TL;DR. Voor een Vlaams bedrijf van 100 werknemers ligt de bruto investering in een professioneel phishing simulatie programma in 2026 tussen €1.500 en €4.000 per jaar voor enkel de licentie. Volledig managed trajecten met Nederlandstalige scenario’s en advies komen typisch uit op €5.000 tot €12.000. Met de hervormde kmo-portefeuille (35% subsidie voor middelgrote ondernemingen, 45% voor kleine ondernemingen, sinds 1 februari 2026 exclusief voor cybersecurity) en het VLAIO Verbetertraject (50%) daalt de netto factuur tot een fractie daarvan.
Wie zoekt op “phishing simulatie kosten” zit zelden nog in de oriëntatiefase. U weet wat een simulatie is, u weet waarom u er een nodig hebt, en nu wilt u weten wat het concreet kost. Dat is precies waar de markt vaag wordt. Aanbieders verbergen prijslijsten achter contactformulieren, vergelijkingen kloppen niet voor de Belgische markt, en de werkelijke factuur hangt af van keuzes die niemand u op voorhand uitlegt. Dit artikel geeft u de marktranges, de negen kostenposten die uw factuur opbouwen, drie realistische scenario’s voor een Vlaams bedrijf van 100 werknemers, en de subsidies die de eindprijs drastisch verlagen.
De drie modellen om phishing simulatie aan te kopen
Er bestaat geen vaste prijs voor phishing simulatie omdat er drie fundamenteel verschillende aankoopmodellen bestaan. Elk model heeft een ander prijsplaatje, een andere tijdsinvestering, en een ander profiel dat erbij past.
SaaS-platform (zelf beheerd). U koopt een licentie op een platform zoals KnowBe4, SoSafe of een Belgische speler en draait het programma intern. De licentiekost ligt typisch tussen €12 en €38 per gebruiker per jaar. Geschikt voor bedrijven met een interne IT-securityfunctie die zelf campagnes wil opzetten, scenario’s selecteren, resultaten analyseren en rapporteren aan de directie. Goedkoopste model qua licentie, maar de interne tijdsinvestering is reëel.
Managed service (volledig beheerd). U koopt zowel het platform als de expertise. Een externe partner stelt het jaarplan op, configureert de whitelisting in uw e-mailgateway, kiest of bouwt scenario’s, draait de campagnes en levert kwartaalrapporten met aanbevelingen. Geschikt voor middelgrote bedrijven zonder interne CISO of zonder IT-tijd voor awareness. Hogere kostprijs, lagere interne belasting.
Hybride model. U neemt zelf een SaaS-licentie maar koopt advies in voor de strategie, scenario-keuze en eindrapportage. Geschikt voor bedrijven met een sterk IT-team dat technisch zelfredzaam is maar de strategische laag wil uitbesteden. Het gros van de Vlaamse middelgrote bedrijven landt uiteindelijk in dit model.
| Model | Voor wie | Investering | Interne tijd |
|---|---|---|---|
| SaaS zelf beheerd | Bedrijven met eigen security-functie | Licentie alleen | Hoog |
| Managed service | KMO zonder CISO | Licentie + dienstverlening | Laag |
| Hybride | KMO met sterk IT-team | Licentie + selectief advies | Gemiddeld |
Wat zit er in de prijs? De 9 kostenposten
Een offerte voor phishing simulatie bevat meer dan alleen een licentie per gebruiker. De negen onderstaande posten bepalen samen wat u betaalt, en welke u nodig hebt hangt af van uw context.
Licentie per gebruiker. De basis. In 2026 ligt deze tussen €12 en €38 per gebruiker per jaar voor een professioneel platform, afhankelijk van het tier-niveau. Kleinere bedrijven (onder 50 medewerkers) zitten doorgaans dichter bij de bovenkant van de range door minimum platform fees.
Setup en configuratie. Eenmalige kost voor koppeling met Active Directory of Entra ID, configuratie van de whitelisting in uw mailgateway, en activatie van de Phish Alert Button in Outlook of Gmail. Aanbieders communiceren dit vaak als “1 tot 2 uur”, maar in een complexere IT-omgeving loopt dit uit naar een halve tot een hele dag.
Scenario-bibliotheek. Toegang tot de catalogus van bestaande phishing-templates. Hier zit een belangrijk Vlaams aandachtspunt: Nederlandstalige scenario’s met Belgische context (bpost, FOD Financiën, KBC, BNP Paribas Fortis) zijn doorgaans duurder of zitten alleen in hogere tiers. Een Engelstalige template van een Microsoft-login-pagina werkt niet voor uw boekhouder die “Welkom op Sharepoint” verwacht in het Nederlands.
Training-modules en micro-learnings. Wat krijgt de medewerker te zien na een klik? In basistiers is dit een statische tipspagina. In hogere tiers zijn dit interactieve modules van 3 tot 5 minuten, gamified leertrajecten en getailoreerde micro-learnings op basis van de fout die werd gemaakt.
Integratie met uw IT-stack. Koppeling met Microsoft 365 of Google Workspace voor automatisch gebruikersbeheer, met uw HR-systeem voor instroom en uitstroom, en met uw SIEM of ticketing-systeem voor incident-rapportage. Deze integraties zitten meestal in Professional tiers en hoger.
Rapportage en benchmarking. Standaard krijgt u klikpercentages. Geavanceerde rapportages tonen het Phish-prone Percentage afgezet tegen sectorgemiddelden, evolutie over de tijd, en management dashboards op directieniveau. Voor NIS2-bewijslast hebt u dit type rapportage nodig.
Helpdesk-automatisatie. Wanneer medewerkers verdachte mails rapporteren via de Phish Alert Button, moet iemand of iets die rapportages triëren. Geautomatiseerde triage-tools die echte phishing van valse positieven onderscheiden zitten in de duurdere tiers en besparen reële uren bij uw IT-helpdesk.
Custom scenario’s. Op maat gemaakte simulaties die uw bedrijfscontext gebruiken: een nep-mail van uw eigen IT-leverancier, een vermeende factuur van een bestaande klant, een interne HR-mededeling. Deze scenario’s hebben een sterk hoger klikpercentage en daarom een hogere educatieve waarde, maar worden meestal apart gefactureerd.
Compliance-rapportage. Specifieke audit-rapportages die aansluiten bij CyberFundamentals, ISO 27001 of NIS2-conformiteitsbeoordeling. Voor een Vlaams bedrijf met NIS2-verplichtingen is dit geen nice-to-have maar een operationele eis.
Wat kost phishing simulatie voor een Vlaams bedrijf van 100 werknemers?
Drie realistische scenario’s, op basis van marktranges (geen specifieke vendor-prijzen).
Starter: SaaS-platform basislicentie. Een Essential of Basic-tier voor 100 medewerkers tegen €15 per gebruiker per jaar komt uit op €1.500 jaarlijks. Beperkte scenariobibliotheek, hoofdzakelijk Engelstalig, basisrapportage. Geschikt om een nulmeting te doen en de eerste maanden ervaring op te bouwen. Onvoldoende voor een volwaardig NIS2-conform programma.
Balanced: SaaS-platform met Nederlandstalige scenario’s en integratie. Een Professional tier met Nederlandstalige Vlaamse scenario’s, automatische gebruikerssync via Entra ID en de Phish Alert Button kost rond €25 per gebruiker per jaar, dus circa €2.500 jaarlijks voor 100 medewerkers. Tel daar eenmalig €500 tot €1.500 setup bij, en u landt rond €3.000 tot €4.000 in jaar één. Dit is het profiel waar de meeste Vlaamse middelgrote bedrijven landen.
Premium: managed service met maatwerk. Een Premium-licentie van €30 tot €38 per gebruiker per jaar (€3.000 tot €3.800), aangevuld met advies en uitvoering door een externe partner, custom scenario’s en compliance-rapportage. Totale jaarinvestering: €8.000 tot €12.000. Geschikt voor essentiële entiteiten onder NIS2 of bedrijven die de awareness volledig willen uitbesteden.
Wat u in geen van deze scenario’s terugziet zijn vendor-prijzen of Cyberplan-prijzen. Dit zijn marktranges die de orde van grootte aangeven. Een offerte voor uw specifieke situatie hangt af van uw bedrijfsgrootte, sector, integraties en compliance-eisen.
Verborgen kosten die KMO’s onderschatten
De licentiefactuur is niet de totale investering. Vier verborgen kosten verdienen budgettaire transparantie naar uw directie.
IT-tijd voor configuratie en onderhoud. Phishing simulatie is een kat-en-muisspel met de filters van Microsoft en Google. Wanneer Microsoft Defender een templating-update doet, kunnen uw simulaties geblokkeerd worden of door de sandbox worden “geklikt”, wat valse positieven genereert in uw rapportage. Reken op 2 tot 4 uur IT-tijd per kwartaal voor onderhoud.
Helpdesk-capaciteit. Een succesvolle simulatie traint medewerkers om actief te rapporteren. Bij de eerste campagnes leidt dit tot een piek van meldingen bij uw IT-helpdesk. Zonder geautomatiseerde triage moet een medewerker elke melding handmatig beoordelen. Voor een bedrijf van 100 werknemers met een actieve campagne tellen deze meldingen op tot enkele uren per maand.
Communicatie en interne afstemming. Uw HR- en communicatiedienst moet betrokken worden, de ondernemingsraad of CPBW moet geïnformeerd worden, en u hebt een communicatieplan nodig dat uitlegt waarom medewerkers gephisht worden door hun eigen werkgever. Dit is geen IT-project, het is verandering. Plan minstens een halve dag voor de interne kick-off en een communicatieronde.
Doorlooptijd voor opvolging. Volgens onderzoek wordt een aanzienlijk deel van de incidenten veroorzaakt door medewerkers die herhaald in dezelfde fout vallen. Voor deze “high-risk” groep is individuele opvolging nodig: gesprekken, extra training, soms HR-betrokkenheid. Plan hiervoor managementtijd, want zonder opvolging vlakt het effect van het programma af.
Wat krijgt u voor uw geld? De benchmarks
Een phishing simulatie programma is geen licentie maar een gedragsverandering. De cijfers waarop u uw investering moet afmeten zijn niet de licentiekost, maar de evolutie van uw klik- en meldpercentage.
Het startpunt. Bij een eerste, ongetrainde simulatie ligt het klikpercentage in een Belgische middelgrote organisatie typisch tussen 25% en 35%. Voor 100 medewerkers betekent dit dat 25 tot 35 mensen klikken op de eerste echte aanval die binnenkomt. Volgens KnowBe4 en Hoxhunt benchmarks ligt dit cijfer hoger in sectoren met veel administratief werk en lager in tech-georiënteerde bedrijven.
De evolutie. Na 6 maanden van maandelijkse simulaties met directe feedback en korte trainingen daalt dit klikpercentage typisch naar 8% tot 12%. Na 12 maanden is een waarde onder 5% haalbaar bij consistente uitvoering. Dit is geen marketinggetal: het is wat de gepubliceerde benchmarks van de grootste platformen consistent rapporteren over hun klantenbestand.
Het meldpercentage als positieve metric. Het echte succesteken is niet alleen minder klikken, maar meer meldingen. Een goed getrainde organisatie ziet de eerste melding binnen 5 tot 10 minuten na ontvangst van een phishing-aanval. Tegen die metric meten gaat verder dan het vermijden van fouten: u bouwt een actieve sensorlaag tussen uw filters en uw data.
Sectorverschillen. Productie en logistiek scoren typisch hoger op klikpercentage dan technologie en financiën, maar evolueren even snel naar beneden mits consistente training. De industrie-benchmarks die de meeste platformen aanleveren laten u toe uw cijfer te kaderen tegenover gelijksoortige Belgische of Europese bedrijven.
Verlaag uw factuur met 35% tot 50% via VLAIO-subsidies
Sinds 1 februari 2026 is de Vlaamse kmo-portefeuille beperkt tot uitsluitend cybersecurity-trajecten. Dat lijkt een inperking maar is voor uw phishing simulatie budget juist goed nieuws: cybersecurity-advies, awareness-opleidingen en de bijhorende dienstverlening zijn nu prioritair subsidieerbaar.
Kmo-portefeuille percentages 2026: kleine ondernemingen (minder dan 50 werknemers) ontvangen 45% subsidie, middelgrote ondernemingen (50 tot 250 werknemers) ontvangen 35% subsidie. Het maximum subsidiebedrag bedraagt €7.500 per jaar.
Concreet rekenvoorbeeld. Een middelgroot bedrijf koopt een Balanced-traject van €8.000 (Professional licentie + Nederlandstalige scenario’s + advies + setup). Met 35% kmo-portefeuille subsidie wordt de netto kost €5.200. Voegt u daar het VLAIO Cybersecurity Verbetertraject aan toe (50% subsidie voor begeleide trajecten in de START- of MEDIUM-categorie), dan kunnen onderdelen van een breder awareness-traject onder dat regime vallen.
Belangrijke voorwaarde: de dienstverlener moet erkend zijn door VLAIO. Verifieer dit altijd voor u tekent.
Is phishing simulatie verplicht onder NIS2?
De Belgische wet van 26 april 2024, die NIS2 in nationaal recht omzet, schrijft in artikel 21 lid 2 punt g uitdrukkelijk maatregelen voor inzake “cyberhygiëne-praktijken en opleiding op het gebied van cyberbeveiliging”. Dat geldt voor alle essentiële en belangrijke entiteiten.
Hier komt het onderscheid dat veel bedrijven missen: training en simulatie zijn niet hetzelfde. Een conformiteitsbeoordelingsorgaan (CAB) dat uw CyberFundamentals-niveau Important of Essential evalueert, verwacht aantoonbare gedragsverandering, niet alleen een aanwezigheidslijst van een training. Dat aantonen vraagt periodieke meting, en de standaard daarvoor is gesimuleerde phishing met traceerbare resultaten.
Op CyFun Basic-niveau volstaat een gestructureerd awareness-programma met regelmatige opleiding. Vanaf Important wordt de bewijslast voor gedragsmeting hoger, en daar wordt phishing simulatie de facto onmisbaar. Wat een CAB precies aanvaardt, leest u door in onze gids over de NIS2 conformiteitsbeoordeling.
8 vragen om aan elke aanbieder te stellen voor u tekent
Voor u tekent: stel deze acht vragen aan elke partij die een offerte op tafel legt.
- Hoeveel Nederlandstalige scenario’s zitten in de basisbibliotheek, en hoe vaak worden ze ververst?
- Zit de Phish Alert Button standaard in de licentie of is dat een aparte module?
- Hoe verloopt de integratie met onze Active Directory of Entra ID, en wat is de eenmalige setup-kost?
- Welke rapportage is bruikbaar als bewijsstuk voor een NIS2-conformiteitsbeoordeling of CyFun-verificatie?
- Bevatten de hogere tiers geautomatiseerde triage van rapportages om mijn IT-helpdesk te ontlasten?
- Bent u erkend als dienstverlener voor de VLAIO kmo-portefeuille?
- Wat is de minimum contractduur en kunnen we tussentijds opwaarderen of afschalen?
- Hoeveel custom scenario’s zitten inbegrepen, en wat kost een extra op maat gemaakt scenario?
Een antwoord van “dat regelen we wel” op een van deze vragen is een rood vlag. Een serieuze aanbieder heeft op alle acht een helder antwoord klaar.
Veelgestelde vragen over phishing simulatie kosten
Wat is de gemiddelde prijs van een phishing simulatie voor een Belgische KMO?
Voor een KMO van 100 werknemers ligt de gemiddelde investering in 2026 tussen €1.500 en €4.000 per jaar voor een SaaS-licentie, en tussen €5.000 en €12.000 voor een volledig managed traject met Nederlandstalige scenario’s. Met VLAIO-subsidies daalt de netto factuur met 35% tot 50%.
Komt phishing simulatie in aanmerking voor de kmo-portefeuille in 2026?
Ja. Sinds 1 februari 2026 is de kmo-portefeuille uitsluitend toegespitst op cybersecurity, en zowel awareness-opleidingen als advies rond phishing simulatie zijn subsidieerbaar. Middelgrote ondernemingen ontvangen 35% subsidie, kleine ondernemingen 45%, met een maximum van €7.500 per jaar. Voorwaarde is dat uw aanbieder erkend is bij VLAIO.
Is phishing simulatie verplicht onder NIS2?
NIS2 verplicht in artikel 21 lid 2 punt g cyberhygiëne en cybersecurity-opleiding voor alle essentiële en belangrijke entiteiten. Phishing simulatie wordt expliciet vermeld als methodiek vanaf CyFun-niveau Important. Op Basic-niveau volstaat een gestructureerd awareness-programma, maar voor Important en Essential wordt aantoonbare gedragsmeting verwacht.
Hoe vaak moet ik phishing simulaties versturen?
Maandelijkse simulaties met variërende moeilijkheidsgraad zijn de gepubliceerde benchmark voor effectieve gedragsverandering. Eenmalige campagnes hebben een aantoonbaar kleiner effect. Voor de eerste 6 maanden zijn maandelijkse simulaties cruciaal, daarna kunnen sommige programma’s overschakelen naar adaptieve frequentie op basis van individueel risico.
Wat is een goed klikpercentage bij een phishing simulatie?
Bij een eerste, ongetrainde simulatie ligt het klikpercentage typisch tussen 25% en 35% in een Belgische middelgrote organisatie. Na 12 maanden van consistente simulaties is een waarde onder 5% haalbaar. Belangrijker dan het klikpercentage is het meldpercentage: hoeveel medewerkers melden de phishing-mail proactief.
Welke verborgen kosten moet ik begroten?
Naast de licentie zijn er vier kostenposten die KMO’s vaak onderschatten: IT-tijd voor configuratie en onderhoud, helpdesk-capaciteit voor gerapporteerde mails, interne communicatie en HR-afstemming, en managementtijd voor opvolging van high-risk medewerkers. Reken op een totaal van enkele uren per maand bovenop de licentie.
Kan ik phishing simulatie zelf opzetten zonder externe partner?
Technisch wel, mits u een interne IT-securityfunctie hebt die zelf scenario’s kan kiezen, configureren, analyseren en rapporteren. Voor middelgrote bedrijven zonder eigen CISO is een hybride of managed model meestal efficiënter, omdat de kost van interne tijd vaak hoger uitvalt dan de externe dienstverleningskost.
Klaar om een realistische kostprijs voor uw bedrijf te kennen?
Wat u uiteindelijk betaalt hangt af van uw grootte, sector, NIS2-verplichtingen en interne IT-capaciteit. In een kennismakingsgesprek brengen we uw context in kaart en geven we een eerlijke inschatting van het programma dat past bij uw bedrijf. Geen verkooppraat: een eerste analyse waarmee u zelf een afgewogen budgetkeuze kunt maken, met of zonder Cyberplan.
