Neem vóór eind 2025 deze 5 cybersecurity maatregelen

Dreigingen veranderen - Phishing is professioneler, spear phishing persoonlijker en deepfakes zijn geloofwaardiger. Aanvallers gebruiken tooling en AI om sneller en gerichter te werken. Klanten stellen eisen.

Grote afnemers willen leverzekerheid - Ze vragen om bewijs van uw beveiligingsniveau. Leveranciers met zwakke security verliezen deals of lopen vast bij contractverlenging. Intussen worden de regels strenger. Met NIS2 stijgen de verwachtingen rond risicobeheersing, incidentrespons en ketenbeveiliging. Toeleveranciers gaan dit merken via contractvoorwaarden.

Continuïteit van de bedrijfsvoering - Als een aanval u overkomt, dan kost elke dag stilstand geld, reputatie en energie. Voorbereiden is aantoonbaar goedkoper dan herstellen. 

Ook interessant: 'Wat is NIS2 en wat betekent het voor uw organisatie?'

1 Maak uw organisatie NIS2-klaar 

Waarom dit nodig is - Dit geldt met name voor middelgrote en grote bedrijven die vitale of essentiële diensten leveren. U laat zien dat u risico’s kent en beheerst, ook in uw keten. Dat voorkomt frictie met klanten en versnelt audits en controles. 

Wat u doet - Inventariseer kritieke processen en systemen. Maak een kort risicoregister met toprisico’s, eigenaar, maatregel en datum. Werk beleid bij voor patchen, toegang, incidenten en logging. Classificeer leveranciers en leg beveiligingseisen vast. Doe een korte nulmeting om uw startpunt en prioriteiten te bepalen.

Wat het oplevert - Minder verrassingen, sneller beslissen bij incidenten en soepelere gesprekken met klanten en auditors.   

2 Zet identiteitsbescherming op nummer één

Waarom dit nodig is - De meeste incidenten beginnen met misbruik van accounts. Accounts zijn de voordeur. 

Wat u doet - Zet MFA aan op email, VPN, beheerdersaccounts en bedrijfskritieke applicaties. Rol een wachtwoordmanager uit. Ruim rechten op volgens het principe van minimale rechten en beoordeel toegang ieder kwartaal opnieuw. Zet meldingen aan voor afwijkende logins en onmogelijk reisgedrag. 

Wat het oplevert - De makkelijkste aanvalsroutes verdwijnen en uw risico daalt direct. 

Meer over security: 'Wie DDoS-aanvallen kan afslaan, kan ongestoord ondernemen"

3 Maak uw bedrijf weerbaar tegen AI-gedreven aanvallen 

Waarom dit nodig is - Aanvallen zijn geloofwaardiger en sneller. Detectie en respons moeten mee versnellen. 

Wat u doet - Implementeer EDR en XDR op endpoints en servers. Schrijf eenvoudige playbooks voor phishing, ransomware en data exfiltratie met helder wie wat doet en wanneer. Train medewerkers in AI phishing en deepfakes met een duidelijk verificatieprotocol. Oefen met realistische scenario’s en verwerk verbeterpunten. 

Wat het oplevert - Snellere detectie en herstel, minder misclicks en minder schade.   

4 Zorg voor sterke backups en herstel

Waarom dit nodig is - Bij ransomware redt een bewezen backup uw operatie. Backups die niet getest zijn geven geen zekerheid. 

Wat u doet - Volg de regel drie twee een. Maak drie kopieën op twee soorten media waarvan één kopie buiten het netwerk en bij voorkeur onveranderbaar. Plan elk kwartaal een volledige hersteltest en leg per systeem RTO en RPO vast, de maximale uitvaltijd en het maximale dataverlies dat u accepteert. Isoleer beheerrechten en segmenteer de backup omgeving. 

Wat het oplevert - Herstel zonder losgeld en vooraf duidelijkheid over de hersteltijd.   

5 Bouw aan een securitycultuur: de menselijke firewall 

Waarom dit nodig is - Techniek werkt alleen wanneer mensen veilig handelen. 

Wat u doet - Voer regelmatig phishing simulaties uit en geef teams gerichte terugkoppeling. Train medewerkers in social engineering en veilig datagebruik met korte sessies per rol. Wijs per team een security ambassadeur aan. Neem security op in onboarding en in het kwartaalritme. Meet en deel klikratio en meldingsbereidheid. 

Wat het oplevert - Minder fouten, snellere meldingen en een organisatie die vanzelf alert blijft.

Bekijk deze indringende video: 'Video: Xander werd gehackt. Zijn verhaal, uw wake-up call?'

1. Zet MFA aan op email, VPN, admin en kritieke applicaties 
2. Controleer uw backups en kijk of u een offline of onveranderbare kopie hebt.
3. Start een EDR of XDR pilot op een representatieve groep endpoints 
4. Doe een phishing nulsimulatie en plan een korte training met terugkoppeling
5. Begin met uw risicoregister met de top tien risico’s, eigenaar, maatregel en datum
6. Breng uw top tien leveranciers in kaart en toets hun beveiligingsafspraken 

Deze acties zijn haalbaar in weken en geven snel zichtbaar resultaat. 

Hoe houdt u het beheersbaar? Koos Freriks, Security Expert bij Vodafone Business, geeft advies:  "Werk in blokken van negentig dagen. Begin met snelle wins, borg ze en ga verder met de volgende laag. Wijs eigenaars aan. Elk risico, elk playbook en elk onderdeel van uw backup heeft een naam en een datum. Meet wat ertoe doet. Bijvoorbeeld MFA dekking, EDR en XDR dekking, tijd tot detectie en herstel, klikratio en meldingsratio, en het resultaat van hersteltests. Gebruik een raamwerk. Het NIST Cybersecurity Framework met Identify Protect Detect Respond Recover helpt om niets te vergeten en om stakeholders mee te krijgen."

Er zijn tijdelijke subsidieregelingen voor het MKB die de drempel om te starten verlagen. Via Mijn Cyberweerbare Zaak kunnen MKB-bedrijven tot en met 31 oktober 2025 50% subsidie (max. € 1.250) krijgen voor deze maatregelen; controleer wel de actuele voorwaarden en deadlines.

Lees verder over deze subsidieregeling