Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Crisismanagement

Processen

Gecoördineerde activiteiten om een organisatie te leiden, te sturen en te controleren met betrekking tot crises. Een crisis is een abnormale of buitengewone gebeurtenis of situatie die een organisatie of gemeenschap bedreigt en een strategische, adaptieve en tijdige reactie vereist om de levensvatbaarheid en integriteit te behouden.

Crisismanagement in cybersecurity omvat de voorbereiding op, de respons tijdens en het herstel na een ernstig beveiligingsincident dat de continuiteit van een organisatie bedreigt. Waar incident response zich richt op het technisch afhandelen van een beveiligingsincident, gaat crisismanagement over de bredere organisatorische respons: besluitvorming op bestuursniveau, communicatie met stakeholders, juridische afwegingen en het beschermen van de reputatie. Het is de strategische laag bovenop het operationele incident response-proces.

Een cybersecurity-crisis verschilt fundamenteel van een gewoon incident. Een incident is een beveiligingsgebeurtenis die het operationele team kan afhandelen met standaardprocedures. Een crisis overstijgt de capaciteit van het operationele team en vereist escalatie naar het management. Denk aan een ransomware-aanval die alle systemen lamlegt, een groot datalek dat de media haalt, of een supply chain-aanval die meerdere klanten treft. Het NCSC benadrukt dat crisismanagement op het hoogste niveau van de organisatie moet plaatsvinden en dat de snelheid van de eerste respons bepalend is voor de uiteindelijke impact.

Hoe werkt crisismanagement? Stappen

Effectief crisismanagement volgt vier fasen. De voorbereidingsfase is de belangrijkste en vindt plaats voor de crisis. In deze fase stel je een crisisteam samen met vertegenwoordigers uit IT, management, communicatie, juridische zaken en HR. Je ontwikkelt een crisisplan dat beschrijft wie welke beslissingen neemt, hoe de communicatiestromen lopen en welke externe partijen ingeschakeld worden. Je oefent het plan minimaal jaarlijks met tabletop-exercises of simulaties. Het plan bevat ook contactlijsten, escalatiecriteria en vooraf opgestelde communicatiesjablonen voor verschillende scenario's.

De detectie- en escalatiefase begint zodra een incident wordt geidentificeerd dat de crisisdrempel overschrijdt. Definieer vooraf duidelijke escalatiecriteria zodat er geen twijfel bestaat over wanneer het crisisteam wordt geactiveerd. De melder activeert het crisisteam via een vooraf vastgestelde procedure, bij voorkeur via een communicatiekanaal dat onafhankelijk is van de getroffen IT-systemen. Het crisisteam komt bijeen, beoordeelt de situatie en activeert het crisisplan. Cruciale eerste acties zijn het veiligstellen van bewijs, het isoleren van getroffen systemen en het informeren van het bestuur.

In de responsfase stuurt het crisisteam de afhandeling aan op strategisch niveau. Dit omvat het coordineren van technische respons, het communiceren met medewerkers, klanten, toezichthouders en de media, het nemen van beslissingen over bijvoorbeeld het betalen van losgeld, en het inschakelen van externe experts zoals forensisch onderzoekers en juridisch adviseurs. Bij een datalek moet de Autoriteit Persoonsgegevens binnen 72 uur worden geinformeerd. Bij ernstige verstoringen van essentiele diensten vereist NIS2 een eerste melding binnen 24 uur.

De herstelfase richt zich op het terugkeren naar normaal bedrijf en het leren van de crisis. Systemen worden stapsgewijs hersteld volgens prioriteiten uit de business impact analysis. Na afloop volgt een uitgebreide evaluatie: wat ging goed, wat ging fout, en welke verbeteringen zijn nodig in het crisisplan, de technische beveiliging en de organisatorische processen? Deze lessons learned worden verwerkt in een verbeterd crisisplan voor toekomstige incidenten.

Wanneer voer je crisismanagement uit?

Crisismanagement is een continu proces van voorbereiding, niet iets dat je pas start wanneer de crisis zich aandient. De voorbereiding, inclusief planvorming, teamsamenstelling en oefeningen, is een doorlopende activiteit. De NIS2-richtlijn verplicht organisaties om crisismanagementprocedures te hebben en deze regelmatig te testen via oefeningen die realistische scenario's simuleren.

Specifieke triggers voor het activeren van crisismanagement zijn: ransomware die kritieke systemen versleutelt, een datalek met gevoelige persoonsgegevens van grote groepen, een succesvolle supply chain-aanval die klanten raakt, significante media-aandacht voor een beveiligingsincident, of een aanval die de fysieke veiligheid in gevaar brengt (bijvoorbeeld bij OT-systemen in de industrie of zorginstellingen). Ook een combinatie van kleinere incidenten die samen de operationele capaciteit overstijgen kan een crisisactivering rechtvaardigen.

