Wat is de belangrijkste cybersecurity maatregel voor MKB?

Multi-Factor Authenticatie (MFA) is verreweg de belangrijkste maatregel. MFA blokkeert 99,9% van de geautomatiseerde aanvallen. Schakel MFA in op alle bedrijfsaccounts: email, boekhoudsoftware, CRM, clouddiensten en VPN. Gebruik bij voorkeur een authenticator-app in plaats van SMS-verificatie.

Hoeveel kost cybersecurity voor een klein bedrijf?

Voor een bedrijf met 15 tot 50 medewerkers ligt de jaarlijkse investering in basisbeveiliging tussen de 8.000 en 25.000 euro. Dit omvat endpoint protection, een wachtwoordmanager, back-up oplossing, phishing-training en een cyberverzekering. Ter vergelijking: de gemiddelde schade van een cyberaanval bedraagt 65.000 euro.

Moet ik losgeld betalen bij ransomware?

Het officiële advies van het NCSC en de politie is: betaal niet. Betalen garandeert niet dat je je data terugkrijgt, moedigt criminelen aan om door te gaan en kan je juridisch in de problemen brengen. De beste bescherming is preventie: goede back-ups (3-2-1 regel), up-to-date software en getrainde medewerkers. Als je goede back-ups hebt, kun je je systemen herstellen zonder losgeld te betalen.

Hoe herken ik een phishing-email?

Let op deze signalen: (1) urgentie of dreigementen ("uw account wordt geblokkeerd"), (2) een verdacht afzenderadres dat lijkt op een bekend bedrijf maar net anders is, (3) links die naar onbekende websites leiden (hover over de link om het adres te zien), (4) verzoeken om wachtwoorden of betalingen, (5) onverwachte bijlagen. Bij twijfel: klik niet, maar neem contact op met de vermeende afzender via een bekend telefoonnummer.

Is een cyberverzekering zinvol voor MKB?

Ja, een cyberverzekering is zinvol als aanvulling op technische maatregelen. De premie ligt tussen 500 en 2.500 euro per jaar voor MKB-bedrijven. De verzekering dekt kosten die je zelf moeilijk kunt dragen: dataherstel, forensisch onderzoek, omzetverlies door bedrijfsstilstand en juridische kosten bij datalekken. Let op: veel verzekeraars stellen eisen aan je basisbeveiliging (zoals MFA) als voorwaarde voor dekking.

Cybersecurity Checklist MKB: 20 Maatregelen

§01 Artikel

Het Nationaal Cyber Security Centrum (NCSC) rapporteert dat cyberaanvallen op het MKB in 2025 met 35% zijn gestegen ten opzichte van het jaar ervoor. De reden is simpel: criminelen weten dat MKB-bedrijven vaak minder goed beveiligd zijn dan grote corporates, maar wel waardevolle data bezitten en bereid zijn losgeld te betalen. Voor een uitgebreid overzicht van beveiligingsrisico`s rondom AI-toepassingen, bekijk onze gids: AI veilig implementeren.

De gemiddelde schade van een cyberincident bij een MKB-bedrijf bedraagt 65.000 euro. Bij ransomware-aanvallen kan dat oplopen tot honderdduizenden euro — volgens het IBM Cost of a Data Breach Report 2025 ligt de gemiddelde wereldwijde schade per incident op USD 4,44 miljoen, met een merkbaar hogere impact wanneer organisaties geen incident response plan hebben. En dan zijn de indirecte kosten, zoals reputatieschade en gemiste opdrachten, nog niet meegerekend. Onderzoek van het Digital Trust Center (DTC) toont aan dat circa 60% van de MKB-bedrijven die slachtoffer worden van een ernstige cyberaanval binnen zes maanden de deuren moet sluiten. Cybersecurity is daarmee geen luxe meer, maar een overlevingskwestie.

Het goede nieuws: 80% van alle cyberaanvallen is te voorkomen met relatief eenvoudige maatregelen. De NCSC Basismaatregelen Cybersecurity en de internationale CIS Controls v8 baseline bevestigen dat het gros van incidenten geneutraliseerd wordt door dezelfde set fundamentele hygiënemaatregelen. In deze checklist vind je 20 essentiele stappen die je als MKB-bedrijf vandaag nog kunt nemen.

De 20 Essentiele Cybersecurity Maatregelen

Categorie 1: Toegangsbeheer (Maatregelen 1-5)

1. Implementeer Multi-Factor Authenticatie (MFA)

MFA is de belangrijkste maatregel die je kunt nemen. Volgens de Microsoft Security Blog blokkeert MFA 99,9% van de geautomatiseerde aanvallen op accounts. Schakel MFA in op:

Email (Microsoft 365, Google Workspace)
Boekhoudsoftware en ERP
CRM-systemen
VPN-verbindingen
Clouddiensten (AWS, Azure, Google Cloud)

Minimaal: SMS-verificatie. Beter: Authenticator-app (Microsoft Authenticator, Google Authenticator). Best: Hardware security key (YubiKey).

