Nieuws

Publicatie: 24 november 2025

Door:

Decentrale overheden hebben op grote schaal te maken met cyberaanvallen die de veiligheid in de samenleving en de privacy van burgers in gevaar kunnen brengen. Daarnaast kunnen succesvolle cyberinbraken leiden tot hoge (financiële) kosten. Om de kans op cyberincidenten te verlagen is het van belang dat decentrale overheden zich bewust zijn van de cyberrisico’s en een gedetailleerd beeld hebben van cyberveiligheid binnen Nederland en in Europa.

Op 1 oktober en 6 november 2025 heeft het EU-agentschap voor cyberbeveiliging (ENISA) twee uitgebreide rapporten gepubliceerd over de aanhoudende en groeiende cyberdreiging voor overheden in de EU. Het eerste rapport betreft het jaarlijkse rapport over het Europese dreigingslandschap van juli 2024 tot juni 2025. In het tweede rapport over het sectorale dreigingslandschap – Openbaar bestuur neemt ENISA voor het eerst de cyberdreiging bij overheidsinstanties in de hele EU onder de loep. Dit nieuwsbericht vat deze twee rapporten samen met speciale aandacht voor decentrale overheden.

NIS2-richtlijn en de Cyberbeveiligingswet

De NIS2-richtlijn (Richtlijn 2022/2555) streeft naar een hoog gezamenlijk niveau van cyberbeveiliging om de betrouwbaarheid en veiligheid van netwerk- en informatiesystemen te garanderen. Hoewel de Richtlijn uiterlijk 17 oktober 2024 omgezet had moeten worden in nationale wetgeving, is dit tot op heden nog niet gebeurd. Het voorstel voor de Cyberbeveiligingswet (Cbw) die de Richtlijn moet implementeren ligt momenteel bij de Tweede Kamer. Omdat de Richtlijn al sinds 18 oktober 2024 van toepassing is, is het raadzaam dat decentrale overheden als essentiële entiteiten onder artikel 3 lid 1 en 2 en Bijlage I zelfstandig voldoen aan de verplichtingen in de NIS2-richtlijn, dus ook zonder nationale omzetting. Particulieren mogen namelijk voldoende duidelijke en onvoorwaardelijke richtlijnbepalingen inroepen tegenover een lidstaat. Eerder onderzocht KED de verplichtingen van decentrale overheden onder de NIS2-richtlijn bij implementatiegebrek.

Eerste rapport: Hoofdpunten van het ENISA-dreigingslandschap

Meest gebruikte technieken voor cyberaanvallen

Veruit de meest gebruikte techniek om digitaal in te breken bij overheden en bedrijven is phishing, waarbij cybercriminelen zich bijvoorbeeld in een e-mail voordoen als een betrouwbare instantie of betrouwbaar persoon om gevoelige gegevens te stelen. Daarnaast maken cybercriminelen vaak gebruik van systeemkwetsbaarheden om malware te installeren. Mobiele apparaten zoals werktelefoons en werklaptops en apparaten en diensten verbonden met het internet zijn in het bijzonder aantrekkelijke doelwitten. Veruit de meeste cyberaanvallen zijn DDoS-aanvallen (Distributed Denial of Service, de overbelasting van de netwerkcapaciteit met dataverkeer) gevolgd door systeemindringingen, waarbij binnengedrongen cybercriminelen schadelijke codes in systeemnetwerken installeren, zoals ransomware.

Cybercriminelen kunnen verschillende redenen hebben om een cyberaanval te plegen. 79% van de cyberincidenten was ideologisch gedreven, en deze cyberincidenten zijn uitsluitend uitgevoerd door hacktivisten via DDoS-aanvallen. Hacktivisten zijn personen die digitale technieken, zoals hacken, gebruiken om informatiesystemen aan te vallen om politieke of sociale doelen te bereiken. 13,4% van de incidenten was financieel gedreven en in 7,2% van de gevallen ging het om cyberspionage (p.9). ENISA constateert dat het steeds moeilijker wordt om onderscheid te maken tussen hacktivisme, cybercriminaliteit en staatsgerelateerde cyberaanvallen uit voornamelijk Rusland en China omdat de werkwijzen steeds meer op elkaar lijken.

