Het aantal slachtoffers van cyberafpersing groeide het afgelopen jaar wereldwijd met 44,5%. Europa telde 901 getroffen organisaties, waarbij de dreiging zich duidelijk verschuift naar middelgrote en grote bedrijven. Nederland blijft structureel onderdeel van het Europese dreigingslandschap, mede door zijn sterke digitalisering en internationale ketens.
Dat blijkt uit de Security Navigator 2026. Uit het jaarlijkse onderzoeksrapport van Orange Cyberdefense blijkt dat cyberafpersing zich heeft ontwikkeld van een reeks losse incidenten tot een structureel risico voor economie en samenleving. Voor het rapport analyseerden onderzoekers meer dan 139.000 incidenten over een periode van twaalf maanden, aangevuld met threat intelligence, OSINT en geopolitieke analyse.
Verschuiving naar grotere doelwitten in Europa
Europa blijft na Noord-Amerika de regio met de meeste slachtoffers. Tussen oktober 2024 en september 2025 registreerde het onderzoek 901 getroffen Europese organisaties, een stijging van bijna 20% ten opzichte van een jaar eerder. Opvallend is de verschuiving binnen Europa: waar cyberafpersing zich eerder richtte op kleinere organisaties, zien onderzoekers nu een groei van 33% bij middelgrote en 25% bij grote organisaties. Kleine bedrijven vormen met ruim 40% nog de grootste slachtoffergroep, maar het risico verschuift zichtbaar naar partijen met een centrale rol in ketens en sectoren.
Duitsland springt er binnen Europa uit, met het hoogste aantal slachtoffers en een groei van 58% in één jaar. Het rapport gebruikt Duitsland als voorbeeld van hoe cyberafpersing zich snel kan verspreiden in een economie die sterk leunt op onderling verbonden industrieën. Een aanval bij één organisatie blijft zelden beperkt tot die partij: de gevolgen trekken door hele ketens.
Nederland in de Europese middenmoot
Nederland telde 34 geregistreerde slachtoffers, vergelijkbaar met België en Zwitserland. In absolute cijfers lijkt dat mee te vallen, maar Orange Cyberdefense geeft aan dat Nederland structureel onderdeel is van het Europese dreigingslandschap. Sterke digitalisering, internationale handelsketens en de centrale rol van veel middelgrote organisaties maken Nederland gevoelig voor het zogenaamde domino-effect: een aanval die elders begint, kan via leveranciers, partners of digitale diensten alsnog Nederlandse organisaties raken.
Versnipperd landschap, grotere uitdaging
Het tijdperk van één dominante afpersingsgroep is volgens het rapport voorbij. In Europa zijn Qilin en Akira momenteel de actiefste groepen, met groeipercentages van respectievelijk 324% en 168%. Die versnippering maakt de dreiging niet kleiner, maar lastiger te bestrijden: het wegvallen van een dominante groep leidt tot herverdeling van activiteiten over nieuwe of bestaande netwerken.
Hoe snel afpersing kan escaleren, bleek in het eerste kwartaal van 2025. Eén kwetsbaarheid in een veelgebruikte filetransferoplossing was verantwoordelijk voor ongeveer 18% van alle nieuwe cyberafpersingsincidenten wereldwijd in dat kwartaal. Aanvallers kiezen volgens het rapport steeds vaker voor dit soort schaalbare aanvalsvectoren, waarmee ze binnen korte tijd honderden organisaties tegelijk kunnen treffen.
Aanhoudende druk als nieuw normaal
Dennis de Geus, CEO van Orange Cyberdefense Nederland, stelt dat de context van cyberafpersing fundamenteel is veranderd. Waar ransomware jarenlang werd gezien als afzonderlijke incidenten, functioneert het nu als een continu verstoringsmechanisme binnen een sterk verweven digitale economie. De Geus benadrukt dat de impact niet meer ontstaat door één aanval, maar door de aanhoudende druk van herhaalde verstoringen die zich opstapelen over organisaties, sectoren en ketens.
