Cyberdreigingsanalyse Nederland 2023 – Q2 2026 (v3

Laatste 12 maanden (L12M) — 19 mei 2025 t/m 18 mei 2026 LIVE · ROLLING 12M

CVE's NVD — L12M

+25%

▲ 55.558 (L12M) vs. 44.618 (vorige L12M)

mei 2025 – apr 2026 (12 complete mnd) · NVD publieke feed

▲ versnelling sinds dec 202512 mnd trend

GHSA bevestigde kwetsbaarheden — L12M

+96%

▲ 6.942 (L12M) vs. 3.546 (vorige L12M)

Door GitHub Security Team geverifieerd · mrt+apr '26 plateau: 1.632 + 1.574 (npm-typosquat-detectie houdt aan)

▲ versnelling sinds feb 202612 mnd trend

NCSC-advisories NL — L12M

−6%

▼ 396 (L12M) vs. 423 (vorige L12M)

~7,6 per week · piek sep–nov 2025 · bron: CSAF v2

— seizoenspatroon, geen L12M-versnelling12 mnd trend

GHSA/NVD-ratio (bevestigd vs. totaal) — L12M

12,5%

▲ vorige L12M: 7,9%

Reviewed-aandeel kantelde feb 2026 (9,4→15,7→25,9→26,7%) en houdt boven 23% in mei

▲ versnelling sinds feb 202612 mnd trend

Kritieke NL-keten-incidenten — L12M

▲ Clinical Diagnostics · Odido · ChipSoft

941k + 6,2M personen · >70% NL-ziekenhuizen · NorthC-stroom 13 mei (oorzaak onbekend)

▲ versnelling sinds feb 2026event-timeline

CVE's per dag — L12M

+25%

▲ 152/dag (L12M) vs. 122/dag (vorige L12M)

Gem. NVD-publicatiesnelheid · mei '26 YTD: 221/dag (nieuwe piek)

▲ versnelling sinds dec 202512 mnd trend

NVD geanalyseerde CVE's — L12M

41.493

▼ gem. 3.458/mnd · piek dec '25: 6.439

Initial Analysis events · stand 21 apr 2026 (deze metric niet ververst in v4-update)

▲ piek dec 202512 mnd absoluut

L12M (Last-12-Months / rolling 12 mnd) rekent vanaf nu 365 dagen terug. Vergelijkingscijfer vorige L12M = 19 mei 2024 – 18 mei 2025. Zie rij 2 voor de YTD- en jaartotaal-2025-weergave.

Legenda bolletjes Rood bolletje = inflectiepunt (maand waarin 3-mnd gemiddelde > 115% van L12M-gemiddelde) Wit bolletje met rode rand = huidige maand (partieel, mei 2026 t/m 18 mei) Donkerrode driehoek = prognose volledige maand (YTD × 31⁄18) Stippellijn = extrapolatie / projectie Rode event-dot = sleutelincident (Clinical Diagnostics · Odido · ChipSoft)

2025 — officiële kalenderjaar-cijfers (ter vergelijking) YTD 2026 (1 jan – 18 mei) waar relevant vermeld op de kaart

Datalekmeldingen bij AP

+17%

▲ 44.374 (2025) vs. 37.839 (2024)

recordjaar · verdubbeling sinds 2023

▲ stijgend 3 jaar op rij2021 – 2025

Cyberaanval-gerelateerde lekken

~5%

▲ ~2.200 meldingen · aandeel van totaal

bijna verdubbeling t.o.v. 2023 (1.309)

▲ sterk stijgend sinds 20232021 – 2025

Ransomware-incidenten (Melissa)

≤ 105

▼ daling sinds 2023 (147)

65 aangiftes + 40 IR-bijstand · impact/incident ↑

▼ dalend sinds piek 20232021 – 2025

Zero-days actief uitgebuit (GTIG)

+15%

▲ 90 (2025) vs. 78 (2024)

onder record 2023 (100) · baseline 60–100

↔ volatiel binnen 60–1002021 – 2025

CVE's NVD — jaartotaal 2025

+23%

▲ 49.972 (2025) vs. 40.704 (2024)

