Iets meer dan vier op de tien bedrijven (43%) en drie op de tien liefdadigheidsinstellingen (30%) meldden dat ze de afgelopen 12 maanden te maken hebben gehad met een inbreuk op of aanval op de cyberbeveiliging. Dit komt neer op ongeveer 612.000 Britse bedrijven en 61.000 Britse liefdadigheidsinstellingen die het afgelopen jaar een cyberinbreuk of -aanval hebben geconstateerd. Dit is een daling vergeleken met 2024 toen 50% een inbreuk of aanval had, wat neerkomt op 718.000 bedrijven. Dat komt naar voren uit de Cyber Security Breaches Survey 2025 die werd uitgevoerd in opdracht van het Department for Science, Innovation and Technology (DSIT) en het Home Office.
De daling was voornamelijk te danken aan het feit dat minder micro- en kleine bedrijven phishing-aanvallen vaststelden (35% van de micro-ondernemingen tegenover 40% in 2024 en 42% van de kleine ondernemingen tegenover 49% in 2024). De prevalentie van cyberinbreuken en -aanvallen bij middelgrote en grote bedrijven blijft hoog (67% middelgrote en 74% grote bedrijven) en was vergelijkbaar met 2024 (70% middelgrote en 75% grote bedrijven).
Van de bedrijven of liefdadigheidsinstellingen die de afgelopen 12 maanden te maken kregen met een inbreuk of aanval, blijven phishing-aanvallen de meest voorkomende en verstorende vorm van inbreuk of aanval (85% van de bedrijven en 86% van de liefdadigheidsinstellingen). Uit de kwalitatieve interviews kwam naar voren dat phishing-aanvallen vaak werden genoemd als tijdrovend om aan te pakken vanwege de omvang ervan en de noodzaak voor onderzoek en training van medewerkers. Uit de kwalitatieve interviews bleek ook dat organisaties zich er steeds meer van bewust waren dat steeds geavanceerdere methoden, zoals AI-imitatie, mainstream werden.
Hoewel het percentage organisaties dat een negatieve uitkomst ondervond van een inbreuk consistent bleef met 2024 (16% van de bedrijven en 16% van de liefdadigheidsinstellingen in 2025 vergeleken met 13% van de bedrijven en 12% van de liefdadigheidsinstellingen in 2024), laten specifieke uitkomsten verschuivingen zien. Opgemerkt moet worden dat de verschillen in deze percentages niet statistisch significant waren. Bedrijven meldden een significante toename van het tijdelijk verlies van toegang tot bestanden of netwerken (7%, tegenover 4% in 2024), terwijl liefdadigheidsinstellingen een toename van het verlies van toegang tot diensten van derden (5%, tegenover 1% in 2024) ondervonden.
Op basis van wat respondenten geloofden en zelf rapporteerden, schatten de onderzoekers dat de gemiddelde kosten van de meest verstorende inbreuk voor elk bedrijf in de afgelopen 12 maanden £1.600 bedroegen voor bedrijven en £3.240 voor liefdadigheidsinstellingen. Exclusief degenen die aangaven dat de kosten van hun meest verstorende inbreuk £0 bedroegen, bedroegen de gemiddelde kosten van de meest verstorende inbreuk £3.550 voor bedrijven en £8.690 voor liefdadigheidsinstellingen. De hier gerapporteerde kosten zijn zelfgerapporteerde schattingen, wat een onderschatting van de volledige financiële impact kan betekenen
Cyber hygiene
Bemoedigend is dat kleine bedrijven verbeteringen lieten zien in verschillende cyberhygiënepraktijken, waaronder een toegenomen gebruik van risicobeoordelingen voor cyberbeveiliging (48%, een stijging ten opzichte van 41% in 2024), cyberverzekering (62% ten opzichte van 49% in 2024), formeel cyberbeveiligingsbeleid dat cyberbeveiligingsrisico’s dekt (59% ten opzichte van 51% in 2024) en bedrijfscontinuïteitsplannen die cyberbeveiliging aanpakken (53% ten opzichte van 44% in 2024).
Omgekeerd vertoonden liefdadigheidsinstellingen met een hoog inkomen een daling op verschillende belangrijke gebieden ten opzichte van 2024, waaronder activiteiten om cyberbeveiligingsrisico’s te identificeren (75% daling ten opzichte van 86% in 2024), het beoordelen van onmiddellijke leveranciersrisico’s (21% daling ten opzichte van 36% in 2024) en het hebben van een formele cyberbeveiligingsstrategie (39% daling ten opzichte van 47% in 2024). Inzichten uit de kwalitatieve interviews suggereren dat dit verband zou kunnen houden met budgetbeperkingen.
