Cybersecurity checklist voor het MKB: 15 maatregelen die echt verschil maken

De gemiddelde schade van een ransomware-incident bij een Nederlands MKB-bedrijf ligt tussen €40.000 en €250.000, los van reputatieschade en doorlopen omzet. De goede news: 90 procent van de incidenten is te voorkomen met maatregelen die samen minder kosten dan één enkele week downtime.

Deze checklist is geschreven voor ondernemers en directeuren van bedrijven tussen 5 en 50 medewerkers. Geen NIST-frameworks, geen ISO-jargon. Gewoon: wat moet je geregeld hebben, en hoe weet je of het op orde is.

De 15 maatregelen, geordend van must-have naar nice-to-have

1. Multi-factor authenticatie op alles

Geen enkel account zonder MFA. Niet alleen email, maar ook je administratiesoftware, je website-CMS, je cloudopslag, je domeinregistratie. Eén accountovername zonder MFA betekent meestal: complete uitval.

Hoe te checken: vraag je IT-partij om een lijst van alle accounts zonder MFA. Mag er nul zijn.

2. Sterke unieke wachtwoorden via een password manager

Mensen onthouden geen 40 unieke wachtwoorden. Wachtwoorden hergebruiken is de meest voorkomende oorzaak van overnames. Een zakelijke password manager (Bitwarden, 1Password) kost €4 tot €6 per gebruiker per maand. Verplicht voor het hele bedrijf.

3. Modern endpoint protection (EDR, geen klassieke antivirus)

Klassieke antivirus herkent alleen bekende dreigingen. Endpoint Detection and Response (EDR) ziet gedrag en stopt nieuwe aanvallen. Kosten: €5 tot €12 per device per maand. Microsoft Defender for Business is inbegrepen bij Microsoft 365 Business Premium.

4. Geautomatiseerde updates en patch management

80 procent van succesvolle aanvallen gebruikt een kwetsbaarheid die al maanden gepatcht had kunnen zijn. Updates moeten centraal, automatisch en gemonitord lopen. Niet aan medewerkers overlaten.

Hoe te checken: vraag een patch-rapport over de laatste maand. Welke devices liggen achter?

5. Aparte admin-accounts

Niemand mag dagelijks werken met administrator-rechten op zijn werkplek, ook IT-beheerders niet. Aparte accounts voor administratieve handelingen. Anders is één klik op de verkeerde link genoeg om alles te verliezen.

6. Backup volgens de 3-2-1-regel

Drie kopieën van je data, op twee verschillende media, waarvan er één offsite (en idealiter offline of immutable) staat. Microsoft 365 maakt geen volwaardige backup van zichzelf. Reken op €5 tot €10 per gebruiker per maand voor een fatsoenlijke oplossing.

Hoe te checken: wanneer is voor het laatst een restore-test gedaan? Als het antwoord "nooit" is, heb je geen backup, je hebt hoop.

7. Security awareness training

90 procent van de incidenten begint met een menselijke klik. Eén jaarlijkse e-learning is niet genoeg. Kies een platform dat maandelijks korte modules en gesimuleerde phishing aanbiedt. Reken op €30 tot €60 per medewerker per jaar.

8. Email security boven op de standaard

Microsoft en Google filteren al veel, maar specifieke aanvallen (CEO-fraude, supplier impersonation) glippen erdoor. Een extra laag (Defender for Office 365, of derden-tool) is voor de meeste MKB-bedrijven het geld waard.

9. Conditional access en device compliance

Alleen vertrouwde apparaten mogen bij bedrijfsdata. Geen privé-laptop zonder beheer die zomaar je SharePoint inlogt. Dit regel je met Intune (Microsoft 365 Business Premium) of vergelijkbaar.

10. Beheer van mobiele devices

Telefoons en tablets met zakelijke email moeten via een MDM-oplossing centraal beheerd worden. Verloren toestel? Op afstand wissen. Zonder MDM is een verloren telefoon een datalek.

11. Logging en monitoring

Iemand moet zien wat er gebeurt. Aanmeldpogingen vanuit het buitenland, ongebruikelijke downloads, nieuwe admin-rechten. Voor MKB werkt een licht SOC of een managed service goed (€8 tot €25 per gebruiker per maand).

12. Incident response plan

Wie bel je om 2 uur 's nachts als alles dichtklapt? Welke partijen moet je binnen 24 uur informeren? Zet dit op papier voordat het gebeurt. Een plan van 2 A4 is beter dan geen plan.

13. Toegangsrechten regelmatig opschonen

Oud-medewerkers met nog actieve accounts. Externe partijen met admin-rechten "voor het geval dat". Elk kwartaal een review wie waarbij kan. 30 minuten werk, voorkomt veel.

14. Veilige externe toegang (geen poortjes open, wel zero trust)

Geen RDP, geen FTP, geen "even snel een poort open" op je router. Externe toegang loopt via VPN met MFA, of beter: via cloud-applicaties met conditional access.

15. Cyberverzekering met realistische voorwaarden

Een cyberverzekering is geen vervanging voor maatregelen, maar wel zinvol naast. Lees de polisvoorwaarden goed. De meeste verzekeraars eisen tegenwoordig MFA, EDR en backup. Zonder die maatregelen krijg je bij een incident niets uitgekeerd.

Snelle zelftest

Beantwoord eerlijk:

• Iedereen in het bedrijf heeft MFA op alle zakelijke accounts
• Niemand werkt dagelijks als admin op zijn werkplek
• Er is een backup waar in de laatste 3 maanden een restore-test op is gedaan
• Endpoint protection draait op alle devices en wordt gemonitord
• Medewerkers hebben in de laatste 6 maanden security training gehad
• Er is een document met "wie bel ik bij een incident"
• Toegangsrechten zijn in het laatste kwartaal gecontroleerd
• Updates worden automatisch en centraal uitgerold

Minder dan 6 vinkjes: je loopt een serieus risico. Tijd voor een audit. 6 tot 7 vinkjes: basis staat, maar er zijn nog gaten. 8 vinkjes: goed bezig, focus nu op detectie en incident respons.

Wat NIS2 hieraan toevoegt

Sinds 2024 valt een groot deel van het Nederlandse MKB direct of indirect onder de Cyberbeveiligingswet (Nederlandse invulling van NIS2). De maatregelen hierboven dekken het grootste deel van wat de wet eist, maar je moet ze ook kunnen aantonen met documentatie. Een security policy op papier, periodieke risicoanalyse, en logging van incidenten zijn dan extra vereist.

Meer daarover lees je in onze gids over NIS2 voor het MKB.

Wat een goede security-aanpak voor jouw bedrijf kost

Voor een MKB-bedrijf met 20 medewerkers zit een complete, goed dekkende basis op €25 tot €45 per medewerker per maand bovenop je normale licenties. Plus een eenmalige inrichting van €4.000 tot €12.000 en een jaarlijkse audit van €1.500 tot €4.000.

Klinkt veel? Eén ransomware-incident kost gemiddeld 4 tot 12 maanden van dat budget. En in 90 procent van de gevallen had het voorkomen kunnen worden.

Tot slot

Cybersecurity is geen project dat je afrondt, het is een staat van zijn die je onderhoudt. Begin met de eerste 8 maatregelen op deze lijst, plan elk kwartaal een review, en behandel security zoals je financiële controle behandelt: niet leuk, wel onmisbaar.

Wil je een vrijblijvende zelfanalyse van waar jouw bedrijf staat? Stuur ons een bericht. Een eerste check kost je een uur en geeft je een eerlijke spiegel.