Incidentrespons en Crisismanagement
Cyberrisico Is Bestuurswerk
Bestuurlijke rust ontstaat niet door optimisme, maar door heldere verantwoordelijkheid en aantoonbare opvolging.
Bij Incidentrespons en Crisismanagement is de kern bestuurbaarheid: eigenaar, norm, deadline en vaste terugkoppeling.
Zo wordt dit onderwerp geen periodieke discussie, maar een bestuurbaar onderdeel van reguliere bedrijfsvoering.
Directe maatregelen (15 minuten)
Waarom dit telt
De kern van Incidentrespons en Crisismanagement is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.
Incident of crisis – wat is het verschil?
Niet elke beveiligingsmelding is een crisis. Het verschil begrijpen voorkomt zowel onderschatting als onnodige paniek.
| Incident | Crisis | |
|---|---|---|
| Definitie | Een beveiligingsgebeurtenis die schade kan veroorzaken maar beheersbaar is met standaardprocedures | Een incident dat escaleert tot een bedreiging voor de continuiteit, reputatie of financiele positie van de organisatie |
| Voorbeeld | Phishing-mail geopend door een medewerker, malware op een werkstation, verloren laptop | Ransomware versleutelt alle servers, datalek met klantgegevens in het nieuws, aanvaller heeft toegang tot het hele netwerk |
| Wie handelt? | Het security- of IT-team, binnen bestaande procedures | Het crisisteam inclusief bestuur, juridische zaken, communicatie en externe partijen |
| Beslissingsniveau | Operationeel | Strategisch – bestuursbeslissingen nodig |
| Tijdsdruk | Uren tot dagen | Minuten tot uren |
Vuistregel: Een incident wordt een crisis wanneer het de operationele capaciteit van uw organisatie bedreigt, wanneer externe partijen betrokken raken (media, toezichthouders, klanten), of wanneer de financiele of reputatieschade potentieel groot is. Twijfelt u? Behandel het als een crisis. Deescaleren is altijd makkelijker dan te laat opschalen.
De incidentrespons-levenscyclus
Effectieve incidentrespons volgt zes fasen. Elke fase heeft specifieke taken voor het management.
1. Voorbereiding
Dit is de fase waar u nu in zit – voordat er iets is gebeurd. Voorbereiding is verreweg de belangrijkste fase en paradoxaal genoeg de fase die de minste aandacht krijgt, want het voelt niet urgent. Er brandt niets. Er belt geen journalist. Er is altijd wel iets dringenders.
Maar voorbereiding bepaalt alles wat daarna komt. Een organisatie die goed voorbereid is, herstelt in dagen. Een organisatie die dat niet is, worstelt weken of maanden.
Wat het bestuur moet regelen: - Een incidentresponsplan dat actueel, kort en concreet is – niet een document van honderd pagina’s dat niemand leest - Een crisisteam met duidelijke rollen, inclusief een woordvoerder, een juridisch adviseur en een beslissingsbevoegd bestuurslid - Contracten met een incident response-bedrijf zodat u niet midden in de nacht een partij hoeft te zoeken - Regelmatige oefeningen (zie de paragraaf over tabletop-oefeningen verderop)
2. Detectie en analyse
Hoe eerder u een incident detecteert, hoe kleiner de schade. De gemiddelde tijd tussen een inbraak en de ontdekking ervan is wereldwijd circa 200 dagen. Tweehonderd dagen waarin een aanvaller ongestoord door uw netwerk kan bewegen, gegevens kan kopieren en achterdeurtjes kan installeren.
Wat het bestuur moet weten: Investeren in detectie (monitoring, logging, een Security Operations Center) is geen luxe maar noodzaak. Vraag uw CISO: hoe snel detecteren wij een inbraak? Als het antwoord “dat weten we niet” is, heeft u een probleem.
3. Inperking (containment)
De brand blussen – of in ieder geval voorkomen dat hij zich verspreidt. Dit is het moment waarop moeilijke besluiten nodig zijn. Halen we systemen offline? Dat kost omzet. Isoleren we het netwerk? Dan kunnen medewerkers niet werken.
