbare positie. Ze worden steeds vaker doelwit van cybercriminelen, maar missen vaak de middelen en kennis om zichzelf effectief te beschermen ^[22]. Dit maakt het des te belangrijker om nu actie te ondernemen.

De cijfers laten zien dat een geïntegreerde aanpak noodzakelijk is. Een combinatie van preventieve maatregelen en een passende cyberverzekering biedt de beste bescherming. Denk hierbij aan investeringen in multi-factor authenticatie, beveiligingstrainingen voor medewerkers en een goed uitgewerkt Business Continuity Plan. Deze stappen helpen niet alleen om risico’s te verkleinen, maar beperken ook de financiële schade bij een eventuele aanval.

Daarnaast is het zorgwekkend dat 32% van de kleine bedrijven nog geen enkele stap heeft gezet om hun digitale veiligheid te verbeteren ^[23]. Met de invoering van de NIS2-richtlijn en de nieuwe Nederlandse Cybersecuritywet wordt het voor bedrijven steeds urgenter om hun cyberweerbaarheid te vergroten ^[21] ^[23].

De boodschap voor Nederlandse mkb-bedrijven is duidelijk: wacht niet langer. Investeer in een combinatie van preventieve maatregelen en een cyberverzekering. Het voorkomen van een aanval kost altijd minder dan het herstellen van de schade. Een cyberaanval kan niet alleen je financiën, maar ook je hele bedrijf in gevaar brengen.

Cyberverzekering samenstellen

FAQ

Hoe zorgt een MKB'er ervoor dat zij voldoen aan de informatieplicht bij een cyberverzekering?

Informatieplicht bij het afsluiten van een cyberverzekering

Als ondernemer in het MKB is het cruciaal om bij het afsluiten van een cyberverzekering alle benodigde en juiste informatie aan de verzekeraar te verstrekken. Dit helpt niet alleen om problemen bij eventuele schadeclaims te voorkomen, maar zorgt er ook voor dat de verzekering geldig blijft.

Wat moet je precies delen? Hier zijn een paar belangrijke punten:

Beveiligingsmaatregelen: Geef een overzicht van de huidige beveiligingsmaatregelen, zoals het gebruik van firewalls, antivirussoftware en back-upsystemen.
Eerdere incidenten: Meld eventuele eerdere cyberincidenten of datalekken. Dit laat zien hoe je in het verleden met risico's bent omgegaan.
Aanvraagformulier: Vul het aanvraagformulier volledig en eerlijk in. Incomplete of onjuiste informatie kan later voor complicaties zorgen.
Blijkt er na de aanvraag nieuwe informatie relevant te zijn? Zorg er dan voor dat je deze direct doorgeeft aan de verzekeraar. Dit soort transparantie is niet alleen verplicht, maar ook in jouw belang. Het zorgt ervoor dat je verzekering aansluit bij jouw situatie en je als ondernemer goed beschermd bent tegen de risico's van cybercriminaliteit.

Wat is het verschil tussen directe en indirecte schade die een cyberverzekering dekt?

Wat is directe en indirecte schade bij cyberincidenten?

Directe schade omvat de onmiddellijke financiële impact van een cyberincident. Denk hierbij aan kosten voor het herstellen van IT-systemen, het vervangen van beschadigde hardware of het terughalen van verloren data. Dit zijn de directe uitgaven die meteen na een incident gemaakt moeten worden.

Indirecte schade gaat over de langdurige gevolgen die een cyberaanval kan hebben. Voorbeelden hiervan zijn verlies van klanten, reputatieschade of omzetverlies doordat het bedrijf tijdelijk stil ligt. Deze effecten kunnen maanden, of zelfs jaren, doorwerken.
Cyberverzekeringen dekken vaak zowel directe als indirecte schade. Maar let op: de precieze dekking en limieten verschillen per polis. Het is daarom essentieel om de voorwaarden goed door te nemen en te controleren of deze aansluiten bij de risico’s die jouw organisatie loopt.

Hoe kunnen bedrijven zich voorbereiden op de verplichtingen van de NIS2-richtlijn?

Hoe kunnen bedrijven zich voorbereiden op de NIS2-richtlijn?

Om goed voorbereid te zijn op de NIS2-richtlijn, is het essentieel om de huidige cybersecuritymaatregelen grondig te evalueren en waar nodig te verbeteren. Denk hierbij aan het opstellen van een duidelijk incidentresponsplan en het invoeren van protocollen voor het melden van beveiligingsincidenten. Deze maatregelen helpen om cyberrisico’s effectief te beperken.

Een andere belangrijke stap is om na te gaan of uw organisatie onder de richtlijn valt en welke specifieke verplichtingen op uw situatie van toepassing zijn. Hier kunnen zelfevaluatietools een handig hulpmiddel zijn om snel inzicht te krijgen in de huidige stand van zaken en eventuele tekortkomingen.

Daarnaast is het cruciaal om medewerkers bewust te maken van cybersecurityrisico’s. Door hen te trainen in het herkennen en reageren op bedreigingen, zorgt u ervoor dat iedereen in het bedrijf voorbereid is en een actieve rol speelt in het beschermen van de organisatie.
Met een proactieve aanpak en een goed doordachte strategie kunnen bedrijven niet alleen voldoen aan de eisen van de NIS2-richtlijn, maar ook hun digitale weerbaarheid aanzienlijk vergroten.