Helft cybersecurity budget extern besteed
Vooral de overheid en de zorg besteden hun budget voor cybersecurity meer extern dan intern. Dat blijkt uit het jaarlijkse onderzoek van Computable en Enigma Research. En meer dan de helft van de organisaties heeft budget vrijgemaakt om NIS2-compliant te worden.
Tekst: ANTON VAN ELBURG Beeld: SHUTTERSTOCK
Veiligheid is in de eerste plaats mensenwerk. Hoeveel personen houden de digitale poorten veilig in een organisatie? Dat verschilt nogal naar gelang de omvang. Bij het merendeel van de micro- (87%), kleine (74%) en middelgrote (75%) organisaties werken niet meer dan vier fte met een security gerelateerd ict-profiel, en dit is vergelijkbaar met het voorgaande jaar. Het aantal grote organisaties met een security-afdeling van meer dan vier fte nam af: 49 procent tegen vorig jaar 62 procent. Zoom je daar verder op in, dan blijkt dat niet te gelden voor grote overheidsinstanties, ict-bedrijven en gezondheids- en welzijnszorgorganisaties want zij blijven op hetzelfde niveau als vorig jaar. De afname komt op het conto van de ‘overige branchegroep’. Dit jaar heeft een kwart (27%) meer dan vier fte in dienst, waar dat vorig jaar nog bijna zes op de tien (59%) was.
Micro-organisaties verhogen securitybudget
Hoeveel wordt er uitgegeven aan security? Zo’n zeven op de tien respondenten zeggen dat te kunnen inschatten, waar dat in voorgaande jaren op ongeveer 60 procent lag. Afgaande op degenen die zeggen het te kunnen weten, valt op dat de kleinste bedrijven meer budget vrijmaken voor security. Waar vorig jaar slechts vier op de tien boven de € 999,- uitkwamen, is dit nu bij zes op de tien het geval. Vooral de bestedingscategorie van € 1000 tot € 4999 ziet een sterke groei bij deze hele kleine bedrijven.
Bij de categorie bedrijven met 11 tot 50 fte is zichtbaar dat budgetten boven de 10k afnemen (59% versus 72% in 2024). Middelgrote organisaties besteden juist vaker €10.000,- of meer (80% versus 70% in 2024). Van de grote organisaties besteedt, net als vorig jaar, driekwart een ton of meer aan security. Het aandeel superbesteders dat vijf miljoen of meer uitgeeft is met 13 procent terug op het niveau van twee jaar geleden, na een piek in 2024 van 25 procent.
Welk aandeel heeft het securitybudget nu in de totale ict-bestedingen? Eén derde (36%) van de respondenten denkt dat te kunnen inschatten en komt dan gemiddeld uit op 19 procent, tegen 17 procent vorig jaar.
Helft organisaties budgetteert voor NIS2-compliance
Sinds 2020 werkt de Europese Unie aan de Network and Information Security (NIS2) directive, die gericht is op verbetering van de digitale en economische weerbaarheid van Europese lidstaten. Deze richtlijn had per 17 oktober 2024 geïmplementeerd moeten zijn als nationale wetgeving, maar veel Europese landen, waaronder Nederland, hebben deze deadline niet gehaald. Organisaties wordt geadviseerd om niet af te wachten totdat de NIS2-richtlijn via wetgeving inwerking treedt. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.
Meer dan de helft (54%) van de organisaties heeft reeds budget vrijgemaakt om NIS2-compliant te worden. Het zijn vooral grote organisaties die hiervoor geld uittrekken (72%). Slechts een kwart (27%) van de micro-organisaties heeft dit al gedaan. Bij kleine- (47%) en middelgrote organisaties (45%) is dit ongeveer de helft.
Prioriteit bij bestrijding phishing, hacking, malware, virussen en ransomware
Cybersecurity kan grofweg verdeeld worden in vijf deelgebieden: Identify, Protect, Detect, Respond en Recover. Net als vorig jaar is volgens de ondervraagden ‘Protect’ de post waar gemiddeld het grootste gedeelte van het securitybudget aan uitgegeven wordt (36%). Overheidsorganisaties (47%) en organisaties werkzaam in de gezondheids- en welzijnszorg (45%) besteden hier zelfs bijna de helft aan. ‘Detect’ en ‘Identify’ volgen met respectievelijk 23 procent en 18 procent. In de deelgebieden ‘Recover’ (11%) en ‘Respond’ (12%) wordt iets minder geïnvesteerd.
