Cybersecurity Checklist MKB: 20 Maatregelen

Het Nationaal Cyber Security Centrum (NCSC) rapporteert dat cyberaanvallen op het MKB in 2025 met 35% zijn gestegen ten opzichte van het jaar ervoor. De reden is simpel: criminelen weten dat MKB-bedrijven vaak minder goed beveiligd zijn dan grote corporates, maar wel waardevolle data bezitten en bereid zijn losgeld te betalen. Voor een uitgebreid overzicht van beveiligingsrisico`s rondom AI-toepassingen, bekijk onze gids over AI veiligheid.

De gemiddelde schade van een cyberincident bij een MKB-bedrijf bedraagt 65.000 euro. Bij ransomware-aanvallen kan dat oplopen tot honderdduizenden euro. En dan zijn de indirecte kosten, zoals reputatieschade en gemiste opdrachten, nog niet meegerekend. Onderzoek van het Digital Trust Center toont aan dat circa 60% van de MKB-bedrijven die slachtoffer worden van een ernstige cyberaanval binnen zes maanden de deuren moet sluiten. Cybersecurity is daarmee geen luxe meer, maar een overlevingskwestie.

Het goede nieuws: 80% van alle cyberaanvallen is te voorkomen met relatief eenvoudige maatregelen. In deze checklist vind je 20 essentiele stappen die je als MKB-bedrijf vandaag nog kunt nemen.

De 20 Essentiele Cybersecurity Maatregelen#

Categorie 1: Toegangsbeheer (Maatregelen 1-5)#

1. Implementeer Multi-Factor Authenticatie (MFA)

MFA is de belangrijkste maatregel die je kunt nemen. Het blokkeert 99,9% van de geautomatiseerde aanvallen. Schakel MFA in op:

• Email (Microsoft 365, Google Workspace)
• Boekhoudsoftware en ERP
• CRM-systemen
• VPN-verbindingen
• Clouddiensten (AWS, Azure, Google Cloud)

Minimaal: SMS-verificatie. Beter: Authenticator-app (Microsoft Authenticator, Google Authenticator). Best: Hardware security key (YubiKey).

2. Gebruik Sterke, Unieke Wachtwoorden

• Minimaal 14 tekens, combinatie van letters, cijfers en speciale tekens
• Nooit hetzelfde wachtwoord voor meerdere accounts
• Implementeer een zakelijke wachtwoordmanager (Bitwarden, 1Password Business)

3. Beheer Accounts en Rechten

• Verwijder accounts van vertrokken medewerkers direct (dezelfde dag)
• Geef medewerkers alleen de rechten die ze nodig hebben (principle of least privilege)
• Controleer kwartaal wie toegang heeft tot welke systemen
• Gebruik aparte admin-accounts voor systeembeheer

4. Beveilig Remote Toegang

• Gebruik altijd een VPN voor thuiswerken
• Sta geen onbeveiligde persoonlijke apparaten toe op het bedrijfsnetwerk
• Implementeer device management (MDM) voor zakelijke laptops en telefoons

5. Automatiseer Toegangsreviews

• Stel automatische meldingen in bij ongebruikelijke inlogpogingen
• Blokkeer accounts na 5 mislukte inlogpogingen
• Vereis wachtwoordwijziging elke 6 maanden (of gebruik passkeys)

Categorie 2: Bescherming tegen Phishing en Malware (Maatregelen 6-10)#

6. Train Medewerkers in Phishing-Herkenning

Phishing is de nummer 1 aanvalsmethode. 91% van alle cyberaanvallen begint met een phishing-email.

