CYBERSECURITYCHECK VOOR MKB

Wat is geregeld, wat is aantoonbaar en wat moet je als eerste verbeteren?

De Cybersecurity Bewijs- en Weerbaarheidscheck geeft MKB-leveranciers een praktische momentopname van basismaatregelen, bewijs, open punten en vervolgstappen. Zonder te doen alsof een checklist, rapport of score bewijst dat je organisatie volledig veilig is.

Vanaf €2.750 excl. btw · beoogde doorlooptijd 10–15 werkdagen · Nederland

Na de check weet je

  • welke basismaatregelen aanwezig zijn
  • wat daarvan aantoonbaar is
  • welke open punten prioriteit hebben
  • wat intern, via IT of via een specialist moet
  • hoe je de komende 30, 60 en 90 dagen verdergaat

Geen audit, pentest of complianceverklaring.

Geen antwoord zonder onderbouwing

Ontbrekende maatregelen worden als open punt of roadmap benoemd.

Geen vervanging van certificering

Een Bewijsmap of klantantwoord vervangt geen verplicht certificaat.

Beperkt en zorgvuldig delen

Gevoelige documenten worden pas na intake via een passend kanaal afgestemd.

Kort antwoord

Geen algemene scanner die alleen problemen opsomt

Deze check verbindt vijf dingen die in losse scans vaak uit elkaar vallen: maatregelen, uitvoering, bewijs, open punten en roadmap. Je krijgt geen groen veiligheidslabel. Je krijgt een onderbouwde uitleg van wat binnen de afgesproken scope bekend en aantoonbaar is, wat nog technisch moet worden gevalideerd en welke vervolgstap logisch is.

De kern van de beoordeling

Context → kritieke processen → maatregel → uitvoering → bewijs → open punt → eigenaar → 30/60/90-dagenactie.

Herken je dit?

Je wilt niet wachten tot een klant de eerste moeilijke vraag stelt

Veel organisaties hebben technische maatregelen, afspraken en documenten, maar missen overzicht. Pas bij een grote klant, contractverlenging, aanbesteding, verzekeringsvraag of incident blijkt welke onderbouwing ontbreekt.

Je weet niet of MFA, back-ups, toegang en incidentafspraken voldoende zijn geregeld.

Je MSP beheert techniek, maar management en bewijsverantwoordelijkheid zijn niet helder.

Documenten, screenshots en exports staan verspreid en missen datum, scope of eigenaar.

Je verwacht grotere klanten, keteneisen, NIS2/Cbw-vragen of een vendor assessment.

Je wilt prioriteiten voordat je losse tools, scans of certificeringstrajecten koopt.

Je zoekt een onafhankelijke blik, maar geen formele audit of pentest.

Scope

Wat beoordelen we in de basischeck?

De exacte scope wordt vooraf bevestigd. De basisdienst kijkt breed genoeg om samenhang en prioriteiten te zien, maar gaat niet ongemerkt over in een technische audit of onbeperkte complianceopdracht.

Context en kritieke processen

Welke dienstverlening, informatie, systemen en afhankelijkheden zijn belangrijk voor je organisatie en klanten?

Governance en verantwoordelijkheid

Wie neemt besluiten, wie voert maatregelen uit en wie houdt bewijs en open punten actueel?

Identiteit en toegangsbeheer

Hoe worden accounts, beheerdersrechten, MFA, in- en uitdiensttreding en periodieke controles georganiseerd?

Werkplekken en technisch beheer

Hoe zijn updates, apparaten, basisinstellingen en technische verantwoordelijkheden op procesniveau geregeld?

Back-ups en herstel

Wat wordt geback-upt, wie controleert dit en is herstel aantoonbaar getest?

Logging en opvolging

Welke relevante gebeurtenissen worden vastgelegd, wie ontvangt signalen en wat gebeurt er daarna?

Incidentmanagement

Zijn rollen, meldroutes, contactpersonen, klantafspraken en eerste acties vooraf vastgelegd?

Leveranciers en cloud

Welke leveranciers zijn kritisch en hoe worden afhankelijkheden, toegang, afspraken en periodieke beoordeling beheerst?

Beleid, afspraken en awareness

Welke afspraken bestaan, zijn ze actueel en is zichtbaar dat medewerkers weten wat van hen wordt verwacht?

Bewijs en aantoonbaarheid

Welke documenten, exports, screenshots, testverslagen en registraties ondersteunen de huidige situatie?

Wat “beoordelen” hier betekent

We beoordelen interviews, documenten en het afgesproken bewijs. Een maatregel die alleen wordt beschreven maar niet technisch is gevalideerd, krijgt geen technische bevestiging. In het rapport staat dan expliciet dat verdere configuratiereview nodig kan zijn.

Begrippen uit elkaar houden

Heb je een self-assessment, nulmeting, technische scan, pentest of audit nodig?

De termen worden vaak door elkaar gebruikt. Het verschil zit vooral in de methode, systeemtoegang, gewenste zekerheid en de vraag of een formeel of technisch oordeel nodig is.

DienstDoelMethodeUitkomstRoute bij InstantSecure
Gratis self-assessmentZelf snel bepalen waar mogelijke aandachtspunten zitten.Checklist die je organisatie grotendeels zelf invult.Indicatie of actielijst.Gebruik als startpunt, maar niet als vervanging van deze check.
Bewijs- en WeerbaarheidscheckBegrijpen wat geregeld, aantoonbaar en nog open is.Interviews, documentreview en beoordeling van aangeleverd bewijs.Bewijsstatus, prioriteiten en 30/60/90-dagenroadmap.Dit is het aanbod op deze pagina.
Technische configuratiereviewConcrete instellingen in bijvoorbeeld Microsoft 365 controleren.Gerichte read-only of begeleide systeemtoegang.Technische bevindingen per instelling of systeem.Apart via InstantIT, je MSP of een specialist.
Vulnerability scanTechnische kwetsbaarheden geautomatiseerd opsporen.Scantooling binnen een vooraf vastgelegde scope.Technische kwetsbaarheden en validatie.Alleen via een gespecialiseerde partner.
PenetratietestActief testen of kwetsbaarheden misbruikt kunnen worden.Handmatige en technische aanvalssimulatie met toestemming.Pentestbevindingen en technisch rapport.Niet door InstantSecure uitgevoerd.
Formele audit of assuranceOnafhankelijke zekerheid of een formele verklaring geven.Beoordeling door een bevoegde en onafhankelijke partij.Audituitkomst, verklaring of certificering.Niet door InstantSecure geleverd.

Zoek je specifiek een technische Microsoft 365-review, kwetsbaarheidsscan, pentest, formele ISO 27001-gap assessment of audit? Dan bepalen we tijdens de intake welke uitvoerende partij en opdrachtvorm passend is.

Oplevering

Geen los rapport dat daarna in een map verdwijnt

De output moet bruikbaar zijn voor management, IT en toekomstige klantvragen. Daarom maken we niet alleen tekortkomingen zichtbaar, maar leggen we ook bewijsstatus, eigenaar en vervolgstap vast.

Managementsamenvatting

Een beknopt overzicht van de huidige situatie, belangrijkste aandachtspunten en beslissingen die nodig zijn.

Baseline- en bewijsmatrix

Per onderwerp: aanwezig, gedeeltelijk aanwezig, niet aangetoond, niet beoordeeld of niet van toepassing.

Topprioriteiten

De belangrijkste organisatorische en technische vervolgstappen, zonder schijnnauwkeurige totaalscore.

Bewijsindex

Welke bewijsstukken bestaan, welke context ontbreekt en welke documenten niet veilig of niet volledig deelbaar zijn.

30/60/90-dagenroadmap

Concrete acties met prioriteit, voorgestelde eigenaar en logische volgorde.

Vervolgadvies

Duidelijk advies: zelf oppakken, bestaande MSP, InstantIT, Bewijsmap, specialist, auditor of jurist.

Mogelijke status per onderwerp

  • Aanwezig en onderbouwd
  • Gedeeltelijk aanwezig
  • Beschreven maar niet technisch gevalideerd
  • Niet aangetoond
  • Niet beoordeeld of buiten scope
  • Niet van toepassing met onderbouwing

Wat deze status niet betekent

  • Geen garantie dat geen incident kan plaatsvinden
  • Geen certificering of assurance
  • Geen bewijs van wettelijke compliance
  • Geen vervanging van pentest of technische scan
  • Geen automatische acceptatie door klanten of toezichthouders
Werkwijze

Van algemene onzekerheid naar een afgebakende roadmap

01

Kwalificatie en scope

We bepalen waarom je de check wilt, welke organisatieonderdelen relevant zijn en welke zekerheid je wel en niet nodig hebt.

02

Management- en IT-interview

We spreken de verantwoordelijke vanuit management en, waar relevant, je IT-beheerder, MSP of interne beheerder.

03

Document- en bewijsreview

We beoordelen alleen de afgesproken documenten en geredigeerde bewijsstukken. Geen wachtwoorden, herstelcodes of volledige gevoelige exports.

04

Bevindingen en bewijsstatus

We leggen vast wat aanwezig, gedeeltelijk, niet aangetoond, buiten scope of nog technisch te valideren is.

05

Roadmap en bespreking

Je ontvangt een onderbouwde prioriteitenlijst en bespreekt welke acties intern, via InstantIT, je MSP of een specialist worden uitgevoerd.

06

Optionele bewijsopbouw

Na verbeteringen kunnen maatregelen en resultaten worden vastgelegd in een herbruikbare Cybersecurity Bewijsmap.

Voor wie past deze check?

  • MKB-leveranciers met ongeveer 10–50 medewerkers.
  • Bedrijven die grotere klanten, aanbestedingen of keteneisen verwachten.
  • Organisaties met Microsoft 365, een MSP of externe IT-partij, maar zonder intern securityteam.
  • Bedrijven die wel maatregelen hebben, maar geen samenhangend overzicht of bewijs.
  • Directies die willen weten waar zij realistisch moeten beginnen.

Wanneer is een andere partij nodig?

  • Een actief cyberincident dat direct moet worden onderzocht of beheerst.
  • Een gewenste pentest, vulnerability scan of formele technische veiligheidsverklaring.
  • Een formele audit, assurance-opdracht of certificering.
  • Een juridisch oordeel dat je organisatie aan de Cyberbeveiligingswet voldoet.
  • OT/ICS, complexe applicatiebeveiliging of specialistische cloudsecurity zonder vooraf betrokken partner.
  • Een organisatie die alleen een groen vinkje wil en geen open punten wil opvolgen.
NIS2, Cbw en keteneisen

Voorbereiden op klantvragen is iets anders dan compliance verklaren

Organisaties die onder de Cyberbeveiligingswet vallen kunnen afspraken en cybersecuritymaatregelen verlangen van rechtstreekse leveranciers. De check kan helpen om basismaatregelen, bewijs en open punten vooraf zichtbaar te maken.

De check bepaalt niet juridisch of je organisatie onder de Cbw valt en bewijst niet dat je aan de wet voldoet. Voor toepasselijkheid gebruik je de officiële zelfevaluatie; bij complexe structuren of juridische gevolgen is specialistisch advies nodig.

Aanbod en prijs

Cybersecurity Bewijs- en Weerbaarheidscheck

Voor een afgebakende MKB-scope met managementinterview, IT-/MSP-interview waar relevant, documentreview, bewijsmatrix, prioriteiten en 30/60/90-dagenroadmap.

Vanaf €2.750 excl. btw

De definitieve prijs volgt na kwalificatie van omvang, sector, documentvolume, interviews en eventuele technische of specialistische verdieping.

Basisdienst bevat

  • Afgesproken scope en onderzoeksvragen
  • Managementinterview
  • IT-/MSP-interview waar relevant
  • Review van afgesproken documenten en bewijs
  • Baseline- en bewijsmatrix
  • Managementsamenvatting
  • 30/60/90-dagenroadmap
  • Oplevergesprek

Niet inbegrepen

  • Pentest of vulnerability scan
  • Onbeperkte technische systeemtoegang
  • Formele audit, assurance of certificering
  • Juridisch complianceoordeel
  • Technische implementatie of herstelwerk

Veelgestelde vragen over de cybersecuritycheck

Het is een beperkte, bewijsgerichte cybersecuritycheck. We beoordelen organisatorische basismaatregelen, beschikbare documentatie en aangeleverd bewijs. We noemen dit niet zomaar een technische scan of formele nulmeting, omdat in de basisdienst geen kwetsbaarheidsscan, pentest of volledige configuratiecontrole zit.

Logische vervolgroutes

Van beoordeling naar uitvoering en herbruikbaar bewijs

Technische quick wins

Laat concrete verbeteringen uitvoeren via InstantIT, je MSP of een specialist en leg het resultaat vast.

Bespreek uitvoering

Cybersecurity Bewijsmap

Bouw een herbruikbare structuur met bewijs, antwoorden, eigenaren, open punten en roadmap.

Bekijk de Bewijsmap

Klantvraag of vendor assessment

Gebruik de actuele bewijsstatus wanneer een klant daadwerkelijk een vragenlijst of assessment stuurt.

Bekijk vragenlijsthulp

Kennisbank

Verdiep je voorbereiding en bewijs

Praktische uitleg over NIS2/Cbw-ketenvragen, bewijsstukken en het aantonen van concrete maatregelen.

Wil je weten wat geregeld, aantoonbaar en nog open is?

Beschrijf je organisatie, aanleiding en gewenste uitkomst. Stuur via het formulier nog geen gevoelige exports, wachtwoorden of technische herstelgegevens.

Samengestelde voorbeeldcase

De klant die morgen zou kunnen bellen

Een Nederlandse B2B-softwareleverancier met 34 medewerkers, Microsoft 365 Business Premium en een externe MSP verwacht binnen zes weken een procurementreview van een grotere klant.

Geen echte klant of testimonial

Deze case is volledig fictief en samengesteld uit realistische MKB-situaties. De organisatie, aantallen, bevindingen en uitkomst zijn geen werkelijk klantresultaat.

De vraag

“Onze MSP zegt dat alles goed staat. Kunnen jullie vóór de vragenlijst beoordelen wat echt geregeld en aantoonbaar is?”

De ongemakkelijke waarheid

Er waren zinvolle maatregelen, maar claims over MFA, herstel, offboarding en monitoring waren nog niet volledig verdedigbaar.

De route

Eerst toegang, herstel en incidentvoorbereiding; daarna de klantklare bewijsset en structurele reviewcadans.

OnderwerpStatusWat in het voorbeeld naar voren komt
Identiteit en toegangGedeeltelijk27 van 31 gebruikers hadden een sterke methode geregistreerd, maar afdwinging en uitzonderingen waren niet volledig bevestigd.
UitdiensttredingNiet aangetoondEen extern GitHub-account stond elf dagen na de einddatum nog als actief geregistreerd.
Back-ups en herstelGedeeltelijkDagelijkse back-upjobs bestonden, maar een recent hersteltestverslag ontbrak.
IncidentmanagementNiet aangetoondDe vorige phishingafhandeling verliep via telefoon en WhatsApp; rollen en klantmeldcriteria waren niet vastgelegd.
BewijsGedeeltelijkDocumenten en screenshots stonden verspreid en misten regelmatig datum, scope of eigenaar.

De eerste 30 dagen in dit voorbeeld

  • MFA-afdwinging en uitzonderingen technisch bevestigen
  • Achtergebleven extern account sluiten en alle externe toegang reviewen
  • Een aantoonbare back-up restore-test uitvoeren
  • Een compacte incidentprocedure en contactkaart vaststellen
  • Een evidence-index maken met eigenaar, datum, scope en deelbaarheid

Het voorbeeldrapport bevat scope, managementsamenvatting, bewijsmatrix, zeven uitgewerkte bevindingen, evidence-index, managementbesluiten en een 30/60/90-dagenroadmap.