Maar liefst acht op de tien (79%) van de IT-dienstverleners maken zich (zeer veel) zorgen over de digitale veiligheid van de afnemers van hun IT-diensten. Dit blijkt uit recent onderzoek van het Digital Trust Center (DTC). Veel - maar minder - afnemers (60%) maken zich (zeer veel) zorgen over de digitale veiligheid van hun eigen bedrijf.
Redenen van zorgen over digitale veiligheid
Aan de IT-dienstverleners en hun IT-afnemers is gevraagd wat de belangrijkste reden is om zich zorgen te maken over het IT-afnemende bedrijf. De impact van een cyberincident wordt door beide onderzoeksgroepen als belangrijkste reden genoemd.
"Dit overkomt ons/hen niet"
Van de IT-afnemende bedrijven die zich geen zorgen maken over hun digitale veiligheid geeft bijna 40% als reden dat ze denken dat de kans klein is dat hen een cyberincident overkomt. IT-dienstverleners die zich geen zorgen maken (21%), schatten deze kans realistischer in; 19% denkt dat hun IT-afnemers kleine kans hebben op een cyberincident.
Of IT-afnemers wel eens te maken hebben gehad met een cyberincident is henzelf en hun IT-dienstverleners gevraagd. IT-dienstverleners is gevraagd of de bedrijven waaraan zij IT-diensten leveren, voor zover ze dat weten, weleens te maken hebben gehad met één of meer onderstaande cyberincidenten.
Er is sprake van een onderschatting van de kans op een cyberincident. Alhoewel incidenten lastig te meten zijn vanwege het ontbreken van een centraal meldpunt of cyberschaamte, komt uit diverse steekproeven en
onderzoeken naar voren dat ten minste één op de vijf bedrijven jaarlijks een cyberincident ervaart.
Hoe voorbereid zijn bedrijven op cyberincidenten?
Stel dat er een cyberincident zou zijn waardoor netwerken, systemen en data meer dan 24 uur niet bereikbaar zijn, in hoeverre is jouw bedrijf voorbereid op deze situatie? Maar liefst zeven op de tien bedrijven acht zichzelf hierop voorbereid. IT-dienstverleners zijn nog iets optimistischer en geven aan dat 83% van de bedrijven waar zij IT-diensten aan leveren zich hierop voorbereid hebben, sámen met hen.
Goed vertrouwen dwarsboomt incident readiness
Bedrijven die géén vaste afspraken of plannen hebben gemaakt voor een cyberincident, noemen het vaakst dat ze de kans dat hen dit overkomt klein vinden (40%). Van deze onvoorbereide bedrijven geeft 39% aan te vertrouwen op hun IT-dienstverlener(s). Voor 17% speelt geld een rol en 22% heeft 'er nog nooit goed over nagedacht' en heeft daarom geen voorbereidingen getroffen.
Onderlinge afstemming kan beter
In het onderzoek is ook gevraagd naar de onderlinge afstemming over hoe te handelen in het geval van een cyberincident. Uit de resultaten blijkt dat de concrete mate van voorbereiding ('cyber readiness') door IT-dienstverleners hoger geschat wordt dan door IT-afnemers. IT-dienstverleners geven vaker dan IT-afnemers aan dat betrokkenen weten hoe zij moeten handelen en dat er vaste afspraken zijn gemaakt. De IT-afnemers geven vaker blijk van een matige of slechte voorbereiding.
Dienstverleners geven vaker aan dat zij en hun klanten werken volgens afspraken opgenomen in het contract of de Service Level Agreement (SLA) (76% vs 63%). Ook geven zij vaker dan afnemers aan dat zij gezamenlijk de risico's hebben vastgesteld (74% vs 59%), dat ze een gezamenlijk draaiboek hebben klaarliggen (72% vs 53%) en dat ze regelmatig samen oefenen/testen (69% vs 43%). Kortom, IT-dienstverleners denken cybersecurity concreter afgestemd te hebben met hun afnemers dan dat de afnemers het denken te hebben afgestemd met hun IT-dienstverlener(s).
Via afstemming naar betere digitale veiligheid
De onderlinge afstemming is een zorgpunt. Voor IT-afnemers zijn de voorbereidingen op cyberincidenten minder concreet. Hier ligt een kans voor IT-dienstverleners om concreter aan te geven welke voorbereidingen getroffen zijn en welke afspraken er liggen.
Beide partijen vinden dat ze een
gedeelde verantwoordelijkheid hebben voor de digitale veiligheid van IT-afnemers. Zo'n gedeelde verantwoordelijkheid kan leiden tot geen verantwoordelijkheid wanneer verwachtingen van elkaar niet duidelijk zijn afgestemd. Zowel IT-dienstverleners als IT-afnemers geven elkaar dan ook voornamelijk tips over goede afspraken en communicatie wanneer hen gevraagd wordt hoe er meer duidelijkheid over de verantwoordelijkheden kan komen. Het Digital Trust Center voegt hier de tip aan toe: ga actief het gesprek aan om concrete afspraken te maken over verantwoordelijkheden en incident respons. Daar kan een
praatplaat of
checklist een handig hulpmiddel bij zijn. Daarnaast kunnen IT-dienstverleners via de
DTC Community kennis uitwisselen en ervaringen delen.
---------------------NOOT VOOR DE REDACTIE---------------------
Over het onderzoek
Dit onderzoek is in het voorjaar van 2025 uitgevoerd door Motivaction in opdracht van het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken. De online vragenlijst is ingevuld door 420 IT-afnemers en 278 IT-dienstverleners. Het doel was om inzicht te krijgen in de cybersecurity verwachtingen in de relatie tussen IT-dienstverleners en de afnemers van IT-diensten. Het inzicht in verantwoordelijkheden, verwachtingen, afspraken en incident readiness helpt het DTC om middelen te ontwikkelen die de onderlinge afstemming en dus de cyberweerbaarheid bevorderen. Lees het hele
onderzoeksrapport en de
onderliggende data.