Gedragsonderzoek - weerbaarheid van ondernemers 2025

Kern

Het onderstaande rapport “Gedragsonderzoek - weerbaarheid van ondernemers” laat zien dat organisaties hun cyber- en crisisvoorbereiding niet willekeurig oppakken, maar volgens een gedragsladder. Onderaan staan relatief eenvoudige maatregelen zoals risicoanalyses en het in kaart brengen van kwetsbaarheden. Bovenaan bevinden zich complexere stappen zoals samenwerking in de keten en maatschappelijke bijdrage .

Opvallend is dat veel bedrijven blijven steken in de eerste fases. Zo worden risicoanalyses nog relatief vaak uitgevoerd, maar blijven maatregelen rond training, samenwerking en structurele verbetering achter. Dat wijst op een structureel probleem: cyberweerbaarheid wordt wel erkend, maar onvoldoende doorvertaald naar actie.

Gedrag als missing link in cybersecurity

Het onderzoek maakt duidelijk dat niet alleen middelen of regelgeving bepalend zijn, maar vooral gedragsfactoren:

• Organisaties nemen vaker maatregelen als ze deze effectief en belangrijk vinden
• Sociale norm (wat doen andere bedrijven?) speelt een grote rol
• Kostenperceptie (tijd, geld, moeite) remt actie sterk af

Dit raakt direct aan de praktijk van privacy en cybersecurity: compliance is niet alleen een juridisch vraagstuk, maar ook een gedragsvraagstuk.

Relevantie voor NIS2 en toezicht

De inzichten zijn bijzonder relevant in het licht van NIS2 en toenemende toezichtdruk. Wetgeving verplicht organisaties tot:

• risicobeoordelingen
• incidentmanagement
• governance en verantwoordelijkheid

Maar dit rapport laat zien dat verplichtingen alleen niet voldoende zijn. Zonder aandacht voor gedragsdrempels blijven organisaties hangen op minimale compliance.

Klein versus groot: ongelijkheid in weerbaarheid

Een belangrijk inzicht is het verschil tussen organisaties:

• Kleine en jonge bedrijven lopen structureel achter
• Grote organisaties met certificeringen (zoals ISO) zijn significant weerbaarder

Dit creëert een risico voor ketens: zwakke schakels zitten vaak bij kleinere partijen, precies waar toezicht en ondersteuning het minst ontwikkeld zijn.

Implicaties

Voor professionals in data & privacy betekent dit:

• Focus niet alleen op beleid en regels, maar ook op implementatiegedrag
• Investeer in awareness en cultuur
• Gebruik certificeringen en frameworks als hefboom voor gedragsverandering
• Differentieer aanpak: wat werkt voor corporates werkt niet voor mkb

Slot

Cyberweerbaarheid is geen checklist, maar een groeipad. Wie alleen inzet op regels en audits, mist de kern: organisaties moeten eerst de stap maken van weten naar doen. En juist daar ligt de grootste uitdaging.