De MKB Cyber Alarmcentrale heeft de noodhulp voor ondernemers met spoed verlengd tot augustus 2026. De reden? Steeds meer hacks bij kleinere bedrijven. Volgens de laatste CBS-cijfers is het aantal slachtoffers van online criminaliteit opnieuw gestegen en waarschuwt het Platform Veilig Ondernemen (PVO) voor een recordaantal misbruikte lekken in systemen zoals Windows.
Hackers gebruiken het mkb steeds vaker als ‘achterdeur’ om bij grotere organisaties binnen te dringen. Het gaat niet meer om de vraag of je wordt aangevallen, maar hoe je voorkomt dat een lek in jouw systeem de hele keten van je klanten platlegt.
Lees ook: Installateur Hoppenbrouwers werd voor 4 ton gehackt: dit zijn de lessen
Er komt nóg een wet bij
De politiek tikt op dit moment de laatste punten af van de Cyberbeveiligingswet (CBW). De bedoeling is dat je in de eerste helft van 2026 aan de nieuwe regels moet voldoen. Wat veel ondernemers niet weten, is dat er tegelijkertijd een tweede wet bijkomt: de Wet weerbaarheid kritieke entiteiten (Wwke).
Waarom dit ook mkb’ers raakt
Waar de CBW over digitale veiligheid gaat, richt de Wwke zich op de fysieke bescherming van vitale bedrijven. Samen dwingen deze wetten grote organisaties om niet alleen hun eigen IT en panden, maar hun hele keten – inclusief toeleveranciers – door te lichten.
Lever je onderdelen aan een machinebouwer? Doe je de catering voor een zorginstelling? Of beheer je de data van een transportbedrijf? Grote kans dat je opdrachtgevers je binnenkort een vragenlijst sturen. Kun je niet aantonen dat je zaken goed geregeld zijn, dan kunnen zij mogelijk geen nieuwe contracten meer met je tekenen. De wet verplicht hen namelijk om risico’s in hun keten tot een minimum te beperken.
In 5 stappen ‘cyberproof’
Je hoeft geen whizzkid te zijn om aan de belangrijkste eisen te voldoen. Volgens het Nationaal Cyber Security Centrum (NCSC) begint digitale veiligheid bij de basis. Of je nu direct onder de wet valt of gewoonweg een goede leverancier wil blijven: deze 5 stappen zijn vanaf 2026 de nieuwe ondergrens voor elke ondernemer. Ze sluiten aan op de basismaatregelen die de overheid voorschrijft:
1. Stel de ‘dubbele check’ in (MFA)
Wachtwoorden zijn allang niet meer genoeg. De wet noemt multifactor-authenticatie specifiek als een van de belangrijkste barrières. Zorg dat je voor élk systeem een extra bevestiging via je telefoon nodig hebt.
2. Maak je medewerkers ‘phishing-proof’
Techniek is zelden het probleem, de mens is de zwakste schakel. Je personeel trainen is een belangrijke basismaatregel. Organiseer een korte bijspijkersessie: waar herken je een foute link aan?
3. Update alsof je leven ervan afhangt
Die irritante melding rechtsonder in je scherm? Klik niet op ‘morgen installeren’. Updates dichten gaten waar hackers actief naar zoeken. Stel alles in op automatisch bijwerken.
4. Maak een ‘offline’ back-up
Als een hacker je systemen versleutelt (ransomware), ben je nergens als je back-up ook aan het netwerk hangt. Zorg dat je bedrijf kan doordraaien na een aanval; dat is een harde eis in de nieuwe wet.
5. Regel je ‘digitale noodplan’
Wie bel je als het scherm op zwart gaat? De nieuwe wet is streng: ernstige incidenten moet je binnen 24 uur melden, al is het eerst een voorlopige melding. Zorg voor een simpel lijstje met nummers van je IT-partij, verzekeraar en de Alarmcentrale.
Lees ook: Tientallen datalekken door AI-gebruik werknemers: vooral door experimenteren met gratis tools
Wat je moet weten over de nieuwe wet
De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. In helder Nederlands: het is een wet die bedrijven verplicht om hun digitale deuren en ramen beter te beveiligen.
• Zorgplicht
Je moet aantoonbaar maatregelen nemen om risico’s te beperken. Denk hierbij ook aan de beveiliging van je eigen leveranciers en het versleutelen van gevoelige gegevens.
• Meldplicht
Gaat het mis? Grote incidenten moet je direct melden via het centrale meldportaal van de overheid.
• Registratieplicht
Bedrijven die onder de wet vallen, moeten zich inschrijven bij het NCSC. Dit geeft je ook sneller toegang tot hulp van gespecialiseerde overheidsteams.
De catch voor het kleinere mkb
Heb je minder dan 50 medewerkers? Dan hoef je je waarschijnlijk niet officieel te registreren, maar je ontspringt de dans niet helemaal. Grote klanten (zoals ziekenhuizen, logistiek/transport, voedselketen of energieleveranciers) zijn wettelijk verantwoordelijk voor hun keten. Geen goede beveiliging betekent in 2026 dat je mogelijk niet meer door hun selectie komt.
Wil je weten waar je precies aan toe bent? Gebruik dan de NIS2-Zelfevaluatietool om te checken of de wet direct voor jou geldt. Valt jouw sector onder de regels? Kijk dan in de officiële Cyberbeveiligingswet doorverwijsboom’ van de Rijksoverheid om te zien wie jouw aanspreekpunt en toezichthouder is.
Lees ook: Gratis digitaliseringshulp voor mkb blijft liggen: ‘Breed aanbod moet zichtbaar worden’
