Need immediate help?

De ROI van security. Hoe overtuig je de directie?

May 12, 2026

Cybersecurity is risicomanagement, geen IT-kostenpost. Door securitymaatregelen te vertalen naar bedrijfsrisico’s – wat kost een dag stilstand, wat kost een datalek aan boetes en reputatieschade – verandert het gesprek aan de directietafel. De businesscase is bijna altijd rond: de jaarlijkse investering in bewaking en detectie is een schijntje vergeleken met de schade van een paar dagen stilstand.

Je directeur vraagt wat cybersecurity oplevert. Wat zeg jij? Als IT-manager of security-officer ken je dat moment. Je hebt een voorstel uitgewerkt voor betere bewaking of een MDR-oplossing. Je weet dat het nodig is, maar aan de directietafel klinkt het anders: “Wat kost het? Wat levert het op?” Redelijke vragen. Alleen is de opbrengst van security onzichtbaar – als het goed werkt, gebeurt er niks. Dat is lastig te verkopen. In deze blog legt Peter Landegent uit hoe je het gesprek over security-investeringen zo voert dat je directie meegaat.

Stop met praten over kosten, begin met praten over risico’s

De fout die veel IT-verantwoordelijken maken: ze presenteren security als een kostenpost. Een bedrag per maand voor software, licenties en monitoring. Logisch dat een directeur dan denkt: kan het goedkoper?

Draai het om. Praat over wat security voorkomt en maak dat concreet.

Een gemiddeld mkb-bedrijf dat getroffen wordt door ransomware is tussen de vijf en 24 werkdagen niet of beperkt operationeel. Reken uit wat een dag stilstand jouw organisatie kost aan omzet, aan klanten die niet geholpen worden en aan herstelwerk.

Een voorbeeld. Een productiebedrijf met tachtig medewerkers en vier miljoen euro jaaromzet. Eén dag stilstand kost dat bedrijf zo’n 16.000 euro aan gederfde omzet, plus personeelskosten die doorlopen. Vijf dagen ransomware: 80.000 euro. Daar komen herstelkosten en forensisch onderzoek nog bovenop. Zet dat naast een jaarlijkse investering in bewaking en detectie van een paar duizend euro. Dan is de businesscase in één slide gemaakt.

Vier argumenten die werken aan de directietafel

1. De verzekering betaalt niet als je geen maatregelen hebt getroffen

Steeds meer cyberverzekeraars eisen bewijs van preventieve maatregelen voordat ze uitkeren. Geen logging? Geen bewaking? Dan sta je er alleen voor. Security is preventie én een voorwaarde om gedekt te zijn. In ons eerdere blog over cyberverzekeringen lees je hoe die markt verandert.

2. Klanten en opdrachtgevers vragen ernaar

In steeds meer sectoren nemen opdrachtgevers security-eisen op in hun leveranciersbeoordelingen. Grote klanten willen weten hoe jij je beveiliging hebt geregeld. Geen antwoord? Geen contract.

3. De wet verplicht het

De Cyberbeveiligingswet (de Nederlandse implementatie van NIS2) verplicht organisaties in een groeiend aantal sectoren om aantoonbare securitymaatregelen te treffen. Directieleden worden persoonlijk aansprakelijk als dat niet gebeurt. Dat maakt security een bestuursverantwoordelijkheid.

4. Het voorkomt kosten die je niet had begroot

Forensisch onderzoek na een incident kost al snel tienduizenden euro’s. Daar komen meldingen bij de Autoriteit Persoonsgegevens bovenop, net als juridische kosten en omzetverlies. Een preventieve investering is een schijntje daarvan.

Zo bereken je de businesscase

Je hoeft geen financieel expert te zijn om een goede businesscase te maken. Begin met drie getallen:

Wat kost een dag stilstand? Tel omzetverlies, personeelskosten die doorlopen en contractuele boetes bij elkaar op.

Hoe lang duurt herstel? Bij ransomware is vijf tot 24 dagen realistisch. Bij een datalek komen daar weken onderzoek en communicatie bij.

Wat kost preventie per maand? Een MDR-oplossing voor een mkb-bedrijf kost veel minder dan wat een enkel incident kost.

De rekensom is dan simpel. Als je totale jaarlijkse investering in bewaking en detectie minder is dan de schade van een paar dagen stilstand, is de businesscase rond. Dat is hij vrijwel altijd.

Presenteer het als risicomanagement

De grootste fout: security presenteren als iets technisch. Als een IT-project met een projectplan en een implementatiefase. Dat klinkt als gedoe, duur gedoe.

Presenteer het als risicomanagement. Vergelijk het met andere risico’s die het bestuur wél begrijpt. Je verzekert je bedrijfspand. Je hebt een brandmeldinstallatie. Je hebt contractuele aansprakelijkheidsverzekeringen. Cybersecurity hoort in dat rijtje. In ons blog over de IT-partner en de security-specialist leggen we uit waarom dat twee verschillende expertises zijn.

Het helpt om met een concreet voorstel te komen. Zeg niet: “We moeten iets doen aan security.” Maar zeg: “Voor dit bedrag per maand weten we wat er in onze systemen gebeurt, krijgen we een melding als er iets mis is en wordt er direct actie ondernomen.”

Begin klein, bewijs de waarde

Je hoeft niet alles in een keer te doen. Start met je meest kritieke systemen. Laat het bestuur zien wat bewaking oplevert aan inzicht. De eerste keer dat je een concreet rapport kunt laten zien – deze kwetsbaarheden zijn gevonden, deze verdachte activiteit is onderzocht – draait het gesprek. Dan is security niet meer abstract. Dan is het zichtbaar. In ons blog over stapsgewijze implementatie lees je hoe dat in de praktijk werkt.

Veelgestelde vragen

Hoeveel moet een mkb-bedrijf investeren in cybersecurity?

Dat hangt af van je omvang en sector. Voor veel mkb-bedrijven ligt een MDR-oplossing tussen de paar honderd en een paar duizend euro per maand. Het Apex Lumi-platform biedt bewaking en detectie vanaf vijftig werkplekken, gebaseerd op open-source technologie. Dat maakt beveiliging van enterprise-niveau bereikbaar zonder de bijbehorende kosten.

Hoe overtuig ik mijn bestuur als zij denken dat wij te klein zijn om doelwit te zijn?

Laat cijfers spreken. Bijna de helft van alle cyberaanvallen richt zich op mkb-bedrijven. Niet omdat ze interessanter zijn, maar omdat ze vaak minder goed beveiligd zijn. Een aanvaller kiest het pad van de minste weerstand. Kleinere bedrijven zijn bovendien vaak een opstap naar grotere klanten via de supply-chain.

Wat is het verschil tussen een IT-budget en een security-budget?

Je IT-budget gaat naar het draaiend houden van je systemen: werkplekken, servers, netwerk. Je security-budget gaat naar het beschermen van die systemen: bewaking, detectie, incident-response. Het een vervangt het ander niet. Vergelijk het met een kantoorpand: je hebt een facilitair budget voor onderhoud en een apart budget voor beveiliging en brandpreventie.

Learn More

Wil je weten hoe je een security-businesscase opbouwt die past bij jouw organisatie? Of ben je benieuwd wat bewaking en detectie concreet voor jou kan betekenen? Neem vrijblijvend contact op via +31 (0)85 4896060 of info@apexsecurity.nl .

You may also like

Kleine gemeente, grote security-eisen: hoe je wél aan de BIO kunt voldoen

De Cyberbeveiligingswet komt eraan: val jij eronder?

Kwetsbaarheden in je it omgeving zo pak je ze aan

Honeypots: Je stille wachter tegen digitale indringers

This is a staging environment
en_US
en_US nl_NL

Need immediate assistance in the event of a disaster?

Call our security specialists directly on 085 4896060 (option 2)

Information Request

Hartelijk dank voor uw interesse in onze producten/diensten. Wij zijn ervan overtuigd dat onze oplossingen perfect aansluiten op uw behoeften.

By clicking 'Submit' below, you consent to Apex storing and processing the personal information provided above.