Wat het bestuur moet beslissen: Hoeveel operationele schade accepteren we om verdere verspreiding te voorkomen? Dit is een bedrijfsbeslissing, geen technische beslissing. Het IT-team kan adviseren, maar het bestuur moet de afweging maken.
4. Uitroeiing (eradication)
De aanvaller volledig verwijderen uit uw systemen. Achterdeurtjes opsporen, gecompromitteerde accounts afsluiten, kwetsbaarheden dichten.
Wat het bestuur moet weten: Dit kost tijd. Dagen tot weken. En het is cruciaal dat het grondig gebeurt, want een aanvaller die niet volledig verwijderd is, komt terug.
5. Herstel
Systemen weer online brengen. Back-ups terugzetten. Dienstverlening hervatten. Een goed ingericht backup- en disaster recovery-proces bepaalt hoe snel u weer operationeel bent.
Wat het bestuur moet beslissen: In welke volgorde herstellen we? Wat is bedrijfskritisch? Accepteren we tijdelijk verminderde functionaliteit?
6. Evaluatie (lessons learned)
De meest onderschatte fase. Na een crisis wil iedereen het zo snel mogelijk vergeten en terug naar normaal. Maar zonder eerlijke evaluatie maakt u dezelfde fouten opnieuw.
Wat het bestuur moet doen: Plan de evaluatie in voordat de crisis voorbij is – anders wordt het uitgesteld tot het vergeten is. Stel de ongemakkelijke vragen: wat hadden we anders moeten doen? Waar faalde onze voorbereiding? En het allerbelangrijkste: wat gaan we concreet veranderen?
Uw rol als bestuurder tijdens een crisis
Als bestuurder bent u niet degene die de firewall configureert of de logbestanden analyseert. Uw rol is strategisch. U neemt drie soorten beslissingen die niemand anders kan nemen.
Beslissingen over bedrijfscontinuiteit. Halen we systemen offline? Schakelen we over op handmatige processen? Informeren we klanten dat er vertraging optreedt?
Beslissingen over communicatie. Wat vertellen we aan wie, wanneer? Te vroeg communiceren met onvolledige informatie kan paniek veroorzaken. Te laat communiceren ondermijnt vertrouwen en kan wettelijke gevolgen hebben.
Beslissingen over middelen. Schakelen we een extern incident response-team in? Wat mag dat kosten? Moeten we juridisch advies inwinnen? En is een cyberverzekering van toepassing die de kosten van externe expertise dekt?
Kernadvies: Uw belangrijkste taak tijdens een crisis is rust bewaren en heldere beslissingen nemen. U hoeft niet alles te begrijpen van de technische details. U moet begrijpen wat de impact is, wat de opties zijn, en wat de consequenties zijn van elke optie.
De eerste 24 uur – een draaiboek
De eerste uren na ontdekking van een ernstig incident zijn bepalend. Dit draaiboek geeft u houvast.
| Tijdstip | Actie | Wie |
|---|---|---|
| T+0 min | Melding ontvangen – ernst beoordelen | IT/security-team |
| T+15 min | Crisisteam activeren, eerste briefing inplannen | Crisismanager |
| T+30 min | Eerste inperkingsmaatregelen nemen (systemen isoleren indien nodig) | IT/security-team |
| T+1 uur | Eerste bijeenkomst crisisteam: situatieschets, eerste beslissingen over inperking en communicatie | Crisisteam |
| T+2 uur | Juridische beoordeling: is er een meldplicht? Extern incident response-team inschakelen indien nodig | Juridisch, bestuur |
| T+4 uur | Interne communicatie naar medewerkers: wat is er aan de hand, wat wordt er gedaan, wat wordt van hen verwacht | Communicatie, HR |
| T+4-8 uur | Beoordelen of melding bij AP (Autoriteit Persoonsgegevens) nodig is – wettelijke termijn is 72 uur | Juridisch, privacy officer |
| T+8 uur | Tweede bijeenkomst crisisteam: voortgang, bijstelling strategie, beslissingen over externe communicatie | Crisisteam |
| T+12 uur | Communicatie naar direct getroffen klanten of partners indien nodig | Communicatie, bestuur |
| T+24 uur | Statusupdate aan crisisteam en bestuur. Plan voor de komende 48-72 uur vaststellen | Crisisteam |
Meldplichten – wie moet u wanneer informeren?
