Cybersecurity voor MKB en ondernemers: de complete gids

Eén op de drie Nederlandse ondernemers wordt slachtoffer van cybercriminaliteit. De gemiddelde schade voor een MKB-bedrijf na een succesvolle aanval ligt tussen de 50.000 en 200.000 euro — herstelkosten, omzetverlies, boetes en reputatieschade samen. En toch neemt nog steeds één op de vijf kleine MKB-bedrijven geen enkele cyberveiligheidsmaatregel. De gedachte “mij overkomt dat niet” is daarmee een van de duurste vergissingen die je als ondernemer kunt maken.

In deze gids zetten we alles op een rij wat MKB-ondernemers moeten weten over cybersecurity. Welke bedreigingen zijn er, welke maatregelen werken écht, wat verandert er met de nieuwe Europese cybersecurity-wetgeving, en hoe pak je dit aan zonder dat je je bedrijf in een IT-fort hoeft te veranderen?

Waarom MKB een geliefd doelwit is

Cybercriminelen kiezen geen willekeurige doelwitten. Ze kiezen wat het meeste oplevert tegen het laagste risico. En precies daar zit het probleem voor het Nederlandse MKB: de meeste MKB-bedrijven hebben waardevolle data, financiële middelen en operationele afhankelijkheid van IT — maar met dezelfde middelen en aandacht voor beveiliging als een doorsnee huishouden. Voor een aanvaller is dat een ideale combinatie.

De vijf redenen dat MKB-bedrijven extra kwetsbaar zijn:

• Beperkte IT-capaciteit — geen eigen security officer, vaak één externe IT-partner die ook alle andere dingen doet
• Verouderde software — updates worden uitgesteld om continuïteit niet te verstoren
• Beperkt budget voor beveiliging — security wordt vaak gezien als kostenpost in plaats van risicoreductie
• Beperkte medewerkerstraining — de meeste medewerkers herkennen geen geavanceerde phishing-pogingen
• Onderschatting van het risico — “wij zijn te klein om interessant te zijn” is een van de duurste misvattingen in het MKB

De gerichtheid van aanvallen is ook veranderd. Waar criminelen vroeger massaal lukraak doelwitten kozen, zien we nu steeds gerichtere aanvallen op specifieke sectoren en bedrijven. Een aanvaller doet eerst wekenlang onderzoek naar je organisatie, je medewerkers en je leveranciers voordat de eerste phishing-mail wordt verstuurd. Dat maakt de aanval lastiger te herkennen.

Cybersecurity is een onderdeel dat in elk modern ondernemingsplan thuishoort — vooral bij de risicoanalyse en het operationele plan. Voor wie zijn complete plan wil opbouwen, biedt onze pillar over het ondernemingsplan in Nederland de structuur waarin cybersecurity een logische plaats krijgt.

De vier meest voorkomende aanvalsvormen

Niet alle cyberaanvallen zijn gelijk. Voor MKB-bedrijven komen vier vormen verreweg het meest voor.

1. Phishing (en social engineering)

Phishing blijft de meest voorkomende aanvalsvorm en is goed voor ongeveer 4 op de 10 succesvolle aanvallen. De aanval lijkt simpel — een nep-e-mail die eruitziet als een bericht van je bank, Microsoft, een leverancier of de Belastingdienst — maar de geavanceerdheid groeit snel. Moderne phishing-mails zijn perfect Nederlands, hebben juiste logo’s, refereren aan echte facturen of zaken die binnen de organisatie spelen.

Spear phishing is de gerichte variant: aanvallen specifiek op één persoon binnen jouw bedrijf, vaak gepersonaliseerd met informatie die ze via sociale media of LinkedIn hebben verzameld.

2. Ransomware

Bij een ransomware-aanval krijgen criminelen toegang tot je systemen en versleutelen ze al je bestanden. Vervolgens eisen ze losgeld — vaak betaalbaar in cryptocurrency — om de bestanden weer toegankelijk te maken. Voor MKB-bedrijven met minder dan vijftig medewerkers ligt het gemiddelde geëiste bedrag rond de 80.000 dollar.

