Andere informatie en diensten van de overheid: www.belgium.be Centre for Cybersecurity Belgium
search

Meer aanvallen, meer meldingen: de cyberrealiteit in België in 2025

Cyber-Threat Report
Geactualiseerd op 26.03.2026
Image
cyber threat analyst abstract picture
Share
Facebook Twitter LinkedIn

Het cyberdreigingslandschap in België kende in 2025 een dubbele trend: vijandige activiteiten namen sterk toe en het aantal gemelde incidenten steeg aanzienlijk.

Het Centrum for Cybersecurity België (CCB) registreerde 635 incidentmeldingen, een stijging van bijna 70% ten opzichte van 2024, waarvan 556 cybergerelateerd waren (+58% op jaarbasis). Strengere meldingsvereisten onder NIS2 en DORA en verbeterde detectiemogelijkheden spelen daarin een rol, maar de cijfers weerspiegelen ook de aanhoudende en groeiende druk op organisaties in alle sectoren.

De belangrijkste cijfers in een oogopslag 

  • 635 gemelde incidenten in totaal (+70%) 
  • 556 cyberincidenten (+58%) 
  • 144 gevallen van accountcompromittering (grootste bedreiging) 
  • 105 ransomware-incidenten (stabiel maar met grotere impact) 
  • ∼10 miljoen phishing-e-mails gemeld via Safeonweb 
     

Accountmisbruik en phishing: nog steeds het voornaamste toegangspunt 

De vaakst gemelde incidenten betroffen accountmisbruik (144 gevallen): grotendeels veroorzaakt door diefstal en misbruik van inloggegevens. 

Phishing blijft een centrale factor in cybercriminaliteit en de omvang ervan treft het oog: het Safeonweb-platform „BePhish“ verwerkte in 2025 bijna 10 miljoen verdachte e-mails, wat de industrialisering van phishingcampagnes onderstreept. 

Aanvallers verfijnen daarbij voortdurend hun technieken: 

  • Ze combineren e-mail met berichtenplatforms om de druk op te voeren. 
  • Ze maken gebruik van CEO-fraudescenario’s om dringende betalingen te ontlokken. 
  • Ze zetten „hands-on-keyboard“-tactieken in, zoals ClickFix en FileFix, waarbij gebruikers worden misleid om zelf kwaadaardige opdrachten uit te voeren. 

Ondanks de brede media-aandacht voor phishing bevestigen deze bevindingen dat aanvallen gericht op mensen een van de meest effectieve en schaalbare toegangspunten blijven. 
 

Ransomware: minder gevallen, grotere impact 

Het aantal ransomware-incidenten bleef relatief stabiel (105 in 2025 tegenover 109 in 2024) maar de impact ervan nam toe. 

Aanvallers combineren steeds vaker verschillende drukstrategieën: 

  • gegevensversleuteling 
  • gegevensdiefstal 
  • escalerende afpersingstactieken 

Na de uitschakeling van LockBit is het ecosysteem gefragmenteerd geraakt, waarbij groepen als Qilin, Akira en Clop tot de meest actieve behoren die Belgische organisaties viseren. 
 

DDoS-aanvallen: frequent, zichtbaar maar effectief afgewend 

België behoorde in 2025 tot de Europese landen die het vaakst het doelwit waren van pro-Russische hacktivistische groepen, voornamelijk via Distributed Denial-of-Service (DDoS)-aanvallen. 

Opvallende vaststellingen: 

  • Groep NoName057(16) lanceerde in 2025 vijf gecoördineerde campagnes. 
  • Aanvallen werden vaak getimed rond geopolitieke gebeurtenissen. 
  • Soms werden de doelwitlijsten van tevoren openbaar gemaakt. 

Ondanks de frequentie van deze aanvallen bleef de praktische impact ervan beperkt. 

Dat is grotendeels te danken aan de ‘Red Button’-coördinatieprocedure van het CCB, die het volgende mogelijk maakt: 

  • snelle, realtime coördinatie van de respons 
  • nauwe samenwerking tussen slachtoffers, internetproviders, hostingproviders en autoriteiten 
  • effectieve beperking van dienstonderbrekingen 

Dit toont aan dat paraatheid en coördinatie de zichtbare impact van grootschalige cyberoperaties aanzienlijk kunnen verminderen, zelfs wanneer het aantal aanvallen toeneemt. 
 

Snellere aanvallen, minder tijd om te reageren 

Een opvallende verschuiving in 2025 betrof de aanvalssnelheid: de gemiddelde tijd tussen het bekendmaken van een kwetsbaarheid en het actief misbruiken ervan daalde tot vijf dagen, terwijl bijna een derde van de kwetsbaarheden zelfs binnen 24 uur werd misbruikt. 

Dat laat weinig ruimte voor traditionele, op de kalender gebaseerde patchcycli en versterkt de noodzaak van snelle, risicogestuurde prioritering. 
 

Systemische risico’s: toeleveringsketen en diefstal van inloggegevens 

Het rapport wijst ook op bredere structurele kwetsbaarheden: bij incidenten in de toeleveringsketen compromitteren aanvallers een veelgebruikte provider of softwarecomponent, wat een ‘één-op-veel’-effect kan hebben op meerdere organisaties tegelijk. 

Malwaretrends laten zien dat diefstal van inloggegevens steeds centraler komt te staan: tools voor toegang op afstand en infostealers fungeren vaak als eerste stap in grotere inbreuken. 
 

Respons vanuit het CCB: verdediging en bewustwording opschalen 

Het CCB combineerde incidentrespons met proactieve verdediging: 

  • 103 noodhulpoperaties, inclusief forensische ondersteuning 
  • 32.005 gerichte ‘spear-waarschuwingen’ (+42%) 
  • Uitgebreide DDoS-beperking via de Red Button-procedure 
  • Phishingmeldingen via Safeonweb 10 miljoen verdachte e-mails verwerkt in 2025 
  • Connect & Share-programma: 15 sessies met meer dan 13.000 deelnemers 
     

Vooruitblik 

Het CCB verwacht dat de drie kerncategorieën van bedreigingen (accountcompromittering, ransomware en DDoS) zullen aanblijven, met aanvallers die toenemende automatisering en artificiële intelligentie inzetten om hun activiteiten op te schalen. 

De fundamentele aanbevelingen blijven praktisch van aard: versterk de identiteitsbeveiligingsmaatregelen, implementeer risicogebaseerde snelle patching, verbeter de DDoS-weerbaarheid, beheer risico’s van externe leveranciers en blijf investeren in gebruikersbewustzijn en paraatheid voor incidentrespons. 

Raadpleeg het volledige rapport in het Engels (.PDF)