Gepubliceerde CVE's wereldwijd — 12-maands rolling som (L12M)
L12M rolling (12-maands voortschrijdende som per maand) toont de continue versnelling: van 30.949 eind 2023 via 40.704 eind 2024 en 49.972 eind 2025 naar 62.481 eind juni 2026 (+40,7% vs. juni 2025: 44.405). Geen enkel jaar vertoont een omkering — en de afstand tot de grijze lijn (een jaar eerder) wordt élke maand groter. Stippellijn = L12M-projectie t/m eind juli 2026 (≈ 67.038) op basis van juli-YTD 3.834 × 31⁄14. Gemeten juni 2026: 8.001 CVE's (267/dag) — recordmaand; juli ligt na 14 dagen op 274/dag en koerst af op een nieuw record · eigen telling NVD publieke feed, 15 juli 2026.
Laatste 12 maanden (L12M) — juli 2025 t/m juni 2026 (+ juli YTD) LIVE · ROLLING 12M · 15 JUL 2026
L12M (Last-12-Months / rolling 12 mnd) rekent vanaf nu 365 dagen terug. Vergelijkingscijfer vorige L12M = juli 2024 – juni 2025. Zie rij 2 voor de YTD- en jaartotaal-2025-weergave.
2025 — officiële kalenderjaar-cijfers (ter vergelijking) YTD 2026 (1 jan – 14 jul) waar relevant vermeld op de kaart
Datalekmeldingen bij Autoriteit Persoonsgegevens Stijgend
Van 25.694 (2023) naar 44.374 (2025) — een toename van 73% in twee jaar. Deel van de stijging komt door bulkmeldingen (bijv. 5.400 meldingen na de ransomware bij klantcommunicatiebedrijf AddComm in mei 2024).
Cyberaanval-gerelateerde datalekken Sterk stijgend
Het aantal datalekken als direct gevolg van een cyberaanval is volgens de AP in 2024 bijna verdubbeld t.o.v. 2023. In 2025 blijft het aandeel cyberaanvallen rond de 5% van het totaal — goed voor circa 2.200 meldingen.
Ransomware-incidenten Nederland (Project Melissa) Licht dalend
Het aantal zichtbare ransomware-incidenten dáált licht, maar de betalingsbereidheid steeg van 18% (2023) naar 29% (2024) en de impact per incident neemt toe. Bij MKB wordt slechts 10–15% van de aanvallen zichtbaar; het werkelijke aantal ligt hoger.
Zero-days wereldwijd actief uitgebuit (Google GTIG) Gestabiliseerd
Sinds 2021 stabiliseert het jaarlijks uitgebuite aantal zero-days in een bandbreedte van 60–100. 2025 toont een herstel (+15%) na de dip van 2024. 48% van de 2025-zero-days raakte enterprise-producten (VPN, firewall, virtualisatie).
Samengestelde trend-index (2023 = 100) Opwaarts
Alle categorieën geïndexeerd op 2023 = 100. Duidelijk zichtbaar: datalekmeldingen en CVE's stijgen fors, zero-day-uitbuiting is gestabiliseerd, en gerapporteerde ransomware daalt licht (terwijl impact per incident toeneemt).
GHSA vs NVD — maandtellingen 2023 – 2026 Open-source versnelt
GHSA bevestigde kwetsbaarheden (oranje, schaal rechts) — door GitHub Security Team geverifieerd — groeien sneller dan NVD-CVE's (blauw, schaal links). De jaargroei vlakte af in 2024-2025 (±0%), maar maart–mei 2026 plateaude de telling op > 1.500/mnd (mrt 1.639 · apr 1.582 · mei 1.698) door geautomatiseerde detectie van npm-typosquatting; juni (1.261) toont de eerste afkoeling. 2026 YTD ratio GHSA/NVD: 20,0% (was 7,3% in 2025) — eigen telling via GitHub Advisory Database (reviewed-only selectie).
† De stippellijn naar juli 2026 toont de prognose voor de volledige maand (NVD ≈ 8.490 · GHSA ≈ 1.085), geëxtrapoleerd uit werkelijke YTD-telling t/m 14 juli (NVD 3.834 · GHSA 490) × 31⁄14. De NVD-prognose ligt daarmee bóven de recordmaand juni (8.001).
