Cyberincidenten treffen steeds meer mkb-bedrijven. Veel ondernemers weten eigenlijk niet precies welke juridische verplichtingen gelden als ze slachtoffer worden van een cyberaanval.
De wet stelt vrij duidelijke eisen aan hoe en wanneer je een incident moet rapporteren aan de autoriteiten. Toch voelt dat in de praktijk vaak als een grijs gebied.
Mkb-bedrijven die onder de nieuwe Cyberbeveiligingswet vallen krijgen te maken met verplichte registratie, zorgplichten en meldplichten bij significante cyberincidenten. Deze regels, gebaseerd op de Europese NIS2-richtlijn, leggen ineens nieuwe verantwoordelijkheden op bij veel Nederlandse bedrijven die eerder buiten schot bleven.
Het naleven van meldplichten is niet alleen wettelijk verplicht. Het helpt ook om schade te beperken en klanten en zakenpartners te beschermen.
Wat is een cyberincident en waarom zijn mkb-bedrijven doelwit?
Een cyberincident is eigenlijk elke gebeurtenis die de veiligheid van bedrijfsgegevens of computersystemen bedreigt. Mkb-bedrijven zijn steeds vaker doelwit, vooral omdat ze meestal minder goed beveiligd zijn dan grote ondernemingen, maar wél interessante data hebben.
Typen cyberincidenten en voorbeelden
Ransomware-aanvallen vormen een van de grootste bedreigingen. Criminelen blokkeren alle bedrijfsgegevens en eisen losgeld voor herstel.
Een mkb-bedrijf kan zo in één klap miljoenen bestanden kwijtraken. Dat overkomt je sneller dan je denkt.
Phishing gebeurt via valse e-mails die net echt lijken, bijvoorbeeld van een bank of leverancier. Medewerkers geven dan per ongeluk hun inloggegevens weg.
Datadiefstal draait om het stelen van klantgegevens, financiële info of bedrijfsgeheimen. Soms blijft dat maandenlang onopgemerkt.
Andere digitale dreigingen zijn onder meer:
- DDoS-aanvallen die websites platleggen
- Social engineering waarbij criminelen zich voordoen als collega’s
- Malware die stiekem gegevens verzamelt
- Kwetsbaarheden in verouderde software
Specifieke risico’s voor het mkb
Mkb-bedrijven denken vaak dat ze te klein zijn voor cyberaanvallen. Die gedachte zorgt voor zwakke plekken in de beveiliging.
Beperkte budgetten maken het lastig om beveiligingsmaatregelen op tijd te nemen. Veel bedrijven werken nog met oude systemen die geen updates meer krijgen.
25% van alle mkb-bedrijven krijgt jaarlijks te maken met cyberincidenten. Criminelen kiezen juist kleinere bedrijven omdat ze makkelijker binnenkomen.
Werknemers krijgen zelden training over digitale veiligheid. Eén verkeerde klik op een link kan het hele bedrijf platleggen.
Back-ups ontbreken vaak of worden niet getest. Belangrijke gegevens zijn daardoor kwetsbaar.
Gevolgen van cyberincidenten voor mkb-bedrijven
Financiële schade door cyberaanvallen is fors. In Nederland kosten beveiligingsincidenten gemiddeld €270.000 per bedrijf.
Bedrijven liggen soms weken stil na een ransomware-aanval. Klanten kunnen niet geholpen worden en de omzet verdwijnt als sneeuw voor de zon.
Reputatieschade ontstaat als klantgegevens op straat komen. Vertrouwen win je niet zomaar terug.
De continuïteit van het bedrijf komt in gevaar. Veel mkb-bedrijven redden het niet zonder hulp van verzekeringen.
Juridische problemen duiken op bij datalekken. Bedrijven riskeren boetes en kunnen aangeklaagd worden door klanten.
Juridische meldplichten bij cyberincidenten: overzicht
Bedrijven hebben verschillende wettelijke plichten om cyberincidenten te melden onder de Cyberbeveiligingswet en de AVG. Deze meldplichten kennen strikte termijnen en stevige gevolgen als je niet op tijd meldt.
Meldingsverplichtingen onder de Cyberbeveiligingswet
De Cyberbeveiligingswet voert de NIS2-richtlijn in Nederland in. Organisaties moeten significante cyberincidenten melden bij het Computer Security Incident Response Team (CSIRT) en hun toezichthouder.
De meldplicht geldt voor essentiële entiteiten en belangrijke entiteiten. Denk aan bedrijven in sectoren als energie, transport, gezondheidszorg en digitale infrastructuur.
Gefaseerde meldplicht:
- Eerste melding: binnen 24 uur na ontdekking
- Tussenrapport: binnen 72 uur met meer details
- Eindrapport: binnen 1 maand met volledige analyse
Organisaties melden via het NCSC-portaal. Dat voorkomt dubbele meldingen bij verschillende instanties.
Verschil tussen meldplicht onder NIS2 en AVG
De NIS2-richtlijn en de AVG hebben elk hun eigen doelen en eisen. Soms gelden beide tegelijk bij één incident.
NIS2/Cyberbeveiligingswet draait om de continuïteit van dienstverlening. Je meldt bij het NCSC en de sectorale toezichthouder.
AVG beschermt persoonsgegevens. Gaat het om een datalek met privacy-impact? Dan moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens.
| Aspect | NIS2/Cyberbeveiligingswet | AVG |
|---|---|---|
| Focus | Dienstverlening en systemen | Persoonsgegevens |
| Toezichthouder | NCSC + sectortoezicht | Autoriteit Persoonsgegevens |
| Meldtermijn | 24 uur (eerste melding) | 72 uur |
Aansprakelijkheden en gevolgen bij niet-melden
Wie meldplichten negeert, loopt flinke juridische en financiële risico’s. Toezichthouders kunnen stevige sancties uitdelen.
Sancties Cyberbeveiligingswet:
- Boetes tot €10 miljoen of 2% van de jaaromzet
- Bestuursdwang en dwangsommen
- Openbare waarschuwingen
AVG-sancties voor niet-melden van datalekken lopen op tot €20 miljoen of 4% van de wereldwijde jaaromzet.
Bedrijven lopen ook civielrechtelijke aansprakelijkheid op. Getroffen partijen kunnen schadevergoeding eisen als je niet goed meldt of reageert.
Contractuele gevolgen spelen als leveranciers hun meldplichten niet nakomen richting opdrachtgevers. Dat leidt soms tot contractbreuk en schadeclaims.
De NIS2-richtlijn en de Cyberbeveiligingswet voor mkb
De NIS2-richtlijn van de Europese Unie wordt in Nederland omgezet in de Cyberbeveiligingswet. Naar verwachting treedt die wet in het tweede kwartaal van 2026 in werking.
Deze wetgeving introduceert nieuwe meldplichten en beveiligingseisen voor mkb-bedrijven in specifieke sectoren.
Toepasselijkheid op het mkb en essentiële diensten
De Cyberbeveiligingswet richt zich op bedrijven die essentiële en belangrijke diensten leveren. Mkb-bedrijven vallen onder de wet als ze meer dan 50 werknemers hebben en actief zijn in aangewezen sectoren.
Tot de essentiële diensten horen bijvoorbeeld:
- Transport: luchtvaart, spoorwegen, scheepvaart en wegvervoer
- Energiesector: elektriciteit, gas, waterstof en warmte
- Digitale infrastructuur: internetuitwisseling, DNS-diensten en cloudcomputing
- Gezondheidszorg: ziekenhuizen en andere zorgverleners
Belangrijke diensten zijn onder meer:
- Digitale dienstverlening: online marktplaatsen en zoekmachines
- Afvalbeheer: inzameling en behandeling van afval
- Productie: voedsel, farmaceutica en kritieke producten
- Post- en koerierdiensten
De wet geldt ook voor lokale overheidsinstanties. Dat is nieuw ten opzichte van de oude NIS-richtlijn uit 2016.
Toezichthouders bepalen per sector wie precies onder de wet valt. Ze kijken naar de kritieke rol die een bedrijf in de maatschappij speelt.
Procedures en termijnen voor incidentmelding
Bedrijven die onder de Cyberbeveiligingswet vallen, krijgen te maken met strikte meldplichten bij cyberincidenten. Je moet de eerste melding binnen 24 uur na ontdekking van het incident doen.
Het meldproces bestaat uit drie fases:
| Fase | Termijn | Inhoud |
|---|---|---|
| Vroege waarschuwing | 24 uur | Basisinformatie over het incident |
| Tussenrapport | 72 uur | Uitgebreidere details en impact |
| Eindrapport | 1 maand | Volledige analyse en getroffen maatregelen |
De melding stuur je naar de Computer Security Incident Response Teams (CSIRTs). Deze teams helpen organisaties hun systemen te beveiligen.
Ze geven informatie over kwetsbaarheden en bedreigingen. Bedrijven moeten aantonen dat ze adequate beveiligingsmaatregelen hebben getroffen.
Dit betekent technische én organisatorische maatregelen nemen om risico’s te beheersen. Sectorale CSIRTs bieden ondersteuning bij incidenten.
Ze helpen met de beveiliging van netwerk- en informatiesystemen.
Samenloop met andere wet- en regelgeving
De Cyberbeveiligingswet werkt samen met andere Nederlandse en Europese regels. De Wet weerbaarheid kritieke entiteiten (CER-richtlijn) gaat gelijktijdig in.
Belangrijke overlappingen zijn er met:
- AVG/GDPR: Bij datalekken gelden beide meldplichten
- Wft: Voor financiële instellingen komen extra eisen bij
- Telecommunicatiewet: Voor telecomproviders gelden aanvullende regels
Het Cyberbeveiligingsbesluit werkt de wet verder uit. Deze Algemene Maatregel van Bestuur bevat gedetailleerde voorschriften voor de implementatie.
Bedrijven binnen de EER (Europese Economische Ruimte) moeten letten op vergelijkbare wetgeving in andere lidstaten. De NIS2-richtlijn zorgt voor meer harmonisatie binnen de EU.
De Nota van Toelichting bij het besluit geeft praktische uitleg over de eisen. Dit document helpt bedrijven hun verplichtingen beter te begrijpen.
Toezichthouders stemmen hun activiteiten op elkaar af. Zo willen ze overlappende controles voorkomen en zorgen voor consistente handhaving.
Het meldproces in de praktijk: van detectie tot rapportage
Een goed meldproces vraagt om continue monitoring. Bedrijven moeten binnen 24 uur melding maken bij de juiste autoriteiten als een incident grote gevolgen heeft.
Detectie van cyberincidenten en monitoring
Vroege detectie van cyberincidenten is essentieel. Veel mkb-bedrijven hebben geen middelen voor 24/7 monitoring, maar kunnen wel basismaatregelen nemen.
Automatische detectiesystemen signaleren verdachte activiteiten. Ze waarschuwen bijvoorbeeld bij ongewone netwerkactiviteit, mislukte inlogpogingen of malware.
Een Security Operations Center (SOC) biedt professionele monitoring, maar is vaak te duur voor het mkb. Managed security services of cloud-oplossingen zijn dan een goed alternatief.
Logboeken van systemen en applicaties bevatten waardevolle informatie over mogelijke incidenten. Je moet deze regelmatig controleren en bewaren voor onderzoek.
Medewerkers spelen een grote rol bij detectie. Ze moeten weten hoe ze verdachte e-mails, traagheid of ongebruikelijke bestandsactiviteit herkennen en melden.
Drempelwaarden en criteria voor meldingsplicht
De Cyberbeveiligingswet stelt duidelijke criteria voor meldingsplicht. Niet elk incident hoeft je te melden.
Een incident is significant als het:
- Ernstige operationele verstoring veroorzaakt
- Financiële verliezen voor de organisatie oplevert
- Andere organisaties kan raken door materiële schade
Drempelwaarden hangen af van factoren zoals:
- Aantal getroffen gebruikers
- Duur van de verstoring
- Omvang van de schade
- Impact op dienstverlening
Zelfs bijna-incidenten kunnen meldingsplichtig zijn als ze grote gevolgen hadden kunnen hebben. Dit helpt autoriteiten dreigingspatronen te herkennen.
Bedrijven moeten deze criteria vooraf goed vastleggen in hun procedures. Zo voorkom je verwarring tijdens een incident.
Opstellen en uitvoeren van een incidentresponsplan
Een goed incidentresponsplan beschrijft stap voor stap wat er gebeurt na detectie van een cyberincident. Houd het plan simpel en praktisch, zeker voor het mkb.
Het plan bevat contactgegevens van het Computer Security Incident Response Team (CSIRT) en relevante toezichthouders. Vanaf oktober 2025 kun je meldingen doen via www.ncsc.nl.
Tijdskader is belangrijk: je hebt maar 24 uur na ontdekking om een significant incident te melden. Het plan moet helpen deze deadline te halen.
Belangrijke onderdelen:
- Incidentrespons team en verantwoordelijkheden
- Communicatieprotocol intern en extern
- Documentatie en logboekregistratie
- Risicomanagement en schadebeperking
Train medewerkers regelmatig op het plan. Test het af en toe met een simulatie.
Maatregelen voor informatiebeveiliging en compliance
MKB-bedrijven moeten echt stappen zetten voor hun digitale veiligheid. Denk aan het beveiligen van ICT-systemen, leveranciersbeheer en training van personeel.
Beveiliging van digitale infrastructuur en ict-omgeving
Een sterke digitale infrastructuur is de basis. Breng eerst je ICT-omgeving goed in kaart.
Technische beveiligingsmaatregelen zijn onmisbaar:
- Firewalls en antivirussoftware op alle systemen
- Updates van software en besturingssystemen
- Sterk wachtwoordbeleid en tweefactorauthenticatie
- Regelmatige back-ups van belangrijke gegevens
Netwerksegmentatie beperkt schade bij een incident. Houd kritieke systemen gescheiden van gewone werkplekken.
Monitoring en detectie waarschuwen voor verdachte activiteiten. Controleer logbestanden en spoor ongewone patronen op.
Risicomanagement is belangrijk. Beoordeel kwetsbaarheden regelmatig en stel prioriteiten bij verbeteringen.
Leveranciersbeheer en ketenverantwoordelijkheid
Externe leveranciers zijn vaak een zwakke schakel. Beoordeel je toeleveringsketen zorgvuldig.
Due diligence bij leveranciersselectie is essentieel. Check de beveiligingsstandaarden van partners vóór je een contract tekent.
Contractuele afspraken moeten duidelijk zijn:
- Minimale beveiligingsstandaarden
- Meldingsverplichtingen bij incidenten
- Regelmatige beveiligingsaudits
- Aansprakelijkheid bij datalekken
Toegangsbeheer voor externe partijen vraagt extra aandacht. Geef leveranciers alleen toegang tot wat ze echt nodig hebben.
Periodieke evaluaties van leveranciers houden je scherp. Check je partners regelmatig op beveiligingsrisico’s.
Continu verbeteren en trainen van personeel
Medewerkers blijven vaak het zwakke punt. Training en bewustwording zijn daarom onmisbaar.
Beveiligingstraining moet praktisch zijn. Denk aan het herkennen van phishing en veilig werken.
Incidentresponsplan helpt bij snelle reacties. Iedereen moet weten hoe ze verdachte zaken melden.
Regelmatige oefeningen houden het team scherp. Simulaties laten zien waar het beter kan.
Compliance-monitoring zorgt dat iedereen de regels volgt. Check of medewerkers zich aan het beleid houden.
Updates van procedures zijn nodig bij nieuwe dreigingen. Pas het beleid regelmatig aan.
Juridische en praktische gevolgen na een cyberincident
Een cyberincident veroorzaakt directe financiële schade. Maar de reputatieschade kan nog veel langer doorwerken.
Bedrijven moeten snel handelen om extra schade te beperken. Tegelijk moet je voldoen aan de nieuwe rapportageverplichtingen aan toezichthouders.
Financiële en reputatieschade beperken
Directe kosten lopen snel op na een cyberincident. Je verliest omzet door uitval en moet specialisten inhuren voor herstel.
Het duurt vaak weken of zelfs maanden voor alles weer normaal draait. Ondertussen lopen de kosten gewoon door.
Reputatieschade ontstaat als klantgegevens zijn gestolen of processen stilvallen. Klanten verliezen vertrouwen en stappen soms over naar de concurrent.
Die schade blijft vaak jaren voelbaar, ook als technisch alles weer werkt. Contractuele gevolgen volgen meestal vanzelf.
Klanten kunnen contracten ontbinden als je niet meer levert. Leveranciers eisen soms schadevergoeding als hun processen geraakt worden.
Snelle communicatie naar klanten en partners helpt reputatieschade te beperken. Openheid over wat er is gebeurd en welke stappen je neemt, voorkomt erger verlies van vertrouwen.
Verzekeren en verantwoording afleggen
Cyberverzekeringen dekken steeds minder risico’s. Verzekeraars stellen strengere eisen.
Bedrijven moeten aantonen dat ze hun beveiliging op orde hebben voordat ze een claim krijgen. Veel polissen vereisen nu multi-factor authenticatie en regelmatige updates.
Toezichthouders verwachten binnen 24 uur een melding van significante incidenten volgens de NIS2-wetgeving. Deze meldplicht geldt naast de bestaande AVG-regels voor datalekken.
Verschillende toezichthouders kunnen om verschillende rapportages vragen. De Autoriteit Persoonsgegevens kan boetes tot miljoenen euro’s opleggen als de beveiliging tekortschiet.
Sectorale toezichthouders mogen bedrijfsprocessen onderzoeken na incidenten. Documentatie van alle beslissingen tijdens het incident is cruciaal.
Toezichthouders willen precies zien welke stappen zijn gezet en waarom. Goede logging helpt bij verantwoording achteraf en kan boetes voorkomen.
Toekomstbestendige voorbereiding en continuïteit
Herstelplannen moet je testen voordat er iets misgaat. Back-ups zijn niet genoeg—je moet zeker weten dat je ze veilig kunt gebruiken zonder nieuwe problemen te veroorzaken.
Een incident response team met duidelijke rollen voorkomt chaos. Eén persoon draagt de eindverantwoordelijkheid voor besluiten.
Dit team oefent regelmatig met verschillende scenario’s. Forensisch bewijs verdwijnt als je te snel servers schoonveegt.
IT-leveranciers willen vaak direct opnieuw installeren, maar dat wist sporen die je later nodig hebt voor onderzoek. Continuïteit vraagt om investeren in robuuste systemen en processen.
Bedrijven die snel herstellen, houden hun klanten beter vast. Goede voorbereiding voorkomt langdurige schade aan relaties.
Veelgestelde Vragen
MKB-bedrijven hebben een meldingsplicht binnen 72 uur voor datalekken onder de AVG en binnen 24 uur voor significante incidenten onder NIS2. Ze moeten documentatie bijhouden en verschillende autoriteiten informeren, afhankelijk van het soort incident.
Welke juridische stappen moeten mkb-bedrijven volgen na een cyberincident?
MKB-bedrijven stoppen eerst het incident en stellen de schade vast. Ze controleren of er een meldingsplicht geldt onder de AVG of andere wetgeving.
Het bedrijf meldt het incident binnen de wettelijke termijnen aan de juiste autoriteiten. Ze documenteren alle acties en communicatie rond het incident.
Het bedrijf informeert betrokkenen als dat wettelijk moet. Ze werken samen met toezichthouders als er onderzoek volgt.
Wat zijn de meldingsvereisten voor mkb-bedrijven bij een datalek onder de AVG?
MKB-bedrijven melden datalekken binnen 72 uur aan de Autoriteit Persoonsgegevens. Dit geldt voor lekken die waarschijnlijk risico’s opleveren voor rechten van betrokkenen.
De melding bevat een beschrijving van het lek en de categorieën gegevens. Het bedrijf noemt het aantal getroffen personen en de gevolgen.
Ze beschrijven welke maatregelen ze hebben genomen om het lek te verhelpen. Het bedrijf geeft contactgegevens van de functionaris voor gegevensbescherming of contactpersoon.
Hoe moeten mkb-bedrijven omgaan met betrokkenen bij een datalek?
MKB-bedrijven informeren betrokkenen direct als het datalek waarschijnlijk tot hoog risico leidt. Ze gebruiken duidelijke en eenvoudige taal.
De melding aan betrokkenen bevat de aard van het datalek. Het bedrijf legt uit welke persoonsgegevens zijn getroffen en wat de mogelijke gevolgen zijn.
Ze geven advies over stappen die betrokkenen zelf kunnen nemen. Het bedrijf verstrekt contactgegevens voor vragen.
In welke termijn moet een cyberincident gemeld worden door mkb-bedrijven?
Datalekken onder de AVG moeten binnen 72 uur bij de toezichthouder liggen. Significante incidenten onder NIS2 hebben een meldtermijn van 24 uur.
Betrokkenen krijgen zonder onnodige vertraging bericht bij hoog risico. Vaak gebeurt dat binnen enkele dagen na ontdekking van het lek.
Sommige mkb-bedrijven vallen onder specifieke sectorregelgeving en kunnen andere termijnen hebben. Ze checken welke regels precies gelden voor hun situatie.
Welke documentatie moeten mkb-bedrijven bijhouden na een cyberincident?
MKB-bedrijven houden een register bij van alle datalekken en cyberincidenten. Dit register bevat datum, oorzaak en gevolgen van elk incident.
Ze documenteren alle genomen maatregelen om het incident te stoppen. Het bedrijf bewaart communicatie met autoriteiten en betrokkenen.
De documentatie bevat tijdlijnen van gebeurtenissen en betrokken personen. Je zult merken dat dit helpt bij toekomstige incidenten én bij toezicht door autoriteiten.
Aan welke autoriteiten moeten mkb-bedrijven een cyberincident rapporteren?
MKB-bedrijven melden datalekken aan de Autoriteit Persoonsgegevens onder de AVG.
Bedrijven die onder NIS2 vallen, melden incidenten bij hun sectorale toezichthouder.
Significante incidenten? Die geven ze door aan het Computer Security Incident Response Team (CSIRT).
Sommige sectoren hebben trouwens nog extra meldplichten bij andere autoriteiten.
Vermoeden ze cybercrime, dan kunnen bedrijven aangifte doen bij de politie.
Ze nemen vaak ook contact op met hun verzekeraar als er misschien een claim nodig is.