Kenmerken van phishing:

• Urgentie creeren ("uw account wordt geblokkeerd")
• Verdacht afzenderadres ([email protected])
• Links die naar onbekende websites leiden
• Verzoek om inloggegevens of betalingen
• Bijlagen die je niet verwacht

Training aanpak:

• Voer maandelijks een phishing-simulatie uit (tools: KnowBe4, Phished)
• Bespreek resultaten open in teamoverleg
• Beloon medewerkers die phishing melden

7. Installeer Zakelijke Endpoint Protection

Antivirus alleen is niet meer voldoende. Investeer in een Endpoint Detection and Response (EDR) oplossing:

• Microsoft Defender for Business (vanaf 2,50 euro per gebruiker per maand)
• CrowdStrike Falcon Go (vanaf 5 euro per gebruiker per maand)
• SentinelOne (vanaf 4 euro per gebruiker per maand)

8. Blokkeer Gevaarlijke Email-Bijlagen

Configureer je emailsysteem om de volgende bestandstypen te blokkeren:

• Uitvoerbare bestanden (.exe, .bat, .cmd, .ps1)
• Macro-enabled Office bestanden (.docm, .xlsm)
• Gecomprimeerde bestanden met wachtwoord (.zip met password)

9. Implementeer DNS-Filtering

DNS-filtering blokkeert toegang tot bekende kwaadaardige websites voordat ze geladen worden:

• Cloudflare Gateway (gratis voor kleine teams)
• Cisco Umbrella
• NextDNS

10. Houd Software Up-to-Date

• Schakel automatische updates in voor besturingssystemen
• Update browsers en plugins direct wanneer beschikbaar
• Patch bedrijfskritische software binnen 48 uur na een security update
• Vervang software die niet meer ondersteund wordt (end-of-life)

Categorie 3: Data Bescherming (Maatregelen 11-15)#

11. Maak Back-ups Volgens de 3-2-1 Regel

• 3 kopieen van je data
• 2 verschillende opslagmedia (bijvoorbeeld cloud en externe schijf)
• 1 kopie off-site (buiten je kantoor)

Test je back-ups maandelijks. Een back-up die niet werkt is geen back-up.

12. Versleutel Gevoelige Data

• Schakel schijfversleuteling in op alle laptops (BitLocker voor Windows, FileVault voor Mac)
• Versleutel gevoelige bestanden voor verzending per email
• Gebruik HTTPS voor alle bedrijfswebsites en portalen

13. Classificeer Je Data

Niet alle data is even gevoelig. Maak een eenvoudige classificatie:

• Openbaar: Marketing materiaal, website content
• Intern: Bedrijfsprocessen, interne communicatie
• Vertrouwelijk: Klantdata, financiele gegevens, HR-informatie
• Strikt vertrouwelijk: Wachtwoorden, encryptiesleutels, strategische plannen

Pas beveiligingsmaatregelen toe op basis van classificatie.

14. Implementeer Data Loss Prevention (DLP)

Voorkom dat gevoelige data het bedrijf verlaat:

• Blokkeer het verzenden van klantlijsten via persoonlijke email
• Detecteer wanneer grote hoeveelheden data gedownload worden
• Voorkom het kopieren van bedrijfsdata naar persoonlijke USB-sticks

15. Zorg voor Veilige Datavernietiging

• Wis oude laptops en harde schijven veilig (niet alleen formatteren)
• Vernietig papieren documenten met gevoelige informatie
• Verwijder data van cloudopslag bij contractbeeindiging

Categorie 4: Netwerk en Infrastructuur (Maatregelen 16-18)#

16. Segmenteer Je Netwerk

Zorg dat een aanval op een deel van je netwerk niet het hele bedrijf platlegt:

• Scheid het gastnetwerk van het bedrijfsnetwerk
• Scheid IoT-apparaten (printers, camera's) van werkstations
• Gebruik VLAN-segmentatie voor verschillende afdelingen

17. Beveilig Je WiFi

• Gebruik WPA3 (of minimaal WPA2) encryptie
• Wijzig standaard wachtwoorden van routers en access points
• Maak een apart gastnetwerk voor bezoekers
• Schakel WPS uit

18. Implementeer een Firewall

• Een Next-Generation Firewall (NGFW) voor je bedrijfsnetwerk
• Host-based firewalls op alle werkstations (Windows Firewall, macOS Firewall)
• Configureer de firewall volgens het principle of least privilege: blokkeer alles behalve wat nodig is

Categorie 5: Fysieke Beveiliging#

Cybersecurity begint ook bij de fysieke toegang tot je apparatuur en kantoor.