De vormen van digitale bedreiging die de meeste angst inboezemen, en waar ruim zes op de tien bedrijven dan ook het meeste budget voor uittrekken, zijn:
- phishing (66%);
- hacking (63%);
- malware (62%);
- virussen (62%);
- ransomware (60%).
Ongeveer eenderde trekt verder voornamelijk budget uit ter voorkoming van ddos-aanvallen (39%), identiteitsfraude (38%), spoofing (34%) en social engineering (28%). Botnets (20%), internetoplichting (19%) en helpdeskfraude (18%) worden nog eens door één op de vijf genoemd. Het minste budget wordt uitgetrokken voor het bestrijden of voorkomen van cryptojacking en deepfakes (beide 13%).
Helft van securitybudget extern besteed
Net als in voorgaande jaren wordt gemiddeld de helft van het securitybudget extern besteed door één of meerdere partners in de arm te nemen. Bij de overheid wordt 60 procent extern besteed. Ook organisaties werkzaam in de zorgbranche besteden meer extern (56%) dan intern (44%). Ict-organisaties besteden juist een groter percentage van het securitybudget intern (61%). Het kantelpunt voor meer uitbesteden lijkt te liggen bij de overgang van een kleine naar een middelgrote organisatie.
Security Operations Center vaker uitbesteed
Ruim vier op de tien organisaties (44%) maken gebruik van een Security Operations Center (soc). Het vaakst is dit het geval bij grote organisaties (63%). Drie op de tien (30%) middelgrote en twee op de vijf (41%) kleine bedrijven hebben een soc. Bij micro-organisaties komt een soc het minst vaak voor (16%).
Van de organisaties met een soc laat 38 procent dit bemensen door een externe partij. Dit aandeel neemt toe.
Organisaties zijn minder met databeveiliging bezig dan voorheen
Ruim één derde (37%) van de organisaties houdt zich niet specifiek het meeste bezig met één bepaalde vorm van beveiliging. Diegenen die dat wel doen, noemen het vaakst netwerkbeveiliging (11%). Opvallend is dat databeveiliging, ten opzichte van de vorige metingen, minder vaak wordt genoemd; nu 6 procent, dit was 12 procent.
Eset is na Microsoft een veelgenoemde leverancier en securitypartner
Ongeacht de vorm van beveiliging, wordt Microsoft met stip het vaakst genoemd als product/technologieleverancier en als externe securitypartner waar het meeste mee wordt samengewerkt. Daarnaast scoort Eset hoge ogen. Wat betreft product/technologieleverancier wordt Fortinet ook dikwijls ingeschakeld. Als externe securitypartner wordt Fox-IT bij de top 3 genoemd. Op het gebied van netwerkbeveiliging komt HPE naast Microsoft als product/ technologieleverancier bovendrijven.
Onderzoeksverantwoording
Achtergrond De redacties van Computable in zowel Nederland als België worden overspoeld met verschillende securityonderzoeken. Deze zijn vaak gerelateerd aan een specifiek securityonderwerp, zoals ransomware, trojans/antivirus of security-bewustzijn. Wat steevast mist, is hoe organisaties hun security regelen en hoeveel geld hiervoor beschikbaar is. Computable heeft daarom samen met Enigma Research een Benelux-onderzoek opgezet.
Met behulp van het onderzoek wordt inzage verschaft in de hoogte en besteding van securitybudgetten. Er wordt gekeken naar de totale Benelux, maar ook gesegmenteerd naar land. Ook worden branches apart uitgelicht, om te kunnen bepalen of securitybudgetten in verschillende branches variëren. Het onderzoek wordt dit jaar voor de vierde keer uitgevoerd.
Voor dit onderzoek is gebruik gemaakt van kwantitatief online-onderzoek. De respondenten zijn benaderd via een adressenbestand en via de eigen mediakanalen van Computable. Het veldwerk heeft plaatsgevonden van 10 maart t/m 26 maart 2025.
Steekproef De totale steekproef heeft een omvang van 337 personen. 191 personen rondden de vragenlijst volledig af.
Zie hier de eerdere onderzoeken:
– Securitybudget terug op niveau 2022