Na een cyberincident bent u in veel gevallen wettelijk verplicht om te melden. Niet melden kan leiden tot forse boetes en reputatieschade die groter is dan het incident zelf.
| Instantie | Wanneer melden | Termijn | Wat melden |
|---|---|---|---|
| Autoriteit Persoonsgegevens (AP) | Bij een datalek met persoonsgegevens dat een risico vormt voor betrokkenen | Binnen 72 uur na ontdekking | Aard van het lek, geschat aantal betrokkenen, mogelijke gevolgen, genomen maatregelen |
| Betrokkenen (klanten, medewerkers) | Als het datalek een hoog risico vormt voor hun rechten en vrijheden | Zo snel mogelijk na melding aan AP | Wat er is gebeurd en wat zij zelf kunnen doen |
| NIS2-toezichthouder | Bij een significant incident dat de dienstverlening beinvloedt (voor organisaties die onder NIS2 vallen) | Eerste melding binnen 24 uur, gevolgd door uitgebreidere melding binnen 72 uur | Aard en ernst van het incident, grensoverschrijdende impact, genomen maatregelen |
| Contractpartijen | Wanneer het incident invloed heeft op dienstverlening aan klanten of partners, of wanneer contractuele meldplichten bestaan | Conform contractuele afspraken | Afhankelijk van het contract – controleer uw verwerkersovereenkomsten en SLA’s |
| Sectorale toezichthouder | Financiele sector (DNB), telecom (Agentschap Telecom), gezondheidszorg (NZa) | Varieert per sector | Sectorspecifiek |
Let op: De 72-uurstermijn bij de AP begint te lopen op het moment van ontdekking, niet op het moment dat u het volledige beeld heeft. U kunt een eerste melding doen met voorlopige informatie en die later aanvullen. Niet melden omdat u “nog niet alles weet” is geen geldige reden en kan u duur komen te staan.
Crisiscommunicatie
Communicatie kan een crisis maken of breken. Slecht gecommuniceerde incidenten veroorzaken vaak meer schade dan het incident zelf.
Interne communicatie
Medewerkers horen het nieuws liever van u dan via de media. Informeer hen vroeg, eerlijk en concreet. Vertel wat er is gebeurd (voor zover bekend), wat de organisatie doet, en wat van hen verwacht wordt. Zijn er systemen die ze niet mogen gebruiken? Moeten ze hun wachtwoord wijzigen? Is er een centraal punt waar ze vragen kunnen stellen?
Communicatie met klanten en partners
Wees eerlijk zonder onnodig technisch detail. Klanten willen weten: zijn mijn gegevens geraakt? Wat moet ik doen? Wat doet u om herhaling te voorkomen? Vertel wat u weet, geef toe wat u nog niet weet, en beloof een update zodra u meer weet.
Media
De media komen vanzelf. Bereid een standaardverklaring voor die feitelijk, kort en menselijk is. Wijs een woordvoerder aan en zorg dat iedereen in de organisatie weet dat alleen de woordvoerder met de media spreekt. Niets is zo schadelijk als tegenstrijdige berichten van verschillende afdelingen.
Communicatie met toezichthouders
Proactief, feitelijk en cooeperatief. Toezichthouders waarderen organisaties die open kaart spelen. Probeer nooit iets te verbergen – het komt altijd uit en de sancties worden dan veel zwaarder.
Gouden regel: Communiceer vroeg, communiceer eerlijk, communiceer regelmatig. Stilte wordt altijd opgevuld door speculatie, en speculatie is altijd erger dan de werkelijkheid.