• Beperk fysieke toegang tot serverruimtes en netwerkapparatuur met sloten of toegangspassen
• Zorg dat beeldschermen automatisch vergrendelen na 5 minuten inactiviteit
• Sta niet toe dat bezoekers onbegeleid door kantoren lopen waar werkstations zichtbaar zijn
• Vernietig oude harde schijven, USB-sticks en papieren documenten met gevoelige informatie
• Markeer bedrijfslaptops zodat verlies snel wordt opgemerkt en gemeld

Fysieke beveiliging wordt vaak vergeten, maar een kwaadwillende die vijf minuten onbegeleide toegang heeft tot een werkstation kan net zoveel schade aanrichten als een hacker aan de andere kant van de wereld.

Categorie 6: Incidentrespons (Maatregelen 19-20)#

19. Stel een Incident Response Plan Op

Weet wat je moet doen als het misgaat. Je plan bevat minimaal:

• Wie belt wie? Contactlijst van IT-verantwoordelijke, directie, juridisch adviseur, IT-partner
• Eerste stappen: Isoleer getroffen systemen, bewaar bewijsmateriaal
• Communicatie: Wie informeert klanten, medewerkers, Autoriteit Persoonsgegevens?
• Herstel: Hoe zet je systemen terug vanuit back-ups?
• Evaluatie: Hoe voorkomen we herhaling?

Oefen dit plan minimaal jaarlijks. Een plan dat niemand kent, werkt niet.

20. Sluit een Cyberverzekering Af

Een cyberverzekering dekt kosten die je zelf niet kunt dragen:

• Kosten van dataherstel en forensisch onderzoek
• Omzetverlies door bedrijfsstilstand
• Juridische kosten bij datalekken
• Losgeld bij ransomware (hoewel betalen wordt afgeraden)

Premie-indicatie: 500 tot 2.500 euro per jaar voor een MKB-bedrijf, afhankelijk van omvang en branche.

Prioritering: Waar Begin Je?#

Niet alle maatregelen zijn even urgent. Hier is de prioriteitsvolgorde:

Week 1 (Direct):

• MFA activeren op alle accounts (#1)
• Wachtwoordmanager implementeren (#2)
• Back-ups controleren (#11)

Maand 1:

• Endpoint protection installeren (#7)
• Eerste phishing-training geven (#6)
• Software updates controleren (#10)

Kwartaal 1:

• Netwerksegmentatie (#16)
• Incident response plan opstellen (#19)
• Data classificatie uitvoeren (#13)

Kwartaal 2-4:

• Overige maatregelen implementeren
• Eerste phishing-simulatie uitvoeren
• Cyberverzekering afsluiten

Kosten: Wat Kost Cybersecurity voor MKB?#

Perspectief: De gemiddelde schade van een cyberaanval is 65.000 euro. Een jaarlijkse investering van 10.000 euro in beveiliging is dan heel redelijk.

Praktijkvoorbeeld: Ransomware-aanval op een Makelaarskantoor#

Een makelaarskantoor in Den Haag met 18 medewerkers werd in 2025 getroffen door een ransomware-aanval. Een medewerker klikte op een link in een overtuigende phishing-email die leek te komen van Funda. Binnen 4 uur was het volledige netwerk versleuteld.