GHSA per ecosysteem — L12M (jul '25 – 8 jul '26) npm domineert
Van de 9.496 ecosysteem-gekoppelde advisories in de laatste 12 maanden is npm goed voor 28,5% (2.704). Go (18,8% · 1.789), PyPI (18,4% · 1.751) en Composer (13,6% · 1.292) completeren de top-4. NuGet (.NET, 3,1%) is relevant voor de Microsoft-stack die ook onder HiX-EPD draait. Ecosysteem-verdeling ververst op 9 juli 2026 (was snapshot 21 apr) — nu consistent met het L12M-venster van de KPI-kaarten.
Top-10 CRITICAL GHSA-advisories 2026 YTD (CVSS 10.0)
| Datum | ID | Package | Type |
|---|---|---|---|
| 2026-04-15 | GHSA-w59f-67xm-rxx7 | Composer: froxlor/froxlor | Path traversal → LFI (pre-auth) |
| 2026-04-14 | GHSA-gph2-j4c9-vhhr | Composer: wwbn/avideo | WebSocket broadcast relay |
| 2026-04-11 | CVE-2026-39842 | Maven: openremote | Expression injection → RCE |
| 2026-04-10 | GHSA-9cp7-j3f8-p5jx | Go: daptin | Path traversal + Zip Slip |
| 2026-04-09 | GHSA-68qg-g8mg-6pr7 | npm: paperclip | Pre-auth RCE |
| 2026-04-08 | GHSA-pcrq-v9mm-gx65 | PyPI: django-cms-ext | Unauth deserialization |
| 2026-03-31 | GHSA-4r8x-mvjf-9c4r | Maven: spring-cloud-vault | Secret-leak + token-hijack |
| 2026-03-22 | GHSA-h83m-x42v-69pc | npm: node-saml | XML signature wrapping |
| 2026-03-18 | GHSA-g4p5-7w8q-2mxj | Composer: typo3/cms-core | Pre-auth RCE file-parsing |
| 2026-02-27 | GHSA-4w3j-fpq9-jgqh | Go: k8s-sigs/cluster-api | Admission-controller bypass |
Conclusie: is er een stijgende lijn?
Ja — voor verreweg de meeste indicatoren loopt de curve op. De antwoorden verschillen echter per categorie:
↑ Duidelijk stijgend
- Datalekmeldingen AP (+73% over 2023-2025)
- Cyberaanval-datalekken (~×1,7 in twee jaar)
- Wereldwijde CVE-publicaties (+68% in twee jaar)
- Betalingsbereidheid ransomware (18% → 29%)
↔ Gestabiliseerd / volatiel
- Zero-days wereldwijd (78 → 90, binnen 60–100 bandbreedte)
- Aandeel cyberaanvallen in datalekken (3–5%)
- Aantal unieke ransomware-families (~39)
↓ Dalend (in aantal)
- Zichtbare ransomware-incidenten NL (147 → 121 → ≤105)
- Browser-zero-days (sterke daling)
- AP-boetes (6 in 2024 → 4 in 2025)
Sleutelincidenten Nederland — L12M-venster (juli 2025 – 14 juli 2026)
~50 NL-rakende incidenten uit Security.NL, DataLekt.nl en Cybercrimeinfo, gesorteerd nieuw → oud. Tier-1 (systemisch/keten) rood gemarkeerd, grote datalekken bedrijfsleven geel.
| Datum | Organisatie | Type | Impact |
|---|---|---|---|
| 14 jul 2026 | Secureholiday (camping-boekingsplatform) | Datalek (hack eind feb, onthuld juli) | 41.577 NL-reserveringen (naam, e-mail, reisdata, betaalbedragen) · phishinggolf mei/juni richting kampeerders |
| 10 jul 2026 | VBW Makelaars en Taxateurs | Ransomware-claim (Deadlock) | Geclaimd op darkweb-leaksite; data gestolen en versleuteld, losgeld geëist |
| 2 jul 2026 | Steegaa Interior | Ransomware-claim (The Gentlemen) | Interieurbedrijf geclaimd op darkweb-leaksite |
| jul 2026 | EBI Vught (PI) | Datalek (menselijke fout) | Gegevens gelekt vanuit de extra beveiligde inrichting; oorzaak menselijke fout (melding staatssecretaris) |
| 21 jun 2026 | NL-consumenten (dataset) | Darkweb-verkoop | Dataset met >7 mln records van NL-consumenten te koop: NAW, geboortedatum, e-mail, telefoonnummers |
| 20 jun 2026 | SRA (accountants-branchevereniging) | Darkweb-leaksite | Toegevoegd aan leaksite van ransomwaregroep; omvang datalek onbekend |
