Incident response
ProcessenHet reageren op een cyberincident. Het is een (gestructureerde) aanpak op alle niveaus: operationeel, tactisch en strategisch. Incident response kan gezien worden als een soort brandweer bij een cyberincident.
Incident response is het gestructureerde proces waarmee een organisatie reageert op cyberbeveiligingsincidenten. Het omvat alle stappen van detectie en analyse tot inperking, herstel en evaluatie. Het doel is om de schade van een incident te beperken, de oorzaak te achterhalen, het incident op te lossen en herhaling te voorkomen. Een goed ingericht incident response-proces is het verschil tussen een beheersbaar voorval en een ontwrichtende crisis.
De twee meest gebruikte frameworks voor incident response zijn die van NIST (SP 800-61) en SANS. In 2025 heeft NIST een geactualiseerde versie uitgebracht (SP 800-61r3) die incident response positioneert als onderdeel van het bredere cybersecurity-risicobeheer. Voor Nederlandse organisaties is incident response ook relevant vanuit de NIS2-richtlijn en de aankomende Cyberbeveiligingswet, die eisen stellen aan incidentdetectie, -melding en -respons.
Hoe werkt incident response? Stappen
Het NIST-framework beschrijft incident response in vier fasen die in de praktijk overlappen en iteratief verlopen:
Fase 1: Voorbereiding. Dit is de basis waarop alles rust. Je stelt een incident response-plan op, wijst rollen en verantwoordelijkheden toe, traint je team en zorgt dat de benodigde tools en communicatiekanalen gereed zijn. Zonder voorbereiding improviseer je tijdens een crisis, en dat leidt tot grotere schade en langere hersteltijden. Zorg dat je een actueel incident response-plan hebt dat minimaal jaarlijks wordt geoefend.
Fase 2: Detectie en analyse. Je identificeert mogelijke incidenten via monitoringtools zoals een SIEM-systeem, EDR-oplossingen en netwerkanalyse. Bij een melding beoordeel je de ernst, omvang en impact. Is het een vals alarm of een daadwerkelijk incident? Welke systemen zijn getroffen? Welke data is mogelijk gecompromitteerd? De kwaliteit van deze analyse bepaalt de effectiviteit van de vervolgstappen.
Fase 3: Inperking, uitroeiing en herstel. Je beperkt eerst de schade door getroffen systemen te isoleren zonder bewijs te vernietigen. Vervolgens verwijder je de oorzaak van het incident, zoals malware, gecompromitteerde accounts of kwetsbaarheden. Tot slot herstel je de getroffen systemen naar een betrouwbare staat en monitor je intensief of het incident daadwerkelijk is opgelost.
Fase 4: Evaluatie en verbetering. Na het incident voer je een uitgebreide evaluatie uit (lessons learned). Wat ging goed, wat ging fout, welke processen moeten worden aangepast? De inzichten worden verwerkt in een verbeterd incident response-plan. Deze fase wordt in de praktijk vaak overgeslagen vanwege tijdsdruk, maar is essentieel om steeds beter te worden in incidentafhandeling.
Wanneer voer je incident response uit?
Incident response wordt geactiveerd bij elk beveiligingsincident dat de vertrouwelijkheid, integriteit of beschikbaarheid van systemen of data bedreigt. Concrete triggers zijn onder meer:
Detectie van malware of ransomware op een of meerdere systemen. Ongeautoriseerde toegang tot systemen of data. Verdacht netwerkverkeer naar onbekende bestemmingen. Melding van een medewerker die op een phishing-link heeft geklikt. Uitval van kritieke systemen zonder duidelijke oorzaak. Een melding van een externe partij dat jouw gegevens zijn aangetroffen op het dark web.
Onder de NIS2-richtlijn moeten organisaties significante incidenten binnen 24 uur melden bij de toezichthouder en binnen 72 uur een uitgebreide melding indienen. Onder de AVG geldt een meldplicht van 72 uur bij de Autoriteit Persoonsgegevens voor datalekken. Deze termijnen maken het noodzakelijk om een incident response-proces gereed te hebben voordat een incident plaatsvindt.
Preventief voer je minimaal jaarlijks een incident response-oefening uit, zoals een tabletop exercise of een volledige simulatie. Na grote wijzigingen in je IT-omgeving, bij nieuwe dreigingsinformatie die relevant is voor jouw sector, of na een daadwerkelijk incident actualiseer je het incident response-plan.
Wat kost incident response?
De kosten van incident response variëren sterk afhankelijk van of je het preventief of reactief benadert. Preventieve investeringen in een incident response-plan, team en oefeningen kosten een fractie van de schade bij een onvoorbereid incident.
Een incident response-plan opstellen door een externe specialist kost tussen 5.000 en 15.000 euro, afhankelijk van de complexiteit van je omgeving. Een jaarlijkse tabletop exercise kost 2.000 tot 5.000 euro. Een incident response retainer (een abonnement bij een specialist die direct beschikbaar is bij een incident) kost 10.000 tot 30.000 euro per jaar.
De kosten bij een daadwerkelijk incident zijn een veelvoud hiervan. Forensisch onderzoek kost 15.000 tot 100.000 euro of meer, afhankelijk van de omvang. Daarbij komen kosten voor systeemherstel, juridisch advies, communicatie, mogelijke boetes en reputatieschade. Volgens internationale onderzoeken kost een gemiddeld ransomware-incident een MKB-organisatie tussen 100.000 en 500.000 euro aan directe en indirecte schade.
Een cyberverzekering kan een deel van deze kosten dekken, maar verzekeraars vereisen steeds vaker dat je een actueel incident response-plan hebt als voorwaarde voor dekking. Investeren in voorbereiding verlaagt niet alleen het risico maar ook de verzekeringspremie.
In de Nederlandse context is incident response een onderwerp dat steeds meer aandacht krijgt van zowel organisaties als toezichthouders. Met de invoering van NIS2 en de Cyberbeveiligingswet worden de eisen rondom incident response aangescherpt. Organisaties doen er goed aan om hun aanpak regelmatig te evalueren en aan te passen aan nieuwe dreigingen en regelgeving.
Veelgestelde vragen over incident response
Wat is het verschil tussen incident response en disaster recovery?
Incident response richt zich op het detecteren, analyseren en oplossen van beveiligingsincidenten. Disaster recovery richt zich op het herstellen van IT-systemen en bedrijfsprocessen na een grote verstoring. Incident response gaat vaak vooraf aan disaster recovery: eerst los je het beveiligingsincident op, dan herstel je de systemen.
Heb je als MKB een incident response-plan nodig?
Ja. Het MKB is een veelgekozen doelwit voor cyberaanvallen juist omdat kleinere organisaties vaak minder goed voorbereid zijn. Een basisplan met rollen, procedures en contactgegevens van een incident response-specialist is het minimum. Onder NIS2 wordt dit voor veel organisaties wettelijk verplicht.
Hoe vaak moet je een incident response-plan oefenen?
Minimaal jaarlijks, en na elke grote wijziging in je IT-omgeving of organisatie. Een tabletop exercise (scenario doorspreken) is een laagdrempelige manier om te beginnen. Daarnaast is het waardevol om periodiek een technische simulatie uit te voeren waarbij het team daadwerkelijk handelt alsof er een incident is.
Wie moet er in een incident response-team zitten?
Een effectief team bevat minimaal een incidentcoordinator, technische specialisten (IT/security), een communicatieverantwoordelijke, juridisch adviseur en een vertegenwoordiger van het management. Bij grotere organisaties komen daar forensisch onderzoekers en sectorspecifieke experts bij.
Wat is een incident response retainer?
Een retainer is een abonnement bij een gespecialiseerd incident response-bedrijf. Tegen een vast jaarbedrag heb je de garantie dat specialisten binnen afgesproken reactietijden beschikbaar zijn wanneer je ze nodig hebt. Dit is vooral waardevol voor organisaties zonder eigen forensische capaciteit.
Vind een specialist voor incident response via Incident Response Services op IBgidsNL.