Cyberincident

Een cyberincident is een gebeurtenis die schadelijke effecten heeft op de beveiliging van netwerk- en informatiesystemen, met verstoring van de dienstverlening of compromittering van gegevens tot gevolg. Het kan gaan om verlies van beschikbaarheid, integriteit, authenticiteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens. Cyberincidenten varieren van een succesvolle phishing-aanval waarbij inloggegevens worden buitgemaakt tot een grootschalige ransomware-uitbraak die een hele organisatie platleg. In Nederland vallen cyberincidenten onder de meldplicht van de Cyberbeveiligingswet wanneer ze een significante impact hebben op de dienstverlening van organisaties in kritieke sectoren.

De frequentie en impact van cyberincidenten nemen jaar na jaar toe. Volgens het NCSC vormen ransomware, supply chain-aanvallen en statelijke cyberdreigingen de grootste risico's voor Nederlandse organisaties. Een cyberincident is breder dan een datalek: waar een datalek specifiek gaat over de ongeautoriseerde toegang tot of verspreiding van persoonsgegevens, omvat een cyberincident elke beveiligingsgebeurtenis die de vertrouwelijkheid, integriteit of beschikbaarheid van systemen of gegevens aantast. De impact van een ernstig cyberincident kan variSren van uren downtime tot maandenlang herstel, met schade die kan oplopen tot miljoenen euro's aan directe en indirecte kosten.

Wat is de impact van een cyberincident?

De impact van een cyberincident manifesteert zich op meerdere niveaus. Operationeel kan een incident leiden tot volledige stilstand van bedrijfsprocessen. Bij een ransomware-aanval worden systemen versleuteld en is toegang tot bedrijfskritieke applicaties en gegevens onmogelijk totdat het incident is opgelost. De gemiddelde downtime na een ransomware-incident bedraagt 21 dagen, hoewel volledige recovery aanzienlijk langer kan duren. Productieverlies, gemiste omzet en extra kosten voor noodprocedures stapelen zich snel op.

Financieel omvatten de kosten van een cyberincident directe kosten zoals forensisch onderzoek, juridische bijstand, crisiscommunicatie en systeemherstel, en indirecte kosten zoals omzetverlies, contractuele boetes en reputatieschade. Voor een MKB-bedrijf in Nederland liggen de gemiddelde kosten van een ernstig cyberincident tussen de 50.000 en 500.000 euro. Voor grotere organisaties kunnen de kosten oplopen tot miljoenen euro's. Daarnaast zijn er potentiele boetes van toezichthouders bij niet-naleving van meldplichten.

Reputatieschade is vaak de meest langdurige impact van een cyberincident. Klanten, partners en leveranciers verliezen vertrouwen in een organisatie die hun gegevens niet adequaat beschermt. Dit kan leiden tot klantverloop, moeilijkheden bij het aantrekken van nieuwe klanten en verlies van zakelijke partnerships. In gereguleerde sectoren kan een ernstig cyberincident ook leiden tot verscherpt toezicht, aanvullende audits en beperkingen op de bedrijfsvoering.

Wat is de meldplicht bij een cyberincident?

Nederland kent meerdere meldplichten die van toepassing kunnen zijn bij een cyberincident. De Cyberbeveiligingswet (Cbw), die de Europese NIS2-richtlijn implementeert, verplicht organisaties in essentiele en belangrijke sectoren om significante incidenten te melden. Een significant incident is een incident dat een ernstige operationele verstoring van diensten of aanzienlijke financiele verliezen veroorzaakt of kan veroorzaken, of dat leidt tot aanzienlijke materiele of immateriele schade bij andere organisaties.

De meldplicht onder de Cyberbeveiligingswet kent strikte termijnen. De eerste melding is een vroegtijdige waarschuwing die binnen 24 uur na waarneming van het incident moet plaatsvinden bij het sectorale CSIRT. Binnen 72 uur volgt een vervolgmelding met meer details over de aard en impact van het incident. Het centrale meldpunt is ingericht op mijn.ncsc.nl, waar organisaties in een keer melding kunnen maken bij zowel het sectorale CSIRT als de bevoegde toezichthouder.