Wat ransomware extra gevaarlijk maakt is de dubbele dreiging: betaal je niet, dan worden je bestanden niet alleen vernietigd, maar ook gepubliceerd. Klantgegevens, contracten, financiële cijfers — allemaal openbaar.

3. Business Email Compromise (CEO-fraude en factuurfraude)

Bij deze aanval doet een crimineel zich voor als jouw directeur, CEO of een vaste leverancier. Een medewerker krijgt een mail (vaak vlak voor een weekend) met de vraag om een spoedoverboeking uit te voeren. De toon klopt, de aanhef klopt, de “deadline” voelt urgent.

Een variant is factuurfraude: een nepfactuur van een schijnbaar bekende leverancier, met een afwijkend bankrekeningnummer. Het gemiddelde schadebedrag per geval ligt rond de 70.000 dollar.

4. Credential stuffing en wachtwoordmisbruik

Wanneer ergens op het internet een dataset met inloggegevens wordt gelekt (en dat gebeurt vrijwel dagelijks), proberen criminelen die gegevens automatisch op duizenden andere websites. Werkt je medewerker met hetzelfde wachtwoord voor zijn LinkedIn en voor jouw bedrijfssysteem? Dan is dat een open deur.

Andere belangrijke aanvalsvormen om te kennen:

• Supply chain-aanvallen — via een gecompromitteerde leverancier of softwarepakket
• Helpdesk-fraude — telefonisch contact waarin iemand zich voordoet als Microsoft-medewerker
• DDoS-aanvallen — je website wordt platgelegd door een overvloed aan verkeer

Wat een cyberaanval echt kost

De directe kosten van een aanval — losgeld, IT-herstel, vervangende systemen — zijn vaak maar een fractie van de werkelijke schade. Voor een MKB-bedrijf liggen de totale kosten van een serieuze cyberaanval gemiddeld tussen de 50.000 en 200.000 euro.

Waar die kosten uit bestaan:

• Operationele stilstand — gemiddeld een tot drie weken niet kunnen werken
• IT-herstel en forensisch onderzoek — externe specialisten zijn niet goedkoop
• Verloren omzet — klanten die in die periode naar concurrenten gaan
• Boetes — bij een datalek dat persoonsgegevens raakt, mogelijk een boete van de Autoriteit Persoonsgegevens
• Reputatieschade — klanten die afhaken nadat ze horen dat hun gegevens zijn gelekt
• Verhoogde verzekeringspremies — na een incident gaan de premies vrijwel altijd omhoog
• Juridische kosten — claims van klanten of leveranciers wiens data is gelekt
• Persoonlijke aansprakelijkheid — onder de nieuwe wetgeving kunnen bestuurders persoonlijk aansprakelijk worden gesteld

Een berekening die veel ondernemers vergeten te maken: wat kost een week stilstand jouw bedrijf? Als je dat bedrag vergelijkt met de jaarlijkse investering in cybersecurity, is de afweging vrijwel altijd duidelijk.

De Cyberbeveiligingswet (NIS2): wat ondernemers moeten weten

De Europese NIS2-richtlijn wordt in Nederland geïmplementeerd via de Cyberbeveiligingswet (Cbw). Dit is de grootste verandering in cybersecurity-regelgeving voor het Nederlandse bedrijfsleven van het afgelopen decennium.

Voor wie geldt NIS2?

De wet geldt direct voor middelgrote en grote organisaties in achttien kritieke sectoren — energie, transport, financiële dienstverlening, gezondheidszorg, digitale infrastructuur, voedselproductie, vervaardigingsindustrie en meer. Naar schatting vallen 8.000 tot 10.000 Nederlandse organisaties direct onder de wet.

Maar: ook bedrijven die niet direct onder NIS2 vallen, krijgen ermee te maken. Lever je aan een organisatie die wel onder NIS2 valt? Dan moet die organisatie van jou aantoonbare cybersecurity-maatregelen verwachten. In de praktijk betekent dit dat duizenden MKB-bedrijven indirect via hun klanten met NIS2-eisen worden geconfronteerd.

