16 sep 2025
Komt NIS2 ook op mijn bordje terecht? Dit moet je als mkb’er weten
Mkb-bedrijven zijn gewild doelwit voor cybercriminelen. Met NIS2 moet je straks binnen 24 uur incidenten melden bij autoriteiten.
Blog
Cybersecurity voor mkb: wat is ‘goed genoeg’ als je geen IT-afdeling hebt?
Bijna de helft van alle cyberaanvallen is gericht op mkb-bedrijven. Voor ondernemers zonder eigen IT-afdeling roept dit een lastige vraag op: welke risico’s kan ik accepteren en welke niet? Te weinig beveiliging en je bent een makkelijk doelwit. Te veel en je investeert in maatregelen die niet in verhouding staan tot het risico. In deze blog vertelt Jasper van Riessen, mede-eigenaar van Masugro, hoe je als ondernemer bepaalt welke beveiligingsrisico’s je moet afdekken en wanneer je beveiliging ‘goed genoeg’ is.
Het gaat niet om de middelen, maar om het risico
Als mkb’er zonder IT-afdeling voel je je misschien overweldigd door alle beveiligingsadviezen. Waar begin je? De waarheid is dat je niet alles hoeft te beveiligen alsof je een bank bent. Het gaat om risicomanagement – welke bedreigingen kunnen jouw bedrijf het hardst raken?
Start met deze vraag: wat gebeurt er als je primaire bedrijfsproces uitvalt? Voor een webshop is dat de online verkoop, voor een productiebedrijf de fabriek, voor een accountantskantoor de toegang tot klantdossiers. Identificeer eerst wat je écht moet beschermen, dan pas welke maatregelen daarvoor nodig zijn.
De nieuwe NIS2-wetgeving maakt dit zelfs een commerciële noodzaak. Steeds meer opdrachtgevers eisen aantoonbare beveiliging van hun leveranciers. Wat begint als compliance-eis wordt zo een concurrentievoordeel.
De zeven risicogebieden die je moet afdekken
1. Toegangsbeheer tot kritieke systemen Implementeer een wachtwoordbeleid met unieke wachtwoorden voor elk account. Schakel multifactorauthenticatie in voor alle belangrijke systemen. Volgens Microsoft blokkeert deze simpele maatregel tot 99,9% van de geautomatiseerde aanvallen.
2. Bescherming tegen malware Moderne oplossingen zoals EDR detecteren niet alleen virussen maar ook verdacht gedrag. Het risico van één ransomware-aanval weegt zwaarder dan jaren investering in goede antivirussoftware.
3. Bedrijfscontinuïteit via back-ups Volg de 3-2-1 regel: drie kopieën van belangrijke data, op twee verschillende media, waarvan één offsite. Test vooral of je binnen acceptabele tijd weer operationeel kunt zijn. Een back-up is pas waardevol als je ermee kunt herstellen.
4. Kwetsbaarheidsbeheer Schakel automatische updates in voor alle software. Die oude Windows 7 computer in het magazijn? Als daar geen klantgegevens op staan is het risico beperkt, maar gebruik hem nooit voor kritieke processen.
5. Menselijke firewall Menselijke fouten zijn verantwoordelijk voor ongeveer 95% van de cyberincidenten. Train je team in het herkennen van phishing. Creëer een cultuur waarin fouten gemeld worden zonder consequenties – snelle actie beperkt de schade.
6. Netwerkbeveiliging Gebruik WPA3-encryptie voor wifi, maak aparte gastnetwerken en implementeer VPN voor thuiswerkers. Segmenteer je netwerk: de printer hoeft niet bij de boekhouding te kunnen.
7. Governance en verantwoordelijkheden Als directie moet je een duidelijk standpunt innemen over informatiebeveiliging. Wie is verantwoordelijk voor welk risico? Overweeg een security officer aan te wijzen, ook al is dit iemand met een andere hoofdfunctie. Maak beleid over wat wel en niet acceptabel is. Zonder duidelijke interne verantwoordelijkheden schuif je alleen maar problemen voor je uit.
Signalen dat je risico’s onderschat
Let op deze waarschuwingssignalen: regelmatige pop-ups over verouderde software, trage computers zonder duidelijke reden, onbetrouwbare back-ups, ex-medewerkers die nog toegang hebben, of klanten die naar beveiligingsmaatregelen vragen waarop je geen antwoord hebt.
De risico’s van “we hebben toch niets te verbergen”
‘Wij hebben toch niets te verbergen’ – als we een euro kregen voor elke keer dat we deze uitspraak horen, konden we het hele team op personeelsuitje naar Hawaï sturen. Maar geloof me, dan onderschat je hoe aantrekkelijk jouw bedrijf is voor cybercriminelen. Zonder adequate beveiliging riskeer je:
- Ransomware die je complete bedrijf stillegt
- Datalekken die je reputatie permanent beschadigen
- Financiële schade door factuurfraude
- AVG-boetes bij onvoldoende beveiliging
- Verlies van klantlijsten aan concurrenten
Investering versus risico
Voor risicogerichte beveiliging betaal je als mkb-bedrijf een overzienbaar bedrag per medewerker. Dit dekt de essentiële bescherming van je primaire processen. Zet dat eens af tegen de gemiddelde kosten van één beveiligingsincident: tussen €25.000 en €250.000, exclusief reputatieschade. Waarom zou je het risico nemen?
Risicomanagement in de praktijk
“Goed genoeg” betekent dat je de risico’s kent en bewust keuzes maakt. Persoonsgegevens van klanten vereisen betere bescherming dan productnummers. Je primaire bedrijfsproces moet zo geborgd zijn dat het risico op omzetderving acceptabel is.
Een accountantskantoor accepteert andere risico’s dan een hoveniersbedrijf. Maar de basis is universeel: weet wat je kritieke processen zijn, bescherm die adequaat, en accepteer dat 100% veiligheid niet bestaat.
Monitor en evalueer regelmatig je risicolandschap. Nieuwe dreigingen ontstaan, wetgeving verandert, je bedrijf groeit. Wat vandaag een acceptabel risico is, kan morgen onverantwoord zijn.
Wil je weten welke risico’s jouw bedrijf loopt? Neem dan contact op voor een CIS Controls-check en een onafhankelijke risicobeoordeling.
Jasper
LEES OOK ONZE VORIGE BLOGS!
