Keurmerk moet Nederlandse mkb'ers in 2026 helpen beveiligingsbedrijven te vinden

De Nederlandse overheid heeft het keurmerk Digitale Basisveiligheid MKB geïntroduceerd. Dit keurmerk is bedoeld voor ict-dienstverleners en moet mkb'ers helpen bij het kiezen van zo'n dienstverlener die aantoonbare digitale basisveiligheid heeft.

Het keurmerk laat volgens het Digital Trust Center zien dat een ict-dienstverlener 'voldoet aan duidelijk omschreven en onafhankelijk getoetste kwaliteitseisen'. Het gaat om dienstverleners die de maatregelen uit de Risicoklassenindeling voor Digitale Veiligheid kunnen toepassen bij mkb'ers. Deze maatregelen zijn gebaseerd op de vijf basisprincipes van digitale weerbaarheid, zoals het segmenteren van netwerken, het versleutelen van data en het detecteren van incidenten.

Middelgrote en kleine bedrijven die dergelijke maatregelen willen doorvoeren, kunnen dan aan de hand van het keurmerk zien dat een bedrijf dit goed kan uitvoeren. Het Centrum voor Criminaliteitspreventie en Veiligheid, dat het keurmerk heeft ontwikkeld, sluit de komende maanden licentieovereenkomsten af met certificatie-instellingen. "Zodra dit gereed is – naar verwachting in maart of april 2026 – kunnen certificatie-instellingen audits uitvoeren." Daarna kunnen ict-dienstverleners hun dienstverlening laten certificeren. Pas hierna kunnen ze het keurmerk dragen. Het zal dus in elk geval tot het volgende voorjaar duren voordat de eerste dienstverleners met het keurmerk Digitale Basisveiligheid MKB bekend zullen zijn.

Keurmerk Digitale Basisveiligheid MKB

Door Hayte Hugo

Redacteur

Feedback • 16-12-2025 14:24 20

16-12-2025 • 14:24

20

Lees meer

Duitse overheid introduceert IT-keurmerk voor slimme beveiligingsapparaten
Duitse overheid introduceert IT-keurmerk voor slimme beveiligingsapparaten Nieuws van 18 augustus 2025
Overheid NL: 23 procent van mkb gebruikt AI, 71 procent gebruikt clouddiensten
Overheid NL: 23 procent van mkb gebruikt AI, 71 procent gebruikt clouddiensten Nieuws van 7 maart 2025
DTC mag vertrouwelijke informatie over cyberdreigingen met meer bedrijven delen
DTC mag vertrouwelijke informatie over cyberdreigingen met meer bedrijven delen Nieuws van 1 oktober 2024
DTC: een op de drie kleine bedrijven doet geen automatische updates
DTC: een op de drie kleine bedrijven doet geen automatische updates Nieuws van 15 juli 2024
Meer producten en artikelen
Beveiliging en antivirus Digital Trust Center Hack Hackers Keurmerk Mkb

Reacties (20)

-Moderatie-faq
20
20
10
1
0
4
Wijzig sortering

Sorteer op:

Weergave:
Lisadr 16 december 2025 14:50
Komt er ook een keurmerk voor interne en externe ICT leveranciers van de overheid?
himlims_ @Lisadr16 december 2025 17:27
Heb aantal audits gedaan, gehad, en gecontroleerd;

in theorie is dat goed, in praktijk is het een (dure) sticker die alles behalve garantie geeft…

Zo heb een sticker mogen ontvangen, omdat “we ermee bezig zijn” (ofwel; je voldoet niet aan de harde eisen, maar omdat je er over nadenk of een conceptueel documentje hebt krijg je een sticker)

Soms is een organisatie zo groot, oncontroleerbaar of “onmisbaar”, wat in praktijk betekend dat je nooit volledig grip hebt en houdt over afspraken en procedures. In realiteit zou je de certificering niet krijgen - in praktijk tik je een boete van van 1-2mio en we gaan weer doo (bijv banken)

of je hebt een zakelijke partner, die alle stickers en certificaten heeft - tijdens gesprekken, navraag of aanlevering data, blijkt het een zooitje te zijn. Maar wel “hoog aangeschreven”

En zo zijn er op zat (kleine) partijen, die alla tot in de puntjes uitgewerkt hebben, strak ingeregeld maar … niet de budgetten of tijd hebben om zo’n certificering te doorlopen. En die zouden dan “slecht” zijn

Hoe langer ik in de ict zit, hoe minder waarde ik hecht aan dit soort stickers/certificering … het zegt geen drol

[Reactie gewijzigd door himlims_ op 16 december 2025 17:29]

William_H @himlims_17 december 2025 10:36
Datzelfde geldt voor de mensen die er werken. Je kunt allerlei fancy papiertjes hebben, maar als je er in de praktijk niks mee kan, en niet goed bent in managen, dan gaat het alsnog mis. Ik heb het zien gebeuren, van hoog tot laag.
DigitalExorcist @Lisadr16 december 2025 15:38
Daar moeten we eerst een stuurgroep voor vormen, die een commissie gaat oprichten, die een haalbaarheidsonderzoek laat doen door een externe partij, zodat we consultants kunnen inhuren voor een aanbesteding om het proces rondom de besluitvorming op te starten.

[Reactie gewijzigd door DigitalExorcist op 16 december 2025 15:39]

Lisadr @DigitalExorcist16 december 2025 15:43
Vergeet niet een big4 zoals PwC inhuren, waar een handvol juniors werken aan een advies, gemaakt door AI, tegen 225 euro per uur.
TriggerHappyTH 16 december 2025 15:23
Eerder gewerkt als consultant, specifiek voor de MSP-sector, met een combinatie van procesoptimalisatie en ISO27001-trajecten. Mijn ervaring is dat een gemiddeld ICT-bedrijf (ook de grote jongens) geen goede controle heeft op hun risico's, laat staan op de risico’s die geïntroduceerd worden door de continue veranderingen bij onder andere Microsoft en hun klanten in het landschap. MSP's zijn veelal reactief ingericht; dit is vaak zo gegroeid vanuit het verleden en kan vaak niet anders meer door kostenberekeningen.

ISO27001 is echter, uit mijn ervaring, voor de kleinere partijen simpelweg te zwaar voor hun scope. Dit zou een mooie tussenweg kunnen zijn. Wat ik alleen niet snap, is waarom we dit dan weer apart moeten aanpakken. We hebben inmiddels NIS2, dat we steeds blijven uitstellen (ook een risicogebaseerd systeem), waarvoor inmiddels commerciële keurmerken bestaan... maar de overheid ontwikkelt nu weer een ander keurmerk dat daar weer los van lijkt te staan?
Dix0r @TriggerHappyTH16 december 2025 15:45
De cyberbeveiligingswet (gebaseerd op NIS2) is van toepassing voor kritieke en essientiele organisaties. Een MKB-er MSP valt hier meestal niet onder.

Wel kan het zijn dat zij in de toeleveringsketen zitten naar een NIS2 organisatie. Een eis van zo'n organisatie kan zijn dat de MKB-er MSP aantoonbaar laat zien in control te zijn qua informatiebeveiliging. Daar kan een keurmerk als deze bij helpen. Eerder werd ook al CYRA genoemd. Een ander initiatief is NIS2 Quality Mark. Qua normerkingskaders is er dus voor veel kleine organisaties inmiddels ook wildgroei. Daar waar ISO27001, NIST etc veelal van toepassing zijn voor grotere organisaties.

[Reactie gewijzigd door Dix0r op 16 december 2025 15:49]

Cyberpuppy @Dix0r16 december 2025 16:20
Ik zie wel nog een probleem ontstaan. Een praktijkvoorbeeld. Wij krijgen een nieuwe klant waar de directie met hun eigen account domain admin rechten heeft.