AI-toepassingen en cyberaanvallen

Verder beschrijft ENISA dat cybercriminelen gebruikmaken van AI-toepassingen om cyberaanvallen uit te voeren. Zo maken Large Language Models, zoals ChatGPT en Gemini, waarmee AI-gegenereerde teksten kunnen worden gemaakt, het steeds makkelijker om overtuigende phishing e-mails op te stellen die moeilijk te onderscheiden zijn van echte e-mails.

Tegelijkertijd zijn AI-toepassingen ook een geliefd doelwit voor uitbuiting door cybercriminelen. Overheden en bedrijven passen namelijk steeds vaker AI-systemen toe in hun digitale infrastructuur, zoals chatbots. Aangezien AI-systemen ook kwetsbaar kunnen zijn voor cyberinbraken, kan de integratie van zulke systemen in de digitale infrastructuur leiden tot nieuwe cyberveiligheidsrisico’s.

Getroffen sectoren en gevolgen

De netwerken van overheden blijven het meest populaire doelwit van cyberaanvallen vergeleken met die van andere kritieke sectoren onder de NIS2-richtlijn, zoals de financiële sector, vervoerssector, digitale infrastructuur en digitale diensten. Tussen juli 2024 en juni 2025 hebben cyberinbraken geresulteerd in datalekken met als doel de verkoop van gegevens, data-exfiltratie, zoals diefstal van inloggegevens en strategische dataverzameling, en fraude met gestolen gegevens, zoals burgerservice- en rekeningnummers.

De netwerken van overheden blijven het meest populaire doelwit van cyberaanvallen vergeleken met die van andere kritieke sectoren onder de NIS2-richtlijn, zoals de financiële sector, vervoerssector, digitale infrastructuur en digitale diensten.

Betere cyberverdediging en onderlinge samenwerking

Tot slot benadrukt ENISA het belang van op inlichtingen gebaseerde systemische cyberverdediging, zoals proactieve cyberdreigingsdetectie, cybergedragsdetectie en cyberrisicobeheer. Om de veiligheid van onderling verbonden systemen en diensten te waarborgen, moeten organisaties, waaronder overheden, prioriteit geven aan:

  • Het inventariseren van alle IT-, data- en andere (im)materiële bezittingen (asset discovery);
  • Het automatiseren van kwetsbaarheidsbeheer;
  • Het opstellen van cyberveerkrachtplannen.

Daarbij is samenwerking tussen de lidstaten, Europese instanties en de private sector essentieel.

Tweede rapport: Hoofdpunten van het sectorale ENISA-dreigingslandschap (openbaar bestuur)

Overheden als zeer kritieke sector

Allereerst speelt de publieke sector een kritieke rol bij het leveren van essentiële diensten aan EU-burgers. Daarom vallen overheidsinstanties, waaronder decentrale overheden, onder ‘zeer kritieke sectoren’ onder de NIS2-richtlijn (Bijlage I). Omdat overheden grote aantallen gevoelige gegevens verwerken en kritieke diensten verlenen, kunnen cyberaanvallen op overheden de veiligheid en het vertrouwen in de samenleving ondermijnen. Verder verwijst ENISA naar een eerder rapport waarin ENISA constateerde dat de publieke sector een van de minst volwassen sectoren was als het gaat om cyberveiligheid.

Omdat overheden grote aantallen gevoelige gegevens verwerken en kritieke diensten verlenen, kunnen cyberaanvallen op overheden de veiligheid en het vertrouwen in de samenleving ondermijnen.

Overheden als meest populaire doelwit voor cyberaanvallen

De netwerken van overheden zijn het vaakst slachtoffer van cyberaanvallen, met name DDoS, systeemindringing, data-gerelateerde dreigingen en social engineering, zoals phishing. De meerderheid van de cyberincidenten in de publieke sector vond plaats bij centrale overheidsinstanties (68,77%). Over de hele EU zijn ook decentrale overheden populaire doelwitten. Cyberincidenten bij lokale overheidsinstanties, waaronder gemeenten en waterschappen, zijn goed voor ongeveer een kwart van het totale aantal cyberincidenten in de publieke sector (24,40%), terwijl regionale overheidsinstanties, waaronder de provincies, een kleiner aandeel hebben (6,83%) (pp.9-10).

