TL;DR: Bouwbedrijven beheren grote financiële stromen, werken met tientallen onderaannemers en digitaliseren razendsnel via BIM en IoT. Dat maakt de sector bijzonder kwetsbaar voor factuurfraude, ransomware en datadiefstal. Vier op de vijf slachtoffers van factuurfraude in België zijn bouwbedrijven. Met concrete beveiligingsmaatregelen en tot 50% VLAIO-subsidie kunt u uw bedrijf beschermen zonder uw werfplanning te vertragen.
Een bouwbedrijf is geen techbedrijf, en cybersecurity staat zelden bovenaan de agenda van een aannemer of projectontwikkelaar. Toch is de bouwsector een van de meest geviseerde sectoren voor cybercriminaliteit. De reden? Grote financiële transacties, een keten van tientallen onderaannemers, en een snelle digitalisering via BIM-modellen, IoT-sensoren en cloudgebaseerde projectportalen. Met een jaaromzet van meer dan 109 miljard euro en meer dan 107.000 bouwondernemingen alleen al in Vlaanderen liggen de belangen hoog. In dit artikel leest u waarom uw bouwbedrijf een doelwit is, welke aanvallen het vaakst voorkomen, en welke maatregelen u vandaag al kunt nemen.
Waarom bouwbedrijven een aantrekkelijk doelwit zijn voor cybercriminelen
Bouwbedrijven combineren meerdere risicofactoren die cybercriminelen als een magneet aantrekken. Ten eerste de omvangrijke financiële geldstromen: hoofdaannemers en projectontwikkelaars verwerken regelmatig facturen van tienduizenden tot honderdduizenden euro’s aan onderaannemers en leveranciers. Een onderschepte factuur met een gewijzigd rekeningnummer levert een crimineel in één klap meer op dan maanden phishing bij particulieren.
Ten tweede de gefragmenteerde toeleveringsketen. Een gemiddeld bouwproject omvat architecten, studiebureaus, hoofdaannemers, gespecialiseerde installateurs en materiaalproducenten. De veiligheid van het hele project is slechts zo sterk als de zwakste schakel. Aanvallers gebruiken regelmatig een minder goed beveiligde onderaannemer als springplank naar een grotere organisatie.
Ten derde de operationele tijdsdruk. Bouwprojecten werken met strikte deadlines en contractuele boeteclausules bij vertraging. Ransomware die de toegang tot projectplanningen of BIM-modellen blokkeert, legt de werf onmiddellijk stil. Dat maakt de druk om snel losgeld te betalen bijzonder groot.
Tot slot de lage cybersecurity-maturiteit. Terwijl de bouwsector volop digitaliseert, blijven investeringen in digitale veiligheid achter. De economische krapte versterkt dit: in 2024 was de bouw in West-Vlaanderen de zwaarst getroffen sector qua faillissementen, met 23,2% van alle falingen. Wanneer de marges krimpen, wordt cybersecurity als eerste geschrapt, terwijl de impact van een aanval net dan het zwaarst doorweegt.
CEO-fraude en factuurfraude: het grootste risico voor bouwbedrijven
Factuurfraude is veruit de meest lucratieve aanvalsvorm in de bouwsector. Volgens de FOD Economie is ongeveer vier op de vijf slachtoffers van factuurfraude in België een bouwbedrijf. Het Fraude Trendrapport Benelux 2026 van Allianz Trade bevestigt de trend: factuurfraude is gestegen naar 44% van alle externe fraudegevallen, en het gemiddelde schadebedrag per slachtoffer bedraagt inmiddels meer dan 20.000 euro.
Hoe werkt het concreet? Een crimineel infiltreert de mailbox van een onderaannemer of leverancier en wacht tot er een grote factuur wordt verzonden. Het rekeningnummer op de factuur of in de begeleidende e-mail wordt gewijzigd. De hoofdaannemer ontvangt een factuur die er volkomen legitiem uitziet, betaalt naar het foute rekeningnummer, en ontdekt de fraude pas wanneer de échte leverancier een betalingsherinnering stuurt. Op dat moment is het geld vrijwel onmogelijk te recupereren.
Bij CEO-fraude doen criminelen zich voor als de bedrijfsleider. Ze sturen een “dringende” e-mail naar de boekhouding met het verzoek om een snelle betaling uit te voeren voor een zogenaamde overname of een vertrouwelijk project. De bouwsector is hier extra kwetsbaar: zaakvoerders zijn regelmatig onbereikbaar op werven, wat het moeilijker maakt om verdachte verzoeken telefonisch te verifiëren.
Hoe voorkomt u het? Voer het vierogenprincipe in voor elke betaling boven een drempelbedrag. Verifieer rekeningwijzigingen altijd telefonisch via een eerder gekend nummer, nooit via het nummer op de nieuwe factuur. Train uw administratie en werfleiders om verdachte verzoeken te herkennen. Meer over CEO-fraude en deepfake-varianten leest u in ons artikel over voice cloning en deepfake-fraude.
De digitale bouwplaats: nieuwe technologie, nieuwe risico’s
De bouwsector digitaliseert in hoog tempo. BIM (Building Information Modeling) is uitgegroeid tot de centrale zenuw van moderne bouwprojecten: gedetailleerde 3D-modellen die de volledige levenscyclus van een gebouw vastleggen, van ontwerp tot exploitatie. IoT-sensoren monitoren betoncuring, GPS-tracking volgt materieel, en drones leveren luchtopnames voor terreinanalyse. Die technologie verhoogt de efficiëntie enorm, maar vergroot ook het aanvalsoppervlak.
BIM-risico’s: Een BIM-model van een gevoelig gebouw (een ziekenhuis, datacenter of overheidsgebouw) bevat gedetailleerde informatie over alle toegangspunten, beveiligingssystemen en technische installaties. In verkeerde handen wordt dat model een blauwdruk voor fysieke inbraak of sabotage. Daarnaast kunnen subtiele wijzigingen in materiaalspecificaties of structurele berekeningen op lange termijn tot veiligheidsproblemen leiden. De internationale standaard ISO 19650-5 biedt een kader voor beveiligd informatiebeheer in BIM-projecten, inclusief classificatie van gevoelige data en toegangscontroles in de Common Data Environment (CDE). In de praktijk implementeren weinig Vlaamse bouwbedrijven deze standaard al consequent.
IoT en connected machines: Veel IoT-apparaten op werven zijn niet ontworpen met beveiliging als prioriteit. Sensoren, drones en GPS-trackers kunnen worden gehackt om als toegangspoort tot het bedrijfsnetwerk te dienen. De manipulatie van connected machines vormt bovendien een direct fysiek veiligheidsrisico op de werf.
Mobiele medewerkers: Werfleiders en projectleiders werken met tablets en smartphones op wisselende locaties, vaak via onbeveiligde netwerken. Zonder VPN-verbinding en centraal apparaatbeheer (MDM) zijn deze toestellen een open deur naar bedrijfsgevoelige data.
Ransomware in de bouw: lessen van Verhelst, Bouygues en BAM
Ransomware treft bouwbedrijven bijzonder hard, omdat operationele stilstand direct vertaald wordt in gemiste deadlines en contractuele boetes.
In oktober 2023 werd Groep Verhelst uit Oudenburg, een gevestigde West-Vlaamse bouwgroep, getroffen door een agressieve ransomware-aanval. De aanvallers versleutelden het volledige netwerk en vernietigden alle back-upgegevens. Alle computers waren onbruikbaar, communicatie met klanten was onmogelijk, en de controle over voorraden, producties en transporten viel volledig weg. CEO Hans De Keyser beschreef het als “de hel”. Het bedrijf weigerde losgeld te betalen en moest met pen, papier en oude gsm’s de operatie draaiende houden. Na weken intensief werk was Verhelst voor 90% weer operationeel, maar de historische foto-archieven waren onherstelbaar verloren. Meer details leest u in onze casestudy over Verhelst.
Internationaal bevestigen cases het patroon. In 2020 werd de Franse bouwreus Bouygues Construction getroffen door de Maze-groep, die 200 GB aan data stal en een losgeld van 10 miljoen dollar eiste. De Britse aannemer BAM Construct werd aangevallen terwijl het tijdelijke COVID-ziekenhuizen bouwde. Beide gevallen tonen aan dat cybercriminelen niet aarzelen om bedrijven aan te vallen op hun meest kwetsbare moment.
De les is helder: back-ups moeten niet alleen bestaan, maar ook onbereikbaar zijn voor aanvallers. Lees in onze gids over ransomware-bescherming hoe u uw bedrijf beschermt met de 3-2-1-1 back-upstrategie en andere preventieve maatregelen.
Valt uw bouwbedrijf onder NIS2?
De NIS2-richtlijn, sinds oktober 2024 van kracht in België, heeft directe en indirecte gevolgen voor de bouwsector. Hoewel “de bouwsector” als geheel niet expliciet als aparte sector in de bijlagen staat, vallen veel bouwgerelateerde bedrijven er wel onder.
Direct onder NIS2: Producenten van bouwmaterialen met meer dan 50 werknemers en een omzet boven 10 miljoen euro worden gecategoriseerd als “belangrijke entiteit” onder de categorie “Vervaardiging”. Installatiebedrijven die werken aan energienetwerken, watervoorziening of transportinfrastructuur kunnen eveneens rechtstreeks onder de richtlijn vallen.
Indirect via de toeleveringsketen: NIS2 legt een expliciete nadruk op supply chain security. Essentiële entiteiten zoals energiebedrijven, overheidsinstellingen en transportbedrijven zijn verplicht om van hun aannemers en leveranciers te eisen dat zij robuuste cybersecurity-maatregelen hanteren. Een aannemer die niet kan aantonen dat zijn digitale beveiliging op orde is, riskeert uitgesloten te worden van toekomstige aanbestedingen. Voor de bouw in West-Vlaanderen, waar veel bedrijven werken voor overheidsopdrachten en infrastructuurprojecten, is dit een concreet risico.
De verplichtingen omvatten een zorgplicht (passende technische en organisatorische maatregelen), een meldplicht (incidenten melden bij het CCB binnen 24 en 72 uur), en bestuurdersaansprakelijkheid. Een gedetailleerd overzicht vindt u in onze NIS2-gids voor Vlaamse bedrijven.
Vijf beveiligingsmaatregelen die elk bouwbedrijf vandaag kan nemen
Cybersecurity hoeft niet complex of duur te zijn. Met deze vijf maatregelen dekt u de meest kritieke risico’s af:
1. Multi-factor authenticatie (MFA) op alle accounts. MFA stopt meer dan 90% van de aanvallen via gestolen wachtwoorden. Begin met e-mail, projectportalen en financiële systemen. Dit kost weinig tijd en niets extra bij de meeste softwarepakketten.
2. Het vierogenprincipe bij financiële transacties. Geen enkele betaling boven een afgesproken drempel vertrekt zonder een tweede handtekening. Rekeningwijzigingen worden altijd telefonisch geverifieerd via een eerder gekend nummer. Dit is de eenvoudigste en meest effectieve maatregel tegen factuurfraude.
3. Scheiding van IT- en OT-netwerken. Zorg dat het kantoornetwerk (e-mail, boekhouding) gescheiden is van eventuele operationele systemen (werfcamera’s, IoT-sensoren, connected machines). Zo voorkomt u dat een gehackte laptop de machines op de werf bereikt. Lees meer over dit principe in ons artikel over netwerksegmentatie.
4. Awareness training voor alle medewerkers, inclusief werfpersoneel. De mens blijft de eerste verdedigingslijn. Korte, praktische trainingen (in de stijl van een toolbox meeting op de werf) over het herkennen van valse facturen, phishing-sms’jes en verdachte telefoontjes. Overweeg een phishing simulatie als nulmeting.
5. Onbreekbare back-ups en een incident response plan. Volg de 3-2-1-1 regel: drie kopieën van uw data, op twee verschillende media, waarvan één off-site en één onveranderbaar (immutable). Stel daarnaast een incident response plan op, zodat iedereen weet wat te doen als het misgaat.
VLAIO-subsidies voor cybersecurity in de bouwsector
Vlaamse bouwbedrijven kunnen aanzienlijke overheidssteun krijgen om hun digitale weerbaarheid te verhogen.