Zeven op de tien grote bedrijven (70%) hadden een formele cyberbeveiligingsstrategie en aanzienlijk minder middelgrote bedrijven (57%). De meeste bedrijven en liefdadigheidsinstellingen hebben technische basiscontroles geïmplementeerd, zoals bijgewerkte malwarebescherming (77% van de bedrijven en 64% van de liefdadigheidsinstellingen), wachtwoordbeleid (73% van de bedrijven en 57% van de liefdadigheidsinstellingen), netwerkfirewalls (72% van de bedrijven en 49% van de liefdadigheidsinstellingen), veilige back-ups van gegevens via een cloudservice (71% van de bedrijven en 58% van de liefdadigheidsinstellingen) en beperkte beheerrechten (68% van de bedrijven en 68% van de liefdadigheidsinstellingen). De toepassing van geavanceerdere controles zoals twee-factor authenticatie (40% van de bedrijven en 35% van de goede doelen), een virtueel privénetwerk voor personeel dat op afstand verbinding maakt (31% van de bedrijven en 20% van de goede doelen) en gebruikersmonitoring (30% van de bedrijven en 31% van de goede doelen) blijft echter lager dan andere maatregelen.
Scholing van personeel en bewustmakingsactiviteiten op het gebied van cyberbeveiliging kwamen vaker voor bij grote bedrijven (76% vergeleken met 19% bedrijven in het algemeen). Hoewel er de afgelopen jaren een consistente stijging onder grote bedrijven op deze maatregel werd waargenomen, blijft het aandeel grote bedrijven in 2025 in lijn met 2024 (74%).
Riskmanagement en toeleveringsketens
Hoewel het percentage bedrijven dat risicobeoordelingen uitvoert (29%) in lijn blijft met 2024 (31%), is er bij kleine bedrijven, zoals hierboven vermeld, een aanzienlijke stijging te zien van het aantal bedrijven dat risicobeoordelingen uitvoert op het gebied van cyberbeveiliging (48% in 2025, tegenover 41% in 2024).
Goede doelen die over het algemeen ten minste één activiteit uitvoeren om cyberrisico’s te identificeren, zijn consistent gebleven met vorig jaar (42% in 2025 en 40% in 2024), maar zoals hierboven opgemerkt, is het aandeel goede doelen met een hoog inkomen dat ten minste één van de activiteiten uitvoert, gedaald (van 86% in 2024 naar 75% in 2025).
Relatief weinig bedrijven of liefdadigheidsinstellingen ondernamen stappen om de risico’s van hun directe leveranciers en bredere toeleveringsketen formeel te beoordelen. Iets meer dan een op de tien bedrijven gaf aan de risico’s van hun directe leveranciers te beoordelen (14%) en minder dan een op de tien keek naar de bredere toeleveringsketen (7%). Bij liefdadigheidsinstellingen lagen de respectieve cijfers iets lager (9% keek naar hun directe leveranciers en 4% naar hun bredere toeleveringsketen). Dit verschilde per grootte, mogelijk als gevolg van een complexere toeleveringsketen. Ongeveer een derde van de middelgrote bedrijven (32%) en bijna de helft van de grote bedrijven (45%) inventariseert de cyberbeveiligingsrisico’s die hun directe leveranciers vormen, vergeleken met 11% van de microbedrijven en 21% van de kleine bedrijven.Bijna de helft van de bedrijven (45%) en een derde van de liefdadigheidsinstellingen (34%) gaf aan op de een of andere manier verzekerd te zijn tegen cyberbeveiligingsrisico’s. Net als in voorgaande jaren hadden kleine en middelgrote bedrijven vaker dan bedrijven in het algemeen (45%) een of andere vorm van cyberverzekering (62% kleine bedrijven en 65% middelgrote bedrijven).
Betrokkenheid van de raad van bestuur en corporate governance
Cyberbeveiliging blijft een hoge prioriteit voor de meeste bedrijven (72%) en liefdadigheidsinstellingen (68%), in lijn met voorgaande jaren. Er is echter een trend zichtbaar: de verantwoordelijkheid van de raad van bestuur voor cyberbeveiliging is sinds 2021 gestaag afgenomen bij bedrijven (38% van de bedrijven had een bestuurslid met verantwoordelijkheid voor cyberbeveiliging in 2021, vergeleken met 27% in 2025).Grotere organisaties gaven meer prioriteit aan cyberbeveiliging (92% van de middelgrote bedrijven en 96% van de grote bedrijven) dan bedrijven in het algemeen (72%).
