Cybersecurity Checklist MKB: 20 Maatregelen

Het Nationaal Cyber Security Centrum (NCSC) rapporteert dat cyberaanvallen op het MKB in 2025 met 35% zijn gestegen ten opzichte van het jaar ervoor. De reden is simpel: criminelen weten dat MKB-bedrijven vaak minder goed beveiligd zijn dan grote corporates, maar wel waardevolle data bezitten en bereid zijn losgeld te betalen.

De gemiddelde schade van een cyberincident bij een MKB-bedrijf bedraagt 65.000 euro. Bij ransomware-aanvallen kan dat oplopen tot honderdduizenden euro. En dan zijn de indirecte kosten, zoals reputatieschade en gemiste opdrachten, nog niet meegerekend.

Het goede nieuws: 80% van alle cyberaanvallen is te voorkomen met relatief eenvoudige maatregelen. In deze checklist vind je 20 essentiële stappen die je als MKB-bedrijf vandaag nog kunt nemen.

De 20 Essentiële Cybersecurity Maatregelen

Categorie 1: Toegangsbeheer (Maatregelen 1-5)

1. Implementeer Multi-Factor Authenticatie (MFA)

MFA is de belangrijkste maatregel die je kunt nemen. Het blokkeert 99,9% van de geautomatiseerde aanvallen. Schakel MFA in op:

• Email (Microsoft 365, Google Workspace)
• Boekhoudsoftware en ERP
• CRM-systemen
• VPN-verbindingen
• Clouddiensten (AWS, Azure, Google Cloud)

Minimaal: SMS-verificatie. Beter: Authenticator-app (Microsoft Authenticator, Google Authenticator). Best: Hardware security key (YubiKey).

2. Gebruik Sterke, Unieke Wachtwoorden

• Minimaal 14 tekens, combinatie van letters, cijfers en speciale tekens
• Nooit hetzelfde wachtwoord voor meerdere accounts
• Implementeer een zakelijke wachtwoordmanager (Bitwarden, 1Password Business)

3. Beheer Accounts en Rechten

• Verwijder accounts van vertrokken medewerkers direct (dezelfde dag)
• Geef medewerkers alleen de rechten die ze nodig hebben (principle of least privilege)
• Controleer kwartaal wie toegang heeft tot welke systemen
• Gebruik aparte admin-accounts voor systeembeheer

4. Beveilig Remote Toegang

• Gebruik altijd een VPN voor thuiswerken
• Sta geen onbeveiligde persoonlijke apparaten toe op het bedrijfsnetwerk
• Implementeer device management (MDM) voor zakelijke laptops en telefoons

5. Automatiseer Toegangsreviews

• Stel automatische meldingen in bij ongebruikelijke inlogpogingen
• Blokkeer accounts na 5 mislukte inlogpogingen
• Vereis wachtwoordwijziging elke 6 maanden (of gebruik passkeys)

Categorie 2: Bescherming tegen Phishing en Malware (Maatregelen 6-10)

6. Train Medewerkers in Phishing-Herkenning

Phishing is de nummer 1 aanvalsmethode. 91% van alle cyberaanvallen begint met een phishing-email.

Kenmerken van phishing:

• Urgentie creeren ("uw account wordt geblokkeerd")
• Verdacht afzenderadres ([email protected])
• Links die naar onbekende websites leiden
• Verzoek om inloggegevens of betalingen
• Bijlagen die je niet verwacht

Training aanpak:

• Voer maandelijks een phishing-simulatie uit (tools: KnowBe4, Phished)
• Bespreek resultaten open in teamoverleg
• Beloon medewerkers die phishing melden

7. Installeer Zakelijke Endpoint Protection

Antivirus alleen is niet meer voldoende. Investeer in een Endpoint Detection and Response (EDR) oplossing:

• Microsoft Defender for Business (vanaf 2,50 euro per gebruiker per maand)
• CrowdStrike Falcon Go (vanaf 5 euro per gebruiker per maand)
• SentinelOne (vanaf 4 euro per gebruiker per maand)

8. Blokkeer Gevaarlijke Email-Bijlagen

Configureer je emailsysteem om de volgende bestandstypen te blokkeren:

• Uitvoerbare bestanden (.exe, .bat, .cmd, .ps1)
• Macro-enabled Office bestanden (.docm, .xlsm)
• Gecomprimeerde bestanden met wachtwoord (.zip met password)

9. Implementeer DNS-Filtering

DNS-filtering blokkeert toegang tot bekende kwaadaardige websites voordat ze geladen worden:

• Cloudflare Gateway (gratis voor kleine teams)
• Cisco Umbrella
• NextDNS

10. Houd Software Up-to-Date

• Schakel automatische updates in voor besturingssystemen
• Update browsers en plugins direct wanneer beschikbaar
• Patch bedrijfskritische software binnen 48 uur na een security update
• Vervang software die niet meer ondersteund wordt (end-of-life)

Categorie 3: Data Bescherming (Maatregelen 11-15)

11. Maak Back-ups Volgens de 3-2-1 Regel

• 3 kopieen van je data
• 2 verschillende opslagmedia (bijvoorbeeld cloud en externe schijf)
• 1 kopie off-site (buiten je kantoor)

Test je back-ups maandelijks. Een back-up die niet werkt is geen back-up.

12. Versleutel Gevoelige Data

• Schakel schijfversleuteling in op alle laptops (BitLocker voor Windows, FileVault voor Mac)
• Versleutel gevoelige bestanden voor verzending per email
• Gebruik HTTPS voor alle bedrijfswebsites en portalen

13. Classificeer Je Data

Niet alle data is even gevoelig. Maak een eenvoudige classificatie:

• Openbaar: Marketing materiaal, website content
• Intern: Bedrijfsprocessen, interne communicatie
• Vertrouwelijk: Klantdata, financiele gegevens, HR-informatie
• Strikt vertrouwelijk: Wachtwoorden, encryptiesleutels, strategische plannen

Pas beveiligingsmaatregelen toe op basis van classificatie.

14. Implementeer Data Loss Prevention (DLP)

Voorkom dat gevoelige data het bedrijf verlaat:

• Blokkeer het verzenden van klantlijsten via persoonlijke email
• Detecteer wanneer grote hoeveelheden data gedownload worden
• Voorkom het kopieren van bedrijfsdata naar persoonlijke USB-sticks

15. Zorg voor Veilige Datavernietiging

• Wis oude laptops en harde schijven veilig (niet alleen formatteren)
• Vernietig papieren documenten met gevoelige informatie
• Verwijder data van cloudopslag bij contractbeeindiging

Categorie 4: Netwerk en Infrastructuur (Maatregelen 16-18)

16. Segmenteer Je Netwerk

Zorg dat een aanval op een deel van je netwerk niet het hele bedrijf platlegt:

• Scheid het gastnetwerk van het bedrijfsnetwerk
• Scheid IoT-apparaten (printers, camera's) van werkstations
• Gebruik VLAN-segmentatie voor verschillende afdelingen

17. Beveilig Je WiFi

• Gebruik WPA3 (of minimaal WPA2) encryptie
• Wijzig standaard wachtwoorden van routers en access points
• Maak een apart gastnetwerk voor bezoekers
• Schakel WPS uit

18. Implementeer een Firewall

• Een Next-Generation Firewall (NGFW) voor je bedrijfsnetwerk
• Host-based firewalls op alle werkstations (Windows Firewall, macOS Firewall)
• Configureer de firewall volgens het principle of least privilege: blokkeer alles behalve wat nodig is

Categorie 5: Incidentrespons (Maatregelen 19-20)

19. Stel een Incident Response Plan Op

Weet wat je moet doen als het misgaat. Je plan bevat minimaal:

• Wie belt wie? Contactlijst van IT-verantwoordelijke, directie, juridisch adviseur, IT-partner
• Eerste stappen: Isoleer getroffen systemen, bewaar bewijsmateriaal
• Communicatie: Wie informeert klanten, medewerkers, Autoriteit Persoonsgegevens?
• Herstel: Hoe zet je systemen terug vanuit back-ups?
• Evaluatie: Hoe voorkomen we herhaling?

Oefen dit plan minimaal jaarlijks. Een plan dat niemand kent, werkt niet.

20. Sluit een Cyberverzekering Af

Een cyberverzekering dekt kosten die je zelf niet kunt dragen:

• Kosten van dataherstel en forensisch onderzoek
• Omzetverlies door bedrijfsstilstand
• Juridische kosten bij datalekken
• Losgeld bij ransomware (hoewel betalen wordt afgeraden)

Premie-indicatie: 500 tot 2.500 euro per jaar voor een MKB-bedrijf, afhankelijk van omvang en branche.

Prioritering: Waar Begin Je?

Niet alle maatregelen zijn even urgent. Hier is de prioriteitsvolgorde:

Week 1 (Direct):

• MFA activeren op alle accounts (#1)
• Wachtwoordmanager implementeren (#2)
• Back-ups controleren (#11)

Maand 1:

• Endpoint protection installeren (#7)
• Eerste phishing-training geven (#6)
• Software updates controleren (#10)

Kwartaal 1:

• Netwerksegmentatie (#16)
• Incident response plan opstellen (#19)
• Data classificatie uitvoeren (#13)

Kwartaal 2-4:

• Overige maatregelen implementeren
• Eerste phishing-simulatie uitvoeren
• Cyberverzekering afsluiten

Kosten: Wat Kost Cybersecurity voor MKB?

