Het Centrum voor Cybersecurity België (CCB) presenteerde tijdens zijn webinar over het kwartaalrapport over cyberdreigingen (QCTR) voor het vierde kwartaal van 2025 de belangrijkste ontwikkelingen op het gebied van cyberdreigingen die in het laatste kwartaal van 2025 zijn waargenomen en schetste wat organisaties in 2026 kunnen verwachten. Onder het thema "Wat het vierde kwartaal voorspelt voor 2026" bracht de sessie experts uit de publieke en private sector samen om de trends te analyseren die het cyberdreigingslandschap in België bepalen.
Miguel De Bruycker, directeur-generaal van het CCB, opende het webinar en deelde de belangrijkste cijfers van het jaar. Het CCB ontving in 2025 635 meldingen van incidenten, wat neerkomt op een stijging van 70 % ten opzichte van 2024. Alleen al in het vierde kwartaal werden 170 meldingen ingediend, waarvan 149 betrekking hadden op cyberincidenten.
Deze stijging is het gevolg van meerdere factoren. Hoewel nieuwe regelgevingskaders zoals NIS2 en DORA de meldingsplicht hebben uitgebreid, duidt de stijging ook op een grotere digitale interconnectie, verbeterde detectiemogelijkheden en een groeiend bewustzijn bij organisaties. Opvallend is dat bijna de helft van de meldingen afkomstig was van entiteiten die formeel niet onder NIS2 vallen, wat wijst op een sterkere vrijwillige meldingspraktijk.
De publieke sector bleef de meest getroffen sector, gevolgd door transport, energie en gezondheidszorg, in lijn met bredere Europese trends die zich richten op kritieke diensten.
Continuïteit in kernbedreigingen
Het Belgische cyberdreigingslandschap werd in 2025 minder gekenmerkt door verstoring dan door continuïteit. De dominante risico's in het vierde kwartaal, en gedurende het hele jaar, waren operationele verstoring en gegevensdiefstal.
De meest gemelde soorten incidenten waren:
- Accountcompromittering, de grootste categorie
- Ransomware
- Phishing, waarbij DDoS en spear phishing afwisselend de belangrijkste factoren waren
Accountcompromittering nam aanzienlijk toe na de inwerkingtreding van NIS2. Dit wordt vaak mogelijk gemaakt door phishing en social engineering, en wordt in toenemende mate ondersteund door AI-verbeterde lokmiddelen die de geloofwaardigheid en schaal vergroten. Cruciaal is dat accountcompromittering vaak fungeert als een toegangspunt voor ernstigere incidenten, waaronder ransomware en gegevensdiefstal.
Ransomware bleef een aanhoudende en sectoroverschrijdende bedreiging. Zowel gevestigde als opkomende criminele groepen richtten zich op Belgische organisaties. Afpersingsmethoden evolueerden, waarbij sommige actoren "viervoudige afpersingsmodellen" toepasten om de druk op te voeren. De combinatie van ransomware-as-a-service (RaaS) en toegankelijke AI-tools blijft de technische barrières voor aanvallers verlagen.
In tegenstelling tot ransomware volgden DDoS-aanvallen geopolitieke cycli. Vijf grote campagnes werden in 2025 waargenomen, waaronder twee in het vierde kwartaal. Deze campagnes, die vaak werden toegeschreven aan pro-Russische hacktivistische groeperingen, waren over het algemeen van korte duur, maar weerspiegelden de aanhoudende invloed van geopolitieke spanningen in cyberspace.
Bekende technieken, toenemende verfijning
Bedreigers vertrouwden in 2025 grotendeels op gevestigde aanvalsmethoden. Deze omvatten het misbruik van bekende kwetsbaarheden, met name in edge-apparaten en veelgebruikte platforms zoals SharePoint, evenals remote access trojans (RAT's), infostealers en gecompromitteerde inloggegevens.
België kreeg ook te maken met aanvallen op de supply chains, malvertising-campagnes en de distributie van valse software, waaronder een frauduleuze PDF-editorcampagne die zowel particulieren als organisaties trof. CEO-fraude via berichtenplatforms zoals WhatsApp won verder aan populariteit.
De door de staat gesponsorde activiteiten die in het vierde kwartaal werden waargenomen, hielden voornamelijk verband met actoren die banden hadden met China, Rusland en Noord-Korea. Deze groepen richtten zich op langdurige toegang, het verzamelen van inlichtingen en het misbruik van bekende kwetsbaarheden. AI en grote taalmodellen (LLM's) versnellen in toenemende mate verkennings- en social engineering-activiteiten.
Vooruitblik naar 2026
Volgens de beoordeling van het CCB zal 2026 waarschijnlijk geen fundamenteel nieuwe categorieën bedreigingen met zich meebrengen. Financieel gemotiveerde actoren, hacktivisten en door de staat gesponsorde groepen zullen actief blijven. Accountcompromittering, ransomware, phishing en DDoS zullen naar verwachting de incidentmeldingen blijven domineren.
Wat wel zal evolueren, is de omvang en snelheid van de operaties. AI en LLM's zullen naar verwachting standaardtools worden voor aanvallers, waardoor de ontwikkeling van malware wordt geautomatiseerd en social engineering-campagnes worden verbeterd. In combinatie met criminele "as-a-service"-modellen zal deze trend de toegangsbarrières verder verlagen en het operationele tempo verhogen.
Voor België blijft de prioriteit duidelijk: het versterken van de veerkracht door middel van robuuste basisprincipes: effectief patchbeheer, sterke beveiliging van inloggegevens, weerstand tegen phishing en paraatheid voor ransomware, terwijl de verdedigingsstrategieën worden aangepast aan een door AI versnelde dreigingsomgeving.