2. Gebruik Sterke, Unieke Wachtwoorden

Minimaal 14 tekens, combinatie van letters, cijfers en speciale tekens
Nooit hetzelfde wachtwoord voor meerdere accounts
Implementeer een zakelijke wachtwoordmanager (Bitwarden, 1Password Business)

3. Beheer Accounts en Rechten

Verwijder accounts van vertrokken medewerkers direct (dezelfde dag)
Geef medewerkers alleen de rechten die ze nodig hebben (principle of least privilege)
Controleer kwartaal wie toegang heeft tot welke systemen
Gebruik aparte admin-accounts voor systeembeheer

4. Beveilig Remote Toegang

Gebruik altijd een VPN voor thuiswerken
Sta geen onbeveiligde persoonlijke apparaten toe op het bedrijfsnetwerk
Implementeer device management (MDM) voor zakelijke laptops en telefoons

5. Automatiseer Toegangsreviews

Stel automatische meldingen in bij ongebruikelijke inlogpogingen
Blokkeer accounts na 5 mislukte inlogpogingen
Vereis wachtwoordwijziging elke 6 maanden (of gebruik passkeys)

Categorie 2: Bescherming tegen Phishing en Malware (Maatregelen 6-10)

6. Train Medewerkers in Phishing-Herkenning

Phishing is de nummer 1 aanvalsmethode. Het Verizon Data Breach Investigations Report (DBIR) bevestigt dat credential-diefstal en phishing jaar op jaar de top-2 initial-access-vectoren vormen, en dat het merendeel van de succesvolle aanvallen begint met een phishing-email gericht op de menselijke schakel.

Kenmerken van phishing:

Urgentie creeren ("uw account wordt geblokkeerd")
Verdacht afzenderadres (support@micr0soft.com)
Links die naar onbekende websites leiden
Verzoek om inloggegevens of betalingen
Bijlagen die je niet verwacht

Training aanpak:

Voer maandelijks een phishing-simulatie uit (tools: KnowBe4, Phished)
Bespreek resultaten open in teamoverleg
Beloon medewerkers die phishing melden

7. Installeer Zakelijke Endpoint Protection

Antivirus alleen is niet meer voldoende. Investeer in een Endpoint Detection and Response (EDR) oplossing:

Microsoft Defender for Business (vanaf 2,50 euro per gebruiker per maand)
CrowdStrike Falcon Go (vanaf 5 euro per gebruiker per maand)
SentinelOne (vanaf 4 euro per gebruiker per maand)

8. Blokkeer Gevaarlijke Email-Bijlagen

Configureer je emailsysteem om de volgende bestandstypen te blokkeren:

Uitvoerbare bestanden (.exe, .bat, .cmd, .ps1)
Macro-enabled Office bestanden (.docm, .xlsm)
Gecomprimeerde bestanden met wachtwoord (.zip met password)

9. Implementeer DNS-Filtering

DNS-filtering blokkeert toegang tot bekende kwaadaardige websites voordat ze geladen worden:

Cloudflare Gateway (gratis voor kleine teams)
Cisco Umbrella
NextDNS

10. Houd Software Up-to-Date

Schakel automatische updates in voor besturingssystemen
Update browsers en plugins direct wanneer beschikbaar
Patch bedrijfskritische software binnen 48 uur na een security update
Vervang software die niet meer ondersteund wordt (end-of-life)

Categorie 3: Data Bescherming (Maatregelen 11-15)

11. Maak Back-ups Volgens de 3-2-1 Regel

3 kopieen van je data
2 verschillende opslagmedia (bijvoorbeeld cloud en externe schijf)
1 kopie off-site (buiten je kantoor)

Test je back-ups maandelijks. Een back-up die niet werkt is geen back-up.

12. Versleutel Gevoelige Data

Schakel schijfversleuteling in op alle laptops (BitLocker voor Windows, FileVault voor Mac)
Versleutel gevoelige bestanden voor verzending per email
Gebruik HTTPS voor alle bedrijfswebsites en portalen

13. Classificeer Je Data

Niet alle data is even gevoelig. ISO/IEC 27001:2022 (Annex A.5.12, Classification of information) schrijft voor dat organisaties informatie classificeren op basis van vertrouwelijkheid, integriteit en beschikbaarheid — een eenvoudige classificatie is voldoende om te starten:

Openbaar: Marketing materiaal, website content
Intern: Bedrijfsprocessen, interne communicatie
Vertrouwelijk: Klantdata, financiele gegevens, HR-informatie
Strikt vertrouwelijk: Wachtwoorden, encryptiesleutels, strategische plannen

Pas beveiligingsmaatregelen toe op basis van classificatie.

14. Implementeer Data Loss Prevention (DLP)

Voorkom dat gevoelige data het bedrijf verlaat:

Blokkeer het verzenden van klantlijsten via persoonlijke email
Detecteer wanneer grote hoeveelheden data gedownload worden
Voorkom het kopieren van bedrijfsdata naar persoonlijke USB-sticks

15. Zorg voor Veilige Datavernietiging

Wis oude laptops en harde schijven veilig (niet alleen formatteren)
Vernietig papieren documenten met gevoelige informatie
Verwijder data van cloudopslag bij contractbeeindiging

Categorie 4: Netwerk en Infrastructuur (Maatregelen 16-18)

16. Segmenteer Je Netwerk

Zorg dat een aanval op een deel van je netwerk niet het hele bedrijf platlegt:

Scheid het gastnetwerk van het bedrijfsnetwerk
Scheid IoT-apparaten (printers, camera's) van werkstations
Gebruik VLAN-segmentatie voor verschillende afdelingen

17. Beveilig Je WiFi

Gebruik WPA3 (of minimaal WPA2) encryptie
Wijzig standaard wachtwoorden van routers en access points
Maak een apart gastnetwerk voor bezoekers
Schakel WPS uit

18. Implementeer een Firewall

Een Next-Generation Firewall (NGFW) voor je bedrijfsnetwerk
Host-based firewalls op alle werkstations (Windows Firewall, macOS Firewall)
Configureer de firewall volgens het principle of least privilege: blokkeer alles behalve wat nodig is

Categorie 5: Fysieke Beveiliging

Cybersecurity begint ook bij de fysieke toegang tot je apparatuur en kantoor.

Beperk fysieke toegang tot serverruimtes en netwerkapparatuur met sloten of toegangspassen
Zorg dat beeldschermen automatisch vergrendelen na 5 minuten inactiviteit
Sta niet toe dat bezoekers onbegeleid door kantoren lopen waar werkstations zichtbaar zijn
Vernietig oude harde schijven, USB-sticks en papieren documenten met gevoelige informatie
Markeer bedrijfslaptops zodat verlies snel wordt opgemerkt en gemeld

Fysieke beveiliging wordt vaak vergeten, maar een kwaadwillende die vijf minuten onbegeleide toegang heeft tot een werkstation kan net zoveel schade aanrichten als een hacker aan de andere kant van de wereld.

Categorie 6: Incidentrespons (Maatregelen 19-20)

19. Stel een Incident Response Plan Op

Weet wat je moet doen als het misgaat. De internationale standaard NIST SP 800-61r2 Computer Security Incident Handling Guide beschrijft een volwassen IR-cyclus (preparation → detection & analysis → containment, eradication & recovery → post-incident activity) die ook voor MKB-organisaties bruikbaar is als basis. Je plan bevat minimaal:

Wie belt wie? Contactlijst van IT-verantwoordelijke, directie, juridisch adviseur, IT-partner
Eerste stappen: Isoleer getroffen systemen, bewaar bewijsmateriaal
Communicatie: Wie informeert klanten, medewerkers, Autoriteit Persoonsgegevens?
Herstel: Hoe zet je systemen terug vanuit back-ups?
Evaluatie: Hoe voorkomen we herhaling?

Oefen dit plan minimaal jaarlijks. Een plan dat niemand kent, werkt niet.

20. Sluit een Cyberverzekering Af

Een cyberverzekering dekt kosten die je zelf niet kunt dragen:

Kosten van dataherstel en forensisch onderzoek
Omzetverlies door bedrijfsstilstand
Juridische kosten bij datalekken
Losgeld bij ransomware (hoewel betalen wordt afgeraden)

Premie-indicatie: 500 tot 2.500 euro per jaar voor een MKB-bedrijf, afhankelijk van omvang en branche.

Prioritering: Waar Begin Je?

Niet alle maatregelen zijn even urgent. Hier is de prioriteitsvolgorde:

Week 1 (Direct):

MFA activeren op alle accounts (#1)
Wachtwoordmanager implementeren (#2)
Back-ups controleren (#11)

Maand 1:

Endpoint protection installeren (#7)
Eerste phishing-training geven (#6)
Software updates controleren (#10)

Kwartaal 1:

Netwerksegmentatie (#16)
Incident response plan opstellen (#19)
Data classificatie uitvoeren (#13)

Kwartaal 2-4:

Overige maatregelen implementeren
Eerste phishing-simulatie uitvoeren
Cyberverzekering afsluiten

Kosten: Wat Kost Cybersecurity voor MKB?