Bedrijfsomvang	Jaarlijkse kosten basisbeveiliging
5-15 medewerkers	3.000 - 8.000 euro
15-50 medewerkers	8.000 - 25.000 euro
50-100 medewerkers	25.000 - 60.000 euro

Perspectief: De gemiddelde schade van een cyberaanval is 65.000 euro. Een jaarlijkse investering van 10.000 euro in beveiliging is dan heel redelijk.

Praktijkvoorbeeld: Ransomware-aanval op een Makelaarskantoor

Een makelaarskantoor in Den Haag met 18 medewerkers werd in 2025 getroffen door een ransomware-aanval. Een medewerker klikte op een link in een overtuigende phishing-email die leek te komen van Funda. Binnen 4 uur was het volledige netwerk versleuteld.

De schade:

• 3 dagen volledige bedrijfsstilstand
• Alle klantdossiers ontoegankelijk
• Losgeld-eis van 45.000 euro in Bitcoin
• Kosten voor forensisch onderzoek: 8.000 euro
• Kosten voor dataherstel: 12.000 euro
• Melding bij Autoriteit Persoonsgegevens (datalekprocedure)
• Reputatieschade: 3 klanten stapten over naar een concurrent
• Totale geschatte schade: meer dan 80.000 euro

Wat ontbrak:

• Geen MFA op email en bedrijfsapplicaties
• Verouderde antivirus (geen EDR)
• Back-ups op een netwerkschijf die ook versleuteld werd (niet offline of offsite)
• Geen phishing-training voor medewerkers
• Geen incident response plan

Hoe het voorkomen had kunnen worden: Als het kantoor de top-5 maatregelen uit deze checklist had geimplementeerd (MFA, EDR, 3-2-1 back-ups, phishing-training en een incident response plan), was de aanval met 95% waarschijnlijkheid afgeslagen of was de schade minimaal geweest. De totale investering daarvoor: circa 6.000 euro per jaar.

NIS2-Richtlijn: Nieuwe Verplichtingen voor MKB

De Europese NIS2-richtlijn, die in Nederland wordt omgezet in de Cyberbeveiligingswet, stelt strengere eisen aan de cybersecurity van bedrijven in essentiële en belangrijke sectoren. Dit raakt ook MKB-bedrijven in sectoren zoals:

• Energie en water
• Transport en logistiek
• Gezondheidszorg
• Digitale infrastructuur
• Voedselproductie en -distributie
• Postdiensten en afvalverwerking

Wat betekent NIS2 voor jouw bedrijf?

• Verplichte risicoanalyse en beveiligingsmaatregelen
• Meldplicht voor cyberveiligheidsincidenten (binnen 24 uur)
• Bestuurders worden persoonlijk verantwoordelijk voor cybersecurity
• Boetes tot 10 miljoen euro of 2% van de jaaromzet

Zelfs als je bedrijf niet direct onder NIS2 valt, is het verstandig om de maatregelen in deze checklist te implementeren. Ze vormen de basis van wat NIS2 vereist en beschermen je bedrijf ongeacht wettelijke verplichtingen.

Zero Trust: Het Beveiligingsmodel van de Toekomst

Het traditionele beveiligingsmodel gaat ervan uit dat alles binnen je netwerk te vertrouwen is en alles daarbuiten niet. Dat model werkt niet meer in een wereld van thuiswerken, cloudapplicaties en mobiele apparaten.

Zero Trust gaat uit van een ander principe: vertrouw niets en verifieer alles. Concreet betekent dat:

• Elke gebruiker wordt geverifieerd bij elke toegangspoging (via MFA)
• Elk apparaat wordt gecontroleerd op compliance (up-to-date, beveiligd)
• Elke applicatie kent alleen de minimaal benodigde rechten
• Al het verkeer wordt gemonitord op afwijkend gedrag

Voor MKB-bedrijven hoeft Zero Trust niet ingewikkeld te zijn. De maatregelen in deze checklist, met name MFA (#1), least privilege (#3), netwerksegmentatie (#16) en monitoring (#19), vormen samen al een solide Zero Trust-basis.

Conclusie

Cybersecurity hoeft niet ingewikkeld of duur te zijn. Begin met de drie belangrijkste maatregelen: MFA, een wachtwoordmanager en goede back-ups. Bouw van daaruit stap voor stap verder. Het belangrijkste is dat je begint en consistent blijft.

Wil je weten hoe jouw bedrijf ervoor staat? CleverTech biedt een gratis cybersecurity quickscan aan. We beoordelen je huidige beveiligingsniveau en geven concrete aanbevelingen.

Vraag je gratis quickscan aan