De schade:

• 3 dagen volledige bedrijfsstilstand
• Alle klantdossiers ontoegankelijk
• Losgeld-eis van 45.000 euro in Bitcoin
• Kosten voor forensisch onderzoek: 8.000 euro
• Kosten voor dataherstel: 12.000 euro
• Melding bij Autoriteit Persoonsgegevens (datalekprocedure)
• Reputatieschade: 3 klanten stapten over naar een concurrent
• Totale geschatte schade: meer dan 80.000 euro

Wat ontbrak:

• Geen MFA op email en bedrijfsapplicaties
• Verouderde antivirus (geen EDR)
• Back-ups op een netwerkschijf die ook versleuteld werd (niet offline of offsite)
• Geen phishing-training voor medewerkers
• Geen incident response plan

Hoe het voorkomen had kunnen worden: Als het kantoor de top-5 maatregelen uit deze checklist had geimplementeerd (MFA, EDR, 3-2-1 back-ups, phishing-training en een incident response plan), was de aanval met 95% waarschijnlijkheid afgeslagen of was de schade minimaal geweest. De totale investering daarvoor: circa 6.000 euro per jaar.

NIS2-Richtlijn: Nieuwe Verplichtingen voor MKB#

De Europese NIS2-richtlijn, die in Nederland wordt omgezet in de Cyberbeveiligingswet, stelt strengere eisen aan de cybersecurity van bedrijven in essentiele en belangrijke sectoren. Dit raakt ook MKB-bedrijven in sectoren zoals:

• Energie en water
• Transport en logistiek
• Gezondheidszorg
• Digitale infrastructuur
• Voedselproductie en -distributie
• Postdiensten en afvalverwerking

Wat betekent NIS2 voor jouw bedrijf?

• Verplichte risicoanalyse en beveiligingsmaatregelen
• Meldplicht voor cyberveiligheidsincidenten (binnen 24 uur)
• Bestuurders worden persoonlijk verantwoordelijk voor cybersecurity
• Boetes tot 10 miljoen euro of 2% van de jaaromzet

Zelfs als je bedrijf niet direct onder NIS2 valt, is het verstandig om de maatregelen in deze checklist te implementeren. Ze vormen de basis van wat NIS2 vereist en beschermen je bedrijf ongeacht wettelijke verplichtingen.

Zero Trust: Het Beveiligingsmodel van de Toekomst#

Het traditionele beveiligingsmodel gaat ervan uit dat alles binnen je netwerk te vertrouwen is en alles daarbuiten niet. Dat model werkt niet meer in een wereld van thuiswerken, cloudapplicaties en mobiele apparaten.

Zero Trust gaat uit van een ander principe: vertrouw niets en verifieer alles. Concreet betekent dat:

• Elke gebruiker wordt geverifieerd bij elke toegangspoging (via MFA)
• Elk apparaat wordt gecontroleerd op compliance (up-to-date, beveiligd)
• Elke applicatie kent alleen de minimaal benodigde rechten
• Al het verkeer wordt gemonitord op afwijkend gedrag

Voor MKB-bedrijven hoeft Zero Trust niet ingewikkeld te zijn. De maatregelen in deze checklist, met name MFA (#1), least privilege (#3), netwerksegmentatie (#16) en monitoring (#19), vormen samen al een solide Zero Trust-basis.

Veelgemaakte Fouten bij Cybersecurity voor MKB#

1. MFA alleen op email activeren#

Veel bedrijven schakelen MFA in op hun email maar vergeten andere kritieke systemen. Aanvallers zoeken de zwakste schakel. Als je boekhoudsoftware, CRM of cloudopslag geen MFA heeft, is dat de route naar binnen. Activeer MFA op alle zakelijke applicaties, niet alleen email.

2. Back-ups niet testen#

Je hebt braaf back-ups ingesteld, maar heb je ooit getest of je daadwerkelijk kunt herstellen? Bij 30% van de MKB-bedrijven blijken back-ups bij een incident corrupt, incompleet of te oud om bruikbaar te zijn. Plan maandelijks een testrecovery en documenteer het resultaat.