De vier hoofdverplichtingen

Voor organisaties die onder NIS2 vallen, gelden vier kernverplichtingen:

• Zorgplicht — risicoanalyse uitvoeren en tien basis-beveiligingsmaatregelen invoeren
• Meldplicht — ernstige incidenten binnen 24 uur melden bij het NCSC
• Registratieplicht — aanmelden bij de toezichthouder via het NCSC-portaal
• Leveranciersverantwoordelijkheid — verifiëren dat ook leveranciers passende maatregelen hebben

Boetes en aansprakelijkheid

De boetes zijn aanzienlijk: tot tien miljoen euro of twee procent van de wereldwijde jaaromzet. Maar wat veel ondernemers over het hoofd zien: bestuurders kunnen persoonlijk aansprakelijk worden gesteld als ze hun zorgplicht niet zijn nagekomen. Cybersecurity is daarmee niet alleen een IT-onderwerp meer, maar een directiekwestie.

Ook als je niet onder NIS2 valt

Voor het kleinere MKB dat niet onder NIS2 valt, geldt dezelfde realiteit: de risico’s bestaan onverminderd. De NIS2-maatregelen zijn niet alleen wettelijke verplichtingen — ze zijn ook gewoon goede praktijk voor elk bedrijf dat zijn continuïteit serieus neemt.

De tien basismaatregelen die elk MKB-bedrijf moet nemen

Of je nu onder NIS2 valt of niet, deze tien maatregelen vormen de basis van een degelijk cybersecurity-beleid. Geen rocket science, geen miljoeneninvestering — gewoon de fundamenten op orde.

1. Multifactorauthenticatie (MFA) overal

Het belangrijkste enkele besluit dat je kunt nemen. MFA zorgt dat een gestolen wachtwoord niet voldoende is om toegang te krijgen. Voor alle bedrijfsaccounts, e-mail, en bankzaken: MFA is geen optie, het is de standaard.

2. Wachtwoordbeheer met een password manager

Stop met wachtwoorden onthouden, hergebruiken of opschrijven. Een goede password manager genereert unieke wachtwoorden van vijftien tekens of meer voor elke dienst, slaat ze versleuteld op, en deelt ze veilig binnen je team.

3. Automatische software-updates

Verouderde software is het meest gebruikte aanvalspad. Stel automatische updates in voor besturingssystemen, browsers, antivirus en alle bedrijfsapplicaties. Wat eerder vandaag wordt geüpdatet, wordt minder snel gehackt.

4. Endpoint protection op alle apparaten

Geavanceerde antivirus en endpoint detection-software op alle laptops, telefoons en servers. Niet de gratis versie — de zakelijke versie die centrale rapportage en beheer biedt.

5. Backups (en test ze)

De gouden regel: 3-2-1 — drie kopieën van je data, op twee verschillende media, waarvan één offsite. Maak backups dagelijks, automatiseer ze, en — dit wordt vaak vergeten — test minstens elk kwartaal of de backups daadwerkelijk teruggezet kunnen worden.

6. Toegangsbeheer (least privilege)

Niet elke medewerker hoeft toegang te hebben tot elk systeem. Geef iedereen alleen de toegang die strikt nodig is voor zijn of haar functie. Bij vertrek van een medewerker: directe deactivering van alle accounts.

7. Een incident response plan

Wat doe je als het misgaat? Een vooraf opgesteld plan — wie bel je, welke systemen ga je eerst isoleren, hoe communiceer je naar klanten — bespaart in een crisissituatie dagen aan twijfel en paniek.

8. Risicoanalyse en assetinventaris

Weet je welke data, systemen en applicaties je hebt? En welke daarvan kritiek zijn voor je bedrijfsvoering? Een jaarlijkse risicoanalyse is geen luxe maar de basis voor alle andere maatregelen.

9. Medewerkerstraining (regelmatig en doorlopend)

De technische maatregelen kunnen perfect zijn — als een medewerker op een phishing-link klikt, is alles voor niets. Train je team minimaal tweemaal per jaar, met phishing-simulaties tussendoor.

