Dreigingen in Nederland 2024-2025: ENISA en CSBN-analyse vertaald naar een prioriteitenactieplan

ENISA publiceert jaarlijks een overzicht van de grootste cyberdreigingen voor de EU. Het NCSC voegt daar met het Cybersecuritybeeld Nederland een nationaal beeld aan toe. Wie een informatieveiligheidsprogramma wil baseren op actuele dreigingen, doet er goed aan beide te lezen — maar hun formaat maakt operationalisering lastig. Dit artikel destilleert de meest relevante bevindingen en vertaalt ze naar een concreet actieplan.

Drie dominante dreigingen in Europa

ENISA’s Threat Landscape 2024 identificeert negen primaire dreigingscategorieën. De drie met de hoogste gecombineerde frequentie en impact zijn ransomware, DDoS- en availability-aanvallen en data-gerelateerde dreigingen.

Ransomware is en blijft de meest impactvolle cyberdreiging voor EU-organisaties. De aanvallen zijn professioneler geworden. Dubbele afpersing — waarbij aanvallers zowel encrypteren als data stelen en daarna dreigen die te publiceren — is nu de standaard. Sectoren met beperkte recovery-infrastructuur, zoals zorg, onderwijs en lokale overheden, zijn consistent het doelwit.

DDoS-aanvallen nemen in omvang toe. Ze worden steeds vaker ingezet als combinatiewapen in combinatie met andere aanvalstypen: terwijl een organisatie bezig is met het weerstaan van een availability-aanval, vindt elders in de infrastructuur een ransomware-infectie of spionagepoging plaats.

Data-dreigingen gaan inmiddels verder dan diefstal. Data manipulation — het aanpassen van trainingsdata voor AI-systemen, het manipuleren van integriteitsgevoelige systemen — wordt als afzonderlijke dreiging erkend.

Het Nederlandse beeld: ketens en basishygiëne

Het NCSC-CSBN voegt twee accenten toe die voor Nederlandse organisaties bijzonder relevant zijn. Het eerste is ketenimpact als vermenigvuldiger. Aanvallen op leveranciers en dienstverleners veroorzaken kettingreacties bij afnemers. Managed service providers, cloudiensten en softwareleveranciers zijn frequent het eerste doelwit. Één compromis bereikt tientallen tot honderden eindorganisaties tegelijk.

Het tweede accent is basishygiëne als primaire gap. Ondanks jarenlange aandacht zijn fundamentele beveiligingsmaatregelen bij een groot deel van de Nederlandse organisaties — met name in het MKB — onvoldoende geïmplementeerd. Het NCSC is er helder over: de meerderheid van succesvolle aanvallen maakt gebruik van bekende kwetsbaarheden of zwakke authenticatie. Geavanceerde zero-day aanvallen zijn de uitzondering.

Een prioriteitenmatrix voor uw eigen situatie

Gebruik dreigingsinformatie om uw eigen situatie te beoordelen aan de hand van twee assen: de kans dat een dreiging succesvol is gegeven uw huidige beveiligingsniveau, en de impact als die dreiging slaagt. Prioriteer op de hoogste gecombineerde score.

Ransomware via phishing en via kwetsbare RDP- en VPN-verbindingen haalt voor de meeste organisaties hoog op beide assen. Ketencompromis via een MSP of SaaS-dienst is minder waarschijnlijk maar potentieel zeer hoog in impact. DDoS op webinfrastructuur is frequent maar in impact beperkt als er geen kritieke dienstverlening achter zit. Credential stuffing via hergebruikte wachtwoorden is alledaags en effectief.

Tien maatregelen met het hoogste rendement

De tien baseline-maatregelen die ENISA en het NCSC aanbevelen zijn geen vereenvoudiging — ze zijn het resultaat van jarenlange analyse van welke maatregelen de meeste incidenten hadden voorkomen.

