In 2025 zijn bij de politie 65 ransomware-incidenten aangegeven door Nederlandse organisaties. Bij 40 van deze gevallen schoten gespecialiseerde incident response-bedrijven te hulp. Dat klinkt misschien als een beheersbaar aantal, maar het werkelijke beeld is zorgwekkender: lang niet elke getroffen organisatie doet aangifte of schakelt externe hulp in. Het daadwerkelijke aantal incidenten ligt dan ook aanzienlijk hoger. In totaal werden in 2025 maar liefst 39 verschillende ransomware-families waargenomen in Nederland.
Hoe criminelen toegang krijgen tot uw systemen
Toegang tot de netwerken van slachtoffers wordt in de meeste gevallen verkregen via twee routes: misbruik van kwetsbaarheden in software en systemen, en accountovernames. Opvallend aan de cijfers van 2025 is dat het aandeel van accountovernames als initiële aanvalsvector is gestegen ten opzichte van 2024. Zwakke wachtwoorden, ontbrekende meervoudige authenticatie en gestolen inloggegevens blijven daarmee een van de meest directe risicofactoren voor organisaties van elke omvang.
Dubbele afpersing: versleuteling én datadiefstal
Ransomware werkt door computersystemen, databases, back-ups en cloudopslag te vergrendelen met kwaadaardige software. Het slachtoffer wordt vervolgens afgeperst: pas na betaling zou de versleuteling worden opgeheven. Maar in 2025 gingen criminelen structureel verder dan alleen versleuteling. Bij een groot deel van de incidenten werd ook data gestolen, wat criminelen de mogelijkheid geeft om een tweede druk uit te oefenen: de dreiging om gevoelige of vertrouwelijke informatie openbaar te maken of te verkopen. Dit wordt dubbele afpersing genoemd.
Bovendien worden organisaties steeds vaker slachtoffer van diefstal zonder versleuteling. Criminelen stelen data en chanteren de organisatie zonder ooit een ransomware-payload te activeren. De schade blijft daardoor soms lange tijd onzichtbaar, terwijl de gevolgen voor de betrokken partijen, klanten, medewerkers, partners, reëel zijn.
Waarom basisbeveiliging het verschil maakt bij ransomware-aanvallen
Back-ups maken en een cyberverzekering afsluiten zijn zinvolle maatregelen, maar ze voorkomen een aanval niet en beperken de schade slechts gedeeltelijk. De meest effectieve bescherming begint bij het consequent doorvoeren van basismaatregelen: tijdig patchen van systemen, het gebruik van sterke en unieke wachtwoorden, meervoudige authenticatie voor alle accounts, netwerksegmentatie en het beperken van toegangsrechten tot wat strikt noodzakelijk is.
Het is precies op dit gebied waar veel organisaties nog stappen te zetten hebben. De basisprincipes van veilig ondernemen, gepubliceerd door het NCSC, bieden een concreet vertrekpunt om de digitale weerbaarheid structureel te versterken. Wie deze basisprincipes consequent toepast, verkleint niet alleen de kans op een succesvolle aanval, maar beperkt ook de potentiële impact wanneer een aanvaller toch voet aan de grond krijgt.
In ons artikel over NIS2 en de Cyberbeveiligingswet, en hoe u uw organisatie voorbereidt leest u welke aanvullende eisen vanuit wet- en regelgeving op organisaties afkomen en hoe u hier praktisch mee aan de slag gaat.
Aangifte doen na een ransomware-aanval is altijd zinvol
Een ransomware-aanval kan een enorme impact hebben op de continuïteit van een organisatie. De schade is zelden uitsluitend technisch: ook operationele processen, klantrelaties en reputatie kunnen langdurig worden geraakt. Aangifte doen bij de politie is in alle gevallen aan te raden, ook wanneer criminelen al betaald zijn. Elke aangifte levert de politie informatie op die kan bijdragen aan het opsporen van verdachten of het ontgrendelen van systemen bij andere slachtoffers. Informatie die op het moment van aangifte misschien weinig relevant lijkt, kan later een ontbrekend puzzelstuk blijken te zijn.
Samenwerking als fundament van de ransomware-aanpak in Nederland
Het Jaarbeeld Ransomware 2025 is tot stand gekomen via de maandelijkse uitwisseling van incidentinformatie tussen het NCSC, de Politie, het Openbaar Ministerie, Cyberveilig Nederland en een reeks gespecialiseerde cybersecuritybedrijven, waaronder DEFION, DataExpert, Deloitte, Eye Security, Fox-IT, NFIR, Northwave, Tesorion, Kennedy Van der Laan en PwC. Deze samenwerking, uitgevoerd in het kader van project Melissa, geeft een realistischer beeld van de ransomware-dreiging dan individuele organisaties ooit zelfstandig zouden kunnen samenstellen.
Het is veelzeggend dat ook het NCSC zelf onderdeel is van deze brede samenwerkingsstructuur. In dat verband is het ook interessant om te lezen hoe TNO en het NCSC samenwerken in het Mobiele OT-Lab om operationele technologie te beschermen tegen cyberaanvallen, een initiatief dat laat zien hoe Nederland zijn digitale weerbaarheid breed organiseert.
Wat kunt u nu concreet doen om uw organisatie te beschermen tegen ransomware
De eerste stap is inzicht: weet welke systemen u heeft, wie er toegang toe heeft en waar de zwakste schakels zitten. Zorg dat patchbeheer op orde is en dat back-ups regelmatig worden gemaakt én getest. Voer meervoudige authenticatie in voor alle externe toegang en privileged accounts. Train medewerkers in het herkennen van phishing en social engineering, want ook dat blijft een veelgebruikte opstap naar een aanval.
Organisaties die serieus werk willen maken van hun digitale beveiliging doen er goed aan om hun beveiligingsmaatregelen periodiek te laten toetsen. Niet als eenmalig project, maar als doorlopend onderdeel van de bedrijfsvoering. De dreiging van ransomware is in 2025 niet afgenomen , en de cijfers geven geen aanleiding om aan te nemen dat dat in 2026 anders zal zijn.
Het onderzoek is te downloaden via https://www.ncsc.nl/ransomware/jaarbeeld-ransomware-2025Â Â
