Uit onderzoek van KnowBe4 blijkt dat 18 procent van alle cyberaanvallen in Europa gericht is op banken en verzekeraars. De totale financiële schade is enorm: een gemiddeld datalek kostte de sector in 2025 ruim 4,7 miljoen euro en leidde tot gemiddeld vijftien dagen uitval. Bij bijna de helft (46 procent) van alle aanvallen ging het om een DDoS-aanval, net als bij de aanval op La Banque Postale. Maar financiële instellingen krijgen ook te maken met cyberaanvallen die zich richten op de mens. Phishing en spear phishing, waarbij personeel doelbewust wordt misleid, vormen 30 procent van de incidenten bij Europese banken en verzekeraars.
Europese toezichthouders hebben al gereageerd met aangescherpte eisen, met name via de Digital Operational Resilience Act (DORA) en de NIS2-richtlijn. Deze verplichten financiële instellingen tot sterker ICT-risicobeheer, structurele weerbaarheidstests en strengere controle op derde partijen. Slechts 4 procent van de instellingen had DORA in maart 2025 volledig in de operatie geïntegreerd. Tegelijkertijd kreeg 96 procent van Europa's grootste financiële instellingen al te maken met een datalek via een toeleverancier.
Financiële instellingen moeten kiezen voor een integrale aanpak waarin techniek en mens samenkomen. Cybersecurity moet vanaf het begin ingebed zijn in digitale transformatie, volgens het principe van 'security by design'. Daarbij hoort ook strengere controle op leveranciers en structurele weerbaarheidstests. Cruciaal is ook dat organisaties investeren in hun medewerkers: via adaptieve awareness-trainingen, gesimuleerde aanvallen en gerichte gedragsinterventies. Alleen dan verandert de mens van een kwetsbare factor in een actieve verdedigingslinie.