10. Leveranciersbeoordeling

Welke externe partijen hebben toegang tot jouw systemen of data? Boekhouder, IT-partner, salarisadministratie, cloud-leveranciers. Beoordeel hun cybersecurity, leg afspraken contractueel vast, en check periodiek of ze nog voldoen.

Phishing: de aanval die nooit verdwijnt

Omdat phishing veruit de meest voorkomende aanval is, verdient deze categorie extra aandacht. Het goede nieuws: bijna alle phishing-aanvallen zijn te voorkomen — als je medewerkers de signalen herkennen.

Wat moderne phishing zo gevaarlijk maakt:

• Perfect geschreven Nederlands (vroeger zaten er taalfouten in, nu niet meer)
• Echte logo’s en huisstijl van banken, Microsoft, leveranciers
• Verwijzingen naar zaken die echt in jouw organisatie spelen
• Tijdsdruk creëren (“vandaag nog reageren”)
• Multi-stage aanvallen waarbij eerst vertrouwen wordt opgebouwd

Signalen die je medewerkers moeten leren herkennen:

• E-mailadressen die nét anders zijn (info@bedrij-fnaam.nl in plaats van info@bedrijfsnaam.nl)
• Verzoeken om gevoelige informatie buiten gebruikelijke kanalen
• Drukverhogende formuleringen (“Reageer binnen 24 uur of…”)
• Onverwachte bijlagen of links naar externe websites
• Verzoeken om wachtwoorden of inloggegevens (legitieme partijen vragen die nooit per mail)

De belangrijkste vraag bij elke verdachte mail: niet “lijkt deze mail echt?” maar “klopt dit verzoek, los van hoe het eruitziet?” Een onverwachte mail van je CEO met een spoedoverboeking? Bel hem. Een rare factuur van een bekende leverancier? Bel ze met het normale telefoonnummer (niet het nummer uit de mail).

Voor wie zijn online vindbaarheid in zoekmachines wil versterken én tegelijk wil voorkomen dat zijn merknaam wordt misbruikt voor phishing, is een sterke SEO-strategie onderdeel van de verdediging — hoe beter je echte website rankt, hoe lastiger het wordt voor nepwebsites om verkeer af te leiden.

Ransomware: wat te doen als het misgaat

Stel: je medewerker komt op maandagochtend op kantoor en alle bestanden zijn versleuteld. Een bericht op het scherm eist betaling in Bitcoin binnen 72 uur. Wat doe je?

Wat je NIET moet doen

• Betalen — je hebt geen garantie dat je de bestanden terugkrijgt, en je financiert criminele organisaties
• Aanmelden in de versleutelde systemen — kan extra besmetting veroorzaken
• Wachten met externe hulp — elke uur kost geld en vergroot de schade
• De aanval verzwijgen — bij datalekken is melden bij de Autoriteit Persoonsgegevens binnen 72 uur verplicht

Wat je WEL moet doen

• Direct alle systemen offline halen — laptops, servers, internet — om verspreiding te stoppen
• Externe cybersecurity-specialist inschakelen — bij voorkeur één met wie je vooraf afspraken hebt gemaakt
• Melding maken bij het NCSC — bij ernstige incidenten verplicht binnen 24 uur
• Politie informeren — bij verdenking van strafbare feiten
• Datalekmelding voorbereiden — als persoonsgegevens betrokken zijn, melding bij de AP binnen 72 uur
• Backup-procedure activeren — als je backups goed werken, kun je vaak terug naar de stand van gisteren

Voorkomen is goedkoper

Een goed werkende backup-strategie en een vooraf opgesteld incident response plan zijn samen verreweg de beste verdediging tegen ransomware. Als je je systemen binnen één dag kunt herstellen, heeft een aanvaller geen drukmiddel meer.

