Data uit de SiteGuardian EU Web Security Benchmark — april 2026, 704.044 websites beoordeeld in 30 landen.
94,8% zakt
We hebben 704.044 Europese websites automatisch gescand op zes dimensies: HTTP-beveiligingsheaders, TLS-configuratie, DNS-beveiliging, e-mailauthenticatie, toegankelijkheid en cookiecompliance.
De resultaten:
| Cijfer | Aandeel |
|---|---|
| A | 0,0% (16 websites) |
| B | 0,2% |
| C | 5,0% |
| D | 52,5% |
| F | 42,3% |
Dit zijn geen obscure websites. De benchmark omvat ondernemingen, overheidsinstellingen, ziekenhuizen, banken en e-commerceplatforms uit de hele EU — organisaties die onder NIS2, DORA of de AVG vallen en dagelijks persoonsgegevens verwerken.
Het regelgevend landschap: wat de EU eist
In de afgelopen drie jaar heeft de EU een regelgevend kader opgebouwd dat webbeveiliging transformeert van nice-to-have naar wettelijke verplichting. Drie regelgevingen springen eruit:
NIS2 (Richtlijn 2022/2555) — de nationale omzetting had uiterlijk oktober 2024 moeten plaatsvinden. Artikel 21(2) verplicht essentiële en belangrijke entiteiten tot concrete maatregelen: cryptografie, incidentrespons, supply-chainbeveiliging en — in paragraaf (e) — kwetsbaarheidsbeheer en -openbaarmaking. Sectoren: energie, vervoer, gezondheidszorg, digitale infrastructuur, maakindustrie, voeding, postdiensten en digitale aanbieders. In Nederland is het NCSC-NL de verantwoordelijke autoriteit. Boetes: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.
DORA (Verordening 2022/2554) — van kracht sinds januari 2025 voor de financiële sector. Artikelen 6-8 schrijven ICT-risicobeheer voor, inclusief identificatie en herstel van kwetsbaarheden. Geldt voor banken, verzekeraars, beleggingsondernemingen, aanbieders van cryptoactivadiensten en hun kritieke ICT-derdepartijleveranciers.
Cyber Resilience Act (Verordening 2024/2847) — verplichte melding van actief misbruikte kwetsbaarheden vanaf september 2026 (art. 11), gecoördineerde kwetsbaarheidsopenbaarmaking vanaf december 2027 (art. 14). Geldt voor fabrikanten, importeurs en distributeurs van digitale producten. Boetes: tot 15 miljoen euro of 2,5% van de omzet.
De eisen liggen er. Hoe ziet de werkelijkheid eruit?
HTTP-beveiligingsheaders: de eerste verdedigingslinie ontbreekt
Beveiligingsheaders zijn server-side instructies die de browser beschermen tegen cross-site scripting, clickjacking, MIME-verwarring en downgrade-aanvallen. Ze kosten niets, vereisen doorgaans één regel configuratie en worden toch nauwelijks toegepast:
| Header | Adoptie | Bescherming |
|---|---|---|
| Strict-Transport-Security (HSTS) | 27,6% | Voorkomt downgrade naar HTTP |
| X-Content-Type-Options | 27,7% | Blokkeert MIME-sniffing |
| X-Frame-Options | 19,2% | Voorkomt clickjacking |
| Referrer-Policy | 13,1% | Beperkt referrer-lekken |
| Content-Security-Policy (CSP) | 10,8% | Beperkt XSS en injectie |
| Permissions-Policy | 6,4% | Beperkt browser-API's |
Drie op de vier websites staan onversleutelde verbindingen toe, ook al is er een TLS-certificaat aanwezig — HSTS ontbreekt. 24,3% stuurt niet eens automatisch door naar HTTPS.
Content Security Policy — de meest effectieve verdediging tegen XSS-aanvallen — ontbreekt op 89% van de websites.
E-mailbeveiliging: phishing in een handomdraai
Phishing en Business Email Compromise zijn de meest voorkomende aanvalsvectoren in Europa. De technische tegenmaatregelen bestaan al jaren — en worden niet ingezet:
| Standaard | Adoptie | Doel |
|---|---|---|
| SPF | 75,7% | Afzenderverificatie |
| STARTTLS | 56,3% | Transportversleuteling |
| DMARC | 46,8% | Beleidshandhaving |
| DKIM | 31,1% | Berichtintegriteit |
| MTA-STS | 0,5% | Afgedwongen transportversleuteling |
SPF alleen is niet genoeg. Zonder DMARC ingesteld op reject of quarantine kan iedereen e-mails versturen namens uw domein. Van de 46,8% die DMARC heeft, stelt 63% het beleid in op none — wat betekent: geen handhaving. Het domein blijft vervalsbaar.
De configuratiefouten die we in de praktijk aantreffen, zijn bijzonder veelzeggend. We zien DMARC-beleidsregels als quarantaine, rejet, keiner, brak (Pools voor "ontbrekend"), beleidsnaam (Nederlands voor "beleidsnaam") — en één website die de volledige RSA-sleutel in het beleidsveld heeft geplakt. Deze configuratiefouten zijn moeilijk te vinden — het record bestaat, het compliancevakje is aangevinkt, maar de bescherming werkt niet. Dit is precies de kloof tussen "geconfigureerd" en "effectief" die SiteGuardian is gebouwd om te dichten: geautomatiseerde controles die niet alleen de aanwezigheid verifiëren, maar de correcte werking van elke maatregel.