Je oefent crisismanagement minimaal jaarlijks met een tabletop-exercise, een scenario-gebaseerde oefening waarbij het crisisteam een fictief incident doorloopt zonder daadwerkelijke systemen te belasten. Geavanceerdere organisaties voeren jaarlijks ook een volledige crisisoefening uit waarbij daadwerkelijk systemen worden uitgeschakeld om de respons onder realistische omstandigheden te testen. Het NCSC biedt hiervoor handreikingen en ondersteunt organisaties bij het opzetten van cybercrisisoefeningen.

Wat kost crisismanagement?

De kosten voor crisismanagement-voorbereiding zijn relatief bescheiden vergeleken met de kosten van een onvoorbereide crisisrespons. Het opstellen van een crisisplan door een extern adviesbureau kost tussen de 5.000 en 25.000 euro, afhankelijk van de complexiteit van de organisatie en het aantal scenario's dat wordt uitgewerkt. Een tabletop-exercise kost 2.000 tot 10.000 euro. Een volledig crisismanagement-programma inclusief training, oefeningen en jaarlijkse updates kost een middelgrote organisatie 15.000 tot 50.000 euro per jaar.

Daar tegenover staan de kosten van een slecht beheerde crisis. IBM's Cost of a Data Breach Report toont dat organisaties met een getest incident response-plan gemiddeld 2,66 miljoen euro minder schade lijden dan organisaties zonder plan. De directe kosten van een ransomware-crisis, inclusief forensisch onderzoek, juridisch advies, communicatie en eventueel losgeld, lopen voor een middelgrote organisatie al snel op tot 100.000 tot 500.000 euro. Indirecte kosten zoals reputatieschade, klantverlies en hogere verzekeringspremies komen daar nog bovenop en kunnen de directe kosten ruimschoots overtreffen.

Crisiscommunicatie verdient speciale aandacht in het crisisplan. Tijdens een cybersecurity-crisis is transparante en tijdige communicatie essentieel om het vertrouwen van klanten, medewerkers en stakeholders te behouden. Bereid vooraf communicatiesjablonen voor voor verschillende scenario's: een intern bericht aan medewerkers, een notificatie aan klanten, een persbericht en een melding aan de toezichthouder. Wijs een woordvoerder aan die getraind is in crisiscommunicatie en zorg dat alle communicatie via een centraal punt verloopt om tegenstrijdige berichten te voorkomen. Een organisatie die proactief communiceert over een incident ondervindt doorgaans minder reputatieschade dan een organisatie die de feiten probeert te minimaliseren of te verbergen.

Veelgestelde vragen over crisismanagement

Wat is het verschil tussen incident response en crisismanagement?

Incident response is het technisch afhandelen van beveiligingsincidenten op operationeel niveau. Crisismanagement is de strategische coordinatie op bestuursniveau wanneer een incident de normale capaciteit overstijgt. Incident response lost het technische probleem op, crisismanagement beheert de bredere organisatorische impact.

Wie zit er in een crisisteam?

Een crisisteam bestaat minimaal uit de CEO of bestuurder, CISO of IT-manager, communicatieverantwoordelijke, juridisch adviseur en HR-manager. Afhankelijk van de crisis worden externe partijen toegevoegd zoals forensisch onderzoekers, advocaten, PR-bureaus en de verzekeraar.

Moet je losgeld betalen bij ransomware?

Het NCSC en de politie adviseren om nooit losgeld te betalen. Betaling garandeert geen herstel, financiert criminele organisaties en maakt je een herhaalingsdoelwit. De beslissing ligt uiteindelijk bij het bestuur, dat juridisch advies moet inwinnen over eventuele sanctieregelgeving.

Hoe oefen je crisismanagement?

Start met tabletop-exercises: scenario-gebaseerde discussies waarbij het crisisteam een fictief incident doorloopt. Bouw op naar functionele oefeningen met daadwerkelijke communicatieactiviteiten en uiteindelijk volledige simulaties met gesimuleerde systeemuitval. Evalueer elke oefening en verwerk de lessen in het crisisplan.

Is crisismanagement verplicht onder NIS2?

Ja, NIS2 vereist dat essentiele en belangrijke entiteiten beschikken over procedures voor incidentafhandeling en crisismanagement. Dit omvat het hebben van een crisisplan, het testen ervan en het beschikken over de capaciteit om effectief te reageren op ernstige incidenten.

Vind een specialist voor crisismanagement via Incident Response Services op IBgidsNL.