| 19 jun 2026 | Ministerie van Financiën (onthulling) | Zeroday-aanval (mrt) | Hack van maart bleek via zeroday in toegangssoftware te zijn uitgevoerd |
| 18 jun 2026 | Fortinet-firewalls (74k) | Gekraakte wachtwoorden te koop | NCSC waarschuwde NL-organisaties (o.a. onderwijs, overheid) wier firewall-credentials circuleren |
| 15 jun 2026 | SigmaControl | Ransomware (The Gentlemen) | Technologiebedrijf geclaimd op darkweb-leaksite |
| 13 jun 2026 | ChipSoft (update) | Ransomware-herstel | Ziekenhuizen hebben weer toegang tot gegevens; uitwisseling medische informatie hersteld |
| 12 jun 2026 | Van Tuijl (Haaften) | Ransomware-claim (LockBit5) | Familiebedrijf land- en tuinbouwproducten geclaimd op darkweb |
| 12 jun 2026 | Kredietbank Limburg | Cyberaanval | Frauduleuze e-mails verstuurd vanaf systemen van de gemeentelijke kredietbank |
| 8 jun 2026 | Bewindvoerders (NL) | Datalek via verlopen domeinnamen | Overgenomen domeinen van bewindvoerders gaven toegang tot cliëntgegevens |
| 8 jun 2026 | Onderwijsleverancier | Datalek (oud wachtwoord ex-medewerker) | Gegevens van naar verluidt 10 mln leerlingen toegankelijk via 10 jaar oud account |
| 5 jun 2026 | BCD Travel (zakenreisbureau) | Data-exfiltratie/afpersing (ShinyHunters) | 396.313 accounts gelekt op darkweb (claim 700k) · 30 GB · namen, adressen, functies, werkgevers |
| 2 jun 2026 | 100+ NL-hotels (Hospecs e.a.) | Datalek + phishinggolf | Klant- en reserveringsgegevens van duizenden gasten; KHN waarschuwde hotels |
| 3 jun 2026 | NL-universiteiten (UvA, EUR, Leiden e.a.) | DDoS-claims (Elite Squad) | DDoS-aanvallen geclaimd op websites van meerdere universiteiten |
| 3 jun 2026 | Katholiek Amersfoort | Ransomware-claim (STORMOUS) | Religieuze instelling; mogelijke datadiefstal |
| 1 jun 2026 | Bokt.nl (paardenforum) | Datalek (ongeoorloofde toegang) | E-mailadressen + gehashte wachtwoorden van een deel van de gebruikers |
| 1 jun 2026 | ChipSoft (update) | Ransomware-nasleep (Embargo) | ChipSoft meldt dat 100 GB gestolen patiëntdata is vernietigd; herstel loopt nog |
| 30 mei 2026 | HotelsInNederland.nl | Darkweb-dataset | 287.000 boekings- en klantrecords te koop aangeboden |
| 28 mei 2026 | Ajax | Hack supportersdatabase (mrt) | 300.000+ supportersgegevens inzichtelijk; 35-jarige verdachte aangehouden |
| 28 mei 2026 | Pararius.nl | Darkweb-claim | Dataset met naar verluidt 400.000 huurders (NAW, geslacht, adres) |
| 28 mei 2026 | Nijborg Staal | Ransomware (Akira) | Geclaimd op darkweb-portaal van Akira |
| 27 mei 2026 | Basic-Fit & Booking.com | Datalekken | Ongeautoriseerde toegang tot systemen (oorzaak niet vermeld) |
| 27 mei 2026 | Justitiële ICT (JIO) | 2× hack via Citrix/Ivanti | Twee inbreuken in een jaar, vergemakkelijkt door firewall-misconfiguratie |
| 15 mei 2026 | Best Western (BWH Hotels) | ~6 mnd onopgemerkte toegang | 14 okt–22 apr toegang tot reserveringsapp: namen, adressen, verblijfsdata |
| 15 mei 2026 | Instituut Nederlandse Taal (INT) | Hack (5 mei) | Taalwebsites (taaladvies.net, etymologiebank.nl) en e-mail uit voorzorg offline |
| 12 mei 2026 | VeriCon (ingenieursbureau) | Ransomware (The Gentlemen, 9 mei) | Dreiging om gevoelige data te lekken bij uitblijven losgeld |
| 12 mei 2026 | Canvas / Instructure | Hack (ShinyHunters) | Opnieuw binnengedrongen bij onderwijsplatform; losgeld betaald |
| 10 mei 2026 | NorthC (datacenter Almere) | Brand → stroomuitval (geen cyberoorzaak) | Stroom op last van brandweer uitgeschakeld · UU, KVK, NAK, Obvion en ASR landelijk offline |
| 7 apr 2026 | ChipSoft (EPD HiX) | Ransomware (Embargo, toegeschr. 23 apr) | >70% NL-ziekenhuizen afhankelijk van HiX · 11+ ziekenhuizen portalen offline |
| 25 mrt 2026 | Politie Nederland | Phishingpoging | SOC ontdekte de aanval snel en sloot toegang af; impact beperkt |
| 23 mrt 2026 | DigiD / Logius | DDoS-aanvallen | Authenticatiedienst meerdere uren verminderd beschikbaar |
| 20 mrt 2026 | Gemeente Capelle a/d IJssel | Menselijke fout | Dossiers van ~5.000 Wmo-cliënten (Trevvel Samen) openbaar geworden |
| 19 mrt 2026 | Ministerie van Financiën | Hack (ongeautoriseerde toegang) | Systemen voor primaire processen op het beleidsdepartement geblokkeerd |
| 19 mrt 2026 | Innova Energie | Interne datadiefstal | Medewerker stal klantgegevens (naam, geboortedatum, adres, IBAN) |
| 12 mrt 2026 | Gemeente Epe | ClickFix-aanval | 552.000 bestanden / 871 GB incl. BRP-export + 1.000+ identiteitsbewijzen |
| 11 mrt 2026 | Bastion Hotels | Phishing | Boekingsgegevens ~6.000 gasten van 7 hotels buitgemaakt |
| 8 mrt 2026 | Bol | Technisch lek | Klanten konden tijdelijk gegevens van andere klanten zien |
| 7 mrt 2026 | Netwerk NV | Ransomware (AiLock) | Losgeld geëist; dreiging tot publicatie data |
| 6 mrt 2026 | Westfield Mall NL (Leidschendam) | Datalek | Ongeautoriseerde toegang tot loyaliteits-/nieuwsbriefdatabase |
| 4 mrt 2026 | BK Group | Ransomware (Akira) | Geclaimd op darkweb-portaal |
| 7–8 feb 2026 | Odido (telecom) | Data-exfiltratie (ShinyHunters) | 6,2 mln klanten · NAW + IBAN + BSN/ID · €500k losgeld geweigerd |
| 31 dec 2025 | Hogeschool Rotterdam | Account-hacks | Studentaccounts misbruikt voor duizenden crypto-phishingmails |
| 28 dec 2025 | Van Venrooy | Ransomware (Safepay) | Geclaimd op darkweb |
| 27 dec 2025 | RD Metals & Fresh2You | Ransomware (Lockbit5) | Beide geclaimd op darkweb |
| 23 dec 2025 | Gemeente Nissewaard | Onbeveiligde documenten | Documenten van ~1.200 overledenen onbeveiligd in baarhuisje |
| 10 dec 2025 | Hogeschool Utrecht | Account-hack | Accounts medewerkers misbruikt voor e-mailfraude |
| 30 nov 2025 | Van Mossel (autodealerconcern) | Gerichte hack | Ongeautoriseerde toegang; mogelijk beperkte data benaderd |
| 30 nov 2025 | Nederlandse bank (onbekend) | Deepfake-fraude | Identiteitsverificatie omzeild voor openen rekeningen; verdachte aangehouden |
| 19 nov 2025 | Arriva + 27 NL-organisaties | Website-defacement (Black Witch) | Nazi-teksten en -symbolen op voorpagina's geplaatst |
| 17 nov 2025 | HAN (Arnhem-Nijmegen) | Mogelijk datalek (AI) | Docent gaf AI-agent zonder toestemming toegang tot leeromgeving met studentgegevens |
| 23 okt 2025 | Gemeente Eindhoven | Datalek via AI (ChatGPT) | 1.000+ documenten met persoonsgegevens in publieke AI-diensten geplakt |
| jul 2025 | Clinical Diagnostics (NMDL) | Supply-chain hack lab | 715.000–941.000 vrouwen bevolkingsonderzoek baarmoederhalskanker · BSN + uitslagen |
Waarom stijgen datalekken zo sterk?
- Bulkmeldingen: één supply-chain-incident (AddComm) genereerde 5.400+ meldingen in 2024.
- Ketenafhankelijkheid: NCSC CSBN 2025 wijst op toenemende ketenschade via toeleveranciers.
- Menselijke fouten: verkeerd verzonden post/e-mail goed voor ~30% van alle meldingen.
- Beter meldgedrag: AVG-bewustzijn neemt toe; organisaties melden sneller en correcter.
Waarom fluctueren zero-days?
- Edge devices (VPN, firewalls, gateway) blijven het hoofddoel — 3 van 4 meest-uitgebuite kwetsbaarheden in 2024 zijn zero-days in security-producten.
- Browser-zero-days daalden fors door hardening (Chrome V8, Safari, MV3).
- Commerciële spyware-vendors zijn in 2025 voor het eerst de grootste zero-day-gebruikers, vóór staten.
- AI-gedreven fuzzing verlaagt de drempel voor ontdekking — GTIG verwacht in 2026 aanhoudend hoge niveaus.
- NL-barometer: NCSC-NL stond op 14 juli 2026 op advisory-nummer NCSC-2026-0238 (~8 per week); juni volledig: 45 advisories (piek in het L12M-venster), juli YTD (t/m 14 juli): 22 advisories (incl. patch-dinsdag 14 juli) — geen structurele versnelling t.o.v. L12M (415).
Bronverantwoording & methodologie
Alle cijfers zijn verkregen uit primaire bronnen en op 15 juli 2026 gecontroleerd. Ransomware-cijfers zijn per definitie onderrapportage (Project Melissa schat 10–15% zichtbaarheid in MKB). De zero-day-cijfers betreffen wereldwijd actief uitgebuite kwetsbaarheden volgens Google GTIG; de NL-specifieke zero-day-exploitatie wordt niet publiek afzonderlijk gepubliceerd.
Primaire bronnen
Datalekken NL: AP – Datadiefstal verdubbeld (3 juli 2025) · AP – Rapportages datalekken (overzicht) · AP Jaarverslag 2025 (2 april 2026)
Ransomware NL: NCSC – Jaarbeeld Ransomware 2025 (25 februari 2026) · NCSC – Jaarbeeld Ransomware 2024 · Politie – Jaarbeeld Ransomware 2025
Dreigingsbeeld NL: NCSC/NCTV – CSBN 2025 (26 november 2025) · NCSC Security Advisories (machine-leesbare CSAF-feed · eigen parsing)
Zero-days & CVE's (wereldwijd): BleepingComputer – Google GTIG 2025 zero-day review (5 maart 2026) · NIST NVD – CVE-database · FIRST EPSS / forecast-methodologie
Open-source supply-chain (GHSA): GitHub Advisory Database (eigen telling op reviewed-only selectie, 15 juli 2026 — endpoints niet gepubliceerd)
NL-incidentregisters (samenstelling L12M-tijdlijn & -tabel): Security.NL – nieuwsarchief · Cybercrimeinfo – cyberaanvallen juni 2026 · DataLekt.nl – incidenten 2026 · DataLekt.nl – incidenten 2025 · Security.NL – Recordaantal datalekken AP (3 juli 2025)
Grote 2026-cases (selectie): Gemeente Epe (552k) · BCD Travel (ShinyHunters) · Ministerie van Financiën · NorthC-brand Almere · DutchNews – BCD Travel
Odido-casus (feb 2026, eigen analyse — onderzoek loopt): Odido.nl/veiligheid – officiële klantpagina (update 2 april 2026) · Politie – Checkjehack tool (2 maart 2026) · RVIG/CMI – waarschuwing misbruik ID-documenten (12 februari 2026)
ChipSoft-casus (april 2026, eigen analyse — onderzoek loopt actief): NOS – ChipSoft ransomware-update (15 april 2026) · Landelijke Huisartsen Vereniging (LHV) · ICT&health – zorg-IT-nieuws
Transparantie: 2026-cijfers (NVD-CVE YTD 40.960 · L12M juni '26 62.481 · prognose juli '26 ≈67.038 · NCSC-advisories t/m nr. NCSC-2026-0238 · juni '26 45 · GHSA-reviewed YTD 7.981 · L12M juni '26 9.491 · analyse-ratio L12M 71% · ~50 NL-incidenten) zijn eigen telling en eigen analyse op basis van de NVD publieke feed, de GitHub Advisory Database (reviewed-only) en de NCSC CSAF-feed, plus publieke nieuwsupdates en de incidentregisters Security.NL, DataLekt.nl en Cybercrimeinfo t/m 14 juli 2026. Exacte endpoints/queries worden niet gepubliceerd ter bescherming van de methodologie. Officiële jaaroverzichten verschijnen pas na afloop van het jaar; definitieve slachtofferaantallen bij Odido en ChipSoft worden nog onderzocht. Noot: eerdere versies van dit dashboard rapporteerden GHSA inclusief auto-imported/unreviewed advisories (2025 ≈ 10.913) — deze editie toont alleen de strengere reviewed-subset (2025 = 3.668).