De digitale dreigingen tegen Nederland worden diverser en onvoorspelbaarder. Er is een grote verscheidenheid aan aanvallen door zowel statelijke actoren, als ook cybercriminelen en andere kwaadwillenden. Internationale betrekkingen worden onvoorspelbaarder, en dat heeft impact op digitale veiligheid. Statelijke actoren zetten cyberprogramma’s op of breiden die uit, waarbij ook niet-statelijke actoren of private organisaties worden ingezet. Ook kunnen veranderende geopolitieke verhoudingen gevolgen hebben voor digitale afhankelijkheden. Verder kunnen kwaadwillenden generatieve AI inzetten, waarmee ze eenvoudiger en op grotere schaal aanvallen kunnen uitvoeren.
Beeld: © ANP
Dat zijn de belangrijkste conclusies van het vandaag verschenen Cybersecuritybeeld Nederland (CSBN) 2025, opgesteld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) met een substantiële bijdrage van de AIVD en MIVD. Al deze ontwikkelingen vinden gelijktijdig en in samenhang met elkaar plaats, waardoor het dreigingslandschap in toenemende mate complex wordt.
Esther van Beurden - Directeur Cybersecurity, Weerbaarheid Statelijke Dreigingen en Analyse Nationale Veiligheid. “We zien dat de digitale dreiging onverminderd in beweging is. De geopolitieke verhoudingen veranderen. Statelijke actoren breiden cyberprogramma's uit en maken gebruik van staatsgesteunde groeperingen of bedrijven om cyberaanvallen uit te voeren. Ook heeft geopolitiek invloed op onze digitale afhankelijkheden waardoor die risicovol kunnen worden."
Basisprincipes verhogen digitale weerbaarheid
De conclusie dat dreigingen onvoorspelbaarder en complexer worden, betekent niet per definitie dat het verdedigen daartegen dat ook wordt. Veel digitale incidenten vinden namelijk hun oorzaak in het niet op orde hebben van ‘digitale basishygiëne’. Voor een gemiddelde organisatie geldt dan ook: fixeer niet op het complexe dreigingslandschap, maar maak jezelf weerbaar met de basisprincipes, zoals opgesteld door het NCSC en DTC. Een belangrijk onderdeel van die basisprincipes is het voorbereiden op incidenten, waarbij het gaat om de veerkracht en het herstelvermogen wanneer een incident zich heeft voorgedaan.
Een groot aantal organisaties is vanaf de inwerkingtreding van de Cyberbeveiligingswet bovendien verplicht een risicoanalyse uit te voeren en op basis daarvan passende en evenredige maatregelen te nemen voor de beveiliging van hun netwerk- en informatiesystemen. De Cyberbeveiligingswet is de nationale vertaling van de Europese NIS2-richtlijn en treedt in Nederland, naar verwachting, in het tweede kwartaal van 2026 in werking. De wet draagt bij aan het verhogen van de digitale weerbaarheid van Nederland en het beperken van de risico's op uitval van diensten.
Van Beurden: "Belangrijk is dat we als Nederland digitaal weerbaar blijven. Daarin worden met komende wetten en andere initiatieven belangrijke stappen gezet. Digitale weerbaarheid is niet meer alleen iets voor technische experts; juist bestuurders moeten ook aan de bak voor een veilige digitale samenleving. Maar laat je door de toenemende complexiteit niet afschrikken, weerbaarheid begint door de basis op orde te hebben."
Voortgang Nederlandse Cybersecuritystrategie
In 2022 heeft het kabinet de Nederlandse Cybersecuritystrategie (NLCS) gepresenteerd met als doel een digitaal veilig en weerbaar Nederland te creëren. Gelijktijdig met het CSBN2025 is de voortgangsrapportage van de NLCS naar de Tweede Kamer verzonden. Een versteviging van de inzet op de uitvoering van de Nederlandse Cybersecuritystrategie (NLCS) is noodzakelijk. Het kabinet neemt de risico’s van digitalisering serieus en onderstreept de noodzaak om zich met urgentie in te blijven zetten op de uitvoering van de NLCS, de implementatie van de herziene richtlijn Netwerk- en Informatiebeveiliging (NIS2) en de Cyber Resilience Act (CRA).