Het kabinet investeert extra in het verbeteren van de digitale veiligheid van het midden- en kleinbedrijf (mkb) in Nederland. De maatregelen worden in de komende periode uitgerold om schade door cybercrime te beperken en ketens weerbaarder te maken. Het ministerie van Economische Zaken en Klimaat en het Digital Trust Center sturen de aanpak aan. Het pakket helpt ondernemers te voldoen aan Europese regels zoals de NIS2-richtlijn en sluit aan bij de Europese AI-verordening en de gevolgen voor overheid en toeleveringsketens.
Kabinet richt steun op mkb
Veel mkb-bedrijven hebben weinig tijd en geld voor beveiliging. Toch zijn zij aantrekkelijk doelwit voor criminelen en vormen zij een schakel in grotere ketens. De nieuwe inzet van het kabinet moet de basisbeveiliging verhogen en de kansen op succesvolle aanvallen verlagen.
De nadruk ligt op middelen die direct bruikbaar zijn. Denk aan heldere stappenplannen, bewustwording en ondersteuning bij het instellen van basismaatregelen. Voorbeelden zijn backups, automatische updates en inloggen in twee stappen (multi-factor authenticatie).
De overheid werkt hierbij samen met brancheorganisaties en regionale netwerken. Zo kan hulp per sector worden afgestemd op de praktijk. Ook wordt informatie-uitwisseling over dreigingen en incidenten verbeterd, zodat bedrijven sneller kunnen handelen.
DTC krijgt grotere rol
Het Digital Trust Center (DTC) ondersteunt bedrijven buiten de vitale sector met advies en praktische hulpmiddelen. Met extra middelen kan het DTC opschalen met waarschuwingen, handleidingen en checklists. Bedrijven krijgen zo één herkenbaar loket voor basisbeveiliging.
Het DTC sluit aan op het Nationaal Cyber Security Centrum (NCSC), dat zich richt op vitale organisaties. Door betere afstemming kan relevante dreigingsinformatie sneller bij het mkb komen. Zo wordt het gat tussen complexe dreigingsrapporten en dagelijkse praktijk kleiner.
Verwacht wordt dat het DTC meer voorbeelden, sjablonen en zelfscans aanbiedt. Denk aan een stappenplan voor wachtwoordbeleid en back-ups, en voorbeeldclausules voor afspraken met leveranciers. Ook komt er meer aandacht voor privacy-by-design en veilig omgaan met klantdata onder de AVG.
NIS2 versnelt verplichtingen
De Europese NIS2-richtlijn scherpt de eisen voor cybersecurity en melding van incidenten aan. De omzetting naar Nederlandse wetgeving is op het moment van schrijven in voorbereiding. Veel ondernemingen krijgen hiermee te maken, direct of via eisen van grotere klanten.
NIS2 vraagt om basismaatregelen zoals toegangsbeheer, logging, patchen en duidelijke procedures voor incidenten. Ook wordt de keten belangrijker: bedrijven moeten risico’s bij leveranciers beter beheersen. Toezichthouders kunnen ingrijpen als organisaties niet voldoen.
Ook mkb-bedrijven die niet rechtstreeks onder de wet vallen, gaan hier de effecten van merken. Opdrachtgevers zullen vaker om bewijs van basisbeveiliging vragen. Denk aan beleid, periodieke tests en aantoonbare back-ups.
NIS2 is de Europese richtlijn die strengere eisen stelt aan cyberbeveiliging, risicobeheer en meldplichten voor essentiële en belangrijke organisaties, met zwaardere controle en sancties bij overtreding.
Praktische hulp en subsidies
Het kabinet zet in op maatregelen die snel resultaat geven. Subsidies en programma’s lopen via brancheverenigingen en regionale samenwerkingen. Zo kunnen ondernemers dicht bij huis trainingen volgen en hulp krijgen bij het uitvoeren van basismaatregelen.
Er komt meer ondersteuning voor oefeningen en bewustwording. Bijvoorbeeld phishing-simulaties, crisisdraaiboeken en stappenplannen voor herstel na een incident. Bedrijven leren zo sneller herkennen, reageren en herstellen.
Ook is er aandacht voor selectie van veilige software en cloud-diensten. Encryptie, toegang op basis van het minste recht en updatebeleid zijn randvoorwaarden. Aansluiten bij gangbare normen zoals ISO/IEC 27001 kan helpen om eisen van klanten te onderbouwen.
Toegang tot hulp verloopt via het DTC-platform, de Kamer van Koophandel en sectororganisaties. Daar vinden bedrijven actuele waarschuwingen, tools en contactpunten. Dit moet de drempel voor eerste stappen verlagen.
Europese AI-verordening raakt overheid
Criminelen zetten steeds vaker kunstmatige intelligentie in voor overtuigende phishing en deepfakes. Dat vergroot de druk op bedrijven om hun basis op orde te hebben. Heldere procedures en verificatie bij betalingen en wijzigingen zijn daarom belangrijker dan ooit.
De Europese AI-verordening (AI Act) vraagt om goed beheer van risicovolle AI-toepassingen. Leveranciers aan de overheid krijgen daar op het moment van schrijven extra aandacht voor in aanbestedingen. Dat raakt ook mkb’ers in de keten, die bewijs van risicobeheersing en datakwaliteit moeten leveren.
Privacy blijft een kernpunt onder de AVG. Dataminimalisatie, versleuteling en doelbinding zijn verplicht als met klantgegevens wordt gewerkt. Bij inzet van AI is bovendien transparantie nodig over gebruikte data en modellen.
Een praktisch vertrekpunt is beleid voor AI-gebruik naast het beveiligingsbeleid. Leg vast welke tools mogen, welke data niet mag worden ingevoerd en hoe logging en controle werken. Combineer dat met training om misleiding door AI sneller te herkennen.
Wat ondernemers nu kunnen doen
Begin met de basis: sterke wachtwoorden, inloggen in twee stappen, automatische updates en offline back-ups. Leg vast wie waarvoor verantwoordelijk is en oefen één keer per jaar een incident. Dit beperkt schade en verkort hersteltijd.
Kaart leverancierrisico’s aan in contracten. Vraag om updatebeleid, versleuteling en een contactpunt voor incidenten. Dit helpt ook om aan te tonen dat u ketenrisico’s beheerst onder NIS2.
Check de AVG: verwerk zo min mogelijk persoonsgegevens en versleutel waar het kan. Voer bij risicovolle verwerkingen een data protection impact assessment (DPIA) uit. Houd bij welke gegevens u bewaart en waarom.
Sluit u aan bij het Digital Trust Center of een regionaal cyberweerbaarheidsnetwerk. U ontvangt waarschuwingen en praktische handvatten. Zo profiteert u direct van de kabinetsinvestering in digitale veiligheid.