Het VLAIO cybersecurity verbetertraject subsidieert 50% van de kosten voor extern advies en begeleiding. Het START-pakket (10 dagen) levert een snelle analyse en roadmap op voor een nettokostprijs van ongeveer 5.400 euro na subsidie. Het MEDIUM-pakket (21 dagen) combineert analyse met praktische hulp bij implementatie, zoals het instellen van MFA of het optimaliseren van uw back-upstrategie. Meer details en voorwaarden leest u in ons artikel over VLAIO verbetertrajecten.
Via de KMO-portefeuille kunnen kleine ondernemingen 45% subsidie ontvangen op cybersecurity-advies en -opleidingen (35% voor middelgrote ondernemingen), met een maximum van 7.500 euro per jaar.
Concreet rekenvoorbeeld: Een cybersecurity audit van 5.000 euro kost een klein bouwbedrijf na KMO-portefeuille slechts 2.750 euro. Een compleet verbetertraject (START) van 10.800 euro kost na VLAIO-subsidie 5.400 euro. Cybersecurity hoeft met deze steunmaatregelen geen onbetaalbare investering te zijn.
Veelgestelde vragen over cybersecurity in de bouw
Is mijn bouwbedrijf een doelwit voor hackers als ik geen IT-afdeling heb?
Ja. Cybercriminelen richten zich juist op bedrijven zonder dedicated IT-beveiliging. De bouwsector is extra aantrekkelijk door de grote financiële transacties en de vele onderaannemers. Het ontbreken van een IT-afdeling maakt uw bedrijf kwetsbaarder, niet minder interessant voor aanvallers.
Moet mijn bouwbedrijf voldoen aan NIS2?
Dat hangt af van uw activiteiten en grootte. Producenten van bouwmaterialen met meer dan 50 medewerkers vallen mogelijk rechtstreeks onder NIS2. Maar ook als u er niet direct onder valt, eisen steeds meer opdrachtgevers (overheid, energie, transport) cybersecurity-bewijzen van hun aannemers. Het supply chain effect van NIS2 raakt de hele bouwketen.
Wat kost een cyberaanval mijn bouwbedrijf gemiddeld?
De kosten variëren sterk, maar de combinatie van operationele stilstand, hersteltijd, omzetverlies en reputatieschade loopt voor een middelgroot bouwbedrijf snel op tot tienduizenden euro’s. Bij ransomware kan de totale schade oplopen tot honderdduizenden euro’s, exclusief eventueel losgeld. Ter vergelijking: een preventieve cybersecurity audit kost een fractie daarvan.
Hoe beveilig ik BIM-modellen en projectdata?
Implementeer toegangsbeheer op basis van “need-to-know” in uw Common Data Environment (CDE). Niet iedereen op het project hoeft toegang te hebben tot alle onderdelen van het BIM-model. Gebruik sterke authenticatie voor projectportalen, maak regelmatig back-ups van projectdata, en overweeg de richtlijnen van ISO 19650-5 als kader voor beveiligd informatiebeheer.
Welke subsidies kan ik als bouwbedrijf krijgen voor cybersecurity?
Via de KMO-portefeuille ontvangt u 45% subsidie (kleine onderneming) of 35% (middelgrote onderneming) op cybersecurity-advies en -opleidingen. Via het VLAIO cybersecurity verbetertraject krijgt u 50% subsidie op een begeleid traject met een erkende dienstverlener. Beide regelingen zijn cumuleerbaar voor verschillende diensten.
Cybersecurity voor de bouwsector vraagt geen radicale ommezwaai in uw bedrijfsvoering. Het vraagt dezelfde pragmatische aanpak die u dagelijks op de werf toepast: risico’s inschatten, prioriteiten stellen, en stap voor stap verbeteren. Cyberplan helpt bouwbedrijven in heel Vlaanderen met het vertalen van complexe cybersecurity naar concrete, behapbare acties. Plan een vrijblijvend gesprek en ontdek waar uw bedrijf vandaag staat.
Lees ook de cybersecurity-gids voor de maakindustrie en de zorgsector.