De menselijke factor: trainen, oefenen, herhalen

Bij ongeveer 90 procent van alle succesvolle cyberaanvallen zit er ergens een menselijke handeling tussen — een klik op een link, een wachtwoord delen, een bijlage openen. Dat maakt je medewerkers tegelijk je grootste risico én je belangrijkste verdediging.

Wat werkt:

• Korte, frequente trainingen (15-20 minuten per kwartaal) werken beter dan één dag per jaar
• Phishing-simulaties waarbij medewerkers veilige nep-phishing krijgen om hun alertheid te testen
• Cultuur waarin twijfel wordt aangemoedigd — een medewerker moet zonder gezichtsverlies kunnen zeggen “ik vertrouw dit niet”
• Concrete voorbeelden uit de eigen branche — generieke verhalen blijven minder goed hangen

Wat niet werkt:

• Eenmalige verplichte training — kennis zakt binnen weken weg
• Bestraffing van medewerkers die fouten maken — zorgt dat incidenten niet meer worden gemeld
• Alleen technische maatregelen zonder bewustwording — perfecte techniek vangt geen menselijke beslissingen op
• Communicatie alleen vanuit IT — security moet door de directie worden gedragen, niet door de IT-afdeling alleen

Voor groeiende bedrijven die hun werkgeverschap serieus nemen, is cybersecurity-bewustwording onderdeel geworden van een gezonde bedrijfscultuur — net als gezondheid en veiligheid in fysieke zin.

Leveranciers en de keten: jouw risico is hun risico

Een van de grootste blinde vlekken in MKB-cybersecurity zit niet bij het eigen bedrijf, maar bij externe leveranciers. Je IT-partner, boekhouder, salarisadministratie, online tools, cloudleveranciers — allemaal hebben ze toegang tot delen van jouw data of systemen.

Het probleem: als jouw leverancier wordt gehackt, ben jij vaak ook geraakt. En andersom: als de leverancier van een grote klant wordt gehackt en jij bent daar onderdeel van, kun je verantwoordelijk worden gehouden.

Wat je kunt doen:

• Inventariseer al je leveranciers met toegang tot data of systemen
• Beoordeel hun cybersecurity — vraag naar certificeringen (ISO 27001, NEN 7510)
• Leg afspraken vast — wat doen zij bij een incident, hoe snel melden, welke aansprakelijkheid
• Check periodiek — minimaal jaarlijks evalueren of leveranciers nog voldoen

Voor wie zijn complete digitale infrastructuur — van betalingen tot boekhouding — onder de loep wil nemen, biedt onze pillar over fintech in Nederland een overzicht van moderne, veiligheidsbewuste financiële tools.

Cybersecurity-verzekering: zin of onzin?

Een cyberverzekering dekt schade door cyberincidenten — losgeld, herstelkosten, juridische kosten, claims van klanten. Voor MKB-bedrijven is het inmiddels een serieuze overweging.

Wat een goede cyberverzekering dekt:

• Eerste hulp en forensisch onderzoek na een incident
• Herstelkosten van systemen en data
• Juridische ondersteuning en eventuele boetes
• Aansprakelijkheidsclaims van klanten of leveranciers
• Reputatiemanagement na een grote inbreuk
• 24/7 incident response-team

Wat het NIET vervangt:

• Goede basis-beveiligingsmaatregelen — verzekeraars eisen die juist
• Backup en recovery-strategie
• Medewerkerstraining
• Een incident response plan

Belangrijke kanttekening: verzekeraars stellen steeds strengere eisen aan polishouders. Geen MFA? Geen backup? Geen training? Dan ben je vaak helemaal niet verzekerd, of wordt schade alsnog uitgekeerd nadat is vastgesteld dat de basis op orde was.

Voor snelgroeiende startups is een cyberverzekering vaak een eis vanuit investeerders en grote klanten — zonder polis krijg je bepaalde contracten niet meer.

Belangrijke Nederlandse instanties en bronnen

Het Nederlandse cybersecurity-landschap kent een aantal instanties die specifiek voor MKB en ondernemers van belang zijn.

