Incident Response Plan Generator: hoe werkt het en wat levert het op?
Wat doe je als je organisatie morgen wordt getroffen door ransomware? Of als er een datalek wordt ontdekt? Zonder plan ben je aan het improviseren terwijl elke minuut telt. De Incident Response Plan Generator maakt een op maat gemaakt IR-plan op basis van je organisatie, team en incidenttypen — gebaseerd op het NIST-framework. Op deze pagina leggen we uit hoe de tool werkt, welke methodologie erachter zit en wat je kunt verwachten.
Wat is de IR Plan Generator?
De Incident Response Plan Generator is een gratis online tool die een op maat gemaakt incident response plan genereert voor je organisatie. Door informatie in te voeren over je sector, kritieke systemen, IR-team en de incidenttypen die je wilt adresseren, krijg je een gestructureerd plan dat de vier NIST-fasen volgt.
Een incident response plan is geen document dat je maakt en vervolgens in een la legt. Het is een levend draaiboek dat beschrijft wie wat doet, wanneer en hoe — van het eerste signaal van een incident tot de evaluatie achteraf. Organisaties met een getest IR-plan detecteren en beperken incidenten aanzienlijk sneller. IBM rapporteert een verschil van 54 dagen in de gemiddelde doorlooptijd tussen organisaties met en zonder IR-plan.
De generator is ontworpen als startpunt. Het gratis rapport levert een basis-IR-plan dat je direct kunt gebruiken, terwijl het premium rapport een volledig implementeerbaar plan oplevert conform NIST SP 800-61 met playbooks per scenario.
Methodologie: NIST SP 800-61
De Incident Response Plan Generator is gebaseerd op NIST Special Publication 800-61 Revision 2 (Computer Security Incident Handling Guide), de internationale standaard voor incident response. Dit framework beschrijft vier fasen die samen de volledige levenscyclus van een security-incident bestrijken:
- Preparation (Voorbereiding) — Het fundament van effectieve incident response. In deze fase richt je het IR-team in, definieer je rollen en verantwoordelijkheden, implementeer je detectietools en stel je communicatieprotocollen op. Goede voorbereiding bepaalt hoe snel en effectief je kunt reageren wanneer het erop aankomt.
- Detection & Analysis (Detectie en Analyse) — Het detecteren, classificeren en analyseren van security-incidenten. Deze fase omvat het herkennen van indicatoren of compromise (IoC's), het bepalen van de scope en impact, en het classificeren van het incident op basis van ernst. Hoe sneller je een incident detecteert en correct classificeert, hoe kleiner de uiteindelijke schade.
- Containment, Eradication & Recovery (Indamming, Verwijdering en Herstel) — De kernfase van de daadwerkelijke response. Containment beperkt de verspreiding van het incident. Eradication verwijdert de oorzaak (malware, gecompromitteerde accounts, kwetsbaarheden). Recovery herstelt systemen naar normale operatie en verifieert dat de dreiging volledig is geëlimineerd.
- Post-Incident Activity (Evaluatie) — De fase die het vaakst wordt overgeslagen maar cruciaal is voor verbetering. Hier evalueer je het incident, documenteer je lessons learned, actualiseer je het IR-plan en identificeer je verbeterpunten in processen en tooling. Zonder deze fase blijf je dezelfde fouten herhalen.
Het NIST-framework wordt wereldwijd erkend als de standaard voor incident response en wordt als referentie gebruikt door NIS2, ISO 27001 en talloze sectorspecifieke regelgevingen. Door je IR-plan op dit framework te baseren, zorg je voor een solide structuur die compatibel is met vrijwel elke compliance-eis.
De drie stappen uitgelegd
De IR Plan Generator verzamelt in drie stappen de informatie die nodig is om een relevant en realistisch IR-plan te genereren. Elke stap is bewust ontworpen om een specifiek aspect van je incident response-capaciteit in kaart te brengen.
In de eerste stap bepaal je de context van je IR-plan. Je selecteert je sector (gezondheidszorg, financiële dienstverlening, technologie, overheid, industrie, retail of overig) en het aantal medewerkers. Vervolgens geef je aan welke kritieke systemen je organisatie heeft: e-mail en communicatie, ERP en bedrijfssoftware, klantportaal en website, financiële systemen, productiesystemen en OT, en cloud-infrastructuur.
Elk kritiek systeem beïnvloedt de impact van een incident en de prioriteit van herstel. Een ransomware-aanval die je e-mailsysteem treft heeft andere consequenties dan dezelfde aanval op je productieomgeving. De tool gebruikt deze informatie om de juiste prioriteiten en herstelvolgorde in je IR-plan op te nemen.
In de tweede stap breng je je huidige IR-capaciteit in kaart. Je geeft aan welke rollen zijn ingevuld in je IR-team: IR-coördinator, technisch analist, communicatieverantwoordelijke, juridisch adviseur, management sponsor en externe IR-partner. Daarnaast selecteer je welke procedures al beschikbaar zijn: incidentclassificatie, escalatieprocedure, intern communicatieplan, extern communicatieplan, stakeholder-contactlijst en bekendheid met de juridische meldplicht.
Een IR-plan zonder team is een document zonder actie. Door je huidige teamsamenstelling en beschikbare procedures mee te nemen, genereert de tool een plan dat past bij je daadwerkelijke capaciteit. Ontbreekt een cruciale rol, dan benoemt het plan dit als risico en geeft het aanbevelingen voor invulling.
In de derde stap definieer je het dreigingslandschap waarvoor je IR-plan is ontworpen. Je selecteert de incidenttypen die je wilt adresseren: ransomware, phishing en social engineering, datalek en datadiefstal, DDoS-aanvallen, insider threats, supply chain compromises en ongeautoriseerde toegang. Tot slot geef je de maximaal acceptabele downtime aan: minder dan 4 uur, 4-24 uur, 1-7 dagen of meer dan een week.
Niet elk incident is gelijk — een DDoS-aanval vereist een fundamenteel andere response dan een datalek of insider threat. Door vooraf te bepalen welke scenario's je wilt adresseren en wat je maximale downtime-tolerantie is, genereert de tool specifieke response-procedures en tijdlijnen per incidenttype. De maximale downtime beïnvloedt direct de urgentie van containment en de eisen aan je recovery-procedures.
Wat krijg je te zien?
Na het doorlopen van de drie stappen genereert de IR Plan Generator direct een uitgebreide analyse met vier onderdelen:
- Completeness-score — Een score die aangeeft hoe volledig je huidige IR-capaciteit is, gebaseerd op het ingevulde team, de beschikbare procedures en de adresseerde incidenttypen. De score laat direct zien waar de grootste lacunes zitten.
- NIST-fasen overzicht — Een gestructureerd overzicht van de vier NIST-fasen, aangepast op je organisatie. Per fase toont het plan welke activiteiten, rollen en tools relevant zijn voor jouw specifieke situatie.
- Response checklist — Een actiechecklist per NIST-fase die je team kan doorlopen bij een incident. Van de eerste detectie tot de evaluatie achteraf — elke stap is beschreven met concrete, uitvoerbare acties.
- Response-tijdlijn — Een tijdlijn die laat zien welke acties op welk moment moeten plaatsvinden, afgestemd op je maximaal acceptabele downtime. Dit helpt je team om onder druk de juiste prioriteiten te stellen.
Gratis rapport
- PDF met een basis-IR-plan gestructureerd volgens de vier NIST-fasen
- Actiechecklist per fase met concrete stappen voor je team
- Aanbevelingen voor het verbeteren van je IR-capaciteit
- Startpunt voor het opstellen van een formeel, organisatiebreed IR-plan
Het gratis rapport biedt een degelijk startpunt voor organisaties die nog geen formeel IR-plan hebben. De PDF bevat een gestructureerd overzicht van de vier NIST-fasen, een actiechecklist en gerichte aanbevelingen. Je kunt het direct gebruiken als basis voor interne discussies over incident response-capaciteit en als startdocument voor een uitgebreider plan.
Hoewel het gratis rapport de essentie dekt, mist het de diepgang die nodig is voor een volledig implementeerbaar plan. Scenariospecifieke playbooks, een RACI-matrix en communicatiesjablonen voor toezichthouders vind je in de premium versie.
Premium IR-plan (€89)
- Volledig IR-plan conform NIST SP 800-61, direct implementeerbaar
- RACI-matrix met rolverdeling afgestemd op je IR-teamsamenstelling
- Scenariospecifieke playbooks voor ransomware, datalek, phishing, DDoS en insider threats
- Communicatieplan: meldingsprocedures voor Autoriteit Persoonsgegevens, media, klanten en toezichthouder
- Response-tijdlijnen per incidenttype met escalatieprocedures en beslismomenten
- Implementeerbare PDF — direct inzetbaar als organisatiebreed IR-plan
Het premium rapport levert een compleet incident response plan dat je direct kunt implementeren. Het verschil met de gratis versie is de diepgang en praktische toepasbaarheid.
De RACI-matrix vertaalt de rollen in je IR-team naar concrete verantwoordelijkheden per activiteit. Voor elke stap in het response-proces is duidelijk wie uitvoert, wie eindverantwoordelijk is, wie geraadpleegd wordt en wie geïnformeerd moet worden. Dit voorkomt de twee grootste valkuilen bij incident response: taken die blijven liggen en taken die dubbel worden uitgevoerd.
De scenariospecifieke playbooks zijn de kern van het premium rapport. Elk playbook beschrijft stap voor stap hoe je reageert op een specifiek type incident. Een ransomware-playbook bevat andere containment-stappen dan een datalek-playbook, en een DDoS-response vereist andere escalatieprocedures dan een insider threat. Door vooraf per scenario de response uit te werken, kan je team onder druk terugvallen op een beproefd draaiboek.
Het communicatieplan is essentieel voor compliance. Het beschrijft wanneer en hoe je meldt bij de Autoriteit Persoonsgegevens (binnen 72 uur bij een datalek), het CSIRT (binnen 24 uur bij een NIS2-incident), media, klanten en andere stakeholders. Inclusief sjablonen voor meldingen en escalatieprocedures voor het betrekken van juridische en communicatie-experts.
