Wat het Black Kite-rapport vond

Op 25 juni 2026 bracht securityratingbureau Black Kite zijn eerste aan Europa gewijde rapport uit, het European Cyber Risk Report 2026. Het onderzocht 2.066 ransomware-incidenten in 31 landen tussen januari 2025 en april 2026, en stelde vast dat de incidenten in de eerste vier maanden van 2026 met 55,1% op jaarbasis stegen, gemiddeld 171 per maand.

Bijna 70% van de activiteit concentreerde zich in slechts vijf landen. Duitsland voerde de lijst aan met 370 incidenten (17,9%), gevolgd door het Verenigd Koninkrijk met 347 (16,8%), Frankrijk met 255 (12,3%), Italie met 240 (11,6%) en Spanje met 203 (9,8%). Voor elke ondernemer die dichtbij deze landen opereert is de boodschap duidelijk, zoals ook onafhankelijke berichtgeving bevestigde.

De leverancier is de deur

In de 31 landen werden 64 organisaties niet via hun eigen systemen gecompromitteerd, maar via een derde partij. En 53% van die derdepartij-compromitteringen was terug te voeren op een enkele gebeurtenis: de Miljodata-inbreuk van augustus 2025. Deze Zweedse HR- en softwareleverancier trof met zijn falen ongeveer 250 klanten, waaronder circa 200 gemeenten, en legde gegevens van meer dan een miljoen mensen bloot.

Het sectorpatroon zegt hetzelfde. De maakindustrie was het zwaarst getroffen met 27,9% van de openbaar gemaakte incidenten, maar professionele, wetenschappelijke en technische diensten kwamen tweede met 17,8%, aangevoerd door IT-dienstverleners, omdat het compromitteren van een leverancier veel afnemers tegelijk raakt. Zoals Dr. Ferhat Dikbiyik van Black Kite het verwoordde, worden toeleveringsketens een primaire aanvalsroute naast versnellende ransomware en strengere regelgeving.

De zet van de ondernemer onder NIS2 en DORA

Hier is het deel dat geen enkele kop hardop zegt. Wanneer een enkele leveranciersinbreuk meer dan de helft van de derdepartij-slachtoffers van een continent veroorzaakt, is het risico dat een bestuur het meest zou moeten vrezen niet de eigen verdediging maar die van de leveranciers. Onder NIS2 kan een kwalificerend incident een meldplicht binnen 24 uur in gang zetten, en DORA verplicht financiele entiteiten het ICT-risico van derden rechtstreeks te beheersen. De aansprakelijkheid voor het falen van een leverancier ligt nu bij u.

Leveranciersconcentratie is het niet-geprijsde balansrisico van 2026. De meeste ondernemers kunnen hun grootste klant noemen, maar niet hun gevaarlijkste leverancier. De zet is om elke leverancier die uw data of bedrijfsvoering raakt in kaart te brengen, ze te rangschikken naar hoeveel van uw functies instorten als zij vallen, en die blootstelling te prijzen voordat de toezichthouder of de aanvaller het voor u doet.