Grootste cyberdreigingen: DDoS-aanvallen, datalekken en ransomware

Het merendeel van de cyberincidenten is gericht op overheden betrof DDoS-aanvallen (64%) (p.15). Bij een DDoS-aanval worden digitale diensten of de netwerkinfrastructuur, zoals websites, toegangsportalen, informatiesystemen, vertraagd, overbelast of zelfs uitgeput door deze te overspoelen met grote hoeveelheden internetverkeer. Maar liefst 46% van de waargenomen DDoS-aanvallen zijn opgeëist door de pro-Russische hacktivistische groep NoName05 (p.16). Een recent voorbeeld uit de decentrale praktijk zijn meerdere DDoS-aanvallen rondom de NAVO-top bij gemeenten en de Provincie Zuid-Holland op 23 juni 2025 waardoor de website moeilijk bereikbaar was.

Verder bestond een derde van de incidenten uit indringingsgerelateerde dreigingen, zoals datalekken en ransomware (33,6%) (p.15). Datalekken geven ongeautoriseerde toegang tot een systeem of organisatie waardoor gevoelige, vertrouwelijke of beschermde gegevens gestolen kan worden voor ideologische, politieke of financiële doeleinden. Een ransomware-aanval houdt in dat cybercriminelen met encryptie de controle over bijvoorbeeld de digitale infrastructuur of gegevens ‘gijzelt’. In ruil voor de teruggave van de controle over de digitale infrastructuur of het niet openbaar maken van deze gegevens vragen cybercriminelen geldsommen aan de getroffen overheidsinstantie.

Het merendeel van de cyberincidenten gericht op overheden betrof DDoS-aanvallen. Verder bestond een derde van de incidenten uit indringingsgerelateerde dreigingen, zoals datalekken en ransomware.

Het ENISA-verslag geeft als voorbeeld een datalek bij de gemeente Eindhoven op 22 mei 2024 (p.35). Hierbij werd tijdens een routinematige database-export een CSV-bestand met burgerservicenummers van meer dan tweehonderdduizend burgers per ongeluk opgeslagen in een gedeelde map (directory) zonder toegangscontrole. Hierdoor hadden geauthentiseerde gemeentemedewerkers meerdere uren toegang tot deze persoonsgegevens totdat een back-upcontrole de afwijking aan het licht bracht. Dit incident toont aan dat cyberincidenten niet alleen worden veroorzaakt door cybercriminelen. Cyberincidenten ontstaan in veel gevallen juist door menselijke fouten van medewerkers binnen een organisatie of systemische fouten.

Aanbevelingen van ENISA voor (decentrale) overheden

ENISA doet de volgende aanbevelingen die relevant zijn voor decentrale overheden om te voldoen aan de verplichtingen die voortvloeien uit de NIS2-richtlijn en de algemene cyberveerkracht te versterken:

  • Ontwikkel effectieve herstelmogelijkheden via gedeelde servicemodellen. Werk samen met medeoverheden om gemeenschappelijke beveiligingsoperaties, identiteits- en digitale portemonneeplatforms te beheren.
  • Benut de subsidiemogelijkheden onder de Verordening Cybersolidariteit (Verordening 2025/38) om verouderde netwerksystemen te moderniseren, detectie-, respons- en hersteltools te implementeren en de vaardigheden van personeel te verbeteren.
  • Geef toegang tot simulatieomgevingen, zoals cyberruimtes, om incidentrespons en cyberparaatheid beter te testen.
  • Versterk cyberbewustzijn bij personeel over de NIS2-vereisten door gerichte campagnes te voeren.
  • Versterk dreigingsbewustzijn door het ontwikkelen van dreigingsinformatiefeeds met behulp van ENISA-rapporten en de nationale Computer Incident Response Teams (CSIRT’s). In Nederland is dat het Nationaal Cyber Security Centrum (NCSC).
  • Wissel kennis uit en coördineer gedeelde afhankelijkheden door workshops, Information Sharing and Analysis Center (ISAC) bijeenkomsten en sectoroverschrijdende oefeningen met particuliere betrokkenen te organiseren.

Meer informatie

ENISA, Dreigingslandschap 2025

ENISA, Sectoraal dreigingslandschap – Overheid

ENISA, Nieuwsbericht – Overheid steeds vaker doelwit van DDos-aanvallen

ENISA, ENISA NIS360 2024

NSCS, Doorverwijsboom Cbw-organisaties

NSCS, DDoS-aanvallen op Nederlandse organisaties rondom NAVO-top

Tweede Kamer, Wetsvoorstel Cyberbeveiligingswet (Kamerstuk 36764 nr. 2) Kenniscentrum Europa Decentraal, Moeten decentrale overheden zelfstandig en rechtstreeks aan de NIS2 verplichtingen voldoen? – Europa decentraal