Bedrijfsomvang	Jaarlijkse kosten basisbeveiliging
5-15 medewerkers	3.000 - 8.000 euro
15-50 medewerkers	8.000 - 25.000 euro
50-100 medewerkers	25.000 - 60.000 euro

Perspectief: De gemiddelde schade van een cyberaanval is 65.000 euro. Een jaarlijkse investering van 10.000 euro in beveiliging is dan heel redelijk.

Voorbeeld uit de praktijk: Ransomware-aanval op een Makelaarskantoor

Een makelaarskantoor in Den Haag met 18 medewerkers werd in 2025 getroffen door een ransomware-aanval. Een medewerker klikte op een link in een overtuigende phishing-email die leek te komen van Funda. Binnen 4 uur was het volledige netwerk versleuteld.

De schade:

3 dagen volledige bedrijfsstilstand
Alle klantdossiers ontoegankelijk
Losgeld-eis van 45.000 euro in Bitcoin
Kosten voor forensisch onderzoek: 8.000 euro
Kosten voor dataherstel: 12.000 euro
Melding bij Autoriteit Persoonsgegevens (datalekprocedure)
Reputatieschade: 3 klanten stapten over naar een concurrent
Totale geschatte schade: meer dan 80.000 euro

Wat ontbrak:

Geen MFA op email en bedrijfsapplicaties
Verouderde antivirus (geen EDR)
Back-ups op een netwerkschijf die ook versleuteld werd (niet offline of offsite)
Geen phishing-training voor medewerkers
Geen incident response plan

Hoe het voorkomen had kunnen worden: Als het kantoor de top-5 maatregelen uit deze checklist had geimplementeerd (MFA, EDR, 3-2-1 back-ups, phishing-training en een incident response plan), was de aanval met 95% waarschijnlijkheid afgeslagen of was de schade minimaal geweest. De totale investering daarvoor: circa 6.000 euro per jaar.

NIS2-Richtlijn: Nieuwe Verplichtingen voor MKB

De Europese NIS2-richtlijn, die in Nederland wordt omgezet in de Cyberbeveiligingswet, stelt strengere eisen aan de cybersecurity van bedrijven in essentiele en belangrijke sectoren. Dit raakt ook MKB-bedrijven in sectoren zoals:

Energie en water
Transport en logistiek
Gezondheidszorg
Digitale infrastructuur
Voedselproductie en -distributie
Postdiensten en afvalverwerking

Wat betekent NIS2 voor jouw bedrijf?

Verplichte risicoanalyse en beveiligingsmaatregelen (artikel 21 NIS2)
Meldplicht voor significante incidenten: early warning binnen 24 uur bij het NCSC, incident notification binnen 72 uur, final report binnen 1 maand
Bestuurders worden persoonlijk verantwoordelijk voor cybersecurity
Boetes tot 10 miljoen euro of 2% van de jaaromzet

Voor organisaties in de financiële sector gelden daarnaast de cybersecurity-vereisten uit de Digital Operational Resilience Act (DORA, EU 2022/2554), die ICT-risicobeheer, incident-reporting en third-party-risicobeheer verder aanscherpen.

Zelfs als je bedrijf niet direct onder NIS2 valt, is het verstandig om de maatregelen in deze checklist te implementeren. Ze vormen de basis van wat NIS2 vereist en beschermen je bedrijf ongeacht wettelijke verplichtingen.

Zero Trust: Het Beveiligingsmodel van de Toekomst

Het traditionele beveiligingsmodel gaat ervan uit dat alles binnen je netwerk te vertrouwen is en alles daarbuiten niet. Dat model werkt niet meer in een wereld van thuiswerken, cloudapplicaties en mobiele apparaten.

Zero Trust gaat uit van een ander principe: vertrouw niets en verifieer alles. Concreet betekent dat:

Elke gebruiker wordt geverifieerd bij elke toegangspoging (via MFA)
Elk apparaat wordt gecontroleerd op compliance (up-to-date, beveiligd)
Elke applicatie kent alleen de minimaal benodigde rechten
Al het verkeer wordt gemonitord op afwijkend gedrag

Voor MKB-bedrijven hoeft Zero Trust niet ingewikkeld te zijn. De maatregelen in deze checklist, met name MFA (#1), least privilege (#3), netwerksegmentatie (#16) en monitoring (#19), vormen samen al een solide Zero Trust-basis.