NCSC (Nationaal Cyber Security Centrum)

Het centrale meldpunt voor cyberincidenten. Voor organisaties die onder NIS2 vallen verplicht; voor andere bedrijven biedt het NCSC waardevolle dreigingsinformatie, kwetsbaarheidsadviezen en handreikingen.

Digital Trust Center (DTC)

Specifiek opgericht voor het MKB. Biedt gratis tools, scans en adviezen aan bedrijven die niet onder NIS2 vallen. Alleen 14 procent van de MKB-ondernemers kent het DTC — een gemiste kans voor de andere 86 procent.

Autoriteit Persoonsgegevens (AP)

De toezichthouder op de AVG. Bij elk datalek waarbij persoonsgegevens betrokken zijn, moet binnen 72 uur melding worden gemaakt. Boetes voor het niet of te laat melden kunnen aanzienlijk zijn.

Rijksinspectie Digitale Infrastructuur (RDI)

De aankomende toezichthouder op de Cyberbeveiligingswet (NIS2). Voert audits uit, ontvangt incidentmeldingen en heeft de bevoegdheid om boetes op te leggen.

Politie (Team High Tech Crime)

Bij verdenking van strafbare feiten. Bel 0900-8844 of doe online aangifte. Het is verstandig om aangifte te doen ook als je weinig hoop hebt op opheldering — dat helpt bij verzekeringsclaims en het opbouwen van politionele kennis over aanvalspatronen.

Een praktisch stappenplan voor de komende drie maanden

Cybersecurity hoeft geen overweldigend project te zijn. Met een gestructureerde aanpak kun je in drie maanden de belangrijkste basis op orde brengen.

Maand 1: inventariseren en quick wins

• Week 1: assetinventaris maken — welke systemen, data en accounts heb je?
• Week 2: MFA inschakelen op alle bedrijfsaccounts
• Week 3: password manager invoeren voor het hele team
• Week 4: software-updates centraal beheren en automatiseren

Maand 2: structuur en plannen

• Week 5-6: risicoanalyse uitvoeren — welke incidenten zouden je het hardst raken?
• Week 7: incident response plan opstellen — wie bel je, wat doe je?
• Week 8: backup-strategie controleren en testen

Maand 3: mensen en partners

• Week 9-10: eerste medewerkerstraining + phishing-simulatie
• Week 11: leveranciersinventaris en hun cybersecurity-niveau beoordelen
• Week 12: evaluatie en planning voor de komende maanden

Na drie maanden ben je niet “klaar” — cybersecurity is een continu proces — maar je hebt de fundamenten gelegd. Daarna wordt het ritme van risicoanalyse, training, testen en aanpassen je nieuwe normaal.

Voor ondernemers die dit traject onderdeel willen maken van een bredere groeistrategie, biedt onze checklist zakelijke groei voor ondernemers een breder stappenplan waarin cybersecurity een van de pijlers is.

Lees ook

• Fintech in Nederland — veilige zakelijke betaaloplossingen en moderne financiële tools
• Snelgroeiende startups in Nederland — waarom cybersecurity voor scale-ups niet kan wachten
• Beste werkgevers van Nederland — hoe cyberbewustzijn onderdeel wordt van bedrijfscultuur
• AI-bedrijven in Nederland — hoe AI cybersecurity zowel versterkt als bedreigt
• Checklist zakelijke groei voor ondernemers — strategisch stappenplan waarin cybersecurity past
• Beste SEO-bureaus van Nederland — waarom sterke online vindbaarheid ook een verdedigingslinie is

Veelgestelde vragen

Hoe groot is de kans dat mijn MKB-bedrijf wordt aangevallen?

Substantieel. Cijfers van Mastercard en Cyberveilig Nederland laten zien dat ongeveer één op de drie tot één op de vijf Nederlandse MKB-ondernemers in de afgelopen jaren slachtoffer is geworden van cybercriminaliteit. Ruim 60 procent krijgt jaarlijks met minstens één cyberincident te maken. De gedachte “wij zijn te klein om interessant te zijn” wordt door de cijfers niet ondersteund.

Valt mijn MKB-bedrijf onder NIS2?