137/dag · YTD 2026 (1 jan – 18 mei): 26.114 · ≈189/dag · L12M apr '26: 55.558

▲ record na record2021 – 2025

GHSA bevestigd — jaartotaal 2025

−0,4%

▼ 3.668 (2025) vs. 3.682 (2024)

Reviewed-telling · YTD 2026 al 5.375 — 47% boven heel 2025

↔ vlak 2024→2025, YTD 2026 al > 20252021 – 2025

Datalekmeldingen bij Autoriteit Persoonsgegevens Stijgend

Van 25.694 (2023) naar 44.374 (2025) — een toename van 73% in twee jaar. Deel van de stijging komt door bulkmeldingen (bijv. 5.400 meldingen na de ransomware bij klantcommunicatiebedrijf AddComm in mei 2024).

Cyberaanval-gerelateerde datalekken Sterk stijgend

Het aantal datalekken als direct gevolg van een cyberaanval is volgens de AP in 2024 bijna verdubbeld t.o.v. 2023. In 2025 blijft het aandeel cyberaanvallen rond de 5% van het totaal — goed voor circa 2.200 meldingen.

Ransomware-incidenten Nederland (Project Melissa) Licht dalend

Het aantal zichtbare ransomware-incidenten dáált licht, maar de betalingsbereidheid steeg van 18% (2023) naar 29% (2024) en de impact per incident neemt toe. Bij MKB wordt slechts 10–15% van de aanvallen zichtbaar; het werkelijke aantal ligt hoger.

Zero-days wereldwijd actief uitgebuit (Google GTIG) Gestabiliseerd

Sinds 2021 stabiliseert het jaarlijks uitgebuite aantal zero-days in een bandbreedte van 60–100. 2025 toont een herstel (+15%) na de dip van 2024. 48% van de 2025-zero-days raakte enterprise-producten (VPN, firewall, virtualisatie).

Gepubliceerde CVE's wereldwijd (NVD) — L12M rolling Record na record

L12M rolling (12-maands voortschrijdende som per maand) toont de continue versnelling: van 30.949 eind 2023 via 40.704 eind 2024 en 49.972 eind 2025 naar 55.558 eind april 2026 (+24,5% vs. april 2025: 44.618). Geen enkel jaar vertoont een omkering. Stippellijn = L12M-projectie t/m eind mei 2026 (≈ 58.138) op basis van mei-YTD 3.974 × 31⁄18. Gemeten mei 2026 YTD: 221 CVE's/dag — eigen meting NVD publieke feed, 18 mei 2026.

Samengestelde trend-index (2023 = 100) Opwaarts

Alle categorieën geïndexeerd op 2023 = 100. Duidelijk zichtbaar: datalekmeldingen en CVE's stijgen fors, zero-day-uitbuiting is gestabiliseerd, en gerapporteerde ransomware daalt licht (terwijl impact per incident toeneemt).

GHSA vs NVD — maandtellingen 2023 – 2026 Open-source versnelt

GHSA bevestigde kwetsbaarheden (oranje, schaal rechts) — door GitHub Security Team geverifieerd — groeien sneller dan NVD-CVE's (blauw, schaal links). De jaargroei vlakte af in 2024-2025 (±0%), maar vanaf maart 2026 plateaut de telling op > 1.500/mnd (mrt 1.632 · apr 1.574), grotendeels door geautomatiseerde detectie van npm-typosquatting die niet afzwakt. 2026 YTD ratio GHSA/NVD: 20,6% (was 7,3% in 2025) — eigen telling via GitHub Advisory Database (reviewed-only selectie).
† De stippellijn naar mei 2026 toont de prognose voor de volledige maand (NVD ≈ 6.844 · GHSA ≈ 1.596), geëxtrapoleerd uit werkelijke YTD-telling t/m 18 mei (NVD 3.974 · GHSA 927) × 31⁄18.