MFA op alle externe toegang is de meest impactvolle maatregel die er is. E-mail, VPN, RDP, beheerportalen — geen uitzonderingen. Phishing-resistente MFA zoals FIDO2 of passkeys verdient de voorkeur boven SMS-OTP en TOTP voor hoog-risicoaccounts, omdat die vatbaar zijn voor phishing.

Patchmanagement met harde SLA’s — kritieke patches binnen 24-48 uur, overige patches binnen 30 dagen — stopt een aanzienlijk deel van de initiële toegangsvectoren. E-mailbeveiliging via DMARC, DKIM en SPF in combinatie met advanced threat protection vermindert phishing-successen significant.

Endpoint detection and response op alle endpoints inclusief servers geeft zicht op verdacht gedrag dat anders onopgemerkt blijft. Netwerksegmentatie beperkt de laterale bewegingsruimte die aanvallers na initiële toegang nodige hebben. Geteste offline backups zijn de enige echte verzekering tegen ransomware-encryptie.

Asetbeheer en -inventarisatie, centrale logopslag voor minimaal twaalf maanden en bewustwordingstraining met phishingtests vullen de top tien.

Ritme en meetbaarheid

Dreigingslandschapinformatie is alleen waardevol als ze leidt tot meetbare actie. Stel per kwartaal concrete doelstellingen: in het eerste kwartaal is MFA-dekking op minimaal 95 procent van de externe toegang en EDR-dekking op minimaal 90 procent van de endpoints het doel. In het tweede kwartaal: patchmanagement-SLA’s geautomatiseerd gerapporteerd en back-up hersteltest uitgevoerd. Meten doe je via mean time to patch, MFA-dekkingspercentage, EDR-dekking en phishing-klikpercentage in simulaties.

Standpunt

Ik lees het ENISA Threat Landscape en het CSBN ieder jaar met een mengeling van erkenning en frustratie. Erkenning, omdat de analyse consistent goed is en de aanbevelingen deugdelijk. Frustratie, omdat jaar na jaar dezelfde basale lekken worden aangewezen en dezelfde organisaties er niet in slagen ze te dichten.

“Basishygiëne” is een term die ik steeds meer ga wantrouwen, niet omdat de inhoud niet klopt maar omdat hij onbedoeld bagatelliseert. MFA op alle externe toegang, patchmanagement met SLA’s, offline backups — dat zijn niet eenvoudige zaken, ze zijn fundamentele investeringen in veerkracht. Ze kosten tijd, geld en organisatorische wil. Ze roepen weerstand op bij mensen die denken dat ze die extra stap bij het inloggen niet nodig hebben.

Maar ik heb in mijn werk gezien wat er gebeurt als die investeringen niet worden gedaan. En ik heb gezien wat de kosten zijn van een ransomware-incident bij een organisatie die dacht dat het haar niet zou overkomen. Die kosten zijn vrijwel altijd vele malen hoger dan de investering die het incident had voorkomen.

Voor de advocatuur heeft het dreigingslandschap ook directe relevantie. Een advocatenkantoor dat strafdossiers verwerkt is een aantrekkelijk doelwit. De data is vertrouwelijk, de politieke gevoeligheid is hoog en de recovery-capaciteit is in de meeste gevallen beperkt. CyberSecurity AD is mede gebouwd vanuit de overtuiging dat de infrastructuur voor AI-analyse van strafdossiers aan de hoogste beveiligingsnormen moet voldoen — niet omdat de wet het eist, maar omdat de aard van de data het vereist.

Bronnen

Domeincontext

Dit artikel behandelt ENISA, CSBN, NCSC, dreigingslandschap, Nederland, baseline security, prioriteitenmatrix, availibility aanvallen binnen de domeinen van cyberbeveiliging, digitale forensiek en strafprocedureel recht in Nederland. Bestemd voor strafrechtadvocaten, compliance-professionals en forensisch onderzoekers.

P.W. Oldenburger

Oprichter, CyberSecurity AD

Over de auteur →

Bijgewerkt: 26 januari 2026

Lees ook

CyberSecurity AD · P.W. Oldenburger · Amsterdam