Direct vermoedelijk alleen als je in een van de achttien kritieke sectoren werkt én meer dan vijftig medewerkers hebt of tien miljoen euro omzet. Indirect — via klanten die wel onder NIS2 vallen — krijgen veel kleinere MKB-bedrijven er ook mee te maken. Lever je aan grotere organisaties? Verwacht dan dat zij steeds strengere cybersecurity-eisen aan je gaan stellen.

Hoeveel moet ik investeren in cybersecurity?

Een richtlijn die in de praktijk goed werkt: 5 tot 10 procent van je IT-budget gaat naar security. Voor een MKB-bedrijf met een IT-budget van 50.000 euro per jaar betekent dat 2.500 tot 5.000 euro voor security-specifieke uitgaven (training, tools, audits). Dat is fors minder dan de gemiddelde schade van één succesvolle aanval.

Wat is het verschil tussen NIS2 en de AVG?

De AVG (Algemene Verordening Gegevensbescherming) is gericht op de bescherming van persoonsgegevens. NIS2 is gericht op de continuïteit en weerbaarheid van organisaties en hun systemen. De twee overlappen — een datalek raakt beide — maar de invalshoeken verschillen. Een goed cybersecurity-beleid voldoet aan beide tegelijkertijd.

Wat doe ik als mijn bedrijf wordt geraakt door ransomware?

Niet betalen, direct alle systemen offline halen om verspreiding te stoppen, externe cybersecurity-specialist inschakelen, melding maken bij het NCSC (en politie), en bij persoonsgegevens een datalekmelding bij de Autoriteit Persoonsgegevens binnen 72 uur. Als je goede backups hebt, kun je vaak terug naar de stand van gisteren zonder losgeld te betalen.

Is een gratis antivirusprogramma voldoende voor mijn MKB?

Nee. Gratis consumentenproducten missen de centrale beheermogelijkheden, rapportage en geavanceerde detectie die zakelijke versies bieden. Voor een MKB met meerdere medewerkers is een professionele endpoint protection-oplossing essentieel — de meerprijs is minimaal vergeleken met het risico.

Hoe vaak moeten medewerkers cybersecurity-training krijgen?

Minimaal tweemaal per jaar, met daarbij elke één tot twee maanden een phishing-simulatie om alertheid te testen. Korte, frequente bijscholing werkt beter dan één lange jaarlijkse sessie. Nieuwe medewerkers krijgen training direct bij indiensttreding.

Moet ik cybersecurity uitbesteden of zelf doen?

Voor de meeste MKB-bedrijven is een combinatie het verstandigst: dagelijkse zaken (updates, basisbeheer) bij een goede IT-partner, gespecialiseerde zaken (security assessments, incident response) bij een gespecialiseerde cybersecurity-partner. Zelf doen is alleen verstandig als je interne expertise opbouwt en jaarlijks investeert in bijscholing.

Wat kost een cyberverzekering?

Sterk afhankelijk van bedrijfsgrootte, sector en bestaande beveiligingsmaatregelen. Voor een klein MKB-bedrijf liggen premies vaak tussen de 1.000 en 5.000 euro per jaar. Belangrijker dan de prijs is de polisvoorwaarden — welke risico’s zijn gedekt, welke uitsluitingen zijn er, en welke beveiligingseisen worden gesteld?

Waar begin ik als ik nu helemaal niets heb geregeld?

Met multifactorauthenticatie. Het is gratis bij vrijwel alle zakelijke diensten, voorkomt 99 procent van de account-overnames, en is in een dag in te voeren. Daarna: backup-strategie controleren, password manager invoeren, en een phishing-simulatie doen om te zien hoe je team scoort. Vanuit die basis bouw je verder.

Bronnen

• Nationaal Cyber Security Centrum (NCSC) — Cyberbeveiligingswet (NIS2)
• Digital Trust Center — Voor het MKB
• Rijksoverheid — Cybercrime en MKB
• Autoriteit Persoonsgegevens — Datalek melden
• Ondernemersplein — NIS2-richtlijn