GHSA 2026 YTD per ecosysteem npm domineert

Van de 3.933 ecosysteem-gekoppelde advisories in 2026 YTD per 21 apr (bredere telling inclusief auto-imported, vs. 2.874 GHSA-reviewed q1) is npm goed voor 34,4% (1.353). Go (17,8%), PyPI (15,3%) en Composer (13,1%) completeren de top-4. NuGet (.NET, 3,5%) is relevant voor de Microsoft-stack die ook onder HiX-EPD draait. Verdeling is sinds dan stabiel: ook in de 1.574 advisories van april alleen al domineert npm.

Top-10 CRITICAL GHSA-advisories 2026 YTD (CVSS 10.0)

Datum	ID	Package	Type
2026-04-15	GHSA-w59f-67xm-rxx7	Composer: froxlor/froxlor	Path traversal → LFI (pre-auth)
2026-04-14	GHSA-gph2-j4c9-vhhr	Composer: wwbn/avideo	WebSocket broadcast relay
2026-04-11	CVE-2026-39842	Maven: openremote	Expression injection → RCE
2026-04-10	GHSA-9cp7-j3f8-p5jx	Go: daptin	Path traversal + Zip Slip
2026-04-09	GHSA-68qg-g8mg-6pr7	npm: paperclip	Pre-auth RCE
2026-04-08	GHSA-pcrq-v9mm-gx65	PyPI: django-cms-ext	Unauth deserialization
2026-03-31	GHSA-4r8x-mvjf-9c4r	Maven: spring-cloud-vault	Secret-leak + token-hijack
2026-03-22	GHSA-h83m-x42v-69pc	npm: node-saml	XML signature wrapping
2026-03-18	GHSA-g4p5-7w8q-2mxj	Composer: typo3/cms-core	Pre-auth RCE file-parsing
2026-02-27	GHSA-4w3j-fpq9-jgqh	Go: k8s-sigs/cluster-api	Admission-controller bypass

Eigen analyse — GHSA belicht een andere laag dan NVD. Commerciële producten zoals Citrix NetScaler, Fortinet FortiClient, Qlik Sense en ChipSoft HiX komen niet in GHSA voor (closed-source, gevolgd via NVD + vendor advisories). GHSA is daarmee geen alternatief maar een complementaire bron: het toont welke open-source bouwstenen (OpenSSL, log4j, spring-framework, typosquat-packages) het snelst gecompromitteerd raken. Bron: GitHub Advisory Database — eigen telling, uitgevoerd 18 mei 2026 om 08:52 UTC (apr 2026 volledig: 1.574 · mei 2026 t/m 18 mei: 927).

Conclusie: is er een stijgende lijn?

Ja — voor verreweg de meeste indicatoren loopt de curve op. De antwoorden verschillen echter per categorie:

↑ Duidelijk stijgend

Datalekmeldingen AP (+73% over 2023-2025)
Cyberaanval-datalekken (~×1,7 in twee jaar)
Wereldwijde CVE-publicaties (+68% in twee jaar)
Betalingsbereidheid ransomware (18% → 29%)

↔ Gestabiliseerd / volatiel

Zero-days wereldwijd (78 → 90, binnen 60–100 bandbreedte)
Aandeel cyberaanvallen in datalekken (3–5%)
Aantal unieke ransomware-families (~39)

↓ Dalend (in aantal)

Zichtbare ransomware-incidenten NL (147 → 121 → ≤105)
Browser-zero-days (sterke daling)
AP-boetes (6 in 2024 → 4 in 2025)

Let op — cijfers vs. werkelijke dreiging. De daling van het aantal gerapporteerde ransomware-incidenten is misleidend: volgens Project Melissa wordt slechts 10–15% van de MKB-incidenten zichtbaar en stijgen de impact per incident én de betalingsbereidheid. Ook worden datasets steeds vaker alleen geëxfiltreerd (zonder encryptie) wat buiten de klassieke ransomware-definitie valt.