Daarnaast geldt de meldplicht datalekken onder de AVG. Als bij het cyberincident persoonsgegevens zijn gecompromitteerd, moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Als het datalek een hoog risico vormt voor de rechten en vrijheden van betrokkenen, moet je ook de betrokken personen informeren. Het is mogelijk dat bij een enkel cyberincident meerdere meldplichten tegelijk van toepassing zijn, waardoor je parallel aan meerdere instanties moet melden. Een goed incidentresponsplan houdt rekening met al deze verplichtingen.

Hoe reageer je op een cyberincident?

De reactie op een cyberincident volgt idealiter een vooraf opgesteld incidentresponsplan. In het eerste uur na detectie van het incident is snelle triage cruciaal: bepaal de aard en omvang van het incident, isoleer getroffen systemen om verdere verspreiding te voorkomen en activeer het incidentresponsteam. Schakel direct externe expertise in als je niet over een eigen team beschikt, want vertraging vergroot de schade exponentieel.

In de eerste 24 uur na het incident richt je je op indamming en evidence preservation. Maak forensische kopieEn van getroffen systemen voordat je begint met herstel, zodat bewijsmateriaal behouden blijft voor onderzoek en eventuele juridische procedures. Informeer het management en de juridische afdeling over het incident en start de communicatie met toezichthouders conform de meldplichten. Communiceer transparant met betrokken partijen, maar vermijd het delen van technische details die aanvallers zouden kunnen helpen.

Na de indamming volgt de herstelfase, waarin je systemen opschoont en terugbrengt naar een bekende veilige staat. Gebruik schone backups voor het herstellen van gegevens en systemen. Verifieer dat de aanvalsvector is gedicht voordat je systemen weer in productie neemt. Na het herstel volgt een evaluatie waarin je het incident analyseert, lessen trekt en je beveiligingsmaatregelen aanscherpt om herhaling te voorkomen. Documenteer het volledige incident van detectie tot afronding voor toekomstige referentie en compliance-doeleinden.

Veelgestelde vragen over cyberincidenten

Wat is het verschil tussen een cyberincident en een datalek?

Een cyberincident is een breed begrip voor elke beveiligingsgebeurtenis die systemen of gegevens aantast, zoals een DDoS-aanval of ransomware. Een datalek is specifiek: het gaat om ongeautoriseerde toegang tot of verspreiding van persoonsgegevens. Een datalek is altijd een cyberincident, maar niet elk cyberincident is een datalek.

Moet elk cyberincident worden gemeld?

Nee, alleen significante incidenten moeten worden gemeld onder de Cyberbeveiligingswet. Een incident is significant als het ernstige operationele verstoring of financiele verliezen veroorzaakt. Bij datalekken geldt de AVG-meldplicht als er een risico is voor de rechten van betrokkenen. Het NCSC raadt aan ook niet-meldplichtige incidenten te registreren voor interne leerdoeleinden.

Hoe snel moet je een cyberincident melden?

Onder de Cyberbeveiligingswet moet een vroegtijdige waarschuwing binnen 24 uur na waarneming worden ingediend, gevolgd door een vervolgmelding binnen 72 uur. Bij een datalek onder de AVG geldt eveneens een termijn van 72 uur. Het is verstandig om zo snel mogelijk te melden, ook als nog niet alle details bekend zijn.

Wat kost het om een cyberincident af te handelen?

De kosten hangen sterk af van de aard en omvang van het incident. Forensisch onderzoek kost gemiddeld 10.000 tot 50.000 euro. Juridische bijstand en crisiscommunicatie voegen 5.000 tot 25.000 euro toe. Systeemherstel varieert van 10.000 tot 100.000 euro of meer. Totaalkosten voor het MKB liggen gemiddeld tussen 50.000 en 500.000 euro.

Hoe voorkom je cyberincidenten?

Volledige preventie is onmogelijk, maar je verkleint het risico door basishygiene op orde te hebben: patch management, multi-factor authenticatie, security awareness-training, regelmatige backups en netwerksegmentatie. Combineer preventieve maatregelen met detectie en respons, want het is niet de vraag of, maar wanneer een incident plaatsvindt.

Voorbereid op cyberincidenten? Vind een specialist via Incident Response op IBgidsNL.