WWKE-compliance klinkt als iets voor grote vitale organisaties met een eigen securityteam. In de praktijk raakt de WWKE-wetgeving ook veel mkb-partijen in en rond de financiële dienstverlening, zeker als je onderdeel bent van een keten die als kritisch wordt gezien of als je diensten levert aan een aangewezen entiteit. Dan komt de vraag al snel op tafel hoe je aantoonbaar weerbaar wordt, terwijl je geen eigen IT-afdeling hebt. Dit artikel legt WWKE in begrijpelijke taal uit, laat zien waar de risico’s zitten, welke maatregelen meestal terugkomen en hoe je bewijs opbouwt. Tot slot krijg je een praktisch stappenplan om het werk behapbaar te maken.
Wat WWKE-compliance betekent voor het mkb
De Wet weerbaarheid kritieke entiteiten is de Nederlandse uitwerking van de Europese CER-richtlijn. Het doel is dat organisaties die essentiële diensten leveren beter bestand zijn tegen verstoringen, zoals cyberincidenten, technische storingen en andere dreigingen. Ministeries wijzen kritieke entiteiten aan. Als je wordt aangewezen, moet je binnen een beperkte periode kunnen laten zien dat je aan de eisen voldoet.
Voor het mkb in de financiële dienstverlening betekent dit vaak dat je niet alleen naar IT kijkt, maar naar operationele weerbaarheid als geheel. Denk aan hoe je doorwerkt bij uitval, hoe je incidenten afhandelt en hoe je afhankelijkheden beheert. Compliant zijn betekent in de praktijk twee dingen: je hebt passende maatregelen ingericht én je kunt onderbouwen dat ze werken, worden onderhouden en aansluiten op je risico’s.
Welke risico’s ontstaan zonder IT-afdeling
Zonder interne IT is WWKE vooral een organisatievraagstuk. De grootste risico’s zitten meestal niet in onwil, maar in een gebrek aan eigenaarschap en overzicht.
- Gebrek aan expertise, waardoor keuzes ad hoc worden gemaakt en securitymaatregelen niet op elkaar aansluiten.
- Versnipperde systemen en accounts, met onduidelijke rechten en te veel uitzonderingen.
- Leveranciersrisico’s, bijvoorbeeld onduidelijke afspraken over monitoring, back-ups, herstel en meldingen.
- Incidentrespons die pas start als het al mis is, zonder draaiboek, rollen en communicatieplan.
- Continuïteitsrisico’s door ontbrekende tests van herstelprocedures en afhankelijkheid van enkele personen.
- Auditdruk en bewijsstress, omdat documentatie verspreid staat of niet bestaat.
- Kosten van non-compliance in de vorm van herstelwerk, verstoring van dienstverlening en extra toezichtlast.
Welke maatregelen WWKE meestal vereist
WWKE draait om weerbaarheid. In de praktijk vertaal je dat naar een set basiscontrols die je omgeving voorspelbaar en beheersbaar maken. Onderstaande maatregelen komen vaak terug, ook omdat ze direct helpen bij continuïteit en incidentbeheersing.
| Maatregel | Wat je ermee bereikt | Praktische invulling |
|---|---|---|
| Identity and access management | Minder misbruik van accounts | Rolgebaseerde rechten, joiner-mover-leaver-proces |
| MFA | Bescherming bij gelekte wachtwoorden | MFA op e-mail, beheeraccounts en externe toegang |
| Logging en monitoring | Sneller detecteren en onderzoeken | Centraal loggen, alerts op afwijkend gedrag |
| Patching en vulnerability management | Minder bekende kwetsbaarheden | Vast patchritme, opvolging van kritieke bevindingen |
| Endpoint security | Beperken van impact op werkplekken | EDR, hardening, gecontroleerde adminrechten |
| Back-ups en herstel | Doorwerken na een incident | Immutable back-up waar mogelijk, hersteltests |
| Encryptie | Bescherming van data bij verlies | Schijfversleuteling, versleutelde overdracht |
| Netwerksegmentatie | Beperken van laterale beweging | Scheiding tussen beheer, servers, werkplekken en gast |
| Leveranciersbeheer | Grip op ketenafhankelijkheid | SLA’s, securityafspraken, escalatie en rapportage |
| Dataclassificatie | Juiste bescherming per datatype | Labels, bewaartermijnen, toegangsregels |
Belangrijk is dat je deze controls koppelt aan je kritieke diensten en afhankelijkheden. Dat sluit aan op de WWKE-focus op risicoanalyse en continuïteitsplanning.
Hoe je WWKE aantoonbaar maakt
WWKE vraagt niet alleen om maatregelen, maar om aantoonbaarheid. Dat betekent dat je kunt laten zien wat je hebt afgesproken, wat je hebt ingericht en hoe je controleert dat het blijft werken. Zie bewijs als een doorlopende administratie, niet als een eenmalige auditmap.
- Beleid en procedures voor toegang, patching, back-ups, incidenten en continuïteit.
- Risicoanalyse met kritieke diensten, dreigingen, afhankelijkheden en restrisico’s.
- DPIA waar relevant, bijvoorbeeld bij nieuwe verwerkingen of tooling met verhoogd privacyrisico.
- Assetregister met systemen, data, eigenaren en leveranciers.
- Changemanagement met vastlegging van wijzigingen, testen en goedkeuring.
- Incidentregister met tijdlijn, impact, acties, lessons learned en opvolging.
- Audittrails uit logging, ticketing en beheerportalen.
- Periodieke reviews, zoals toegangsreviews, back-up-restoretests en leveranciersgesprekken.
- Rapportage aan het management met besluiten, prioriteiten en openstaande risico’s.
Stappenplan voor WWKE-compliance zonder IT
- Scope bepalen. Breng je kritieke diensten, processen en afhankelijkheden in kaart, inclusief derde partijen.
- Gap-analyse. Vergelijk je huidige situatie met WWKE-verwachtingen rond risicoanalyse, continuïteit en incidentrespons.
- Prioriteren op risico. Pak eerst maatregelen aan die grote impact hebben op continuïteit en misbruik van accounts.
- Quick wins uitvoeren. MFA, basislogging, patchdiscipline en back-upcontroles leveren snel weerbaarheid op.
- Implementatie plannen. Werk in kleine blokken met duidelijke owners per control, ook als IT extern is.
- Testen en oefenen. Doe hersteltests en tabletop-oefeningen voor incidenten en uitvalscenario’s.
- Training en bewustwording. Maak het praktisch voor medewerkers, met simpele werkinstructies en vaste routines.
- Periodieke controles. Plan vaste momenten voor access reviews, patchrapportage en leveranciersreviews.
- Governance borgen. Leg rollen vast voor besluitvorming, escalatie en acceptatie van restrisico’s.
Zo houd je WWKE behapbaar. Je bouwt stap voor stap aan een voorspelbare omgeving die je kunt uitleggen aan auditors, klanten en ketenpartners.
Hoe Mr. Blocks helpt met WWKE-compliance
Wij helpen organisaties WWKE-compliance praktisch te maken door beheer, beveiliging en continuïteit als één verantwoordelijkheid te organiseren. Dat doen we vanuit een digitale werkplek die rust en voorspelbaarheid brengt, met security als vast onderdeel van het fundament.
- Inrichting en beheer van een veilige digitale werkplek met duidelijke standaarden voor toegang, apparaten en updates.
- IT-securitydiensten met managed firewall, continue bewaking, EDR op werkplekken en vulnerability management.
- Back-up- en herstelaanpak die past bij jouw kritieke processen, inclusief periodieke hersteltests en rapportage.
- Leveranciers- en ketenafspraken vertalen naar werkbare processen, inclusief incidentafspraken en escalatie.
- Ondersteuning bij aantoonbaarheid, zoals beleid, registers, loggingoverzicht en periodieke reviews.
- Heldere support en communicatie, zodat medewerkers prettig doorwerken en jij grip houdt.
Wil je weten wat er nodig is om WWKE aantoonbaar te maken in jouw situatie, zonder eigen IT-afdeling? Bekijk wie we zijn of neem direct contact met ons op voor een verkennend gesprek.
Veelgestelde vragen
Hoe weet ik of mijn organisatie (of klant) onder de WWKE valt als mkb’er?
Vraag expliciet na of je klant of ketenpartner is aangewezen als kritieke entiteit en welke diensten binnen scope vallen. Leg dit vast in contract/SLA (scope, afhankelijkheden, rapportage, auditrechten). Als je zelf niet bent aangewezen, kun je alsnog eisen krijgen via ketenvoorwaarden; behandel die als ‘afgeleide WWKE-eisen’ en vertaal ze naar concrete controls en bewijsitems.
Welke documenten en bewijzen verwachten auditors of ketenpartners meestal als eerste?
Begin met een compacte ‘WWKE-bewijsmappen’-set: (1) scope & kritieke diensten, (2) risicoanalyse met restrisico’s en besluiten, (3) continuïteitsplan + laatste hersteltestresultaten, (4) incidentresponsplan + oefenverslag, (5) leveranciersoverzicht met securityafspraken, (6) maandelijkse/kwartaalrapportages (patching, MFA-dekking, alerts, back-ups). Houd alles versiebeheerbaar en herleidbaar (datum, owner, goedkeuring).
Hoe richt ik governance in zonder IT-afdeling: wie is ‘owner’ van security en continuïteit?
Wijs minimaal drie rollen toe: een business owner (eindverantwoordelijk voor kritieke dienst), een security/continuïteitscoördinator (kan parttime of extern) en een IT-leverancier owner (contract, escalatie, KPI’s). Leg RACI vast per control (wie beslist, wie voert uit, wie controleert) en plan vaste overlegmomenten (bijv. maandelijks operationeel, per kwartaal managementreview).
Wat is een realistische minimale set aan tests en oefeningen om aantoonbaar weerbaar te zijn?
Plan per jaar minimaal: 1–2 restoretests (inclusief meetpunten RTO/RPO), 1 tabletop-incidentoefening (ransomware/uitval), en 1 leveranciers-escalatietest (bereikbaarheid, responstijden, communicatie). Documenteer scenario, deelnemers, bevindingen, acties en her-testdatum. Dit levert snel ‘bewijs met impact’ op.
Hoe vertaal ik WWKE-eisen naar afspraken met externe IT-leveranciers (MSP/Cloud)?
Maak afspraken meetbaar: patch-SLA’s (kritiek binnen X dagen), logging/monitoring (wat, waar, bewaartermijn, wie kijkt), back-up (frequentie, immutable/air-gapped waar mogelijk, restoretestfrequentie), incidentmelding (tijdslijnen, contactpunten, forensics), en audit/rapportage (maandrapport, toegang tot relevante logs). Voeg een exitplan toe (data-export, overdracht, sleutelbeheer).
Hoe voorkom ik dat WWKE een ‘papieren exercitie’ wordt en toch werkbaar blijft voor medewerkers?
Beperk beleid tot korte werkinstructies (1–2 pagina’s) en automatiseer waar kan: MFA standaard aan, device compliance, automatische updates, standaardrollen, self-service wachtwoordreset. Koppel routines aan bestaande momenten (onboarding, kwartaalreview, leveranciersoverleg) en meet 5 kern-KPI’s (MFA-dekking, patchcompliance, back-upsucces/restoretest, aantal high alerts, tijd tot incidentafhandeling).