Tot nu toe heb ik dit soort klanten gezien als een uitdaging. Als eerste en enige heb ik na een paar jaar de klant zover dat hij die rechten heeft opgegeven (naast nog een heleboel andere zaken).

Mijn vrees is dat ik met de hete adem van een keurmerk in mijn nek dit soort klant dus niet meer kan helpen. En dan kun je je afvragen in hoeverre we er met zijn allen iets mee opschieten.

Daarnaast zie ik netwerksegmentatie niet zitten in het MKB. Allerlei IoT, Sonos, Airprint en nog een heleboel zaken zijn er gewoon niet voor gemaakt. Dan mag je dus aan een klant gaan uitleggen dat hij thuis een Sonos in 5 minuten heeft geïnstalleerd en dat de vakman IT-er het hele netwerk moet verbouwen en vervangen. Inclusief een dag werk.
janus_freggel 16 december 2025 14:36
Als deze mkbers hiermee ook meer kans maken op het winnen van aanbestedingen, oftewel laat dit certificaat de iso 27001 eis vervangen, dan kan het wel interessant zijn
jschreuder @janus_freggel16 december 2025 14:43
Voor het meer behapbaar maken van ISO27001 kan je beter kijken naar de CYRA-methode van dezelfde organisatie als dit keurmerk. Dit keurmerk is bedoeld voor specifieke dienst van leveranciers om de wat minder digivaardige mkb'ers te helpen hun eigen beveiliging op orde te brengen, en dan echt alleen de basis op orde. Komt voort uit een Tweede Kamermotie ingediend omdat het voor mkb'ers zonder kennis van IT heel moeilijk is om in te schatten wat ze nodig hebben en wie ze kunnen vertrouwen daarover te adviseren.
Thonz 16 december 2025 14:44
Ik lees dat dit keurmerk “van preventieve aard is”, waarmee ik bedoel dat het inspeelt op de hypothetische situatie waarin dergelijke beveiligingsbedrijven slecht werk afleveren en de klant de dupe is.

Hoe reeel is deze hypothestische situatie? Ondervindt de maatschappij al problemen door slecht werk door dergelijke aanbieders?
GeleFles @Thonz16 december 2025 14:58
Mijn ervaring is dat veel MSPs er een potje van maken op het vlak van security. Systemen worden niet periodiek geupdate, teveel uitzonderingen op MFA voor gebruikers (als er al MFA is ingericht), rechtenstructuur niet op orde en/of word een deel van de assets vergeten.

Vaak ligt de druk hoog bij MSPs en worden er voornamelijk brandjes geblust, (migratie)projecten gedraaid en niet nagedacht over security. Security is toch een vak apart en mijn inziens moet een MSP van hele goede huize komen om dat in-house te kunnen doen.

Heb het gevoel dat dit keurmerk voornamelijk een papieren tijger is/word, op papier en volgens de contracten zijn MSPs ook altijd competent...
Jeoh 16 december 2025 14:32
Klinkt als een leuke extra inkomstenbron voor de certificatie-instellingen.
Ruffian @Jeoh16 december 2025 15:22
Is dat niet de doelstelling van al die bedrijven? Het idee zou anders vertellen maar met die wirwar van instellingen vraag ik het mijzelf vaak af.
Clu3M0r3 16 december 2025 14:54
Via https://www.digitaltrustcenter.nl/risicoklasse heb ik voor een hypothetische onderneming die check uitgevoerd. Deze hypothetische onderneming valt in risico klasse 4 (hoog).

Vervolgens de bijbehorende pdf gedownload en even gelezen:

Beveiligingsmaatregelen Risicoklasse 4

1

Volgens de risicobepaling behoort je onderneming tot risicoklasse 4. Dat betekent een hoog risico. De aard van je onderneming en de daarbij behorende risico’s vragen om een maatwerkoplossing. Naast algemene beveiligingsmaatregelen zijn er ook specifieke, aanvullende maatregelen noodzakelijk. Het gaat om beveiligingsmaatregelen die speciaal zijn afgestemd op jouw situatie en die naadloos aansluiten op het risicoprofiel van je onderneming. Om te bepalen welke maatregelen onmisbaar zijn voor de digitale beveiliging van je onderneming, raden we je aan een (externe) expert in te schakelen. Samen met deze Cybersecurity-deskundige bepaal je welke beveiligingsmaatregelen je minimaal moet nemen om je onderneming adequaat te beschermen tegen cyberincidenten.

2

Als je een cyberverzekering hebt of overweegt deze aan te schaffen, dan kun je ook met je verzekeraar en/of tussenpersoon overleggen over wat de beste aanpak is.

En nou maar hopen dat in zo'n geval de geraadpleegde gecertificeerde Cybersecurity-deskundige met echte oplossingen komt en niet met bovenstaand wollig opendeur gekakel.
Gapert86 16 december 2025 15:00
Ik ervaar dit soort certificaten, maar bijvoorbeeld ook de ISO 27001 keuring vooral als melkkoe voor de certificerende bedrijven. Natuurlijk moet je veilig werken, natuurlijk moet je aan bepaalde eisen voldoen in hoe je dingen inricht en in je processen. Maar als je als MKB'er wilt meedoen aan aanbestedingen dan is de ISO 27001 verplicht en daarvoor betaal je in een handomdraai €20.000 of nog veel meer aan een certificerende instantie en dan heb je het nog niet over terugkerende kosten.

Het certificaat wordt door overheden vereist bij opdrachten die niets van doen hebben met het verwerken of bewaren van bijvoorbeeld persoonsgegevens of cruciale data. De enige die er echt baat bij hebben zijn degenen die certificeren en het maakt het hele IT landschap enorm duur.
genosis 16 december 2025 15:07
Alleen jammer dat DigiD straks niet meer veilig te noemen is.
DeltaJuliett 16 december 2025 16:03
Het lastige aan de situatie is dat certificeringen belangrijk (kunnen) zijn.
Het is een manier om aan te tonen dat ze ten minste voldoen aan een bepaalde set eisen.
Zoals voor kinderspeelgoed, elektronische veiligheid, voedselveiligheid, kwaliteitseisen voor handbijlen etc.

Hetgene waar ik moeite mee heb is dat een standaard kan bestaan uit meerdere delen en dat je per onderdeel moet betalen tot toegang tot het bestand. De ETSI standaard was gratis beschikbaar maar werdt vervangen door de NEN die het even mooi opsplist in drie delen. En dan mag je voor alle drie betalen want bepalen aan welke je moet voldoen, moet je ze eerst voor lezen.

Hopelijk heeft de schrijver hiervan niet alleen de standaard geschreven maar ook een goede how-to meegegeven in de vorm van een Technical Specification. En als je het al begrijpt, wat voor velen niet echt haalbaar is (je kan technisch sterk zijn, maar certificeringen is een soort van legalise meets jargon), dan moet het nog gekeurd worden bij een instantie die vaak prijzig zijn zoals Dekra, Kiwa, Bureau Veritas, UL etc.

Deze partijen verschillen onderling qua aanpak en werkwijze want het blijft mensenwerk. Hopelijk heb je eentje met wie je goed overweg kan, anders ben je de kosten kwijt want het is geen no cure no pay model.

Dan is er nog de optie dat standaarden geharmoniseerd zijn en dat bedrijven het zelf mogen keuren.
Dit heeft ook weer voor- en nadelen. De grote bedrijven hebben genoeg kennis, kunde en mankracht. De kleinere bedrijven vaak niet. Deze kosten maken de barriere tot toetreding hoger.

Maar zonder deze controlevorm is het een wild westen met te veel cowboys.
En zoals een hoop bedrijven nu weer aantonen, een hoop er van zal niet uit zichzelf iets goeds doen voor mensheid.
tjorim 16 december 2025 17:39
Dacht even aan Basisbeveiliging.nl

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq