Security Budget en Investeren
Geen Budget, Wel Risico
Cybersecurity is hier geen technisch zijspoor, maar onderdeel van continuiteit, aansprakelijkheid en reputatie.
Voor Security Budget en Investeren werkt sturing alleen met meetbare doelen, duidelijke escalatie en tijdige besluiten.
Zo wordt dit onderwerp geen periodieke discussie, maar een bestuurbaar onderdeel van reguliere bedrijfsvoering.
Directe maatregelen (15 minuten)
Waarom dit telt
De kern van Security Budget en Investeren is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.
“Hoeveel moeten we uitgeven aan security?”
Het is de vraag die elke CISO vreest en elke CFO stelt. En het eerlijke antwoord is: het hangt ervan af. Maar dat antwoord is net zo nuttig als “het wordt morgen weer weer” van een meteoroloog, dus laten we het concreter maken.
Dit hoofdstuk geeft u de benchmarks, de frameworks, en de argumenten die u nodig hebt om een security-budget op te stellen dat past bij uw organisatie. Of u nu de bestuurder bent die moet beslissen, of de CISO die het budget moet verdedigen – hier vindt u de cijfers en de onderbouwing.
Wat geven anderen uit? Benchmarks
Benchmarks zijn geen voorschriften. Ze zijn richtpunten. Wat een bank uitgeeft aan security is niet wat een bouwbedrijf moet uitgeven. Maar ze helpen wel om te toetsen of u in de goede richting zit – of hopeloos achterloopt.
Percentage van het IT-budget
De meest gebruikte maatstaf is security-uitgaven als percentage van het totale IT-budget.
| Sector | Typisch % van IT-budget | Toelichting |
|---|---|---|
| Financiele dienstverlening | 10 – 15% | Zwaar gereguleerd, hoge impact bij incidenten |
| Gezondheidszorg | 7 – 12% | Gevoelige data, toenemende regelgeving |
| Overheid | 8 – 12% | NIS2 en BIO-eisen stuwen investeringen |
| Retail en e-commerce | 5 – 10% | Betaalgegevens, groot aanvalsoppervlak |
| Industrie en productie | 4 – 8% | OT-security wordt steeds belangrijker |
| MKB (generiek) | 3 – 7% | Vaak te laag; de ondergrens is risicovol |
Percentage van de omzet
Een alternatieve maatstaf is security-uitgaven als percentage van de totale omzet. Dit is nuttiger voor organisaties waar IT geen apart budget heeft.
| Organisatiegrootte | Typisch % van omzet |
|---|---|
| Enterprise (>250 medewerkers) | 0,5 – 1,5% |
| Middelgroot (50-250 medewerkers) | 0,3 – 1,0% |
| Klein (<50 medewerkers) | Vaak minder dan 0,3%, maar 0,5% is wenselijk |
Waarschuwing: Een benchmark van “6% van het IT-budget” is zinloos als uw IT-budget zelf te laag is. Als uw totale IT-budget 50.000 euro is en 6% daarvan naar security gaat, hebt u 3.000 euro. Daar koopt u precies een halve pentest voor.
De business case bouwen
Een security-budget verdedigen met “anders worden we gehackt” is als uw kind vertellen dat het zijn groenten moet eten “omdat het gezond is”. Technisch waar, maar niet overtuigend. U hebt een business case nodig.
De basis voor een goede business case is een gedegen risicoanalyse. Zonder inzicht in de risico’s die uw organisatie loopt, is elk budget een slag in de lucht.
Stap 1: Kwantificeer het risico
Risicoanalyse vertaalt dreigingen naar euro’s. Het model is simpel:
Verwacht jaarlijks verlies = Kans op incident x Impact per incident
| Scenario | Geschatte kans (per jaar) | Geschatte impact | Verwacht jaarlijks verlies |
|---|---|---|---|
| Ransomware-aanval | 15 – 25% | 500.000 – 5.000.000 euro | 75.000 – 1.250.000 euro |
| Datalek met persoonsgegevens | 10 – 20% | 200.000 – 4.500.000 euro | 20.000 – 900.000 euro |
| BEC-fraude (CEO-fraude) | 10 – 15% | 50.000 – 500.000 euro | 5.000 – 75.000 euro |
| Uitval door DDoS | 5 – 15% | 10.000 – 100.000 euro | 500 – 15.000 euro |
Deze cijfers zijn schattingen op basis van sectorgemiddelden en Nederlandse incidentcijfers. Uw eigen risicoprofiel kan afwijken. Maar zelfs ruwe schattingen laten zien dat het verwachte jaarlijkse verlies al snel hoger is dan een redelijk security-budget.
Stap 2: Toon de kosten van niets doen
De kosten van een security-incident gaan veel verder dan het directe verlies. Reken het volledig door.
| Kostenpost | Toelichting |
|---|---|
| Directe schade | Losgeld, gestolen geld, herstelkosten systemen |
| Operationele uitval | Omzetverlies door downtime – gemiddeld 21 dagen bij ransomware |
| Boetes | AVG: tot 20 miljoen euro of 4% omzet. NIS2: tot 10 miljoen euro of 2% omzet |
| Juridische kosten | Advocaten, claims van getroffen klanten, bestuurdersaansprakelijkheid |
| Reputatieschade | Klantverloop, verlies van contracten, dalende aandeelkoers |
| Herstelkosten | Forensisch onderzoek, noodmaatregelen, versnelde investeringen achteraf |
| Verzekeringsimpact | Hogere premies na incident, mogelijk verlies van dekking |
Vuistregel: De kosten van een incident achteraf oplossen zijn gemiddeld vijf tot tien keer hoger dan de kosten van preventie. Elke euro die u nu investeert, bespaart u vijf tot tien euro aan schade.
Stap 3: Vergelijk investering met risicoreductie
| Investering | Jaarlijkse kosten | Verwachte risicoreductie |
|---|---|---|
| Endpoint Detection & Response (EDR) | 15.000 – 50.000 euro | 30 – 50% minder kans op ransomware |
| Security awareness training | 5.000 – 20.000 euro | 40 – 60% minder phishing-successen |
| Jaarlijkse pentest | 10.000 – 50.000 euro | Proactieve identificatie van kwetsbaarheden |
| MFA op alle systemen | 5.000 – 15.000 euro | 80 – 99% minder credential-aanvallen |
| SIEM/SOC (managed) | 30.000 – 120.000 euro | Gemiddeld 60% snellere detectie van incidenten |
| Incidentrespons retainer | 10.000 – 30.000 euro | Veel snellere responstijd bij incident |
| Cyberverzekering | 5.000 – 30.000 euro | Financiele demping bij resterend risico |
| Back-up en recovery | 10.000 – 40.000 euro | Herstel zonder losgeld bij ransomware |
De taal die CFO’s begrijpen is niet “we moeten onze attack surface reduceren” maar “voor 80.000 euro per jaar verlagen we de kans op een miljoenenincident met 70%”. Vertaal technische maatregelen naar financiele impact.
Waar gaat het budget naartoe? Budgetcategorieen
Een security-budget dat alleen naar tooling gaat, is als een sportschoolabonnement zonder eten en slaap. De verdeling over categorieen is minstens zo belangrijk als het totaalbedrag.
Aanbevolen verdeling
| Categorie | % van security-budget | Wat valt hieronder |
|---|---|---|
| Mensen | 35 – 45% | CISO (intern of extern), security-analisten, inhuur specialisten |
| Tooling en technologie | 20 – 30% | EDR, SIEM, firewalls, vulnerability scanners, IAM-oplossingen |
| Training en awareness | 10 – 15% | Security awareness voor alle medewerkers, technische training voor IT, bestuurstraining |
| Toetsing en audit | 10 – 15% | Pentests, red team-oefeningen, compliance-audits, code reviews |
| Incident response | 5 – 10% | IR-retainer, forensische capaciteit, crisisplannen, oefeningen |
| Verzekering | 5 – 10% | Cyberverzekering, aanvullende D&O-dekking |
Veelgemaakte fout: Organisaties investeren zwaar in tooling maar nauwelijks in mensen en training. Een SIEM van 100.000 euro per jaar zonder iemand die de alerts leest, is een dure screensaver. Mensen maken het verschil – tools ondersteunen ze.
Prioriteren: waar begint u?
Niet elke organisatie kan alles tegelijk. De kunst is om te beginnen waar de grootste risicoreductie zit voor het minste geld.
Het prioriteringsframework
Rangschik investeringen op twee assen: impact op risicoreductie en kosten/complexiteit.
| Prioriteit | Maatregel | Impact | Kosten | Begin hiermee |
|---|---|---|---|---|
| 1 | MFA op alle externe toegang | Zeer hoog | Laag | Morgen |
| 2 | Security awareness training | Hoog | Laag | Deze maand |
| 3 | Patchmanagement structureren | Hoog | Laag-midden | Deze maand |
| 4 | Back-up en recovery testen | Hoog | Midden | Dit kwartaal |
| 5 | EDR op alle endpoints | Hoog | Midden | Dit kwartaal |
| 6 | Incidentresponsplan opstellen | Hoog | Laag | Dit kwartaal |
| 7 | Pentest laten uitvoeren | Midden-hoog | Midden | Dit halfjaar |
| 8 | SIEM/SOC (managed) | Midden-hoog | Hoog | Dit jaar |
| 9 | Zero trust-architectuur | Hoog | Hoog | Meerjarenplan |
| 10 | Red team-oefening | Midden | Hoog | Na basismaatregelen |
Quick wins versus langetermijninvesteringen
Quick wins (binnen een maand, laag budget): - MFA activeren op alle externe toegangspunten - Wachtwoordbeleid aanscherpen - Automatische updates inschakelen waar mogelijk - Phishing-simulatie uitvoeren om baseline te meten - Admin-rechten beperken op werkstations
Langetermijninvesteringen (meerjarenplan, substantieel budget): - Zero trust-netwerksegmentatie - Security Operations Center (intern of managed) - Volledig identity & access management - DevSecOps integratie in softwareontwikkeling - Continuitsplanning en disaster recovery
ROI van security: het rendement op bescherming
De ROI van security is lastig te berekenen omdat u het rendement meet in incidenten die niet plaatsvinden. Maar er zijn manieren om het tastbaar te maken. In hoofdstuk 10 over security-metrics en bestuursrapportage gaan we dieper in op hoe u deze indicatoren structureel rapporteert aan het bestuur.
Directe ROI-indicatoren
| Indicator | Hoe te meten | Voorbeeld |
|---|---|---|
| Phishing-klikpercentage | Voor en na awareness-training | Van 25% naar 4% = 84% verbetering |
| Tijd tot detectie (MTTD) | Gemiddelde tijd tot ontdekking incident | Van 197 dagen naar 30 dagen |
| Tijd tot herstel (MTTR) | Gemiddelde tijd tot volledig herstel | Van 21 dagen naar 3 dagen |
| Geblokkeerde aanvallen | Aantal geblokkeerde pogingen door EDR/firewall | Kwantificeerbaar uit logging |
| Compliance-status | Percentage vervulde eisen AVG/NIS2 | Van 40% naar 90% |
Indirecte baten
- Commercieel voordeel. Steeds meer klanten en opdrachtgevers eisen aantoonbare security. Een ISO 27001-certificering of SOC 2-rapport opent deuren.
- Lagere verzekeringspremies. Goede beveiliging leidt tot lagere premies voor cyberverzekering en D&O.
- Bestuurdersbescherming. Aantoonbare investeringen beschermen bestuurders tegen persoonlijke aansprakelijkheid (zie hoofdstuk 5).
- Medewerkervertrouwen. Medewerkers die weten dat de organisatie security serieus neemt, zijn alerter en melden incidenten sneller.
Het budget presenteren aan het bestuur
De CISO presenteert in technische termen. Het bestuur denkt in risico’s, kosten en strategische impact. Hier zijn vijf principes om die kloof te overbruggen.
1. Spreek de taal van het bestuur
Niet: “We moeten onze SIEM upgraden naar een next-gen XDR-platform met SOAR-integratie.” Wel: “We willen aanvallen twee keer zo snel detecteren, waardoor de gemiddelde schade per incident met de helft afneemt.”
2. Koppel aan bedrijfsrisico’s
Niet: “Er zijn 47 kritieke kwetsbaarheden in onze infrastructuur.” Wel: “Drie van onze klantgerichte systemen bevatten kwetsbaarheden die een aanvaller toegang geven tot 200.000 klantrecords. De verwachte boete bij een datalek is 800.000 euro.”
3. Bied opties, geen ultimatums
Presenteer drie scenario’s met bijbehorend budget en risicoacceptatie.
| Scenario | Jaarlijks budget | Wat het oplevert | Resterend risico |
|---|---|---|---|
| Minimum | 50.000 euro | Basishygiene: MFA, patching, awareness, back-ups | Hoog – voldoet niet aan NIS2 |
| Aanbevolen | 150.000 euro | Basis + pentest + EDR + incidentplan + managed SOC | Midden – voldoet aan NIS2-basis |
| Optimaal | 300.000 euro | Alles hierboven + red teaming + zero trust + 24/7 SOC | Laag – best practice niveau |
4. Gebruik incidenten als illustratie
Verwijs naar recente incidenten in uw eigen sector. Niet om angst te zaaien, maar om te laten zien dat het risico reeel is. Bestuurders reageren op concrete voorbeelden sterker dan op abstracte kansberekeningen.
5. Rapporteer voortgang, niet alleen problemen
Laat elk kwartaal zien wat er met het budget is gedaan, welke risico’s zijn verlaagd, en welke metrics zijn verbeterd. Bestuurders die resultaat zien, investeren verder.
Tip voor de CISO: Eindig uw presentatie niet met een lijst van alles wat er mis is. Eindig met drie concrete acties, een tijdlijn, en het gevraagde budget. Bestuurders willen beslissen, niet depressief worden.
Veelgemaakte fouten bij security-budgettering
| Fout | Waarom het misgaat | Beter alternatief |
|---|---|---|
| Alleen investeren na een incident | Reactief is altijd duurder dan proactief | Jaarlijks structureel budget reserveren |
| Budget baseren op vorig jaar + inflatie | Security-dreigingen groeien sneller dan inflatie | Baseer budget op actuele risicoanalyse |
| Alles aan tooling besteden | Tools zonder mensen zijn nutteloos | Verdeel over mensen, tools, training, toetsing |
| Geen budget voor incident response | “Dat overkomt ons niet” – tot het wel gebeurt | Minimaal een IR-retainer afsluiten |
| Security als kostenpost zien | Creert een perverse prikkel om te besparen | Framing als risicobeheer en bedrijfscontinuiteit |
| Geen meerjarenplan | Jaarlijkse discussie leidt tot ad-hoc beslissingen | Driejarenplan met jaarlijkse herijking |
Samenvatting: de rekening
Security-budget is geen kostenpost – het is risicobeheer. Net als een brandverzekering, een slot op de deur, en een goed slot op uw fiets. U hoopt dat u het nooit nodig hebt, maar als het moment komt, is het het verschil tussen een incident en een ramp.
Drie dingen om mee te nemen:
- Begin met de basis. MFA, patching, awareness, back-ups. Dit levert de grootste risicoreductie op voor het minste geld.
- Verdeel evenwichtig. Mensen, tools, training, toetsing. Geen categorie mag nul zijn.
- Maak het meetbaar. Koppel elke investering aan een risico, en rapporteer elk kwartaal over voortgang.
Onthoud: De vraag is niet “kunnen we ons dit veroorloven?” De vraag is “kunnen we het ons veroorloven om dit niet te doen?” De cijfers spreken voor zich.
Doe dit deze maand
Een budget is pas effectief als u weet wat u ermee doet wanneer het misgaat. In het volgende hoofdstuk, Incidentrespons en crisismanagement, leest u hoe u uw organisatie voorbereidt op het onvermijdelijke moment dat een security-incident zich voordoet – en hoe u de schade beperkt.
Verder lezen in de kennisbank
Deze artikelen in het portaal geven je meer achtergrond en praktische context:
- Compliance — regels volgen zonder je verstand te verliezen
- Incident Response — wanneer het misgaat
- Supply chain attacks — het zwakste schakel-probleem
- "Zijn wij een doelwit?"
- Ransomware — digitale gijzeling voor beginners en gevorderden
Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.
Gerelateerde securitymaatregelen
Deze artikelen bieden aanvullende context en verdieping: