TL;DR: Een moderne backupstrategie voor uw bedrijf volgt de 3-2-1-1-0 regel: drie kopieën van uw data op twee verschillende media, één offsite, één immutable of air-gapped, en nul fouten bij het herstel. De klassieke 3-2-1 regel volstaat niet meer omdat ransomware-groepen back-ups als primair doelwit aanvallen. Voor Vlaamse KMO’s onder NIS2 is een geverifieerde backup-architectuur sinds april 2024 wettelijk verplicht.
De 3-2-1 regel werd in 2005 geformuleerd door fotograaf Peter Krogh om persoonlijke beelden te beschermen tegen hardwarefalen. Twintig jaar later is die regel de defacto IT-standaard, maar voor de moderne dreiging schiet hij ernstig tekort. Ransomware-groepen zoals LockBit, BlackCat en Akira targeten back-ups vandaag actief: ze verwijderen schaduwkopieën, schakelen retentiebeleid uit en versleutelen secundaire opslag voordat ze de productieomgeving raken. Volgens Mandiant M-Trends 2025 verblijven aanvallers gemiddeld elf dagen in een netwerk voordat ze ransomware activeren. Dat is ruim voldoende tijd om uw backup-architectuur te demonteren.
In dit artikel leggen we uit hoe de 3-2-1-1-0 regel werkt, waarom traditionele back-ups falen tegen moderne ransomware, hoe RTO en RPO uw technologiekeuze sturen, en wat NIS2 concreet van uw backup-beleid vereist. Wilt u eerst weten hoe aanvallers back-ups precies opsporen? Lees hoe ransomware-groepen back-ups vinden voordat ze toeslaan. Dit artikel is de defensieve tegenhanger.
Wat is de 3-2-1-1-0 regel? De moderne backup-standaard uitgelegd
De 3-2-1-1-0 regel is een uitbreiding van de klassieke 3-2-1 regel die rekening houdt met ransomware en herstelverificatie. Elk cijfer staat voor een specifiek architectuurelement: drie kopieën, twee mediatypes, één offsite locatie, één onveranderlijke kopie en nul fouten bij het test-restore proces. Samen vormen deze vijf elementen een gelaagde verdediging die zowel hardwarefalen als gerichte cyberaanvallen overleeft.
3 kopieën. Eén productiekopie en twee back-ups. De wiskunde achter dit cijfer is eenvoudig: bij een conservatieve foutkans van 1 op 100 per medium, daalt de kans op gelijktijdig falen van drie onafhankelijke systemen tot 1 op 1.000.000. Die buffer is geen overbodige luxe. Het komt vaker voor dan gedacht dat een back-up tijdens een herstelpoging zelf corrupt blijkt.
2 verschillende media. De twee back-ups staan op fundamenteel verschillende opslagtechnologieën. Voor een Vlaamse KMO betekent dit doorgaans disk-based storage voor snelle herstelacties, gecombineerd met cloud-object-storage of tape voor de tweede laag. Door verschillende technologieën te gebruiken, vermijdt u dat één firmware-bug, één driver-incident of één corruptiepatroon al uw kopieën onbruikbaar maakt.
1 offsite kopie. Minstens één kopie staat fysiek buiten uw hoofdvestiging. In België kan dat een datacenter zijn van een lokale provider zoals Combell, Nucleus of Proximus, of een publieke cloudregio. Het doel is bescherming tegen calamiteiten zoals brand, overstroming of een totale stroomuitval.
1 immutable of air-gapped kopie. Dit is het verschil tussen 3-2-1 en de moderne aanpak. Onveranderlijke opslag (WORM, Write Once Read Many) maakt een kopie technisch onmogelijk te wijzigen of te wissen gedurende een vooraf vastgelegde retentieperiode, zelfs niet door een gebruiker met root- of global-admin rechten. Air-gapped betekent fysiek of logisch volledig losgekoppeld van het productienetwerk.
0 backup errors. Een back-up die nooit getest is, telt niet als back-up. De nul staat voor geverifieerde herstelbaarheid: geautomatiseerde integriteitschecks na elke job, plus regelmatige test-restores in een geïsoleerde omgeving om te verifiëren dat applicaties effectief opstarten op de herstelde data.
Waarom traditionele back-ups falen tegen moderne ransomware
De 3-2-1 regel werd ontworpen voor een wereld waarin de grootste dreiging een kapotte schijf was. Vandaag is de grootste dreiging een aanvaller die uw backup-console al twee weken in handen heeft. Volgens Mandiant M-Trends 2025 bedraagt de wereldwijde mediane dwell time elf dagen. Bij ransomware-incidenten ligt die soms lager (mediaan vijf dagen), maar nog steeds ruim voldoende om een backup-architectuur systematisch te ontmantelen.
Ransomware-operators volgen een methodische aanpak. Ze beginnen met initiële toegang via gestolen credentials of phishing, bewegen lateraal door het netwerk, escaleren privileges naar Domain Admin, en localiseren dan pas de backup-servers. Pas wanneer de back-ups gecompromitteerd zijn, activeren ze de encryptie van de productieomgeving. Volgens Coalition’s Cyber Claims Report 2026 weigerde 86% van de ransomware-slachtoffers losgeld te betalen, voornamelijk dankzij goed beveiligde back-ups. Maar de aanvallers passen zich aan: zeventig procent van de incidenten betreft inmiddels dual extortion, waarbij data eerst wordt geëxfiltreerd. Een back-up beschermt dan niet meer tegen reputatieschade of GDPR-boetes.
Ook belangrijk: niet alles wat lijkt op een back-up, is er ook een. Volume Shadow Copies (VSS) op Windows zijn een onderdeel van het bestandssysteem zelf en worden door bijna elke ransomware-variant onmiddellijk gewist via vssadmin delete shadows. RMM-snapshots beheerd door uw IT-partner zijn afhankelijk van tools die zelf doelwit zijn van aanvallers. Permanent gemounte netwerkshares zijn voor ransomware niets meer dan een extra schijfletter om te versleutelen. Een echte back-up vereist isolatie, onveranderlijkheid en gecontroleerde toegang met aparte credentials.
Recovery Time en Recovery Point: de getallen die uw architectuur sturen
Een backup-architectuur ontwerpen zonder eerst RTO en RPO te bepalen is als een autoverzekering kiezen zonder te weten welke wagen u rijdt. RTO (Recovery Time Objective) is hoe snel uw bedrijf weer operationeel moet zijn na een incident. RPO (Recovery Point Objective) is hoeveel data u zich kunt veroorloven te verliezen, gemeten in tijd. Deze twee getallen sturen elke technologische keuze die volgt.
Een korte RPO vereist frequente back-ups. Een RPO van vijftien minuten voor uw ERP betekent snapshots elk kwartier. Een korte RTO vereist snelle herstelmedia: image-based back-ups op lokale SSD’s halen herstel in minuten, terwijl het terughalen van tien terabyte over een 100 Mbps internetverbinding makkelijk tien dagen kost.
Niet elk systeem verdient dezelfde behandeling. Een gedifferentieerde aanpak bespaart kosten zonder uw weerbaarheid te verzwakken. Voor een Vlaamse KMO ziet dat er typisch zo uit:
| Bedrijfsfunctie | Aanbevolen RPO | Aanbevolen RTO | Motivatie |
|---|---|---|---|
| ERP / productie | 15-30 minuten | < 2 uur | Directe impact op omzet en logistiek |
| Active Directory / identity | 15 minuten | < 1 uur | Zonder identiteit werkt niets |
| E-mail / Microsoft Teams | 1 uur | 4 uur | Cruciaal maar SaaS-herstelbaar |
| File shares | 4-12 uur | 1 werkdag | Documenten zijn statischer |
De business case voor een grondige backup-investering is hard. IBM’s Cost of a Data Breach Report 2025 schat de gemiddelde kosten van een datalek op 4,44 miljoen dollar. Voor Belgische KMO’s ligt dat lager, maar de werkelijke kosten van een ransomware-aanval liggen typisch tussen 20.000 en 200.000 euro, met uitschieters tot een miljoen. Het verschil tussen 48 uur downtime en 4 uur downtime kan in die context het verschil zijn tussen een operationele hindernis en een existentiële bedreiging.
Welke technologieën vullen de 5 elementen in?
De technologie-keuze hangt af van uw RTO, RPO, budget en bestaande virtualisatiestack. Onderstaand de hoofdcategorieën zonder vendor-aanbeveling. De juiste mix is per bedrijf verschillend en wordt best bepaald in een scoping-sessie of audit.
Cloud-object-storage met onveranderlijkheid. AWS S3, Azure Blob Storage en Google Cloud Storage bieden Object Lock of vergelijkbare immutability-functies. U definieert een retentieperiode (bijvoorbeeld dertig dagen) waarbinnen geen enkele gebruiker, ook niet de account-eigenaar, de data kan wissen. Lokale Belgische providers bieden vergelijkbare diensten met data-soevereiniteit op Belgisch grondgebied.
Geharde Linux-repositories. On-premise opslag op een Linux-server met immutability-vlaggen en SSH-only toegang vanuit een afzonderlijk beheernetwerk. Sneller bij herstel dan cloud, maar fysiek aanwezig en daarom kwetsbaar voor lokale rampen.
Tape (LTO). Het meest archaïsche en tegelijk het meest ransomware-resistente medium. Een cartridge die fysiek uit de drive is gehaald en in een kluis ligt, is volledig air-gapped. Trade-off: trage hersteltijd en operationele overhead voor tape-rotatie.
Hypervisor-niveau, image-based of file-level back-up. Hypervisor-niveau back-ups (via VMware VADP of Hyper-V VSS) maken kopieën zonder agent in de VM. Image-based back-ups bewaren het volledige besturingssysteem plus configuratie en zijn de standaard voor modern systeemherstel. File-level back-ups zijn nuttig voor data-intensieve applicaties maar traag bij volledig systeemherstel. Voor SaaS-data zoals Microsoft 365 of Google Workspace hebt u een dedicated SaaS-backup-oplossing nodig: de standaardretentie van die platforms volstaat niet voor ransomware-herstel.
RMM-snapshots die uw IT-partner gebruikt voor snelle rollbacks zijn geen volwaardige back-up. Ze missen meestal isolatie, immutability en aparte credentials. Wie zijn 3-2-1-1-0 strategie volledig op RMM-snapshots bouwt, heeft in feite geen backup-strategie.
NIS2 en uw backup-verplichtingen
Sinds 18 oktober 2024 is de Belgische NIS2-wet van kracht. Artikel 21 lid 2 van de wet van 26 april 2024 verplicht entiteiten die onder de wet vallen om expliciete maatregelen te nemen rond “bedrijfscontinuïteit, zoals back-upbeheer en herstel na rampen, en crisisbeheer”. Wat lange tijd een best practice was, is voor middelgrote Vlaamse bedrijven in sectoren zoals voeding, productie, afvalbeheer of digitale dienstverlening nu een wettelijke verplichting.
Het Centrum voor Cybersecurity België (CCB) operationaliseert deze verplichting via het CyberFundamentals (CyFun) framework. Op CyFun Basic-niveau, het instapniveau voor de meeste KMO’s, vereist het framework regelmatige back-ups en bescherming van back-up data tegen ongeautoriseerde wijziging. Op CyFun Important-niveau komen er expliciete eisen bij rond segregatie van backup-netwerken en formele test-restores. Voor essentiële entiteiten toetst een geaccrediteerd conformiteitsbeoordelingsorgaan (CAB) deze maatregelen tijdens de NIS2-conformiteitsbeoordeling, met deadline 18 april 2026.
Een CAB controleert concreet vier zaken: documentatie van uw backup-beleid, bewijs van uitvoering (logs en rapporten), bewijs van geslaagde test-restores, en de fysieke of logische scheiding van uw backup-omgeving. De Belgische NIS2-wet legt bovendien expliciete bestuurdersaansprakelijkheid op: bij grove nalatigheid kunnen bestuurders persoonlijk aangesproken worden. Een goed gedocumenteerd test-restore proces is daarmee niet alleen technisch belangrijk maar ook juridisch beschermend.
De 0 in 3-2-1-1-0: het test-restore proces
Het IT-axioma luidt: “een back-up die niet getest is, bestaat niet”. Toch slaan veel Vlaamse bedrijven deze stap over. Een groen vinkje in de ochtendmail van uw backup-software betekent alleen dat de job is uitgevoerd, niet dat de data bruikbaar is voor herstel.
Een volwassen test-restore programma kent drie niveaus. Maandelijks test u bestandsherstel: kunt u willekeurige bestanden van drie maanden geleden terugzetten? Per kwartaal test u applicatieherstel: start de SQL-service op vanuit een herstelde back-up en kunt u een query uitvoeren op de tabellen? Jaarlijks test u full-site recovery: hoeveel tijd kost het om de complete kritieke infrastructuur opnieuw op te bouwen vanuit de offsite of immutable laag?
Naast deze technische tests hoort er een organisatorische component bij: tabletop exercises waarbij u op papier een ransomware-scenario simuleert. Wie heeft de fysieke sleutel van de tape-kluis? Wie heeft de autoriteit om de internetverbinding te verbreken? Wie communiceert met het CCB binnen de 24-uurs early warning? Welke contactpersonen bij externe forensische dienstverleners zijn op zondagochtend bereikbaar? Documentatie van deze oefeningen is, naast operationeel waardevol, een cruciaal bewijsstuk voor uw NIS2-conformiteitsbeoordelaar.
7 backup-fouten die Vlaamse IT-teams maken
Op basis van audits en incident-respons-data zijn dit de meest voorkomende valkuilen die we bij Vlaamse KMO’s tegenkomen:
1. Backup-server in hetzelfde Active Directory-domein. Zodra een aanvaller Domain Admin rechten krijgt, wist hij met één commando alle back-ups. Plaats backup-infrastructuur in een aparte security-zone, bij voorkeur met eigen identity provider.
2. Geen MFA op de backup-console. Bij credential-leaks via phishing ligt de hele infrastructuur open. MFA is hier geen luxe maar een hygiëne-eis.
3. SaaS-data buiten scope. Veel bedrijven gaan ervan uit dat Microsoft of Google verantwoordelijk is voor de back-ups van mail, SharePoint of OneDrive. Dat klopt niet: de retentie volstaat niet voor ransomware-herstel.
4. Te korte immutability-periodes. Immutability instellen op zeven dagen terwijl de mediane dwell time elf dagen bedraagt. De aanvaller wacht simpelweg tot uw schone back-ups uit de retentie zijn gevallen. Minimum dertig dagen, idealiter zestig.
5. Encryptiesleutels op dezelfde server. Sleutels horen in een aparte key vault of HSM, niet op de infrastructuur die u probeert te beschermen.
6. Onbeschermde fysieke locatie. De NAS met back-ups in dezelfde serverruimte als productie. Bij brand of inbraak bent u alles in één keer kwijt.
7. Hersteltest gelijkstellen aan back-up succes. Een geslaagde back-up zegt niets over of u kunt herstellen. Plan minstens elk kwartaal een echte test-restore in een geïsoleerd netwerk.
Een grondige cybersecurity audit brengt deze valkuilen aan het licht en koppelt ze aan een prioriteitenlijst die u samen met uw IT-team of IT-partner kunt aanpakken. Vlaamse KMO’s kunnen tot 45% van zo’n audit terugkrijgen via de KMO-portefeuille; via de VLAIO Cybersecurity Verbetertrajecten loopt dat op tot 50%.
Veelgestelde vragen
Is de 3-2-1 regel nog voldoende voor mijn bedrijf?
Voor een eenmansbedrijf zonder ransomware-risico mogelijk wel. Voor elke organisatie met meer dan vijf medewerkers, klantgegevens of operationele afhankelijkheid van IT is 3-2-1 vandaag onvoldoende. Moderne ransomware-groepen targeten back-ups actief; zonder de extra “1” voor immutability of air-gap, en zonder de “0” voor geverifieerd herstel, hebt u in de praktijk geen weerbare strategie.
Wat is het verschil tussen immutable en air-gapped?
Immutable (onveranderlijk) betekent dat data technisch niet gewijzigd of gewist kan worden gedurende een vooraf gedefinieerde retentieperiode, ook niet door root-gebruikers. Air-gapped betekent fysiek of logisch volledig losgekoppeld van het netwerk. Beide bieden bescherming tegen ransomware, maar air-gap is robuuster terwijl immutability gebruiksvriendelijker is. Veel moderne strategieën combineren beide.
Hoe vaak moet ik test-restores uitvoeren?
Bestandsherstel maandelijks. Applicatieherstel per kwartaal. Full-site recovery minstens jaarlijks. Voor systemen die onder NIS2 als kritiek zijn geclassificeerd, is een hogere frequentie aangewezen. Documenteer elk test-restore met datum, scope, doorlooptijd en eventuele afwijkingen; dit is uw bewijsmateriaal bij een conformiteitsbeoordeling.
Beschermt een SaaS-leverancier zoals Microsoft 365 mijn data?
Microsoft, Google en andere SaaS-leveranciers werken volgens een shared responsibility model: zij garanderen de beschikbaarheid van het platform, u blijft verantwoordelijk voor uw data. De standaardretentie volstaat niet voor herstel na een ransomware-incident dat ook uw SaaS-data raakt. Een dedicated SaaS-backup-oplossing is voor de meeste KMO’s noodzakelijk.
Wat verifieert een NIS2-conformiteitsbeoordelaar concreet rond back-ups?
De CAB controleert vier elementen: documentatie van uw backup-beleid, bewijs van uitvoering (job logs en rapporten), bewijs van regelmatige test-restores, en de scheiding tussen uw backup-omgeving en uw productienetwerk. Op CyFun Important-niveau komen daar expliciete eisen rond segregatie en formele tests bij. Een NIS2-gids helpt u de volledige scope van de wet te begrijpen.
Hoe duur is een backup-architectuur voor een KMO?
De marktranges variëren sterk afhankelijk van datavolume en hersteleisen, maar voor een middelgrote Vlaamse KMO ligt een volwassen 3-2-1-1-0 setup typisch tussen 8.000 en 25.000 euro per jaar (licenties, opslag, beheer). Via de VLAIO KMO-portefeuille en Cybersecurity Verbetertrajecten kunt u het advies en de implementatiebegeleiding gedeeltelijk subsidiëren.
Wat kunt u vandaag concreet doen?
De 3-2-1-1-0 regel is geen abstract framework maar een meetlat waarlangs u uw bestaande architectuur kunt leggen. Begin met drie vragen: hebben wij een immutable of air-gapped kopie? Hebben wij in de afgelopen drie maanden een test-restore uitgevoerd? Staat onze backup-server in een afzonderlijk security-domein? Als één van deze antwoorden “nee” of “weet ik niet” is, hebt u werk te doen.
Cyberplan voert cybersecurity audits uit waarbij de backup-architectuur een expliciet onderdeel van de scope vormt. Wij beoordelen niet alleen de technische opzet, maar ook de procedurele kant: documentatie, test-restore frequentie, NIS2-conformiteit en bestuurdersaansprakelijkheid. Het rapport vertaalt de bevindingen in een prioriteitenlijst die uw IT-team of IT-partner direct kan oppakken, zonder onnodig jargon en zonder dat het rapport in de la verdwijnt.
Wilt u weten hoe weerbaar uw backup-architectuur is tegen moderne ransomware? Boek een vrijblijvend kennismakingsgesprek en ontdek welke stappen voor uw organisatie het meeste verschil maken.
