Wat een cyberaanval echt kost: verder dan de directe schade

Als organisaties nadenken over het risico van een cyberaanval, gaat de gedachte al snel naar de directe schade: verloren data, versleutelde systemen, herstelkosten. Begrijpelijk, want dat zijn de meest tastbare gevolgen. Maar wie de totale impact wil begrijpen, kijkt verder dan die eerste laag.

De werkelijke kosten van een cyberaanval bestaan uit meerdere onderdelen, en de indirecte schade is in de praktijk vaak groter dan de directe. Dat maakt het ook een bestuurlijk vraagstuk, niet alleen een IT-probleem.

De directe kosten: wat je meteen ziet

De meest zichtbare kosten zijn de kosten die direct voortvloeien uit het incident zelf. Die omvatten onder andere:

  • Herstelkosten voor systemen en data
    Het terugzetten van systemen, het herstellen van data en het opnieuw inrichten van omgevingen kost tijd en geld. Bij een ransomware-aanval komen daar mogelijk de kosten van professionele decryptiediensten bij, als back-ups niet voldoende blijken.
  • Forensisch onderzoek
    Na een incident moet worden onderzocht hoe de aanvaller binnen is gekomen, hoe lang hij toegang heeft gehad en welke systemen en data zijn geraakt. Dat vereist gespecialiseerde expertise en neemt tijd in beslag, soms weken.
  • Juridische bijstand en compliance
    Bij een datalek moeten getroffen personen en in veel gevallen de Autoriteit Persoonsgegevens worden geïnformeerd, binnen 72 uur na ontdekking. Dat proces vereist juridische begeleiding. Als de melding te laat of onvolledig is, kunnen daar sancties op volgen.
  • Crisismanagement en communicatie
    Hoe communiceer je naar klanten, leveranciers en de pers? Organisaties die dit niet van tevoren hebben geregeld, huren in een crisis externe communicatiespecialisten in. Dat zijn geen kleine rekeningen.

De indirecte kosten: wat je pas later ziet

De indirecte kosten zijn moeilijker te kwantificeren, maar in de praktijk minstens zo groot. Ze manifesteren zich niet altijd direct na het incident, maar in de weken en maanden daarna.

  • Omzetverlies door stilstand
    Systemen die niet beschikbaar zijn, betekenen processen die stilliggen. Gemiddeld zijn organisaties na een ransomware-aanval twee tot vier weken beperkt operationeel. De kosten lopen door; de omzet valt weg.
  • Reputatieschade
    Klanten die afhaken, contracten die niet worden verlengd, partners die twijfelen. Reputatieschade is de moeilijkst te kwantificeren post, maar onderzoek laat consistent zien dat het de grootste langetermijnimpact heeft.
  • Verhoogde verzekeringspremies
    Na een incident stijgen cyberverzekeringspremies aanzienlijk, of wordt een organisatie in het geheel moeilijker verzekerbaar. Dat effect houdt meerdere jaren aan.
  • Productiviteitsverlies
    Medewerkers die niet kunnen werken, IT-personeel dat weken in crisisstand zit, management dat wordt opgeslokt door het incident. De uren zijn zelden zichtbaar in de schadeberekening, maar de kosten zijn reëel.
  • Aansprakelijkheid
    Als klantdata is gelekt, kunnen getroffen partijen schadeclaims indienen. Onder NIS2 zijn bestuurders bovendien persoonlijk verantwoordelijk voor het beveiligingsbeleid van de organisatie. Niet-nakoming kan leiden tot persoonlijke aansprakelijkheid.
  • Concurrentiepositie
    Terwijl jouw organisatie herstelt, staat de concurrentie niet stil. Klanten die tijdelijk naar een concurrent overstappen, keren niet altijd terug. Dat effect is lastig te meten, maar in sectoren met weinig loyaliteit structureel merkbaar.

Wat zeggen de cijfers?

IBM publiceert jaarlijks een rapport over de kosten van datalekken. De gemiddelde kosten van een datalek lagen in 2024 wereldwijd op 4,88 miljoen dollar, een stijging van tien procent ten opzichte van het jaar daarvoor. Voor Europa liggen de gemiddelden iets lager, maar de richting is dezelfde. Voor het mkb, dat minder reserves heeft om een incident op te vangen, is de relatieve impact vaak groter dan voor grote organisaties.

Die cijfers zijn gemiddelden. De werkelijke kosten per incident variëren sterk en zijn afhankelijk van de omvang van de aanval, de sector, de voorbereiding van de organisatie en de snelheid van respons. Organisaties die een goed ingericht incidentresponsplan hadden, leden gemiddeld aanzienlijk minder schade dan organisaties die dat niet hadden.

Preventie versus herstel: de rekensom

De vraag die bestuurders zichzelf zouden moeten stellen, is niet “hoeveel kost goede beveiliging?” maar “hoeveel kost een incident dat we hadden kunnen voorkomen?”

Preventieve maatregelen zoals patchbeheer, toegangscontrole, monitoring en incidentresponsplanning hebben een vaste, beheersbare kostprijs. De kosten van een incident zijn variabel, onvoorspelbaar en in de meeste gevallen een veelvoud van wat preventie had gekost.

Dat is geen argument voor ongelimiteerde beveiligingsinvesteringen. Het is een argument voor bewuste keuzes: welke risico’s zijn acceptabel, welke niet, en wat is de kostprijs van de maatregelen die die afweging rechtvaardigen?

Drie vragen voor bestuurders

  • Wat zou een week stilstand ons kosten?
    Niet alleen in omzet, maar ook in personeelskosten, contractverplichtingen en reputatie. Dit getal helpt de juiste schaal te bepalen voor beveiligingsinvesteringen.
  • Zijn we verzekerbaar en onder welke voorwaarden?
    Cyberverzekeraars stellen steeds hogere eisen aan de beveiligingsmaatregelen van organisaties. Wie niet aan die eisen voldoet, betaalt meer of wordt niet gedekt bij een claim.
  • Wat is onze persoonlijke aansprakelijkheid als bestuurder?
    Onder NIS2 zijn bestuurders van organisaties die onder de richtlijn vallen persoonlijk verantwoordelijk voor het beveiligingsbeleid. Dat maakt cybersecurity een onderwerp voor de boardroom, niet alleen voor de IT-afdeling.

Wat RiskGuard hierin doet

RiskGuard helpt organisaties inzicht te krijgen in hun werkelijke risicoprofiel en de kosten die daarmee samenhangen. We vertalen technische kwetsbaarheden naar zakelijke impact, ondersteunen bij het maken van gefundeerde beveiligingskeuzes en helpen bij het inrichten van maatregelen die aansluiten op wat de organisatie nodig heeft.

Wil je weten wat een incident jouw organisatie zou kosten en welke maatregelen dat risico het meest effectief verkleinen? Neem contact op voor een vrijblijvend gesprek.

Benieuwd hoe jouw organisatie scoort?
Doe de gratis zelfscan en ontdek waar de risico's zitten.

Doe de zelfscan

Lees verder:

Cyber security experts working on spyware and malware detection

CIFSwitch: een negentien jaar oude Linux-kwetsbaarheid die nu actie vraagt

Een plaatje met een slot en een waarschuwingsicoon

YellowKey: een USB-stick waarmee BitLocker-versleuteling op Windows omzeild wordt

a pc with a red warning icon

Nieuwe zero-day in Windows geeft aanvallers volledige systeemtoegang op volledig bijgewerkte systemen