In België betaalt een op de tien bedrijven losgeld na een cyberaanval. Nieuw onderzoek laat zien dat organisaties vaak zwichten om systemen snel te herstellen en bedrijfsstilstand te beperken. Het gaat om zowel mkb’ers als grote bedrijven in uiteenlopende sectoren. De druk neemt toe nu strengere EU-regels zoals NIS2 en de AVG sneller melden en beter beveiligen verplicht stellen.
Losgeld blijft gangbaar
Bij ransomware, ook wel gijzelsoftware, versleutelen criminelen data en eisen ze betaling voor een sleutel. Steeds vaker dreigen ze ook met publicatie van gestolen informatie. Bedrijven kiezen soms voor betalen omdat herstel langer lijkt te duren en stilstand duur is. Dat maakt losgeld een verleidelijk, maar riskant noodmiddel.
Betalen biedt geen garantie dat data echt wordt vrijgegeven of niet opnieuw wordt misbruikt. Criminelen kunnen dezelfde organisatie later weer aanvallen, juist omdat er betaald is. Ook kan er sprake zijn van zogenoemde dubbele afpersing: eerst betalen voor ontsleuteling, daarna opnieuw om publicatie te voorkomen. Robuuste back-ups en geoefende herstelprocedures zijn dan effectiever.
Autoriteiten en experts raden betalen af, omdat dit het verdienmodel van criminelen in stand houdt. Het Centrum voor Cybersecurity België (CCB) en Europol benadrukken de risico’s van onderhandelen met daders. Bedrijven doen er beter aan direct incidentrespons te starten en aangifte te doen. Snelle interne escalatie verkleint de schade en verbetert de kans op herstel.
De impact gaat verder dan IT-systemen. Stilstand raakt omzet, leveringen en klantvertrouwen. Ook kunnen contractuele boetes volgen wanneer serviceafspraken niet worden gehaald. Reputatieschade kan bovendien langer doorwerken dan de aanval zelf.
Een op de tien Belgische bedrijven betaalt losgeld na een cyberaanval.
Juridische valkuilen bij betaling
De AVG verplicht organisaties een datalek binnen 72 uur te melden bij de toezichthouder. In België is dat de Gegevensbeschermingsautoriteit; in Nederland de Autoriteit Persoonsgegevens. Gijzelsoftware leidt vaak ook tot datadiefstal, en dat is een datalek. Bedrijven moeten daarom snel beoordelen welke persoonsgegevens geraakt zijn.
NIS2, de Europese cybersecurityrichtlijn, verplicht essentiële en belangrijke organisaties om ernstige incidenten snel te melden. Er geldt een vroege waarschuwing binnen circa 24 uur en een uitgebreider rapport later. Deze regels draaien om continuïteit en risicobeheersing. Ze vragen aantoonbare maatregelen, zoals beleid, training en leverancierscontrole.
Betalen kan in strijd zijn met sanctieregels als de ontvanger op een internationale sanctielijst staat. Banken en verzekeraars voeren daarom sanctiechecks uit en kunnen een betaling blokkeren. Cyberverzekeringen dekken soms herstelkosten, maar vergoeden losgeld vaak niet of alleen onder strikte voorwaarden. Een polis is geen vrijbrief om te betalen.
Contracten met klanten en leveranciers bevatten steeds vaker eisen rond beveiliging en melding. Het niet naleven kan leiden tot aansprakelijkheid of beëindiging van het contract. Ondernemers doen er goed aan deze clausules te herzien. Zo voorkomt u verrassingen in een crisissituatie.
Relevantie voor Nederlandse mkb’ers
Ook Nederlandse ondernemers lopen hetzelfde risico. Het Digital Trust Center van het Ministerie van EZK biedt praktische handreikingen voor niet-vitale bedrijven. RVO en brancheorganisaties stimuleren basisbeveiliging binnen bredere digitaliseringstrajecten, zoals “subsidie digitalisering mkb Nederland”. Zulke trajecten helpen vooral preventie en weerbaarheid op te bouwen.
NIS2 geldt in de hele EU na nationale invoering en raakt veel meer sectoren dan voorheen. Denk aan zorg, logistiek, maakindustrie en digitale diensten. Op het moment van schrijven moeten organisaties aantoonbaar risico’s beheersen en incidenten melden. Bestuurders dragen daarbij expliciete verantwoordelijkheid voor cybersecuritybeleid.
De AVG blijft onverkort van kracht, met boetes tot 20 miljoen euro of 4 procent van de wereldwijde omzet. Dat stimuleert beter datamanagement en het beperken van toegang tot gevoelige informatie. Een gegevensbeschermingseffectbeoordeling (DPIA) helpt risico’s vooraf in te schatten. Dit verkleint de kans op ernstige gevolgen bij een aanval.
Bedrijven die internationaal actief zijn, krijgen te maken met verschillende meldplichten en termijnen. Leg daarom vooraf vast wie intern beslist en wie extern wordt geïnformeerd. Betrek juridische adviseurs en de verzekeraar bij het draaiboek. Zo voorkomt u vertraging in de eerste kritieke uren.
Praktische stappen voor ondernemers
Zet in op basismaatregelen die aantoonbaar werken. Houd software en systemen up-to-date en schakel multifactorauthenticatie in; dat is een extra stap naast uw wachtwoord. Beperk rechten tot wat medewerkers echt nodig hebben. Train teams om phishing te herkennen en meldknoppen te gebruiken.
Regel back-ups volgens het 3-2-1-principe: drie kopieën, op twee soorten media, waarvan één offline. Test regelmatig of u die back-ups snel kunt terugzetten. Scheid kritieke delen van het netwerk om doorslag te voorkomen. Documenteer wie wat doet bij een incident en oefen dat minimaal jaarlijks.
Verhoog detectie en responscapaciteit met endpoint-beveiliging en logmonitoring. Leg afspraken vast met uw IT-partner over responstijden en verantwoordelijkheden. Controleer of leveranciers voldoen aan beveiligingseisen en vraag om bewijs, zoals rapporten of certificaten. Beperk externe toegang en zet waar mogelijk alleen-lezen of onveranderlijke back-ups in.
Als het toch misgaat: isoleer systemen, schakel experts in en meld het incident bij de bevoegde autoriteiten. Betaal niet overhaast; weeg technische herstelopties en juridische risico’s zorgvuldig af. Informeer betrokken klanten en partners tijdig en feitelijk. Documenteer elke stap voor verzekering, onderzoek en eventuele toezichthouders.
Wat dit betekent nu
Dat één op de tien Belgische bedrijven losgeld betaalt, toont dat druk en schade groot zijn. Toch wegen de juridische en operationele risico’s van betalen vaak zwaarder dan de vermeende winst. Wie investeert in preventie, back-ups en geoefende respons, verkleint de kans op zulke keuzes. Dat is beter voor continuïteit én voor naleving van AVG en NIS2.
Bestuur en directie horen cybersecurity als bedrijfsrisico te behandelen. Maak budget en tijd vrij, stel doelen en meet voortgang. Koppel beloningen en audits aan concrete verbeteringen, zoals snellere patchrondes of minder openstaande rechten. Zo wordt veiligheid onderdeel van de normale bedrijfsvoering.
Voor ondernemers in Nederland en België ligt hier een gedeelde opgave. Europese regels trekken de lat omhoog, maar bieden ook duidelijkheid. Wie nu structureel verbetert, voorkomt paniekbeslissingen bij een aanval. En dat is uiteindelijk goedkoper dan losgeld betalen.
Tot slot: leg contact met instanties die kunnen helpen. In België is dat onder meer het CCB; in Nederland het Digital Trust Center en, voor vitale sectoren, het NCSC. Bewaar deze contactpunten offline en test ze tijdens oefeningen. Snelle lijnen maken het verschil in het heetst van de strijd.