Tabletop-oefeningen voor het management
Een tabletop-oefening is een gesimuleerde crisis aan de vergadertafel. Geen live systemen, geen echte aanval – alleen een scenario, een groep beslissers, en de vraag: wat doen we nu?
Het doel is niet om het “goed” te doen. Het doel is om te ontdekken wat u niet weet, waar uw plan gaten heeft, en wie welke verantwoordelijkheid draagt.
Hoe werkt het?
Een facilitator presenteert een realistisch scenario in fases. Na elke fase bespreekt het team: wat weten we, wat beslissen we, wie doet wat? De facilitator voegt complicaties toe – een journalist belt, een kritiek systeem blijkt niet hersteld te kunnen worden, een medewerker lekt informatie op sociale media.
Drie scenario’s om mee te beginnen
| Scenario | Kernvragen voor het bestuur |
|---|---|
| Ransomware versleutelt alle servers op vrijdagavond | Betalen we losgeld? Hoe communiceren we met klanten die maandag een werkend systeem verwachten? Wanneer melden we bij de AP? |
| Datalek: klantgegevens staan op internet | Hoe groot is de schade? Informeren we alle klanten of alleen de getroffen klanten? Wat zeggen we tegen de media? |
| Insider threat: een medewerker heeft maandenlang gegevens gekopieerd | Hoe gaan we om met de betrokken medewerker? Wat zijn de juridische implicaties? Hoe voorkomen we dit in de toekomst? |
Hoe vaak oefenen?
Minimaal twee keer per jaar. Eeen keer per jaar is te weinig – dan is het vorige scenario alweer vergeten. Wissel de scenario’s af. Betrek wisselende deelnemers. En evalueer na elke oefening: welke actiepunten komen hieruit? Wie is eigenaar? Wanneer is het opgelost?
Praktijktip: Nodig een keer een extern incident response-team uit om de oefening te faciliteren. Zij brengen realistische scenario’s mee en stellen de vragen die u intern niet durft te stellen.
Verder lezen
Een cyberincident raakt zelden alleen uw eigen organisatie. In veel gevallen liggen de oorzaken – of de gevolgen – in de keten van leveranciers en dienstverleners waarmee u samenwerkt. Hoe u die afhankelijkheden in kaart brengt en beheert, leest u in het volgende hoofdstuk: Supply chain en leveranciersrisico.
Doe dit deze maand
| Onderwerp | Ja/Nee | Actie nodig |
|---|---|---|
| Er is een actueel incidentresponsplan (bijgewerkt in de laatste 12 maanden) | ||
| Het crisisteam is samengesteld met duidelijke rollen en verantwoordelijkheden | ||
| Er is een contract met een extern incident response-bedrijf | ||
| Juridisch advies is beschikbaar binnen 4 uur na een incident | ||
| Er is een communicatieplan voor interne en externe crisiscommunicatie | ||
| De meldplichten (AP, NIS2, sectoraal, contractueel) zijn in kaart gebracht | ||
| Er is minimaal twee keer per jaar een tabletop-oefening gehouden | ||
| Back-ups worden regelmatig getest op herstelbaarheid – niet alleen op aanwezigheid | ||
| Contactgegevens van het crisisteam zijn ook beschikbaar als de systemen plat liggen |
De belangrijkste les: Een cybercrisis is niet de vraag of, maar wanneer. Organisaties die zich voorbereiden, overleven. Organisaties die dat niet doen, betalen een prijs die vele malen hoger is dan de investering in voorbereiding. Begin vandaag.
Verder lezen in de kennisbank
Deze artikelen in het portaal geven je meer achtergrond en praktische context:
- Compliance — regels volgen zonder je verstand te verliezen
- Incident Response — wanneer het misgaat
- Supply chain attacks — het zwakste schakel-probleem
- "Zijn wij een doelwit?"
- Ransomware — digitale gijzeling voor beginners en gevorderden
Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.
Gerelateerde securitymaatregelen
Deze artikelen bieden aanvullende context en verdieping: