TL;DR: Een ransomware-aanval kost een Belgische KMO gemiddeld tussen €20.000 en €200.000, afhankelijk van de bedrijfsgrootte en de duur van de stilstand. Losgeld vormt slechts 17% van de totale factuur. Downtime, herstelkosten en omzetverlies maken het leeuwendeel uit. Preventie via een audit, pentest en awareness training kost een fractie van die schade en is tot 50% subsidieerbaar via VLAIO.
Ransomware is niet langer een ver-van-uw-bed-show. Bijna de helft van alle Vlaamse ondernemingen werd in 2024 slachtoffer van een cyberaanval (VLAIO Cybersecurity Barometer). Toch onderschatten veel zaakvoerders de werkelijke ransomware kosten. De factuur gaat namelijk veel verder dan het losgeld. In dit artikel berekenen we wat een aanval uw KMO concreet kost, welke kostenposten u niet ziet aankomen, en waarom preventie een betere investering is dan herstel achteraf.
Wat kost een ransomware-aanval voor een Belgische KMO?
De totale ransomware kosten bestaan uit minstens vijf componenten die samen de uiteindelijke factuur bepalen. Het losgeld zelf vormt slechts een klein onderdeel van het totaalbedrag: gemiddeld 17% volgens het Sophos State of Ransomware-rapport 2025. De rest verdwijnt naar downtime, herstelwerkzaamheden, juridische kosten en reputatieschade.
Op basis van internationale cijfers (IBM Cost of a Data Breach Report 2025, Sophos) en Belgische data (Vanbreda Cyberstudie 2025) ziet de kostenstructuur er voor een middelgrote KMO als volgt uit:
| Kostenpost | Aandeel | Indicatie KMO (50-250 werknemers) |
|---|---|---|
| Downtime en productiviteitsverlies | 35% | €15.000 – €80.000+ |
| Herstel en technische remediëring | 27% | €10.000 – €50.000 |
| Losgeld (indien betaald) | 17% | €5.000 – €50.000 |
| Reputatieschade en klantenverlies | 16% | Moeilijk kwantificeerbaar |
| Juridische en compliance-kosten | 5% | €2.000 – €15.000 |
Een nuancering is hier belangrijk. Volgens de Vanbreda Cyberstudie 2025 bleef bij 81% van de Belgische schadegevallen de uiteindelijke kost onder €20.000, dankzij goede preventie en snelle interventie. Maar bij de 3% ernstige gevallen liep de schade op tot meer dan €1 miljoen. De vraag is niet of uw bedrijf wordt aangevallen, maar hoe goed u voorbereid bent.
Directe kosten: losgeld, herstel en forensisch onderzoek
De directe ransomware kosten zijn de uitgaven die onmiddellijk na een aanval op uw rekening belanden. Deze kosten zijn het meest zichtbaar, maar vormen vaak niet het duurste onderdeel.
Losgeld: De mediane losgeldbetaling wereldwijd daalde in 2025 naar circa $115.000, maar de bedragen variëren enorm per sector. In de maakindustrie, sterk vertegenwoordigd in West-Vlaanderen, lag het mediaan op $3,35 miljoen voor grotere bedrijven. Belangrijk: 64% van de slachtoffers weigerde in 2025 te betalen, een stijging ten opzichte van 50% in 2022. En van de bedrijven die wél betaalden, kreeg slechts de helft al hun data terug (Sophos 2025).
Forensisch onderzoek en herstel: Na een aanval moet een extern cybersecurityteam de oorzaak achterhalen, de malware verwijderen en systemen herstellen. Voor een middelgrote KMO liggen deze kosten tussen €10.000 en €50.000, afhankelijk van de complexiteit. Dit omvat systeemanalyse, malwareverwijdering, back-upherstel en het dichten van de kwetsbaarheid waardoor de aanvallers binnenkwamen.
Juridische kosten: Onder de GDPR moet u een datalek binnen 72 uur melden bij de GBA. Onder NIS2 gelden nog striktere meldtermijnen bij het CCB: 24 uur voor een early warning, 72 uur voor een volledige melding. Juridische begeleiding bij deze procedures kost al snel €2.000 tot €10.000.
Indirecte kosten: downtime, omzetverlies en reputatieschade
De indirecte ransomware kosten zijn vaak ingrijpender dan de directe factuur. Ze worden pas duidelijk in de weken en maanden na de aanval, maar bepalen uiteindelijk of uw bedrijf de klap te boven komt.
Downtime is de grootste kostenpost. De gemiddelde herstelduur na een ransomware-aanval bedraagt 24 dagen voordat alle systemen weer volledig operationeel zijn (Sophos 2025). In 2025 herstelde 53% van de slachtoffers binnen een week, maar dat laat nog altijd bijna de helft achter met wekenlange verstoringen. Voor een KMO met 200 werknemers en een gemiddelde loonkost van €350 per dag per werknemer vertegenwoordigt elke stilstanddag zo’n €70.000 aan productiviteitsverlies, exclusief de misgelopen omzet.
Omzetverlies: Als uw ERP-systeem, webshop of facturatie dagen of weken onbereikbaar is, loopt de omzet direct terug. Klanten schakelen over naar concurrenten, bestellingen worden geannuleerd en leveringen lopen vertraging op. Voor een productiebedrijf met een dagomzet van €50.000 is elke dag stilstand een directe aderlating.
Reputatieschade: Klanten, leveranciers en partners stellen zich vragen bij uw betrouwbaarheid. Dit effect is moeilijk in euro’s uit te drukken, maar onderzoek toont dat bedrijven na een publiek bekende aanval gemiddeld 16% van hun totale schade toeschrijven aan klantenverlies en reputatieherstel.
Belgische bedrijven getroffen door ransomware: wat leren we?
De Gemini-data bevat relevante casussen, maar de leerzaamste voorbeelden komen uit onze eigen achtertuin. Deze Belgische bedrijven illustreren concreet hoe ransomware kosten oplopen.
Picanol (2020): De weefgetouwenfabrikant uit Ieper zag de volledige productie twee weken stilliggen na een ransomware-aanval. 2.300 werknemers waren tijdelijk technisch werkloos. De directe kosten werden geschat op minder dan €1 miljoen, maar de opportuniteitskosten van de onderbroken productieketen kwamen daar bovenop. Picanol kon herstellen zonder losgeld te betalen, dankzij een back-upsysteem in drie stadia (lokaal, centraal en handmatig offline). De les: geteste, offline back-ups zijn letterlijk miljoenen waard.
Duvel Moortgat (2024): In maart 2024 legden aanvallers de productie van de brouwerij onmiddellijk plat. De hackers claimden 88 GB aan data te hebben gestolen, waaronder persoonlijke gegevens van werknemers. De noodzaak om IT-systemen volledig te isoleren leidde tot stilstand van vullijnen en logistieke systemen. De herstelkosten werden geraamd op miljoenen euro’s.
TVH (2023): Onderdelenspecialist TVH werd getroffen door de LockBit-groep. Het interne bestelsysteem en de website waren wekenlang onbruikbaar. Orders konden niet verwerkt worden. De impact op klantrelaties en de wereldwijde supply chain was zo groot dat TVH na het incident een eigen “downtime cost calculator” ontwikkelde om de kosten inzichtelijk te maken.
Wat deze casussen verbinden: de directe losgeldkosten waren zelden het grootste probleem. De wekenlange downtime, het productieverlies en de verstoorde klantrelaties maakten de werkelijke schade.
Hoe verhoudt preventie zich tot de ransomware kosten van een aanval?
De vergelijking tussen preventiekosten en de schade van een aanval is veelzeggend. Het gemiddelde herstel na ransomware is ongeveer tien keer duurder dan de investering in basisbeveiliging (Sophos 2025).
| Investering | Jaarlijkse kost (KMO) | Versus aanvalsschade |
|---|---|---|
| Cybersecurity audit | €4.000 – €8.000 | Identificeert kwetsbaarheden voordat aanvallers ze vinden |
| Pentest (infrastructuur) | €3.000 – €8.000 | Test of uw verdediging standhoudt |
| Security awareness training | €5.000 – €12.000 | Voorkomt de meest voorkomende aanvalsvector (phishing) |
| Totaal preventie | €12.000 – €28.000 | |
| Gemiddelde aanvalsschade KMO | €20.000 – €200.000+ | 2x tot 15x de preventie-investering |
Organisaties met geteste offline back-ups zijn volgens onderzoek van de Universiteit Twente 27 keer minder geneigd om losgeld te betalen. Multi-factor authenticatie alleen al reduceert het risico op een succesvolle aanval met 82%.
Bovendien verlagen Vlaamse subsidies de drempel aanzienlijk. Via de KMO-portefeuille ontvangt u 45% (kleine onderneming) of 35% (middelgrote onderneming) terug op cybersecurity-advies. Via het VLAIO cybersecurity verbetertraject kan de tussenkomst zelfs oplopen tot 50%. Een cybersecurity audit van €5.000 kost na subsidie dus slechts €2.750 voor een kleine onderneming. Vergelijk dat met een gemiddelde aanvalsschade van €20.000 tot €200.000.
Hoe beschermt u zich concreet? Lees onze praktische gids voor ransomware bescherming.
Dekt uw cyberverzekering ransomware-schade?
Een cyberverzekering biedt financiële compensatie, maar geen operationeel herstel. Dat onderscheid is cruciaal. Volgens de Vanbreda Cyberstudie 2025 zijn er inmiddels 20 aanbieders actief op de Belgische markt en zijn de premies gestabiliseerd. Toch ontdekte 42% van de verzekerde bedrijven dat hun polis slechts een klein deel van de werkelijke schade dekte, vooral omdat indirecte kosten zoals reputatieverlies en omzetderving onderverzekerd waren.
Nog een opmerkelijk gegeven: onderzoek van de Universiteit Twente (2025) toont dat het bezit van een cyberverzekering het gemiddelde losgeldbedrag met een factor 2,8 verhoogt. Bij double extortion-aanvallen (dataversleuteling én datadiefstal) stijgt dat zelfs naar een factor 5,5. Aanvallers weten dat verzekerde bedrijven eerder betalen.
Een verzekering is een nuttige achtervang, maar vervangt geen preventie. Verzekeraars weigeren bovendien steeds vaker bedrijven die geen basishygiëne hanteren, zoals MFA en offline back-ups. Meer over dit onderwerp leest u in ons artikel over cyberverzekering in België.
Veelgestelde vragen over ransomware kosten
Moet ik losgeld betalen bij een ransomware-aanval?
Betaling wordt sterk afgeraden. Van de bedrijven die in 2025 betaalden, kreeg slechts 50% al hun data terug. Bovendien wordt 27% van de betalers kort daarna opnieuw aangevallen. Betaling financiert bovendien criminele activiteiten. Start altijd met het raadplegen van een cybersecurity-expert en uw eerste stappen na een aanval.
Hoelang ligt een KMO gemiddeld stil na ransomware?
De gemiddelde hersteltijd bedraagt 24 dagen tot volledige operationele capaciteit. In 2025 herstelde 53% van de slachtoffers binnen een week, maar de overige bedrijven kampten met weken tot maanden aan verstoringen. Goede back-ups en een incident response plan verkorten de hersteltijd drastisch.
Wat kost herstel zonder losgeld te betalen?
Het herstel zonder losgeld kost een middelgrote KMO gemiddeld tussen €10.000 en €50.000 aan technische remediëring, exclusief downtime-kosten. Dat bedrag omvat forensisch onderzoek, malwareverwijdering, systeemherstel en het dichten van kwetsbaarheden. Bedrijven met geteste back-ups herstellen sneller en goedkoper.
Is ransomware-bescherming subsidieerbaar via VLAIO?
Ja. Sinds 1 februari 2026 is de VLAIO KMO-portefeuille exclusief voorbehouden voor cybersecurity-advies. U ontvangt 45% (kleine onderneming) of 35% (middelgrote onderneming) subsidie op audits, pentests en awareness training. Via VLAIO cybersecurity verbetertrajecten kan de tussenkomst oplopen tot 50%.
Hoeveel kost een cybersecurity audit vergeleken met ransomware-schade?
Een cybersecurity audit voor een middelgrote KMO kost gemiddeld tussen €4.000 en €8.000. Na VLAIO-subsidie betaalt u slechts €2.200 tot €5.200. Vergelijk dat met een gemiddelde ransomware-schade van €20.000 tot €200.000+. De audit identificeert de kwetsbaarheden die aanvallers gebruiken om binnen te komen.
Valt mijn bedrijf onder de NIS2-meldplicht na een ransomware-aanval?
Als uw bedrijf onder NIS2 valt (meer dan 50 werknemers of meer dan €10 miljoen omzet in een betrokken sector), moet u significante incidenten melden bij het CCB: een early warning binnen 24 uur en een volledige melding binnen 72 uur. Daarnaast geldt onder GDPR een aparte meldplicht bij de GBA als er persoonsgegevens gelekt zijn.
De business case is helder
De ransomware kosten voor een Belgische KMO liggen gemiddeld tussen €20.000 en €200.000, met uitschieters tot meer dan €1 miljoen. Preventie via een audit, pentest en awareness training kost jaarlijks €12.000 tot €28.000, waarvan tot de helft subsidieerbaar is. De rekening is eenvoudig: investeren in beveiliging is niet alleen goedkoper dan herstellen, het is de enige aanpak die uw bedrijfscontinuïteit garandeert.
Wilt u weten wat uw bedrijf concreet riskeert? Een cybersecurity audit brengt uw kwetsbaarheden in kaart en levert een concrete roadmap op. Plan een vrijblijvend kennismakingsgesprek en ontdek hoe Cyberplan uw organisatie beschermt.