3. Verouderde apparaten en software blijven gebruiken#

Die Windows 10-laptop van 2019 of de router waarvan het wachtwoord nog steeds "admin" is: verouderde hard- en software vormt een open deur. Maak een inventaris van alle apparaten en hun software-status. Vervang of update alles dat end-of-life is. Geen uitzonderingen.

4. Cybersecurity zien als eenmalig project#

Na de implementatie van een firewall en antivirussoftware denken veel bedrijven dat ze klaar zijn. Maar dreigingen veranderen continu. Cybersecurity is een doorlopend proces dat kwartaalreviews, regelmatige updates en jaarlijkse trainingen vereist. Zonder onderhoud veroudert je beveiliging net zo snel als je software.

5. Geen scheiding tussen persoonlijk en zakelijk gebruik#

Medewerkers die op hun zakelijke laptop privemailen, persoonlijke apps installeren of onbeveiligde USB-sticks gebruiken, introduceren risico`s die je als bedrijf niet kunt controleren. Stel een duidelijk beleid op voor acceptabel gebruik en implementeer device management om dit technisch af te dwingen.

Actieplan: Cybersecurity Basis op Orde in 30 Dagen#

Met dit actieplan zet je in 30 dagen de belangrijkste beveiligingsmaatregelen op hun plek.

Dag 1-3: De absolute basis

• Activeer MFA op alle bedrijfsaccounts (email, boekhouding, CRM, cloudopslag)
• Implementeer een zakelijke wachtwoordmanager (Bitwarden of 1Password Business) en migreer alle gedeelde wachtwoorden
• Controleer of je back-ups werken: voer een testrecovery uit van je drie belangrijkste systemen

Dag 4-7: Endpoint bescherming

• Installeer een EDR-oplossing op alle werkstations en laptops (Microsoft Defender for Business is betaalbaar en effectief)
• Controleer alle apparaten op software-updates en installeer achterstallige patches
• Vervang of isoleer apparaten met end-of-life software

Dag 8-14: Email en phishing

• Configureer je emailsysteem om gevaarlijke bijlagen te blokkeren (.exe, .bat, .docm, .xlsm)
• Stel DNS-filtering in (Cloudflare Gateway is gratis voor kleine teams)
• Geef de eerste phishing-awareness training aan alle medewerkers

Dag 15-21: Netwerk en toegang

• Scheid je gastnetwerk van het bedrijfsnetwerk
• Inventariseer wie toegang heeft tot welke systemen en verwijder overbodige rechten
• Wijzig standaard wachtwoorden op routers, switches en access points

Dag 22-28: Beleid en documentatie

• Schrijf een incident response plan: wie belt wie, wat zijn de eerste stappen, hoe communiceer je?
• Stel een acceptabel-gebruik-beleid op voor zakelijke apparaten
• Classificeer je data in vier niveaus (openbaar, intern, vertrouwelijk, strikt vertrouwelijk)

Dag 29-30: Review en planning

• Loop de 20-punten checklist door en noteer de status van elke maatregel (gedaan, gestart, nog niet)
• Plan de maatregelen die je nog niet hebt opgepakt in voor kwartaal 2
• Vraag offertes aan voor een cyberverzekering

Na dag 30: Plan maandelijkse phishing-simulaties, kwartaalreviews van toegangsrechten en halfjaarlijkse penetratietests. Cybersecurity is geen eindbestemming maar een continu proces.

Conclusie#

Cybersecurity hoeft niet ingewikkeld of duur te zijn. Begin met de drie belangrijkste maatregelen: MFA, een wachtwoordmanager en goede back-ups. Bouw van daaruit stap voor stap verder. Het belangrijkste is dat je begint en consistent blijft.

Wil je weten hoe jouw bedrijf ervoor staat? CleverTech biedt een gratis cybersecurity quickscan aan. We beoordelen je huidige beveiligingsniveau en geven concrete aanbevelingen.

Vraag je gratis quickscan aan