Wat er precies is gebeurd

De aanval richtte zich op inactieve bestandsservers die enkele maanden eerder buiten gebruik waren gesteld. Op die servers stonden historische gegevens uit een periode van twee jaar. De dagelijkse operatie bleef ongeraakt — maar de gegevens op de oude servers waren bereikbaar voor aanvallers.

De organisatie reageerde voortvarend: servers werden direct uitgeschakeld en ontkoppeld, een crisisteam werd geformeerd en forensische experts werden ingeschakeld. Er is melding gedaan bij de Autoriteit Persoonsgegevens. Leden en betrokkenen werden geïnformeerd.

“Cyberaanvallen raken steeds vaker ook het midden- en kleinbedrijf, maar vaak hebben MKB-ondernemers niet de capaciteit of kennis om zich hier goed tegen te beschermen.”

En precies dáár zit een onderschat probleem. Want ook zonder een directe aanval kost digitale onweerbaarheid een ondernemer al veel — elke dag.

Wat gebrek aan digitale weerbaarheid in de praktijk betekent:

  • Uren verloren aan handmatig herstelwerk bij een storing of ransomware — tijd die de ondernemer niet heeft
  • Verkeerde beslissingen in paniek: verkeerd klikken, verkeerd betalen, verkeerd communiceren — zonder plan doe je al snel iets wat de schade vergroot
  • Reputatieschade bij klanten en leveranciers als gegevens uitlekken of systemen uitvallen
  • Juridische en financiële gevolgen: AVG-boetes, schadeclaims, verlies van klantcontracten
  • Weken of maanden herstel — waarbij de ondernemer zelf de primaire probleemeigenaar is, terwijl hij geen IT’er is

Kwetsbaarheid: breder dan alleen cyber

Dit incident illustreert iets dat we al langer weten maar moeilijk concreet kunnen maken: digitale kwetsbaarheid zit vaak niet in de actieve systemen, maar in wat er sluimert aan de rand. Oude servers. Vergeten koppelingen. Systemen die buiten gebruik zijn maar nog wel bereikbaar.

Voor uw MKB-klanten geldt hetzelfde patroon. Onderzoek laat zien dat ruim 80 procent van het MKB afhankelijk is van één primaire cloudleverancier voor kritieke bedrijfsfuncties. Velen hebben geen verwerkersovereenkomst getekend, weten niet waar hun data opgeslagen staat en hebben geen plan klaarliggen als een systeem uitvalt of wordt aangevallen.

Maar er speelt meer dan alleen het cyberrisico. Digitale autonomie en soevereiniteit worden een steeds concreter bedrijfsrisico. Wie zijn bedrijfsdata en -processen volledig heeft uitbesteed aan niet-EU-leveranciers, verliest grip op drie vlakken: op waar zijn data staat en wie er toegang toe heeft, op wat er gebeurt als een leverancier zijn dienst aanpast, stopt of de prijs verhoogt, en op zijn vermogen om zelfstandig verder te draaien als een koppeling wegvalt. De afhankelijkheid van Google, Microsoft of andere grote platforms is voor veel MKB-ondernemers geen bewuste keuze geweest — het is er stilletjes ingegroeid.

De vraag is niet óf uw klanten kwetsbaar zijn. De vraag is waar die kwetsbaarheid zit en wat de impact zou zijn als dat uitgebuit wordt — of als een leverancier simpelweg zijn tarieven verdubbelt.

Wat u als accountant kunt doen

U heeft al een vertrouwensrelatie met uw klanten. U kent hun bedrijf, hun systemen en hun risicoprofiel beter dan wie dan ook. Dat maakt u de meest logische persoon om dit gesprek te starten — niet als IT-adviseur, maar als vertrouwde accountant die signaleert wat anderen over het hoofd zien.

Digitale weerbaarheid hoeft niet te beginnen met een groot IT-project. Het begint met inzicht — begrijpen in minder dan 10 minuten welke onderwerpen binnen het complexe thema digitale weerbaarheid uw klant direct raken, waar actie nodig is en wat al op orde is. En vervolgens: dat als accountant op de agenda zetten. Uw signaleringsfunctie is hier cruciaal — juist omdat uw klant dit onderwerp zelf niet altijd op zijn radar heeft.

Drie concrete stappen die u vandaag kunt zetten:

  • Stuur de Digitale Grip pre-scan naar uw klanten — minder dan 10 minuten, geen registratie, direct resultaat. U ziet daarna wie laag scoort en urgentie heeft.
  • Vraag uw klanten of ze een verwerkersovereenkomst hebben met hun belangrijkste softwareleveranciers. Bij veel MKB-ondernemers is het antwoord simpelweg: weet ik niet.
  • Check of uw klanten die onder NIS2 vallen dat ook weten. Veel ondernemers in relevante sectoren zijn zich dit niet bewust — zie hieronder welke sectoren dat zijn.

NIS2: wie valt eronder?

Sinds oktober 2024 is de NIS2-richtlijn van kracht. Die verplicht organisaties in aangewezen sectoren tot aantoonbare maatregelen op het gebied van cybersecurity. De sancties bij niet-naleving zijn aanzienlijk — oplopend tot 10 miljoen euro of 2 procent van de wereldwijde omzet.

Sectoren die (direct of indirect) onder NIS2 kunnen vallen

  • Transport & logistiek (weg, rail, lucht, water)
  • Energie (elektriciteit, gas, olie, warmte)
  • Digitale infrastructuur & ICT-dienstverleners
  • Financiële sector en bankwezen
  • Gezondheidszorg en farmaceutische industrie
  • Drinkwater en afvalwaterbeheer
  • Bouw & infra (indirect via ketendruk van opdrachtgevers en aanbestedingseisen)
  • Handel & e-commerce (via ketendruk van grote afnemers)
  • Overheidsdiensten en publieke sector

Maar ook voor MKB-ondernemers die niet rechtstreeks onder NIS2 vallen geldt: ketendruk neemt toe. Grote opdrachtgevers — in bouw, transport, retail en handel — stellen steeds vaker eisen aan de digitale weerbaarheid van hun leveranciers. Wie dat niet kan aantonen, verliest opdrachten. De NIS2-richtlijn trekt als het ware een golf door de keten.

Wil u uw klant informeren? Deel simpelweg de pre-scan

Wilt u als accountant uw klant attenderen op dit thema en hem een eerlijk beeld geven van waar hij staat? Laat hem de Digitale Grip pre-scan invullen. U hoeft niets te integreren. U deelt een link — wij leveren de rest.

Wilt u eerst meer weten over hoe dit werkt voor uw kantoor? Neem direct contact op met Patrick de Veer — hij denkt graag met u mee.

Of laat uw klant hieronder direct starten: