Cyber­af­per­sing ontwik­kelt zich in hoog tempo van een reeks losse incidenten tot een struc­tu­reel risico voor onze economie en samen­le­ving. Dat blijkt uit de Security Navigator 2026 van Orange Cyber­de­fense. In twaalf maanden tijd nam het aantal slacht­of­fers wereld­wijd met 44,5% toe. Tegelijk veran­dert het karakter van de dreiging: crimi­nele netwerken werken steeds profes­si­o­neler en effici­ënter, terwijl de verde­di­ging van organi­sa­ties versnip­perd blijft.

Het rapport laat zien dat aanvallen zich sneller verspreiden, vaker meerdere organi­sa­ties tegelijk treffen en steeds moeilijker te beheersen zijn binnen de grenzen van één organi­satie. Daarmee is cyber­af­per­sing niet langer alleen een IT-probleem. Het raakt ketens, sectoren en uitein­de­lijk het functi­o­neren van de samenleving.

Dit zijn volgens de Security Navigator 2026 de opval­lendste trends rondom cyberafpersing:

1. Europa ziet verschuiving naar grotere organisaties

Na Noord-Amerika blijft Europa de regio met de meeste slacht­of­fers. Tussen oktober 2024 en september 2025 werden 901 Europese organi­sa­ties getroffen, een stijging van bijna 20% in een jaar tijd. Hoewel die groei lager ligt dan het wereld­wijde gemid­delde, is de verschui­ving binnen Europa opvallend.

Waar cyber­af­per­sing zich in Europa eerder vooral concen­treerde op kleinere organi­sa­ties, zien we nu een duide­lijke verschui­ving naar middel­grote (+33%) en grote organi­sa­ties (+25%). Kleine bedrijven vormen met ruim 40% nog steeds de grootste groep slacht­of­fers, maar het risico verschuift zicht­baar naar organi­sa­ties met een centrale rol in ketens en sectoren.

2. Duitsland laat zien hoe ketens kwetsbaar worden

Binnen Europa springt Duits­land er op het gebied van cyber­af­per­sing uit. Het land kent zowel het hoogste aantal slacht­of­fers als de sterkste groei, met 58% in een jaar. Vooral grote organi­sa­ties werden aanzien­lijk vaker getroffen dan het jaar ervoor, terwijl kleine bedrijven meer dan de helft van alle Duitse slacht­of­fers vertegenwoordigen.

Het rapport laat met Duits­land als voorbeeld zien hoe cyber­af­per­sing zich snel kan verspreiden in een economie die sterk leunt op onder­ling verbonden industrieën. Een aanval bij een organi­satie blijft zelden bij die ene partij: de gevolgen trekken door hele ketens heen.

3. Nederland geen uitschieter, wel structureel geraakt

Neder­land heeft 34 geregi­streerde slacht­of­fers op de teller staan. Daarmee zitten we in de Europese midden­moot, verge­lijk­baar met landen als België en Zwitser­land. In absolute cijfers lijkt dat misschien mee te vallen, maar het rapport laat zien dat Neder­land wel degelijk struc­tu­reel onder­deel is van het Europese dreigingslandschap.

Wat Neder­land kwets­baar maakt? Onze sterke digita­li­se­ring, de inter­na­ti­o­nale handels­ke­tens en het feit dat veel middel­grote organi­sa­ties een belang­rijke rol spelen. Daardoor zijn we gevoelig voor het zogenaamde domino-effect: een aanval die elders begint, kan via leveran­ciers, partners of digitale diensten alsnog recht­streeks Neder­landse organi­sa­ties raken.

4. Cyberafpersing raakt versnipperd, maar niet kleiner

Het rapport laat zien dat het tijdperk van één dominante afper­sings­groep voorbij is. Waar eerdere jaren werden gedomi­neerd door enkele grote spelers, opereren nu meerdere groepen tegelijk op grote schaal. In Europa zijn Qilin en Akira momen­teel de actiefste groepen, met groei­per­cen­tages van respec­tie­ve­lijk 324% en 168%.

Deze versnip­pe­ring maakt de dreiging niet kleiner, maar juist lastiger te bestrijden. Het wegvallen van een dominante groep leidt niet tot rust, maar tot herver­de­ling van activi­teiten over nieuwe of bestaande netwerken.

5. Een kwetsbaarheid kan wereldwijde schade veroorzaken

Hoe snel cyber­af­per­sing kan escaleren, bleek in het eerste kwartaal van 2025. Een enkele kwets­baar­heid in een veelge­bruikte filet­rans­fer­op­los­sing was verant­woor­de­lijk voor ongeveer 18% van alle nieuwe cyber­af­per­sings­in­ci­denten wereld­wijd in dat kwartaal.

Volgens het rapport kiezen aanval­lers steeds vaker voor dit soort laagdrem­pe­lige, schaal­bare aanvals­vec­toren. Een technisch lek kan zo binnen korte tijd honderden organi­sa­ties tegelijk raken, verspreid over landen en sectoren.

Continu verstoringsmechanisme

“Cyber­af­per­sing is uiter­aard geen nieuw fenomeen, maar de context waarin het plaats­vindt is funda­men­teel veran­derd”, zegt Dennis de Geus, CEO van Orange Cyber­de­fense Neder­land. “Waar ransom­ware jaren­lang werd gezien als een reeks afzon­der­lijke incidenten, functi­o­neert het nu als een continu versto­rings­me­cha­nisme binnen een sterk verweven digitale economie. De impact ontstaat niet meer door één aanval, maar door de aanhou­dende druk van herhaalde versto­ringen die zich opsta­pelen over organi­sa­ties, sectoren en ketens.”

De Security Navigator is het jaarlijkse inter­na­ti­o­nale onder­zoeks­rap­port van Orange Cyber­de­fense. Het rapport combi­neert incident­data, threat intel­li­gence en OSINT met analyse van geopo­li­tieke, techno­lo­gi­sche en crimi­nele ontwik­ke­lingen. Voor deze editie analy­seerden onder­zoe­kers meer dan 139.000 incidenten over een periode van twaalf maanden.

Het volle­dige rapport is hier beschikbaar.