Cybersecurity voor het MKB

Het midden- en kleinbedrijf vormt de ruggengraat van de Nederlandse economie. Meer dan 99 procent van alle bedrijven in Nederland behoort tot het MKB, goed voor ruim 1,6 miljoen ondernemingen en bijna 3,8 miljoen werknemers. Samen genereren deze bedrijven ongeveer de helft van het totale arbeidsvolume in de Nederlandse economie. Toch is juist deze groep onevenredig kwetsbaar voor cybercriminaliteit.

De cijfers liegen er niet om. Uit onderzoek van Kaspersky blijkt dat 77 procent van het MKB in de afgelopen twee jaar minstens een keer geconfronteerd werd met cybercrime. Volgens ABN AMRO ondervond een op de vijf bedrijven in 2024 directe schade door een cyberaanval. En het CCINFO-jaarrapport 2024 laat een stijging van 50 procent zien in het aantal geslaagde cyberaanvallen op Nederlandse bedrijven. Cybercriminaliteit kost het Nederlandse bedrijfsleven en de overheid jaarlijks zo'n 10 miljard euro, blijkt uit cijfers van het CBS en het NCSC.

Voor MKB-ondernemers is cybersecurity daarmee geen technisch bijzaak meer. Het is een strategische voorwaarde voor bedrijfscontinuiteit, klantvertrouwen en groei.

Het dreigingslandschap voor het MKB

Cybercriminelen richten zich steeds vaker bewust op het MKB. De logica is simpel: kleinere bedrijven hebben doorgaans minder beveiligingsmaatregelen, maar beschikken wel over waardevolle data en financiele middelen. Geautomatiseerde aanvallen maken het bovendien mogelijk om duizenden bedrijven tegelijk te targeten, ongeacht hun omvang.

Phishing

Phishing blijft de meest voorkomende aanvalsvector. Uit het Cyberonderzoek 2025 van de overheid blijkt dat 31 procent van de medewerkers het afgelopen jaar een phishingmail ontving op het werk, een stijging ten opzichte van 25 procent in 2024. Zorgwekkend is dat bijna de helft (47 procent) van de ontvangers geen actie onderneemt of geen melding doet. Nederlandse MKB-bedrijven worden bovendien significant vaker slachtoffer van phishing dan het Europese gemiddelde: 21 procent tegenover 11 procent, volgens de Eurobarometer.

Ransomware

Ransomware-aanvallen vormen een van de grootste bedreigingen. Bij ransomware worden bedrijfsgegevens versleuteld en eist de aanvaller losgeld, vaak gecombineerd met de dreiging om gestolen data te publiceren (zogeheten double extortion). Het NCSC registreerde in het Jaarbeeld Ransomware 2024 in totaal 121 unieke ransomware-incidenten in Nederland. Daarbij merkt het NCSC op dat bij het MKB slechts 10 tot 15 procent van de incidenten zichtbaar wordt via aangiften, wat betekent dat het werkelijke aantal aanzienlijk hoger ligt. Meer dan de helft van alle ransomware-aanvallen wereldwijd richt zich inmiddels op kleine en middelgrote bedrijven.

CEO-fraude

Bij CEO-fraude doen criminelen zich voor als een directielid of leidinggevende en geven ze via e-mail opdracht om een spoedoverboeking uit te voeren. De bedragen lopen regelmatig op tot honderdduizenden euro's. Door het gebruik van generatieve AI worden deze berichten steeds overtuigender en moeilijker te onderscheiden van legitieme communicatie. CEO-fraude is bijzonder effectief bij MKB-bedrijven, waar de lijnen kort zijn en medewerkers gewend zijn om snel te handelen op verzoek van de directie.

Supply chain attacks

Bij een supply chain attack verschaffen criminelen zich toegang tot een organisatie via een leverancier of dienstverlener. Het Cybersecuritybeeld Nederland 2025 van de NCTV bevestigt dat supply chain-aanvallen een structureel probleem vormen: met regelmaat leiden cybersecurityincidenten bij toeleveranciers en dienstverleners tot datalekken bij afnemers. Voor het MKB is dit een tweesnijdend zwaard: je kunt slachtoffer worden via een gehackte leverancier, maar je kunt ook zelf de zwakke schakel zijn in de keten van een grotere opdrachtgever.

Waarom het MKB extra kwetsbaar is

De kwetsbaarheid van het MKB voor cyberaanvallen is geen toeval. Er zijn structurele factoren die kleinere bedrijven een aantrekkelijk doelwit maken.

Beperkte budgetten en capaciteit

Gemiddeld besteedt het MKB slechts 3 procent van het IT-budget aan cybersecurity. Slechts 22 procent van de MKB-bedrijven verhoogde het cybersecuritybudget in de afgelopen twee jaar, terwijl 7 procent het budget zelfs verlaagde. Bij grote bedrijven verhoogde 32 procent de investeringen. Deze kloof in investeringen vertaalt zich direct naar een verschil in beschermingsniveau. Slechts 15 procent van het MKB beschikt over een SIEM-systeem (Security Information and Event Management), tegenover 72 procent van de grote bedrijven.

Geen dedicated IT-team

De meeste MKB-bedrijven hebben geen eigen cybersecurity-specialist in dienst. Uit de CBS Cybersecuritymonitor 2024 blijkt dat kleinere bedrijven hun ICT-veiligheidswerkzaamheden het vaakst uitbesteden. Hoewel uitbesteding op zichzelf niet verkeerd is, ontbreekt het vaak aan de interne kennis om de kwaliteit van die uitbesteding te beoordelen en te bewaken.

Gebrek aan cybersecurity-volwassenheid

Het beeld is scherp: 16 procent van de Nederlandse MKB-bedrijven bevindt zich op het absolute startpunt van hun beveiligingsstrategie. Een overweldigende 74 procent heeft wel enkele maatregelen getroffen, maar scoort onvoldoende op diverse onderdelen. Slechts 10 procent scoort bovengemiddeld. Opvallend: geen enkele MKB-onderneming in Nederland behaalt het hoogste volwassenheidsniveau, terwijl dat bij grote organisaties 5 procent is.

Shadow IT en BYOD

Meer dan de helft van de medewerkers gebruikt AI-tools op het werk, maar slechts 26 procent zegt dat hun organisatie duidelijke richtlijnen heeft om dataveiligheid te waarborgen. Het gebruik van ongeautoriseerde software (shadow IT) en persoonlijke apparaten voor werkdoeleinden (BYOD) vergroot het aanvalsoppervlak aanzienlijk, zeker als daar geen beleid voor bestaat.

Onderschatting van het risico

Misschien wel de gevaarlijkste kwetsbaarheid is psychologisch. Een derde van de MKB-ondernemers acht het onwaarschijnlijk dat zij binnen twee jaar door een cyberaanval uitgeschakeld kunnen worden. Ondertussen verwacht 53 procent van de ondernemers dat de kans reeel is dat hun bedrijf binnen twaalf maanden slachtoffer wordt. Uit de Kleinbedrijf-Index blijkt dat ondernemers de kans op slachtofferschap inschatten op 5 procent, terwijl 14 procent daadwerkelijk te maken krijgt met zware ICT-incidenten.

De impact van een cyberaanval

De gevolgen van een succesvolle cyberaanval zijn voor het MKB vaak ingrijpender dan voor grote organisaties, simpelweg omdat de financiele buffers kleiner zijn en de afhankelijkheid van IT-systemen steeds groter wordt.

Financiele schade

Cybercrime kost het MKB gemiddeld 270.000 euro per incident, volgens onderzoek van ESET en bevestigd door MKB Nederland. De kosten varieren doorgaans tussen de 100.000 en 300.000 euro, afhankelijk van de omvang van het bedrijf en de aard van de aanval. De mediaan ligt op circa 17.000 euro (Hiscox), wat aangeeft dat de meeste incidenten minder kosten, maar dat zware uitschieters het gemiddelde flink omhoog trekken. Bij datalekken in de Benelux rapporteerde IBM een gemiddelde kostprijs van 6,24 miljoen dollar in 2025.

Operationele stilstand

De gemiddelde downtime na een ransomware-aanval bedraagt 23 dagen. Voor bedrijven zonder een getest incident response plan loopt dit op tot 34 dagen. Productiestilstand kost een gemiddeld bedrijf circa 8.500 euro per uur. Voor een MKB-bedrijf met 20 medewerkers kan een dergelijke onderbreking het verschil zijn tussen voortbestaan en sluiting.

Reputatieschade en klantverlies

Naast de directe financiele kosten is de reputatieschade vaak nog ingrijpender. Gestolen klantgegevens, wekenlang verlies van vertrouwen bij klanten en partners, en het verlies van concurrentiepositie zijn lastig in euro's uit te drukken maar treffen het MKB hard. Klantverlies wordt geschat op 15 tot 25 procent in het eerste jaar na een aanval, en voor 42 procent van de getroffen bedrijven is de reputatieschade langdurig merkbaar.

Faillissement

Het meest alarmerende cijfer: 60 procent van de MKB-bedrijven die getroffen worden door een ernstige cyberaanval gaat binnen zes maanden failliet. Dit komt doordat kleine bedrijven vaak niet de financiele reserves hebben om de gecombineerde kosten van herstel, downtime, schadeclaims en reputatieschade op te vangen.

Wetgeving en compliance

Naast de operationele en financiele risico's van cyberaanvallen, worden de wettelijke verplichtingen op het gebied van cybersecurity en privacy steeds strenger. Onwetendheid is geen excuus, en de boetes zijn substantieel.

AVG/GDPR

De Algemene Verordening Gegevensbescherming (AVG) verplicht elk bedrijf dat persoonsgegevens verwerkt om passende technische en organisatorische maatregelen te nemen. Dit geldt voor een eenmanszaak met een klantenbestand net zo goed als voor een multinational. Bij niet-naleving kan de Autoriteit Persoonsgegevens boetes opleggen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. De AP liet in 2025 duidelijk zien dat ook kleine organisaties beboet worden. "Geen tijd", "we wisten het niet" of "we zijn maar een stichting" is geen geldig excuus.

Meldplicht datalekken

Bij een datalek waarbij persoonsgegevens betrokken zijn, moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Als het lek een hoog risico vormt voor de betrokkenen, moeten ook zij geinformeerd worden. Het niet melden van een datalek is op zichzelf al een overtreding die tot een boete kan leiden. De AP publiceert jaarlijks rapportages over datalekken en het aantal meldingen stijgt nog steeds.

NIS2 en de Cyberbeveiligingswet

De Europese NIS2-richtlijn wordt in Nederland omgezet in de Cyberbeveiligingswet, die naar verwachting in 2026 in werking treedt. Direct vallen 8.000 tot 10.000 bedrijven in kritieke sectoren onder deze wet. Maar het effect reikt veel verder: naar schatting 50.000 tot 70.000 MKB-bedrijven krijgen indirect met de NIS2 te maken als toeleverancier. Via de ketenzorgplicht (artikel 21.2D) worden grote opdrachtgevers verplicht om de cybersecurity van hun gehele leveringsketen te waarborgen.

Concreet betekent dit dat jouw opdrachtgevers steeds vaker zullen eisen dat je als leverancier voldoet aan cybersecurity-eisen. In Duitsland gebeurt dit al: Duitse bedrijven vragen hun toeleveranciers uit andere EU-landen om aan de NIS2-richtlijnen te voldoen. Overtredingen van de NIS2 kunnen leiden tot boetes tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet.

Uit onderzoek van Grant Thornton blijkt dat op dit moment slechts 35 procent van de MKB-respondenten bekend is met de NIS2-richtlijn en werkt aan compliance. Bedrijven die nu niet beginnen met voorbereidingen, lopen het risico contracten te verliezen aan concurrenten die hun cybersecurity wel op orde hebben.

Basismaatregelen die elk MKB-bedrijf moet nemen

Het goede nieuws: de basis op orde brengen hoeft niet ingewikkeld of duur te zijn. Het NCSC en het Digital Trust Center hebben vijf basisprincipes opgesteld die voor elk bedrijf toepasbaar zijn. Hieronder de concrete stappen die je als MKB-ondernemer kunt en moet nemen.

1. Breng risico's in kaart. Start met een inventarisatie van je digitale assets: welke systemen, data en applicaties zijn bedrijfskritisch? Welke dreigingen zijn relevant voor jouw sector? Het Digital Trust Center biedt een gratis CyberVeilig Check waarmee je binnen vijf minuten inzicht krijgt in je basisveiligheid. Gebruik de Risicoklassenindeling Digitale Veiligheid (RKIDV) om te bepalen in welke risicoklasse jouw bedrijf valt.
2. Schakel multifactorauthenticatie (MFA) in op alles. MFA is een van de meest effectieve en tegelijk eenvoudigste maatregelen. Toch verplicht slechts de helft van de organisaties tweestapsinloggen. Bij bedrijven met 2 tot 10 werknemers ligt het MFA-gebruik op 57 procent. Schakel het in op alle bedrijfskritische systemen, e-mail, cloudopslag en remote access.
3. Maak en test backups volgens de 3-2-1-methode. Bewaar minimaal drie kopieen van je data, op twee verschillende soorten media, waarvan een offsite of offline. Cruciaal: test regelmatig of je backups daadwerkelijk hersteld kunnen worden. Een backup die niet werkt op het moment dat je hem nodig hebt, is geen backup.
4. Voer een strak patchmanagement. Zorg dat alle software, besturingssystemen en firmware altijd up-to-date zijn. Kwetsbaarheden in verouderde software zijn een van de meest gebruikte aanvalsvectoren. Schakel waar mogelijk automatische updates in en houd een overzicht bij van alle gebruikte software.
5. Investeer in security awareness training. Medewerkers vormen de eerste verdedigingslinie. Regelmatige training in het herkennen van phishing, veilig omgaan met credentials en het melden van verdachte situaties is essentieel. Overweeg periodieke phishing-simulaties om het bewustzijn scherp te houden.
6. Stel een wachtwoordbeleid in en gebruik een wachtwoordmanager. 72 procent van de bedrijven heeft inmiddels een wachtwoordbeleid. Zorg dat dit beleid ook wordt nageleefd: unieke, sterke wachtwoorden per account, ondersteund door een wachtwoordmanager. Verbied wachtwoordhergebruik expliciet.
7. Maak een incident response plan. Weet van tevoren wat je doet als het misgaat. Wie bel je? Hoe isoleer je getroffen systemen? Hoe communiceer je naar klanten? Bedrijven met een getest incident response plan herstellen significant sneller van een aanval. Stel een bellijst samen met belangrijke nummers voor noodsituaties.
8. Segmenteer je netwerk en beheer toegangsrechten. Niet elke medewerker heeft toegang nodig tot alle systemen en data. Pas het least privilege-principe toe: geef medewerkers alleen toegang tot wat ze nodig hebben voor hun werk. Pas rechten aan bij functiewijzigingen en vertrek.
9. Sluit een cyberverzekering af. Slechts 17 procent van de Nederlandse bedrijven heeft een cyberverzekering. Een goede cyberverzekering dekt niet alleen financiele schade, maar biedt vaak ook toegang tot incident response teams en juridische ondersteuning.
10. Documenteer en evalueer. Leg vast welke maatregelen je hebt genomen, wanneer systemen voor het laatst zijn geupdate en wie verantwoordelijk is voor welk onderdeel van de beveiliging. Evalueer minimaal jaarlijks of je maatregelen nog passend zijn.

Veelvoorkomende fouten

Ondanks groeiend bewustzijn maken veel MKB-bedrijven nog steeds dezelfde fouten. Herken je een of meer van deze punten? Dan is het tijd om actie te ondernemen.

"Het overkomt ons niet"

Dit is de gevaarlijkste aanname die je als ondernemer kunt doen. Cybercriminelen maken geen onderscheid op basis van bedrijfsomvang. Integendeel: juist omdat de beveiliging bij het MKB vaak zwakker is, zijn kleinere bedrijven interessante doelwitten voor geautomatiseerde aanvallen. Je bent niet te klein om gehackt te worden. Je bent online, dus je bent kwetsbaar.

Verouderde software draaien

Elk stukje software dat niet gepatcht is, vormt een potentiele ingang voor aanvallers. Toch stellen veel bedrijven updates uit omdat ze "geen tijd hebben" of bang zijn dat een update iets kapotmaakt. De realiteit is dat het risico van niet-updaten vrijwel altijd groter is dan het risico van een update.

Backups niet testen

Veel bedrijven maken trouw backups, maar testen nooit of die backups daadwerkelijk hersteld kunnen worden. Na een ransomware-aanval ontdekken ze dan dat de backup corrupt is, incompleet of eveneens versleuteld. Test minimaal elk kwartaal een volledig herstel.

Wachtwoordhergebruik tolereren

Als medewerkers dezelfde credentials gebruiken voor zakelijke en persoonlijke accounts, hoeft er maar een dienst gehackt te worden om toegang te krijgen tot bedrijfssystemen. Credential stuffing, het geautomatiseerd uitproberen van gelekte wachtwoorden, is een van de meest gebruikte aanvalstechnieken.

Alles leunen op een antivirusprogramma

Een antivirusprogramma of firewall is een nuttige basislaag, maar geen complete beveiligingsstrategie. Professionele aanvallers gebruiken technieken die traditionele antivirussoftware eenvoudig omzeilen. Beveiliging vereist een gelaagde aanpak: technisch, organisatorisch en menselijk.

Geen duidelijke verantwoordelijkheden

In veel MKB-bedrijven is cybersecurity "van iedereen en dus van niemand". Zonder een duidelijk aangewezen persoon die verantwoordelijk is voor digitale veiligheid, blijven maatregelen liggen en worden incidenten niet of te laat opgemerkt.

Vertrouwen zonder verificatie bij uitbesteding

Het uitbesteden van IT-beveiliging aan een externe partij is voor veel MKB-bedrijven een verstandige keuze. Maar uitbesteden betekent niet dat je ook de verantwoordelijkheid uitbesteedt. Controleer wat je IT-partner daadwerkelijk doet, vraag om rapportages en stel vragen over hun beveiligingsaanpak.

De rol van cybersecurity-partners

Voor de meeste MKB-bedrijven is het niet realistisch om alle cybersecurity-expertise in huis te halen. De arbeidsmarkt voor cybersecurity-specialisten is krap, de salarissen zijn hoog en de technologie verandert snel. Uitbesteden aan een gespecialiseerde partner is dan ook voor veel bedrijven de meest logische en kosteneffectieve keuze.

Wat een goede cybersecurity-partner biedt

• Risicoanalyse en assessment: Een gedegen inventarisatie van je huidige beveiligingsniveau, kwetsbaarheden en verbeterpunten. Dit omvat idealiter ook een penetratietest om de beveiliging in de praktijk te toetsen.
• Continue monitoring: 24/7 bewaking van je systemen op verdachte activiteiten, zodat dreigingen worden gedetecteerd voordat ze schade aanrichten.
• Incident response: Snelle en professionele ondersteuning als er toch iets misgaat. De snelheid waarmee je reageert op een incident bepaalt in grote mate de omvang van de schade.
• Awareness training: Periodieke training en phishing-simulaties voor medewerkers, afgestemd op jouw organisatie en sector.
• Compliance-ondersteuning: Hulp bij het voldoen aan AVG, NIS2 en andere relevante wet- en regelgeving, inclusief documentatie en rapportages.
• Strategisch advies: Een partner die meedenkt over de lange termijn en jouw beveiligingsstrategie laat meegroeien met je bedrijf.

Waar je op moet letten bij het kiezen van een partner

• Certificeringen en keurmerken: Zoek naar partners met het keurmerk Digitale Basisveiligheid MKB, dat door het NCSC en het CCV is ontwikkeld. Dit keurmerk garandeert dat de dienstverlener voldoet aan onafhankelijk getoetste kwaliteitseisen gebaseerd op de vijf basisprincipes van digitale weerbaarheid.
• MKB-ervaring: Een partner die gewend is om met grote enterprises te werken, begrijpt niet altijd de specifieke uitdagingen en budgetbeperkingen van het MKB. Vraag naar referenties van vergelijkbare bedrijven.
• Transparantie: Een betrouwbare partner is transparant over wat ze wel en niet doen, rapporteert proactief en communiceert begrijpelijk, zonder onnodig jargon.
• Schaalbare dienstverlening: Jouw beveiligingsbehoeften veranderen naarmate je bedrijf groeit. Kies een partner die flexibele, schaalbare oplossingen biedt.
• Beschikbaarheid bij incidenten: Vraag expliciet naar de beschikbaarheid en responstijden bij een incident. Bij een ransomware-aanval om 3 uur 's nachts wil je niet in een voicemail terechtkomen.

Cybersecurity is geen eenmalig project maar een continu proces. De digitale dreigingen evolueren voortdurend, en daarmee moet ook jouw beveiliging meebewegen. Begin vandaag met de basis op orde brengen. Niet omdat het moet van de wet, maar omdat het voortbestaan van jouw bedrijf ervan afhangt.