DNS: het fundament is onbeveiligd
| Standaard | Adoptie | Doel |
|---|---|---|
| DNSSEC | 15,8% | Bescherming tegen DNS-spoofing |
| CAA | 3,0% | Controle over certificaatuitgifte |
| MTA-STS | 0,5% | Afgedwongen e-mailversleuteling |
| DANE/TLSA | <1% | Certificaatpinning voor SMTP |
84% van de Europese domeinen heeft geen DNSSEC-bescherming. Een aanvaller die DNS-antwoorden kan manipuleren, kan gebruikers omleiden naar frauduleuze sites — compleet met een geldig TLS-certificaat als er geen CAA-record de uitgifte beperkt. 97% heeft er geen.
De security.txt-indicator
RFC 9116 definieert een eenvoudig tekstbestand op /.well-known/security.txt dat beveiligingsonderzoekers een gestandaardiseerd meldkanaal biedt. ENISA beveelt het aan als best practice, NIS2 vereist kwetsbaarheidsopenbaarmaking en de Cyber Resilience Act maakt gecoördineerde openbaarmaking verplicht.
Adoptiegraad in de EU: 2,8%.
De interessante bevinding: security.txt correleert sterk met de algehele volwassenheid van de website.
| Metriek | MET security.txt | ZONDER | Factor |
|---|---|---|---|
| Samengestelde score | 55 | 42 | +31% |
| HSTS | 72% | 26% | 2,8x |
| Content Security Policy | 47% | 10% | 4,7x |
| Cijfer F | 6% | 44% | 7x minder |
security.txt is geen wondermiddel. Wie de tijd neemt om het in te stellen, heeft meestal ook al het andere geregeld. Het is een proxy voor beveiligingsvolwassenheid — als het ontbreekt, ontbreekt doorgaans al het andere ook.
Waar Europa staat: de landenranglijst
| Rang | Land | Score | Aantal |
|---|---|---|---|
| 1 | Malta | 46 | 640 |
| 2 | IJsland | 45 | 928 |
| 3 | Duitsland | 45 | 203.075 |
| 4 | Verenigd Koninkrijk | 44 | 73.769 |
| 5 | Luxemburg | 44 | 1.303 |
| 6 | Zwitserland | 43 | 26.248 |
| 7 | Noorwegen | 43 | 8.814 |
| 8 | Nederland | 43 | 37.893 |
| ... | |||
| 26 | Spanje | 39 | 26.214 |
| 27 | Oostenrijk | 39 | 30.804 |
| 28 | Hongarije | 38 | 6.886 |
| 29 | Litouwen | 38 | 3.539 |
| 30 | Polen | 37 | 30.694 |
Duitsland gaat aan kop onder de grote EU-lidstaten — maar met 45 van de 100 punten. De beste van een slecht stel. Het verschil tussen nummer 1 en nummer 30 is slechts 9 punten. Europa heeft geen koploper die de standaard bepaalt. Het heeft een continentbreed tekort.
Wat CISO's nu moeten doen
1. Meet uw basislijn. Wat je niet meet, kun je niet beheren. Scan uw domeinen — automatisch, regelmatig, over alle zes dimensies.
2. Stel beveiligingsheaders in. HSTS, CSP, X-Content-Type-Options — drie headers die de meeste veelvoorkomende webaanvallen tegengaan. De meeste webframeworks kunnen ze toevoegen met één regel configuratie.
3. Zet DMARC op reject. Begin met quarantine en pct=10, monitor de rapporten en escaleer vervolgens naar reject. policy=none beschermt niemand.
4. Schakel DNSSEC in. Neem contact op met uw DNS-provider. De meeste grote providers ondersteunen het — het hoeft alleen ingeschakeld te worden.
5. Stel security.txt in. Vijf minuten werk, RFC 9116. Twee verplichte velden: Contact en Expires. ENISA noemt het een best practice en NIS2 art. 21(2)(e) vereist kwetsbaarheidsopenbaarmaking.
6. Scan niet alleen de homepage. Subdomeinen, API's, mailservers — het aanvalsoppervlak is groter dan de homepage. Een geautomatiseerde benchmark brengt systematisch aan het licht wat handmatige audits missen.
Methodologie
Dit artikel is gebaseerd op de SiteGuardian EU Web Security Benchmark over 704.044 websites in 30 Europese landen (stand april 2026). De benchmark beoordeelt zes dimensies: HTTP-beveiligingsheaders, TLS-certificaten, DNS-beveiliging (DNSSEC, CAA, DANE, MTA-STS), e-mailauthenticatie (SPF, DKIM, DMARC, STARTTLS), toegankelijkheid (WCAG 2.2 AA) en cookiecompliance. Alle scans worden automatisch en continu uitgevoerd, zonder handmatige selectie of sponsoring.
De benchmark is gratis toegankelijk op siteguardian.io/benchmark.
SiteGuardian is een in de EU gevestigd compliance- en monitoringtool voor webbeveiliging, ontwikkeld in Duitsland.