Cybersecurity-beleid voor je bedrijf: zo stel je het op

Niemand heeft ooit met plezier een security-beleid geschreven. Toch is het een van de effectiefste dingen die je kunt doen. Niet omdat het document zelf aanvallen stopt, maar omdat het proces je dwingt na te denken over vragen die je anders pas stelt als het te laat is.

De helft van de Belgische organisaties heeft geen actief cybersecurity-beleid. Bij KMO's ligt dat percentage nog hoger. Begrijpelijk: het voelt als een papieren exercitie terwijl er werk te doen is. Maar zonder beleid is elke beslissing na een incident improvisatie.

Waarom een beleid, en niet gewoon goede tools?

Tools beschermen je systemen. Een beleid beschermt je organisatie.

Het verschil wordt duidelijk bij een incident. Stel: ransomware versleutelt je bestanden op vrijdagavond. Met goede tools heb je misschien backups. Zonder beleid weet niemand wie de backups mag terugzetten, of je klanten moet informeren, of je het moet melden bij het CCB, en wie dat doet.

Of: een medewerker vertrekt. Met tools kun je zijn account uitschakelen. Zonder beleid weet je niet welke externe diensten hij gebruikte, welke wachtwoorden hij kent, en of hij nog toegang heeft tot de gedeelde Dropbox.

Een beleid geeft antwoord op drie vragen:

1. Wat beschermen we? (data, systemen, processen)
2. Wie is waarvoor verantwoordelijk?
3. Wat doen we als het misgaat?

Dat is het. De rest is invulling.

De zaakvoerder is verantwoordelijk. Letterlijk

Artikel 20 van de Belgische NIS2-wet legt cybersecurity expliciet op bestuursniveau. Dat is nieuw. Bij de AVG lag de nadruk op de organisatie. Bij NIS2 wijst de wet naar de bestuurder persoonlijk.

Concreet betekent dat:

• Zaakvoerders moeten beveiligingsmaatregelen goedkeuren en de uitvoering ervan bewaken
• Ze moeten zelf verplichte cybersecurity-training volgen. Terugkerend, niet eenmalig
• Ze moeten vergelijkbare training aanbieden aan medewerkers
• Onwetendheid is geen verweer

Bij ernstige nalatigheid kunnen bestuurders persoonlijk beboet worden en tijdelijk uitgesloten van bestuursfuncties. Dat gaat verder dan de meeste zaakvoerders beseffen.

Wat hoort er in een cybersecurity-beleid?

Artikel 21 van de NIS2-wet somt elf categorieën beveiligingsmaatregelen op. Dat klinkt als veel. In de praktijk vertaalt het zich naar een kernbeleid en een handvol procedures.

Het kernbeleid (3-5 pagina's)

Dit is het overkoepelende document. Het beschrijft:

• Scope: welke systemen, data en processen vallen onder het beleid?
• Rollen en verantwoordelijkheden: wie is security-verantwoordelijke? Wie beslist bij een incident? Wie rapporteert aan het bestuur?
• Risicoaanpak: hoe identificeer en prioriteer je risico's? Welk CyFun-niveau streef je na?
• Basisregels: MFA verplicht, updates binnen X dagen, clean desk, geen privéapparaten zonder toestemming
• Evaluatiecyclus: wanneer herzie je het beleid? (minstens jaarlijks)

Houd het kort. Een beleid dat niemand leest is erger dan geen beleid.

Losse procedures (elk 1-2 pagina's)

Per onderwerp een concrete procedure. Het CCB biedt hier 9 gratis DOCX-sjablonen voor aan via Safeonweb@Work:

1. Incidentrespons: wat doe je bij een aanval? Wie belt wie? Wanneer meld je bij CCB/CERT.be?
2. Toegangsbeheer: wie heeft toegang tot wat? Hoe onboard en offboard je medewerkers?
3. Wachtwoordbeleid: minimumlengte, wachtwoordmanager, verbod op hergebruik
4. Backupbeleid: 3-2-1 regel, testschema, verantwoordelijke
5. Netwerkbeveiliging: segmentatie, firewall, wifi-beleid
6. Assetbeheer: inventaris van hardware en software
7. Kwetsbaarheidsbeheer: patchbeleid, update-tijdslijnen
8. Acceptable use: wat mogen medewerkers wel en niet met bedrijfssystemen?
9. 10 gouden regels: een samenvatting voor alle medewerkers op één pagina

Je hoeft niet alles tegelijk op te stellen. Begin met de eerste drie: incidentrespons, toegangsbeheer en backupbeleid. Dat zijn de procedures waar je het eerst naar grijpt als het misgaat.

Stap voor stap: van nul naar beleid

Hieronder een pragmatisch pad voor een KMO zonder bestaand beleid. Geen maanden durend traject, maar weken.

Week 1-2: inventariseer en prioriteer

Maak een lijst van je kritieke systemen en data. Niet alles, alleen wat je bedrijf stilzet als het wegvalt. Voor de meeste KMO's zijn dat: e-mail, boekhouding, klantdata, en de gedeelde schijf of cloudomgeving.

Doe een snelle risicoanalyse. Het CyFun Self-Assessment van het CCB is hier ideaal voor: het geeft je een spiderdiagram van je huidige niveau per domein. Gratis, duurt een uur.

Bepaal je CyFun-doelniveau. Voor de meeste KMO's met 10-50 medewerkers is dat Basic.

Week 3: schrijf het kernbeleid

Download de CCB-sjablonen. Vul het overkoepelende cybersecurity-beleidssjabloon in. Pas het aan op je organisatie: schrap wat niet van toepassing is, voeg toe wat specifiek is voor jouw sector.

Wijs rollen toe. In een KMO hoef je geen CISO aan te stellen. Maar iemand moet verantwoordelijk zijn. Vaak is dat de zaakvoerder zelf, met de IT-partner als uitvoerder.

Week 4: schrijf de drie kernprocedures

Incidentrespons: wie belt wie bij een incident? Wat zijn de eerste stappen? Wanneer melden bij CCB (binnen 24 uur bij NIS2), GBA (bij datalek), politie (bij criminaliteit)? Print dit uit en hang het op. Als je systemen versleuteld zijn, kun je geen digitaal document openen.

Toegangsbeheer: welke accounts bestaan er? Wie heeft admin-rechten? Wat gebeurt er als een medewerker vertrekt? Gebruik een checklist voor onboarding en offboarding.

Backupbeleid: welke data wordt geback-upt, hoe vaak, waarheen? Wie test het terugzetten? De 3-2-1 regel als leidraad.

Week 5-6: communiceer en implementeer

Een beleid dat in een la ligt is geen beleid. Organiseer een korte sessie met je team. Geen uren durende presentatie. Een halfuur:

• Dit zijn de basisregels (10 gouden regels op één pagina)
• Dit is wie je belt bij een incident
• Dit verandert er concreet voor jullie (MFA verplicht, wachtwoordmanager, verdachte mails melden)

Laat iedereen tekenen voor ontvangst. Niet omdat je je medewerkers wantrouwt, maar omdat het documenteert dat je als organisatie redelijke maatregelen hebt genomen.

CyFun Govern: het beleidskader van het CCB

Het CyberFundamentals framework van het CCB heeft sinds de 2025-versie een apart "Govern"-domein, gebaseerd op NIST CSF 2.0. Dit domein gaat specifiek over beleid, governance en risicobeheer.

Voor CyFun Basic omvat Govern onder meer:

• Een gedocumenteerd cybersecurity-beleid, goedgekeurd door het bestuur
• Een risicoanalyse als basis voor maatregelen
• Duidelijke rollen en verantwoordelijkheden
• Security-awareness voor alle medewerkers
• Beheer van leveranciersrisico's

Het klinkt formeel, maar het is precies wat hierboven beschreven staat. Als je het stappenplan volgt, dek je het Govern-domein grotendeels af.

De CyFun Self-Assessment Tool toont je voortgang per domein in een spiderdiagram. Handig om aan je bestuur te rapporteren en om jaarlijks de voortgang te meten.

Veelgemaakte fouten

Beleid kopiëren van internet. Een generic template van een Amerikaans consultancybedrijf past niet op een Belgische KMO met 20 medewerkers. Gebruik de CCB-sjablonen als basis. Die zijn gemaakt voor de Belgische markt.

Alles in één keer willen doen. 66% van de KMO's heeft geen enkel trainingsprogramma. Van nul naar een volledig ISO 27001-compliant beleid is niet realistisch. Begin met de drie kernprocedures en bouw uit.

IT laten schrijven zonder management. Een cybersecurity-beleid is een managementdocument, geen IT-document. De zaakvoerder beslist over risicoacceptatie, budgetten en prioriteiten. IT voert uit. Als de zaakvoerder het beleid niet kent, werkt het niet.

Schrijven en vergeten. Een beleid van 2023 dat nooit is bijgewerkt reflecteert niet de NIS2-vereisten van 2024, niet de nieuwe cloudmigratie van vorig jaar, en niet de medewerker die vorige maand vertrok maar nog steeds toegang heeft. Plan een jaarlijkse review. Zet het in de agenda.

Geen budget reserveren. Een beleid zonder budget is een wensenlijst. Bepaal wat de implementatie kost en reserveer het. VLAIO subsidieert 50% van externe cybersecurity-begeleiding voor Vlaamse KMO's via de KMO-portefeuille. Sinds februari 2026 is deze subsidie specifiek gericht op cybersecurity-advies.

De 11 maatregelen van NIS2 artikel 21

Voor NIS2-entiteiten is dit de wettelijke checklist. Maar ook buiten NIS2 is het een bruikbaar kader.

1. Risicoanalysebeleid en beveiliging van informatiesystemen
2. Incidentenbehandeling
3. Bedrijfscontinuïteit, back-ups en crisisbeheer
4. Beveiliging van de toeleveringsketen
5. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief kwetsbaarheidsbeheer
6. Beleid en procedures om de effectiviteit van maatregelen te beoordelen
7. Basispraktijken op het gebied van cyberhygiëne en opleiding
8. Beleid inzake het gebruik van cryptografie en encryptie
9. Beveiliging van personeel, toegangsbeleid en activabeheer
10. Gebruik van multifactorauthenticatie en beveiligde communicatie
11. Gebruik van beveiligde nood- en crisiscommunicatiesystemen

Je hoeft dit niet letterlijk over te nemen. CyFun vertaalt deze elf punten naar concrete, toetsbare controls per niveau. Gebruik het framework als brug tussen de wet en je dagelijkse praktijk.

Dit artikel is informatief bedoeld en geeft geen juridisch advies. De NIS2-vereisten worden hier vereenvoudigd weergegeven. Raadpleeg voor je specifieke situatie het CCB of een cybersecurity-specialist.