De response-tijdlijnen per incidenttype laten zien welke acties wanneer moeten plaatsvinden, afgestemd op je maximaal acceptabele downtime. Elk escalatiemoment is duidelijk gemarkeerd, zodat je team weet wanneer het management, juridische adviseurs of externe partijen moeten worden ingeschakeld.
Gratis vs. premium vergeleken
| Onderdeel | Gratis | Premium (€89) |
|---|---|---|
| Basis-IR-plan (4 NIST-fasen) | ✓ | ✓ |
| Actiechecklist per fase | ✓ | ✓ |
| Completeness-score en aanbevelingen | ✓ | ✓ |
| RACI-matrix met rolverdeling | — | ✓ |
| Scenariospecifieke playbooks (5 typen) | — | ✓ |
| Communicatieplan (AP/media/klanten/toezichthouder) | — | ✓ |
| Response-tijdlijnen met escalatieprocedures | — | ✓ |
| Implementeerbare PDF | — | ✓ |
Veelgestelde vragen
Een incident response plan (IR-plan) is een gestructureerd document dat beschrijft hoe je organisatie reageert op cybersecurity-incidenten. Het bevat rollen en verantwoordelijkheden, escalatieprocedures, communicatieprotocollen en technische response-stappen per incidenttype. Een goed IR-plan verkort de reactietijd bij een incident, beperkt de schade en zorgt dat je voldoet aan wettelijke meldplichten zoals de AVG en NIS2.
Zonder IR-plan moet je tijdens een incident improviseren — en improvisatie onder druk leidt tot fouten. IBM-onderzoek toont dat organisaties met een getest IR-plan gemiddeld 54 dagen sneller een datalek detecteren en indammen, wat resulteert in aanzienlijk lagere kosten. Daarnaast verplichten NIS2 (artikel 21), de AVG en sectorspecifieke regelgeving dat organisaties incident response-procedures implementeren. Een IR-plan is geen luxe maar een noodzaak.
Het NIST SP 800-61 framework onderscheidt vier fasen: (1) Preparation — het team, de tools en de procedures gereedmaken, (2) Detection & Analysis — incidenten detecteren, classificeren en analyseren, (3) Containment, Eradication & Recovery — het incident indammen, de oorzaak verwijderen en systemen herstellen, en (4) Post-Incident Activity — evalueren, documenteren en het plan verbeteren. Deze cyclische structuur zorgt ervoor dat je organisatie na elk incident beter voorbereid is op het volgende.
Minimaal jaarlijks via een tabletop-oefening, en altijd na een significant incident of grote wijziging in je IT-omgeving. Organisaties in sterk gereguleerde sectoren testen vaak elk kwartaal. NIS2 vereist expliciet dat organisaties hun IR-procedures regelmatig testen en actualiseren. Test ook na een cloudmigratie, overname of reorganisatie — elke grote verandering kan je response-procedures beïnvloeden.
Een effectief IR-team bestaat uit minimaal vijf rollen: een IR-coördinator die het proces leidt en beslissingen neemt, een technisch analist voor forensisch onderzoek en technische containment, een communicatieverantwoordelijke voor interne en externe communicatie, een juridisch adviseur voor meldplichten en aansprakelijkheid, en een management sponsor voor besluitvorming over bedrijfskritieke systemen en budgetautorisatie. Veel organisaties betrekken daarnaast een externe IR-partner als aanvullende expertise en back-up.
Een RACI-matrix definieert per activiteit wie Responsible (uitvoerend verantwoordelijk), Accountable (eindverantwoordelijk), Consulted (geraadpleegd) en Informed (geïnformeerd) is. In de context van incident response voorkomt een RACI-matrix dat kritieke taken blijven liggen of dat meerdere mensen dezelfde actie uitvoeren terwijl andere acties vergeten worden. Het premium rapport bevat een volledige RACI-matrix afgestemd op de teamrollen die je in stap 2 hebt aangegeven.
Ja, voor organisaties die onder de NIS2-richtlijn vallen is dit verplicht. Artikel 21 van NIS2 vereist dat essentiële en belangrijke entiteiten maatregelen treffen voor incidentafhandeling. Artikel 23 schrijft voor dat significante incidenten binnen 24 uur gemeld moeten worden bij het bevoegde CSIRT, met een volledig incidentrapport binnen 72 uur. Een formeel, getest IR-plan is essentieel om aan deze verplichtingen te voldoen en de bijbehorende boetes te vermijden.
De meldtermijn verschilt per regelgeving. Onder NIS2 moet een significante impact binnen 24 uur gemeld worden bij het CSIRT, met een volledig rapport binnen 72 uur en een eindrapport binnen een maand. De AVG vereist melding van een datalek bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking. Bij een hoog risico voor betrokkenen moeten ook de betrokkenen zelf “onverwijld” worden geïnformeerd. Een goed IR-plan bevat deze meldtermijnen, verantwoordelijkheden en sjablonen om de melding tijdig en correct uit te voeren.