“Wij zijn maar een klein bedrijf.” Het is misschien wel de meest gehoorde uitspraak wanneer het gaat over informatiebeveiliging en cyber security binnen het MKB en familiebedrijven. Toch is juist die gedachte volgens de specialisten van RSM gevaarlijk. 

Cybercriminelen richten zich allang niet meer alleen op multinationals of banken. Juist kleinere organisaties blijken aantrekkelijk: vaak minder goed beveiligd, afhankelijk van IT en onvoldoende bewust van de risico’s. “Voor hackers is iedere tienduizend euro die ze kunnen verdienen interessant,” vertelt Raymond de Keijzer, director bij RSM. “Een cyberaanval uitvoeren is tegenwoordig vaak een koud kunstje. En veel ondernemers onderschatten hoeveel impact een aanval daadwerkelijk heeft.”

Waarom familiebedrijven extra kwetsbaar zijn 

Familiebedrijven en DGA-gedreven ondernemingen zijn gewend risico’s te nemen. Dat ondernemerschap is vaak een kracht. Maar juist bij cyber security kan die mentaliteit ook een valkuil zijn. “Veel ondernemers zien cyberdreiging nog steeds als een laag risico,” vult Roy Zwartjes, eveneens director bij RSM, aan. “De gedachte is vaak: het overkomt mij niet. Totdat de organisatie ineens stilvalt.” 

En dat gebeurt vaker dan gedacht. In 2026 zijn cyberaanvallen slimmer, sneller en toegankelijker geworden voor criminelen. Ransomware-aanvallen, phishingmails en datalekken treffen inmiddels organisaties van iedere omvang. De gevolgen gaan bovendien verder dan alleen financiële schade. Denk aan stilgevallen productieprocessen, ontoegankelijke klantdata, reputatieschade en medewerkers die simpelweg hun werk niet meer kunnen doen. 

“Maar we hebben toch een back-up?” 

Ook dat is een veelgehoorde reactie. Maar een back-up alleen is geen garantie dat een organisatie snel weer operationeel is. “Wij stellen vaak een simpele vraag,” zegt Raymond. “Hoe lang kunt u zonder IT werken? Ondernemers geven daar meestal direct antwoord op. Maar na een paar aanvullende vragen blijkt die periode vaak veel korter dan gedacht.” 

Want hoe snel kan een back-up daadwerkelijk worden teruggezet? Is dat proces ooit getest? En staat die back-up niet toevallig op dezelfde omgeving die getroffen wordt bij een aanval? Voor IT-specialisten lijken dit open deuren. In de praktijk blijkt dat veel organisaties hier nog onvoldoende bij stilstaan. Roy: “Uiteindelijk draait informatiebeveiliging niet alleen om techniek. Het draait vooral om awareness.” 

Awareness: het meest onderschatte onderdeel van cyber security 

Awareness klinkt misschien als een abstract begrip, maar het raakt vrijwel iedere ondernemer. Het gaat om bewustwording: weten waar de risico’s zitten, begrijpen welke processen cruciaal zijn en beseffen wat de gevolgen zijn als systemen uitvallen. Volgens RSM begint goede informatiebeveiliging daarom niet bij software, maar bij inzicht. 

“We kijken samen met directies naar de kroonjuwelen van de organisatie,” legt Raymond uit. “Welke processen zijn essentieel? Welke data mag absoluut niet verloren gaan? En waar zitten de grootste kwetsbaarheden?” Daarbij draait het niet om alles volledig ‘dichttimmeren’. Dat is kostbaar en lang niet altijd noodzakelijk. Het doel is om gericht risico’s inzichtelijk te maken en passende maatregelen te nemen.

Uitbesteden betekent niet dat de verantwoordelijkheid verdwijnt

 Een andere ontwikkeling die steeds relevanter wordt: organisaties besteden meer IT-processen uit aan externe partijen. Denk aan HR-systemen, cloudoplossingen of softwareleveranciers. Maar ook daar schuilt een risico. 

“Je kunt een applicatie uitbesteden, maar nooit de verantwoordelijkheid,” aldus Roy. “Veel ondernemers denken dat een leverancier alles automatisch goed geregeld heeft. Maar als jouw gegevens uitlekken, blijft jouw organisatie verantwoordelijk.” Juist daarom wordt toezicht op leveranciers, processen en afspraken steeds belangrijker binnen moderne informatiebeveiliging. 

Cyber security is geen ‘IT-feestje’ meer 

Waar informatiebeveiliging vroeger vooral een technisch onderwerp was, raakt het vandaag de dag de volledige organisatie. Van directie tot medewerker. Eén verkeerde klik op een phishingmail kan voldoende zijn om een organisatie plat te leggen. Daarom is cyber security in 2026 niet langer alleen een verantwoordelijkheid van IT, maar van de hele onderneming. 

Voor ondernemers betekent dat vooral: niet wachten tot het misgaat. Want de vraag is allang niet meer óf organisaties doelwit worden, maar hoe goed ze voorbereid zijn wanneer het gebeurt. 

De pragmatische aanpak van RSM 

Juist daarin wil RSM organisaties ondersteunen. Niet met ingewikkelde technische oplossingen of standaardadviezen, maar met een pragmatische aanpak die aansluit bij de praktijk van ondernemers, familiebedrijven en het MKB. Vanuit IT Audit helpt RSM organisaties om risico’s inzichtelijk te maken, processen kritisch te beoordelen en bewustwording binnen de organisatie te vergroten. 

Door samen te kijken naar de ‘kroonjuwelen’ van een onderneming (de processen, systemen en gegevens die cruciaal zijn voor continuïteit) helpt RSM bedrijven om gerichte keuzes te maken op het gebied van informatiebeveiliging en cyber security. Niet meer doen dan nodig, maar vooral de juiste dingen doen. Zodat ondernemers grip krijgen op risico’s, beter voorbereid zijn op incidenten en zich kunnen blijven richten op waar zij goed in zijn: ondernemen.