NL
NL
Boek een kennismaking
Blog

Phishing simulatie voor bedrijven: de complete gids

Wat is een phishing simulatie? Ontdek hoe bedrijven met gesimuleerde phishingaanvallen het klikgedrag van medewerkers meten, awareness verhogen en NIS2-compliant worden.
en groep medewerkers van een Vlaams bedrijf bestudeert tijdens een Cyberplan phishing simulatie een verdachte e-mail op een groot presentatiescherm om phishing-signalen gezamenlijk te leren herkennen.

Een phishing simulatie is een gecontroleerde test waarbij nep-phishingmails naar medewerkers worden gestuurd om te meten hoe goed zij verdachte berichten herkennen. Bedrijven gebruiken deze simulaties als nulmeting van hun kwetsbaarheid, als bewustwordingsinstrument voor het team en als aantoonbare maatregel voor NIS2-compliance. Uit onderzoek van KnowBe4 (2025) blijkt dat 1 op de 3 medewerkers klikt op een gesimuleerde phishinglink vóór training, maar dat dit percentage met 86% daalt na 12 maanden gerichte awareness.

Phishing blijft de nummer één aanvalsmethode voor cybercriminelen. In 2025 stuurden alerte Belgen bijna 10 miljoen verdachte berichten door naar verdacht@safeonweb.be, en volgens het ENISA Threat Landscape rapport is phishing verantwoordelijk voor zo’n 60% van alle gerapporteerde cybersecurity-incidenten.

En toch: hoeveel van uw medewerkers zouden vandaag op een verdachte link klikken? Die vraag beantwoorden is precies het doel van een phishing simulatie. In deze gids leest u wat een phishing simulatie inhoudt, hoe het traject eruitziet, wat u mag verwachten van de resultaten en hoe het past binnen uw bredere beveiligingsstrategie.

Wat is een phishing simulatie precies?

Een phishing simulatie is een realistische maar onschadelijke test waarbij nep-phishingmails worden verstuurd naar medewerkers van uw organisatie. De mails imiteren de technieken die echte cybercriminelen gebruiken: urgente onderwerpsregels, nagemaakte afzenders, en links naar nep-inlogpagina’s.

Het verschil met een echte aanval? Er wordt niets gestolen. Medewerkers die klikken op een link of hun gegevens invullen, krijgen een directe melding dat het om een simulatie ging. Zo wordt elk foutief klikmoment een leerzaam moment, zonder dat er schade ontstaat.

Een phishing simulatie meet doorgaans drie zaken:

  • Klikpercentage: hoeveel medewerkers klikken op de link in de phishingmail?
  • Credential submission rate: hoeveel medewerkers vullen effectief hun inloggegevens in op de nep-pagina?
  • Meldingspercentage: hoeveel medewerkers melden de verdachte mail aan IT of via de meldknop?

Die laatste metric wordt steeds belangrijker. Veiligheidsexperts zijn het erover eens dat het melden van een verdacht bericht minstens zo waardevol is als het niet klikken. Een organisatie waar medewerkers actief phishing rapporteren, kan sneller reageren bij een echte aanval.

Waarom is een phishing simulatie belangrijk voor uw bedrijf?

De cijfers liegen niet. Volgens het KnowBe4 Phishing by Industry Benchmarking Report 2025, gebaseerd op 67,7 miljoen gesimuleerde phishingtests, klikt gemiddeld 33,1% van de ongetrainde medewerkers op een phishinglink. Dat is 1 op de 3. En een aanvaller heeft maar één geslaagde klik nodig om binnen te geraken.

Dit is niet enkel een technisch probleem. Het Verizon 2025 Data Breach Investigations Report toont aan dat 68% van alle datalekken een menselijke factor bevat. Spamfilters en firewalls vangen veel op, maar de meest geavanceerde phishingmails glippen er regelmatig door. Zeker nu AI-tools het voor criminelen mogelijk maken om foutloze berichten te schrijven in perfect Nederlands, zonder de taalfouten die vroeger een waarschuwingssignaal waren.

Daar komt bij: phishing simulaties zijn niet alleen verstandig, ze worden steeds vaker verplicht. De NIS2-wetgeving, die in België van kracht is sinds oktober 2024, verplicht organisaties binnen de scope om regelmatige cybersecurity awareness trainingen te voorzien voor alle medewerkers en het management (Artikel 20 en 21). Een phishing simulatie is een van de meest concrete manieren om aan die verplichting te voldoen.

Maar ook bedrijven die niet rechtstreeks onder NIS2 vallen, merken het effect. Steeds meer grote opdrachtgevers eisen van hun leveranciers dat zij hun cybersecurity-compliance op orde hebben, inclusief bewijs van security awareness bij het personeel.

Hoe verloopt een phishing simulatie in de praktijk?

Een professionele phishing simulatie verloopt in vijf stappen. Hier is wat u kunt verwachten:

Stap 1: voorbereiding en scoping

Samen met de security partner bepaalt u de scope. Hoeveel medewerkers nemen deel? Welke afdelingen worden getest? Worden specifieke scenario’s gebruikt, zoals een nep-factuur van een leverancier of een zogenaamd bericht van Microsoft 365?

In deze fase worden ook de juridische en privacy-afspraken gemaakt. De resultaten worden op organisatie- of afdelingsniveau gerapporteerd, nooit op individueel niveau. Het doel is leren, niet straffen.

Stap 2: ontwerp van de phishingcampagne

De simulatie wordt opgebouwd met scenario’s die aansluiten bij uw sector en bedrijfscontext. Een maakbedrijf krijgt andere mails dan een zorginstelling. Hoe realistischer de simulatie, hoe waardevoller de resultaten.

Veelgebruikte scenario’s zijn onder meer:

  • Een nep Microsoft 365-loginpagina
  • Een dringende betaalverzoek-mail van “de CEO”
  • Een pakketbezorging met trackinglink
  • Een HR-communicatie over loonbrief of verlof

Stap 3: verzending en monitoring

De phishingmails worden verstuurd naar de deelnemers. Het security-team monitort in real time wie opent, klikt en eventueel gegevens invult. Deze data wordt anoniem geaggregeerd per afdeling.

Stap 4: directe feedback

Medewerkers die klikken, krijgen onmiddellijk een melding: dit was een simulatie. Die directe feedback zorgt voor een emotioneel leermoment dat volgens het SANS Institute bijzonder effectief is. Uit onderzoek van SANS blijkt dat medewerkers die bij een simulatie klikken en directe feedback krijgen, beduidend minder snel opnieuw klikken bij toekomstige tests.

Stap 5: rapportage en vervolgtraject

Na afloop ontvangt u een rapport met de kernresultaten: klikpercentage per afdeling, credential submission rate, meldingspercentage en een vergelijking met benchmarks. Op basis van die resultaten wordt een vervolgtraject uitgestippeld, typisch een combinatie van gerichte security awareness training en een herhalingssimulatie na 3 tot 6 maanden.

Welke resultaten mag u verwachten?

Het gemiddelde klikpercentage bij een eerste phishing simulatie ligt volgens KnowBe4 rond de 33%. Dat klinkt hoog, maar het goede nieuws is dat dit percentage snel daalt met de juiste aanpak.

Na 90 dagen security awareness training daalt het klikpercentage met gemiddeld 40%. Na 12 maanden consistent trainen en simuleren is de daling zelfs 86%. Dat zijn geen marginale verbeteringen, maar een fundamentele gedragsverandering.

Volgens het Proofpoint State of the Phish rapport ligt het gemiddelde faalpercentage bij organisaties die al enige tijd simulaties draaien rond de 5%. Security-expert Lance Spitzner van het SANS Institute stelt dat een klikpercentage onder de 5% voor de meeste organisaties een gezond niveau is, maar benadrukt dat een klikpercentage van 0% niet het doel moet zijn. De focus moet liggen op het verlagen van de trend en het verhogen van het meldingspercentage.

Waar u ook op moet letten: herhaalde klikkers. Uit onderzoek blijkt dat het merendeel van het risico binnen een organisatie geconcentreerd zit bij een kleine groep medewerkers die bij meerdere simulaties klikt. Gerichte 1-op-1 coaching voor deze groep is effectiever dan generieke training voor de hele organisatie.

Phishing simulatie en NIS2: wat is de link?

De Belgische NIS2-wet verplicht organisaties om passende maatregelen te treffen voor cybersecurity, waaronder expliciet de training en bewustwording van medewerkers. Artikel 20 lid 2 van de NIS2-richtlijn schrijft voor dat bestuursorganen verplicht zijn om cybersecurity-training te volgen en dit ook aan te bieden aan hun medewerkers.

Concreet betekent dit dat bedrijven die onder NIS2 vallen, moeten kunnen aantonen dat zij structureel werken aan security awareness. Een phishing simulatie met rapportage levert precies dat bewijs: meetbare resultaten die u kunt voorleggen bij een audit of conformiteitsbeoordeling.

Met de NIS2-conformiteitsdeadline van 18 april 2026 in zicht, is dit het moment om uw awareness-programma op te starten of te formaliseren.

Goed om te weten: via de VLAIO KMO-portefeuille kunt u als Vlaamse KMO tot 45% subsidie krijgen op cybersecurity-advies en -training. Dit geldt ook voor phishing simulaties en awareness trainingen.

Waar moet u op letten bij het kiezen van een partner?

Niet elke phishing simulatie levert dezelfde waarde op. Bij het kiezen van een partner voor phishing simulaties zijn er enkele criteria die het verschil maken:

Realisme van de scenario’s. Kant-en-klare templates die er voor uw medewerkers niet herkenbaar uitzien, leveren weinig op. Een goede partner maakt scenario’s op maat van uw sector, taal en bedrijfscultuur.

Privacy en ethiek. De resultaten mogen nooit op individueel niveau worden gedeeld met het management. Het doel is awareness vergroten, niet medewerkers afstraffen. Een professionele partner hanteert duidelijke afspraken hierover.

Koppeling met training. Een simulatie op zichzelf is een meting, geen oplossing. De echte waarde ontstaat wanneer de resultaten worden gekoppeld aan gerichte awareness training. Zoek een partner die beide aanbiedt als geïntegreerd traject.

Belgische context. Phishingscenario’s die inspelen op Belgische realiteiten (bpost-pakketmeldingen, CM-berichten, itsme-verificaties) zijn relevanter en daardoor waardevoller dan generieke internationale templates. Niet voor niets toonde Safeonweb aan dat nep-bpostmails en nep-CM-berichten tot de meest gemelde phishingcampagnes in België behoren.

Rapportage op afdelingsniveau. De waarde zit in het herkennen van patronen: welke afdelingen zijn kwetsbaarder? Waar moet extra aandacht naartoe? Een goed rapport geeft niet alleen cijfers, maar ook concrete aanbevelingen voor vervolgstappen.

De nieuwste phishingtechnieken in 2026

Phishing evolueert razendsnel. Waar vroeger een spelfout in de e-mail al een waarschuwingssignaal was, maken cybercriminelen in 2026 gebruik van steeds geavanceerdere technieken:

  • AI-geschreven phishingmails: Dankzij generatieve AI schrijven aanvallers foutloos Nederlands, Frans en Engels. Klassieke herkenningspunten zoals slechte grammatica verdwijnen.
  • QR-code phishing (quishing): Steeds vaker bevatten phishingmails geen link maar een QR-code, die moeilijker te filteren is door spamfilters.
  • OAuth-phishing: In plaats van wachtwoorden te stelen, vragen aanvallers toestemming voor een “app” die namens u kan handelen, waarmee ze MFA omzeilen.
  • Conversation hijacking: Aanvallers breken in op een bestaande mailbox en antwoorden binnen een lopende e-mailthread, waardoor het bericht automatisch geloofwaardig overkomt.
  • Multi-channel aanvallen: Een combinatie van phishingmail gevolgd door een telefoontje van de “IT-afdeling” of “bank” om urgentie te creëren.

Recent werd nog het Tycoon 2FA-platform opgerold door Europol en Microsoft. Dit platform, actief sinds 2023, maakte het mogelijk om zelfs tweefactorauthenticatie te omzeilen. Volgens Microsoft vielen meer dan 500 Belgische organisaties ten prooi aan dit platform. Een phishing simulatie die deze moderne technieken nabootst, bereidt uw team veel beter voor dan een standaard template.

Hoe vaak moet u een phishing simulatie uitvoeren?

Een eenmalige simulatie is een momentopname. Om werkelijk gedragsverandering te realiseren, is herhaling essentieel.

De aanbevolen frequentie is minimaal eens per kwartaal een simulatie, gecombineerd met doorlopende awareness-activiteiten zoals e-learnings, korte herinneringsberichten en posters. Onderzoek toont aan dat het effect van awareness training na 3 tot 6 maanden begint af te nemen als er geen vervolg komt.

Een effectief jaarplan ziet er als volgt uit:

  1. Nulmeting: eerste simulatie om het basisniveau vast te stellen
  2. Training: gerichte awareness training op basis van de resultaten
  3. Herhalingssimulatie (na 3 maanden): meting van de eerste verbetering
  4. Doorlopend (kwartaalbasis): wisseling van scenario’s en moeilijkheidsgraad
  5. Jaaroverzicht: rapportage aan directie met trends, benchmarks en aanbevelingen

Dit traject levert niet alleen betere beveiliging op, maar ook het documentatiebewijs dat u nodig hebt voor NIS2-compliance en eventuele cyberverzekeringsvereisten.

Veelgestelde vragen over phishing simulaties

Wat kost een phishing simulatie voor een bedrijf?

De kosten van een phishing simulatie hangen af van het aantal medewerkers, de complexiteit van de scenario’s en of er een awareness training aan gekoppeld wordt. Voor een Vlaamse KMO met 50 tot 250 medewerkers start een professioneel traject van simulatie inclusief rapportage en basistraining doorgaans vanaf enkele duizenden euro’s. Via de VLAIO KMO-portefeuille kunt u tot 45% subsidie ontvangen.

Is een phishing simulatie verplicht onder NIS2?

NIS2 verplicht niet letterlijk een phishing simulatie, maar schrijft wel voor dat organisaties passende maatregelen nemen voor cybersecurity awareness en training van medewerkers (Artikel 20 en 21). Een phishing simulatie is een van de meest concrete en meetbare manieren om hieraan te voldoen en het bewijs te leveren bij een audit.

Worden de resultaten per individu gedeeld?

Bij een professionele phishing simulatie worden resultaten op organisatie- of afdelingsniveau gerapporteerd, niet op persoonlijk niveau. Het doel is bewustwording creëren, niet individuele medewerkers bestraffen. Inloggegevens die tijdens een simulatie worden ingevoerd, worden niet opgeslagen.

Hoe snel zien we verbetering na een phishing simulatie?

Volgens onderzoek van KnowBe4 (2025) daalt het klikpercentage met gemiddeld 40% binnen 90 dagen na het starten van awareness training gecombineerd met simulaties. Na 12 maanden is de gemiddelde daling 86%. De snelheid van verbetering hangt af van de frequentie van simulaties en de kwaliteit van de begeleidende training.

Kan een phishing simulatie de werksfeer negatief beïnvloeden?

Dat risico bestaat alleen wanneer de simulatie punitief wordt ingezet. Een goed opgezet programma communiceert vooraf naar het management dat het een leertraject betreft, biedt directe constructieve feedback bij een klik, en deelt resultaten nooit op individueel niveau. Zo wordt de simulatie een positief bewustwordingsmoment in plaats van een bron van wantrouwen.

Wat is het verschil tussen een phishing simulatie en een pentest?

Een phishing simulatie test het gedrag en de awareness van medewerkers tegenover social engineering aanvallen. Een pentest (penetratietest) test de technische beveiliging van uw netwerk, systemen of applicaties. Beide zijn complementair: de simulatie richt zich op de menselijke factor, de pentest op de technische kwetsbaarheden. In een volwassen security-aanpak combineert u beide.

Conclusie: start met een nulmeting

Phishing blijft de meest gebruikte aanvalsmethode, en uw medewerkers zijn daarbij de eerste verdedigingslijn. Een professionele phishing simulatie geeft u inzicht in hoe kwetsbaar uw organisatie vandaag is, biedt een concreet startpunt voor verbetering, en levert het bewijs dat u structureel aan awareness werkt.

Met de NIS2-deadline van 18 april 2026 in aantocht en de VLAIO KMO-portefeuille die tot 45% subsidie biedt op cybersecurity-training, is er geen beter moment om te starten.

Benieuwd hoe uw team scoort? Plan een kennismakingsgesprek en ontdek hoe Cyberplan een phishing simulatie op maat van uw organisatie opzet.