Waar MKB-bedrijven het vaakst de mist in gaan

1. MFA alleen op email activeren

Veel bedrijven schakelen MFA in op hun email maar vergeten andere kritieke systemen. Aanvallers zoeken de zwakste schakel. Als je boekhoudsoftware, CRM of cloudopslag geen MFA heeft, is dat de route naar binnen. Activeer MFA op alle zakelijke applicaties, niet alleen email.

2. Back-ups niet testen

Je hebt braaf back-ups ingesteld, maar heb je ooit getest of je daadwerkelijk kunt herstellen? Bij 30% van de MKB-bedrijven blijken back-ups bij een incident corrupt, incompleet of te oud om bruikbaar te zijn. Plan maandelijks een testrecovery en documenteer het resultaat.

3. Verouderde apparaten en software blijven gebruiken

Die Windows 10-laptop van 2019 of de router waarvan het wachtwoord nog steeds "admin" is: verouderde hard- en software vormt een open deur. Maak een inventaris van alle apparaten en hun software-status. Vervang of update alles dat end-of-life is. Geen uitzonderingen.

4. Cybersecurity zien als eenmalig project

Na de implementatie van een firewall en antivirussoftware denken veel bedrijven dat ze klaar zijn. Maar dreigingen veranderen continu. Cybersecurity is een doorlopend proces dat kwartaalreviews, regelmatige updates en jaarlijkse trainingen vereist. Zonder onderhoud veroudert je beveiliging net zo snel als je software.

5. Geen scheiding tussen persoonlijk en zakelijk gebruik

Medewerkers die op hun zakelijke laptop privemailen, persoonlijke apps installeren of onbeveiligde USB-sticks gebruiken, introduceren risico`s die je als bedrijf niet kunt controleren. Stel een duidelijk beleid op voor acceptabel gebruik en implementeer device management om dit technisch af te dwingen.

In 30 dagen van kwetsbaar naar weerbaar

Met dit actieplan zet je in 30 dagen de belangrijkste beveiligingsmaatregelen op hun plek.

Dag 1-3: De absolute basis

Activeer MFA op alle bedrijfsaccounts (email, boekhouding, CRM, cloudopslag)
Implementeer een zakelijke wachtwoordmanager (Bitwarden of 1Password Business) en migreer alle gedeelde wachtwoorden
Controleer of je back-ups werken: voer een testrecovery uit van je drie belangrijkste systemen

Dag 4-7: Endpoint bescherming

Installeer een EDR-oplossing op alle werkstations en laptops (Microsoft Defender for Business is betaalbaar en effectief)
Controleer alle apparaten op software-updates en installeer achterstallige patches
Vervang of isoleer apparaten met end-of-life software

Dag 8-14: Email en phishing

Configureer je emailsysteem om gevaarlijke bijlagen te blokkeren (.exe, .bat, .docm, .xlsm)
Stel DNS-filtering in (Cloudflare Gateway is gratis voor kleine teams)
Geef de eerste phishing-awareness training aan alle medewerkers

Dag 15-21: Netwerk en toegang

Scheid je gastnetwerk van het bedrijfsnetwerk
Inventariseer wie toegang heeft tot welke systemen en verwijder overbodige rechten
Wijzig standaard wachtwoorden op routers, switches en access points

Dag 22-28: Beleid en documentatie

Schrijf een incident response plan: wie belt wie, wat zijn de eerste stappen, hoe communiceer je?
Stel een acceptabel-gebruik-beleid op voor zakelijke apparaten
Classificeer je data in vier niveaus (openbaar, intern, vertrouwelijk, strikt vertrouwelijk)

Dag 29-30: Review en planning

Loop de 20-punten checklist door en noteer de status van elke maatregel (gedaan, gestart, nog niet)
Plan de maatregelen die je nog niet hebt opgepakt in voor kwartaal 2
Vraag offertes aan voor een cyberverzekering

Na dag 30: Plan maandelijkse phishing-simulaties, kwartaalreviews van toegangsrechten en halfjaarlijkse penetratietests. Cybersecurity is geen eindbestemming maar een continu proces.

Kernpunten

Cybersecurity hoeft niet ingewikkeld of duur te zijn. Begin met de drie belangrijkste maatregelen: MFA, een wachtwoordmanager en goede back-ups. Bouw van daaruit stap voor stap verder. Het belangrijkste is dat je begint en consistent blijft.

Wil je weten hoe jouw bedrijf ervoor staat? CleverTech biedt een gratis cybersecurity quickscan aan. We beoordelen je huidige beveiligingsniveau en geven concrete aanbevelingen.

Vraag je gratis quickscan aan

Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.

§01 Artikel

De 20 Essentiele Cybersecurity Maatregelen

Categorie 1: Toegangsbeheer (Maatregelen 1-5)

1. Implementeer Multi-Factor Authenticatie (MFA)

MFA is de belangrijkste maatregel die je kunt nemen. Volgens de Microsoft Security Blog blokkeert MFA 99,9% van de geautomatiseerde aanvallen op accounts. Schakel MFA in op:

Email (Microsoft 365, Google Workspace)
Boekhoudsoftware en ERP
CRM-systemen
VPN-verbindingen
Clouddiensten (AWS, Azure, Google Cloud)

Minimaal: SMS-verificatie. Beter: Authenticator-app (Microsoft Authenticator, Google Authenticator). Best: Hardware security key (YubiKey).

2. Gebruik Sterke, Unieke Wachtwoorden

Minimaal 14 tekens, combinatie van letters, cijfers en speciale tekens
Nooit hetzelfde wachtwoord voor meerdere accounts
Implementeer een zakelijke wachtwoordmanager (Bitwarden, 1Password Business)

3. Beheer Accounts en Rechten

Verwijder accounts van vertrokken medewerkers direct (dezelfde dag)
Geef medewerkers alleen de rechten die ze nodig hebben (principle of least privilege)
Controleer kwartaal wie toegang heeft tot welke systemen
Gebruik aparte admin-accounts voor systeembeheer

4. Beveilig Remote Toegang

Gebruik altijd een VPN voor thuiswerken
Sta geen onbeveiligde persoonlijke apparaten toe op het bedrijfsnetwerk
Implementeer device management (MDM) voor zakelijke laptops en telefoons

5. Automatiseer Toegangsreviews

Stel automatische meldingen in bij ongebruikelijke inlogpogingen
Blokkeer accounts na 5 mislukte inlogpogingen
Vereis wachtwoordwijziging elke 6 maanden (of gebruik passkeys)

Categorie 2: Bescherming tegen Phishing en Malware (Maatregelen 6-10)

6. Train Medewerkers in Phishing-Herkenning

Kenmerken van phishing:

Urgentie creeren ("uw account wordt geblokkeerd")
Verdacht afzenderadres (support@micr0soft.com)
Links die naar onbekende websites leiden
Verzoek om inloggegevens of betalingen
Bijlagen die je niet verwacht

Training aanpak:

Voer maandelijks een phishing-simulatie uit (tools: KnowBe4, Phished)
Bespreek resultaten open in teamoverleg
Beloon medewerkers die phishing melden

7. Installeer Zakelijke Endpoint Protection

Antivirus alleen is niet meer voldoende. Investeer in een Endpoint Detection and Response (EDR) oplossing:

Microsoft Defender for Business (vanaf 2,50 euro per gebruiker per maand)
CrowdStrike Falcon Go (vanaf 5 euro per gebruiker per maand)
SentinelOne (vanaf 4 euro per gebruiker per maand)

8. Blokkeer Gevaarlijke Email-Bijlagen

Configureer je emailsysteem om de volgende bestandstypen te blokkeren:

Uitvoerbare bestanden (.exe, .bat, .cmd, .ps1)
Macro-enabled Office bestanden (.docm, .xlsm)
Gecomprimeerde bestanden met wachtwoord (.zip met password)

9. Implementeer DNS-Filtering

DNS-filtering blokkeert toegang tot bekende kwaadaardige websites voordat ze geladen worden:

Cloudflare Gateway (gratis voor kleine teams)
Cisco Umbrella
NextDNS

10. Houd Software Up-to-Date

Schakel automatische updates in voor besturingssystemen
Update browsers en plugins direct wanneer beschikbaar
Patch bedrijfskritische software binnen 48 uur na een security update
Vervang software die niet meer ondersteund wordt (end-of-life)

Categorie 3: Data Bescherming (Maatregelen 11-15)

11. Maak Back-ups Volgens de 3-2-1 Regel

3 kopieen van je data
2 verschillende opslagmedia (bijvoorbeeld cloud en externe schijf)
1 kopie off-site (buiten je kantoor)

Test je back-ups maandelijks. Een back-up die niet werkt is geen back-up.

12. Versleutel Gevoelige Data

Schakel schijfversleuteling in op alle laptops (BitLocker voor Windows, FileVault voor Mac)
Versleutel gevoelige bestanden voor verzending per email
Gebruik HTTPS voor alle bedrijfswebsites en portalen

13. Classificeer Je Data

Openbaar: Marketing materiaal, website content
Intern: Bedrijfsprocessen, interne communicatie
Vertrouwelijk: Klantdata, financiele gegevens, HR-informatie
Strikt vertrouwelijk: Wachtwoorden, encryptiesleutels, strategische plannen

Pas beveiligingsmaatregelen toe op basis van classificatie.

14. Implementeer Data Loss Prevention (DLP)

Voorkom dat gevoelige data het bedrijf verlaat:

Blokkeer het verzenden van klantlijsten via persoonlijke email
Detecteer wanneer grote hoeveelheden data gedownload worden
Voorkom het kopieren van bedrijfsdata naar persoonlijke USB-sticks

15. Zorg voor Veilige Datavernietiging

Wis oude laptops en harde schijven veilig (niet alleen formatteren)
Vernietig papieren documenten met gevoelige informatie
Verwijder data van cloudopslag bij contractbeeindiging

Categorie 4: Netwerk en Infrastructuur (Maatregelen 16-18)

16. Segmenteer Je Netwerk

Zorg dat een aanval op een deel van je netwerk niet het hele bedrijf platlegt:

Scheid het gastnetwerk van het bedrijfsnetwerk
Scheid IoT-apparaten (printers, camera's) van werkstations
Gebruik VLAN-segmentatie voor verschillende afdelingen

17. Beveilig Je WiFi

Gebruik WPA3 (of minimaal WPA2) encryptie
Wijzig standaard wachtwoorden van routers en access points
Maak een apart gastnetwerk voor bezoekers
Schakel WPS uit

18. Implementeer een Firewall

Een Next-Generation Firewall (NGFW) voor je bedrijfsnetwerk
Host-based firewalls op alle werkstations (Windows Firewall, macOS Firewall)
Configureer de firewall volgens het principle of least privilege: blokkeer alles behalve wat nodig is

Categorie 5: Fysieke Beveiliging

Cybersecurity begint ook bij de fysieke toegang tot je apparatuur en kantoor.

Beperk fysieke toegang tot serverruimtes en netwerkapparatuur met sloten of toegangspassen
Zorg dat beeldschermen automatisch vergrendelen na 5 minuten inactiviteit
Sta niet toe dat bezoekers onbegeleid door kantoren lopen waar werkstations zichtbaar zijn
Vernietig oude harde schijven, USB-sticks en papieren documenten met gevoelige informatie
Markeer bedrijfslaptops zodat verlies snel wordt opgemerkt en gemeld

Categorie 6: Incidentrespons (Maatregelen 19-20)

19. Stel een Incident Response Plan Op

Wie belt wie? Contactlijst van IT-verantwoordelijke, directie, juridisch adviseur, IT-partner
Eerste stappen: Isoleer getroffen systemen, bewaar bewijsmateriaal
Communicatie: Wie informeert klanten, medewerkers, Autoriteit Persoonsgegevens?
Herstel: Hoe zet je systemen terug vanuit back-ups?
Evaluatie: Hoe voorkomen we herhaling?

Oefen dit plan minimaal jaarlijks. Een plan dat niemand kent, werkt niet.

20. Sluit een Cyberverzekering Af

Een cyberverzekering dekt kosten die je zelf niet kunt dragen:

Kosten van dataherstel en forensisch onderzoek
Omzetverlies door bedrijfsstilstand
Juridische kosten bij datalekken
Losgeld bij ransomware (hoewel betalen wordt afgeraden)

Premie-indicatie: 500 tot 2.500 euro per jaar voor een MKB-bedrijf, afhankelijk van omvang en branche.

Prioritering: Waar Begin Je?

Niet alle maatregelen zijn even urgent. Hier is de prioriteitsvolgorde:

Week 1 (Direct):

MFA activeren op alle accounts (#1)
Wachtwoordmanager implementeren (#2)
Back-ups controleren (#11)

Maand 1:

Endpoint protection installeren (#7)
Eerste phishing-training geven (#6)
Software updates controleren (#10)

Kwartaal 1:

Netwerksegmentatie (#16)
Incident response plan opstellen (#19)
Data classificatie uitvoeren (#13)

Kwartaal 2-4:

Overige maatregelen implementeren
Eerste phishing-simulatie uitvoeren
Cyberverzekering afsluiten

Kosten: Wat Kost Cybersecurity voor MKB?

Bedrijfsomvang	Jaarlijkse kosten basisbeveiliging
5-15 medewerkers	3.000 - 8.000 euro
15-50 medewerkers	8.000 - 25.000 euro
50-100 medewerkers	25.000 - 60.000 euro

Perspectief: De gemiddelde schade van een cyberaanval is 65.000 euro. Een jaarlijkse investering van 10.000 euro in beveiliging is dan heel redelijk.

