Ransomware wordt beschouwd als de grootste cyberdreiging voor de bouwsector, waarbij elk incident gemiddeld 24 dagen uitval (downtime) veroorzaakt, zo waarschuwt de Australische zakelijke verzekeraar QBE in een nieuw rapport
De toenemende toepassing van digitale tools zoals Building Information Modelling (BIM), verbonden operationele technologie (OT) en AI-gestuurde systemen vergroot het cyberaanvalsoppervlak in de bouw- en infrastructuursector.
Wanneer systemen die gegevens verwerken, gekoppeld zijn aan systemen die fysieke apparatuur aansturen, kan de efficiëntie verbeteren door gestroomlijnde processen, geautomatiseerde communicatie en verbeterd toezicht. Het verbinden van voorheen geïsoleerde omgevingen biedt aanvallers echter ook nieuwe toegangswegen tot kritieke infrastructuur, waardoor operationele voordelen in potentiële aansprakelijkheden veranderen, aldus de verzekeraar.
Oproep tot projectrisicoplanning
QBE roept bouwbedrijven, tussenpersonen en risicomanagers op om cyberbeveiliging vanaf het begin te integreren in de projectrisicoplanning, in plaats van het als een stand alone IT-probleem te behandelen. “Dit betekent prioriteit geven aan governance, zichtbaarheid van de toeleveringsketen en geteste incidentresponsplannen, en ervoor zorgen dat verzekeraars en tussenpersonen vroegtijdig worden betrokken om cyberrisico’s aan te pakken voordat ze aansprakelijkheden worden.”
Neil Fleming, Construction Portfolio Manager bij QBE UK: “Een enkel ransomware-incident kan tegenwoordig een heel bouwprogramma ontregelen. Wanneer de toegang tot tekeningen, projectgegevens of digitale platforms verloren gaat, lopen de kosten op, komt de voltooiing van het project in gevaar en voelen onderaannemers de gevolgen direct. Cyberweerbaarheid moet worden beschouwd als een integraal onderdeel van de traditionele projectrisico’s om op tijd te leveren en onvoorziene kosten te beperken.”
Hij vervolgt: “Veel bouwbedrijven beschouwen cyberweerbaarheid nog steeds als een IT-probleem in plaats van een projectrisico. Vroegtijdige betrokkenheid tussen klanten, makelaars en verzekeraars is essentieel om ervoor te zorgen dat cyberrisico’s goed worden begrepen en aangepakt, samen met andere bouwrisico’s. Elke nieuwe verbinding op afstand binnen het netwerk van aannemers en leveranciers van een bouwbedrijf is een potentieel toegangspunt voor aanvallers, van collaboratieve BIM-systemen tot gedeelde projectplatformen.”
Onvoldoende segmentatie tussen IT- en OT-systemen
Onvoldoende segmentatie tussen IT- en OT-systemen droeg bij aan 81% van de OT-incidenten in 2025, en in 2025 was er een jaarlijkse toename van 410% in de activiteit van Internet of Things (IoT)-malware gericht op de bouwsector. Cyberincidenten beperken zich niet langer tot dataverlies, maar kunnen de werkzaamheden op de bouwplaats stilleggen, toeleveringsketens verstoren en de voltooiing van projecten vertragen.
Geopolitieke spanningen vergroten ook het risico op cyberaanvallen, waarbij staatsgebonden cyberactoren zich steeds vaker richten op kritieke nationale infrastructuur en de bijbehorende toeleveringsketens. Het Verenigd Koninkrijk kende tussen 2022 en 2026 15 staatsgebonden cyberaanvallen, drie meer dan Duitsland, Frankrijk en Zweden. Bouwbedrijven zijn misschien zelden het primaire doelwit van aanvallen die door de staat worden gesteund, maar hun rol in het ontwerpen en bouwen van kritieke infrastructuur brengt risico’s met zich mee, of ze nu worden gecompromitteerd als onderdeel van een bredere aanvalsketen of in het kruisvuur terechtkomen van een incident gericht op een belangrijke leverancier of partner.
David Warr, Cyber Portfolio Manager bij QBE International Markets, voegt eraan toe: “Het risicoprofiel van een cyberincident in de bouwsector is fundamenteel veranderd. Veel inbreuken onderbreken nu werkprocessen, blokkeren kritieke systemen en beïnvloeden in sommige gevallen de fysieke omgeving via verbonden operationele technologie. De grens tussen cyberrisico en operationeel risico is feitelijk vervaagd.”
Toenemende regelgeving zal volgens QBE hogere eisen stellen aan organisaties die actief zijn in, of ondersteuning bieden aan, kritieke nationale infrastructuur. “De bijgewerkte Europese richtlijn inzake netwerk- en informatiesystemen (NIS2) schrijft strenger risicobeheer voor, verplichte incidentmelding binnen 24-72 uur en persoonlijke aansprakelijkheid voor het management. Naar verwachting zullen deze eisen doorwerken in de toeleveringsketens, waardoor cyberweerbaarheid een commerciële prioriteit wordt, naast een wettelijke prioriteit.”In het Verenigd Koninkrijk geeft het voorgestelde wetsvoorstel inzake cyberbeveiliging en -weerbaarheid, dat in november 2025 wordt ingediend, een duidelijke richting aan naar strengere eisen op het gebied van cybergovernance, met name voor kritieke nationale infrastructuur en de bijbehorende toeleveringsketens. Hierdoor vallen veel bouwbedrijven, direct of indirect, onder de reikwijdte van deze wetgeving.
Het rapport From blueprints to breaches is geproduceerd door QBE en Control Risks. Het rapport onderzoekt hoe cyberrisico de bouwsector hervormt, met praktische inzichten voor risicomanagers, tussenpersonen en verzekeraars