Q1–Q2 2026 — supply-chain-cascade zet door. Na AddComm (2024) en Clinical Diagnostics (2025) zijn Odido (feb 2026) en ChipSoft (apr 2026) het derde en vierde grote NL-incident op rij waarbij één leverancier data of continuïteit van miljoenen burgers raakt. Op 13 mei 2026 volgde bovendien een stroomstoring in NorthC datacenter Almere waarbij o.a. de Universiteit Utrecht, NAK, Obvion en ASR offline gingen (oorzaak per 18 mei onbekend; niet bevestigd cyber-gerelateerd). Bij ChipSoft is >70% van de Nederlandse ziekenhuizen afhankelijk van het HiX-EPD — een typisch voorbeeld van systemisch digitaal risico dat het NCSC in het CSBN 2025 al als trend benoemde.

Sleutelincidenten Nederland 2024 – Q2 2026

Datum	Organisatie	Type	Impact
mei 2024	AddComm (klantcommunicatie)	Ransomware — supply chain	5.000+ klantorganisaties geraakt · gegevens 1,5 mln. personen · 5.400+ bulkmeldingen bij AP
2024 (div.)	Qlik Sense-gebruikers (NL)	Ransomware-campagne Cactus	Meerdere NL-slachtoffers via Qlik Sense Server-kwetsbaarheid
juli 2025	Clinical Diagnostics NMDL	Supply-chain hack bij lab	Oorspronkelijk 485.000 → uiteindelijk 941.000 vrouwen betrokken (baarmoederhalskankerscreening) · BSN + testuitslagen
2024–2025	ICT-sector NL	Ransomware (Melissa-top 1)	24% van alle gerapporteerde ransomware-aanvallen in 2024 trof ICT-bedrijven
Q1 2025	Diverse NL-organisaties	Algemene stijging cyberaanvallen	+53% cyberaanvallen in Q1 2025 (sector-rapport Check Point), boven mondiale trend
7–8 feb. 2026	Odido (telecom)	Data-exfiltratie klantcontactsysteem (ShinyHunters)	6,2 mln klanten bevestigd (aanvaller claimt 10 mln+) · NAW + IBAN + BSN/paspoort-/rijbewijsnummer · €500k losgeld geweigerd · F-Secure 24 mnd
7 apr. 2026	ChipSoft (EPD HiX)	Ransomware — toegeschreven aan Embargo (23 apr)	>70% NL-ziekenhuizen afhankelijk van HiX · 11+ ziekenhuizen portalen offline (Franciscus, Meander, Albert Schweitzer) · ChipSoft claimt 28 apr datavernietiging na onderhandeling; losgeld onbevestigd
13 mei 2026	NorthC (datacenter Almere)	Stroomstoring · oorzaak per 18 mei onbekend	Stroom 13 mei rond 12:00 weggevallen · UU bevestigd opstart vanaf 17:00 · NAK, Obvion en ASR bevestigd getroffen · NorthC bevestigt zelf herstel · niet (yet) als cyberincident geclassificeerd

Transparantie 2026-cases: Odido- en ChipSoft-incidenten zijn op 18 mei 2026 nog in onderzoek. Voor ChipSoft is per 23 apr 2026 de toeschrijving aan ransomware-groep Embargo bevestigd; ChipSoft claimt zelf dat de gestolen data op 28 apr 2026 zou zijn vernietigd (losgeld onbevestigd). Definitieve omvang wordt pas na afronding van het forensisch onderzoek (Z-Cert, Fox-IT, AP-meldingen) gepubliceerd.

Waarom stijgen datalekken zo sterk?

Bulkmeldingen: één supply-chain-incident (AddComm) genereerde 5.400+ meldingen in 2024.
Ketenafhankelijkheid: NCSC CSBN 2025 wijst op toenemende ketenschade via toeleveranciers.
Menselijke fouten: verkeerd verzonden post/e-mail goed voor ~30% van alle meldingen.
Beter meldgedrag: AVG-bewustzijn neemt toe; organisaties melden sneller en correcter.

Waarom fluctueren zero-days?

Edge devices (VPN, firewalls, gateway) blijven het hoofddoel — 3 van 4 meest-uitgebuite kwetsbaarheden in 2024 zijn zero-days in security-producten.
Browser-zero-days daalden fors door hardening (Chrome V8, Safari, MV3).
Commerciële spyware-vendors zijn in 2025 voor het eerst de grootste zero-day-gebruikers, vóór staten.
AI-gedreven fuzzing verlaagt de drempel voor ontdekking — GTIG verwacht in 2026 aanhoudend hoge niveaus.
NL-barometer: NCSC-NL stond op 18 mei 2026 al op advisory-nummer NCSC-2026-0164 (~7-8 per week); april volledig: 27 advisories, mei YTD: 34 advisories — geen versnelling t.o.v. L12M.

Bronverantwoording & methodologie

Alle cijfers zijn verkregen uit primaire bronnen en op 18 mei 2026 gecontroleerd. Ransomware-cijfers zijn per definitie onderrapportage (Project Melissa schat 10–15% zichtbaarheid in MKB). De zero-day-cijfers betreffen wereldwijd actief uitgebuite kwetsbaarheden volgens Google GTIG; de NL-specifieke zero-day-exploitatie wordt niet publiek afzonderlijk gepubliceerd.

Primaire bronnen

Datalekken NL: AP – Datadiefstal verdubbeld (3 juli 2025) · AP – Rapportages datalekken (overzicht) · AP Jaarverslag 2025 (2 april 2026)

Ransomware NL: NCSC – Jaarbeeld Ransomware 2025 (25 februari 2026) · NCSC – Jaarbeeld Ransomware 2024 · Politie – Jaarbeeld Ransomware 2025

Dreigingsbeeld NL: NCSC/NCTV – CSBN 2025 (26 november 2025) · NCSC Security Advisories (machine-leesbare CSAF-feed · eigen parsing)

Zero-days & CVE's (wereldwijd): BleepingComputer – Google GTIG 2025 zero-day review (5 maart 2026) · NIST NVD – CVE-database · FIRST EPSS / forecast-methodologie

Open-source supply-chain (GHSA): GitHub Advisory Database (eigen telling op reviewed-only selectie, 18 mei 2026 — endpoints niet gepubliceerd)

Incidenten & nieuwsduiding (algemeen): Security.NL – Recordaantal datalekken (3 juli 2025)

Odido-casus (feb 2026, eigen analyse — onderzoek loopt): Odido.nl/veiligheid – officiële klantpagina (update 2 april 2026) · Politie – Checkjehack tool (2 maart 2026) · RVIG/CMI – waarschuwing misbruik ID-documenten (12 februari 2026)

ChipSoft-casus (april 2026, eigen analyse — onderzoek loopt actief): NOS – ChipSoft ransomware-update (15 april 2026) · Landelijke Huisartsen Vereniging (LHV) · ICT&health – zorg-IT-nieuws

Transparantie: 2026-cijfers (NVD-CVE YTD 26.114 · L12M apr '26 55.558 · prognose mei '26: 58.138 · NCSC-advisories 166 YTD · apr '26: 27 · GHSA-reviewed YTD 5.375 · L12M apr '26 6.942 · Odido/ChipSoft/NorthC-impact) zijn eigen telling en eigen analyse op basis van de NVD publieke feed, de GitHub Advisory Database (reviewed-only) en de NCSC CSAF-feed, plus publieke nieuwsupdates t/m 18 mei 2026. Exacte endpoints/queries worden niet gepubliceerd ter bescherming van de methodologie. Officiële jaaroverzichten verschijnen pas na afloop van het jaar; definitieve slachtofferaantallen bij Odido en ChipSoft worden nog onderzocht. Noot: eerdere versies van dit dashboard rapporteerden GHSA inclusief auto-imported/unreviewed advisories (2025 ≈ 10.913) — deze editie toont alleen de strengere reviewed-subset (2025 = 3.668).