Voorbeeld uit de praktijk: Ransomware-aanval op een Makelaarskantoor

De schade:

3 dagen volledige bedrijfsstilstand
Alle klantdossiers ontoegankelijk
Losgeld-eis van 45.000 euro in Bitcoin
Kosten voor forensisch onderzoek: 8.000 euro
Kosten voor dataherstel: 12.000 euro
Melding bij Autoriteit Persoonsgegevens (datalekprocedure)
Reputatieschade: 3 klanten stapten over naar een concurrent
Totale geschatte schade: meer dan 80.000 euro

Wat ontbrak:

Geen MFA op email en bedrijfsapplicaties
Verouderde antivirus (geen EDR)
Back-ups op een netwerkschijf die ook versleuteld werd (niet offline of offsite)
Geen phishing-training voor medewerkers
Geen incident response plan

NIS2-Richtlijn: Nieuwe Verplichtingen voor MKB

Energie en water
Transport en logistiek
Gezondheidszorg
Digitale infrastructuur
Voedselproductie en -distributie
Postdiensten en afvalverwerking

Wat betekent NIS2 voor jouw bedrijf?

Verplichte risicoanalyse en beveiligingsmaatregelen (artikel 21 NIS2)
Meldplicht voor significante incidenten: early warning binnen 24 uur bij het NCSC, incident notification binnen 72 uur, final report binnen 1 maand
Bestuurders worden persoonlijk verantwoordelijk voor cybersecurity
Boetes tot 10 miljoen euro of 2% van de jaaromzet

Zero Trust: Het Beveiligingsmodel van de Toekomst

Zero Trust gaat uit van een ander principe: vertrouw niets en verifieer alles. Concreet betekent dat:

Elke gebruiker wordt geverifieerd bij elke toegangspoging (via MFA)
Elk apparaat wordt gecontroleerd op compliance (up-to-date, beveiligd)
Elke applicatie kent alleen de minimaal benodigde rechten
Al het verkeer wordt gemonitord op afwijkend gedrag

Waar MKB-bedrijven het vaakst de mist in gaan

1. MFA alleen op email activeren

2. Back-ups niet testen

3. Verouderde apparaten en software blijven gebruiken

4. Cybersecurity zien als eenmalig project

5. Geen scheiding tussen persoonlijk en zakelijk gebruik

In 30 dagen van kwetsbaar naar weerbaar

Met dit actieplan zet je in 30 dagen de belangrijkste beveiligingsmaatregelen op hun plek.

Dag 1-3: De absolute basis

Activeer MFA op alle bedrijfsaccounts (email, boekhouding, CRM, cloudopslag)
Implementeer een zakelijke wachtwoordmanager (Bitwarden of 1Password Business) en migreer alle gedeelde wachtwoorden
Controleer of je back-ups werken: voer een testrecovery uit van je drie belangrijkste systemen

Dag 4-7: Endpoint bescherming

Installeer een EDR-oplossing op alle werkstations en laptops (Microsoft Defender for Business is betaalbaar en effectief)
Controleer alle apparaten op software-updates en installeer achterstallige patches
Vervang of isoleer apparaten met end-of-life software

Dag 8-14: Email en phishing

Configureer je emailsysteem om gevaarlijke bijlagen te blokkeren (.exe, .bat, .docm, .xlsm)
Stel DNS-filtering in (Cloudflare Gateway is gratis voor kleine teams)
Geef de eerste phishing-awareness training aan alle medewerkers

Dag 15-21: Netwerk en toegang

Scheid je gastnetwerk van het bedrijfsnetwerk
Inventariseer wie toegang heeft tot welke systemen en verwijder overbodige rechten
Wijzig standaard wachtwoorden op routers, switches en access points

Dag 22-28: Beleid en documentatie

Schrijf een incident response plan: wie belt wie, wat zijn de eerste stappen, hoe communiceer je?
Stel een acceptabel-gebruik-beleid op voor zakelijke apparaten
Classificeer je data in vier niveaus (openbaar, intern, vertrouwelijk, strikt vertrouwelijk)

Dag 29-30: Review en planning

Loop de 20-punten checklist door en noteer de status van elke maatregel (gedaan, gestart, nog niet)
Plan de maatregelen die je nog niet hebt opgepakt in voor kwartaal 2
Vraag offertes aan voor een cyberverzekering

Na dag 30: Plan maandelijkse phishing-simulaties, kwartaalreviews van toegangsrechten en halfjaarlijkse penetratietests. Cybersecurity is geen eindbestemming maar een continu proces.

Kernpunten

Wil je weten hoe jouw bedrijf ervoor staat? CleverTech biedt een gratis cybersecurity quickscan aan. We beoordelen je huidige beveiligingsniveau en geven concrete aanbevelingen.

Vraag je gratis quickscan aan

Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.

Cybersecurity Checklist MKB: 20 Maatregelen

Benieuwd hoe dit werkt bij jou?

Cybersecurity Checklist MKB: 20 Maatregelen

Benieuwd hoe dit werkt bij jou?