Cyber crisis readiness draait volgens Martin Koopmans niet om gedetailleerde draaiboeken of theoretische scenario’s, maar om iets veel praktischers: weten wat je moet doen als het misgaat en dat ook écht hebben geoefend. “Geen enkele crisis is hetzelfde. Maar als je oefent, weet je in ieder geval wie waarvoor verantwoordelijk is, hoe het proces op hoofdlijnen moet lopen en welk plan je daarbij helpt.”
Die visie is stevig geworteld in zijn loopbaan. Martin begon in de digitale opsporing bij de politie, waar hij zich vanaf het begin van de opkomst van internetcriminaliteit bezighield met cybercrime en digitale sporen in klassieke opsporingszaken. Daarna werkte hij binnen de landelijke eenheid en ontwikkelde hij lesmateriaal voor Europese politiediensten. Later maakte hij de overstap naar ING, waar hij hielp bij het opzetten van het Cyber Defense Center en zich vervolgens ook bezighield met red teaming, zoals TIBER vanuit de DNB. Via Waternet kwam hij uiteindelijk terecht bij Noordwest Ziekenhuisgroep, waar hij nu CISO is. Naast zijn rol als CISO zet Koopmans zich ook in als trainer voor CCRC. Daar richt hij zich vooral op oefeningen die nauw aansluiten bij de praktijk van een organisatie. Een goed scenario sluit volgens hem aan op het type organisatie en op de bestaande processen voor incidentmanagement, bedrijfscontinuïteit en crisismanagement.
Cyber crisis readiness begint niet op papier
Volgens Martin zit de waarde van zo’n oefening niet alleen in het testen van kennis, maar vooral in het blootleggen van gedrag, besluitvorming en onduidelijkheden. En die komen er in de praktijk vaak sneller uit dan organisaties denken. Een veelvoorkomend probleem is dat niet helder is waar incidentmanagement ophoudt en crisismanagement begint. “Wat ik veel zie gebeuren, is dat niet goed duidelijk is: wat is risicomanagement, wat is business continuity management, wat is incidentmanagement en wanneer schaal je op naar crisis? Juist die onduidelijkheid kan ervoor zorgen dat organisaties te snel of juist te laat opschalen.”
Ook de rolverdeling blijkt in oefeningen vaak minder helder dan op papier. Zo ziet Koopmans regelmatig dat communicatie niet standaard in het crisismanagementteam zit. Dat vindt hij opvallend, omdat communicatie volgens hem juist cruciaal is om regie te houden op het verhaal naar buiten.
“Als jij niet goed communiceert, gaat de buitenwereld zelf een verhaal maken. En dat is voor organisaties heel lastig om later nog recht te draaien.”
Daarmee raakt hij ook aan een andere valkuil: organisaties die crisismanagement te gedetailleerd proberen uit te schrijven. Volgens Martin geeft dat een gevoel van controle, maar werkt het in de praktijk vaak averechts. “Soms zie ik organisaties met een crisisdocument van tientallen pagina’s. Dat gaat niemand doorlezen tijdens een crisis.” Wat beter werkt, is een compact en praktisch plan, met heldere rollen, concrete houvast en een aanpak die voldoende bewegingsruimte laat op het moment dat de druk oploopt. Want hoe goed je je ook voorbereidt, zegt Martin: “Er komen altijd bussen van links. Met andere woorden: er gebeurt altijd iets waar je vooraf niet precies rekening mee hebt gehouden.”
Een lerende organisatie wordt echt weerbaar
Juist daarom ziet hij oefenen als onderdeel van een bredere leercyclus. Organisaties worden pas écht weerbaarder als ze lessen uit oefeningen terugbrengen in hun processen en plannen, en daarna opnieuw toetsen. Dat is volgens hem niet anders dan in sectoren waar oefenen al heel normaal is.
“De brandweer en de luchtvaart zijn bij uitstek lerende organisaties, die noodsituaties trainen met realistische scenario’s om onder hoge druk rustig te blijven.”
Die discipline ontbreekt in veel organisaties nog, terwijl juist herhaling het verschil maakt tussen een plan op papier en een team dat onder druk kan handelen. Dat betekent overigens niet dat oefenen altijd groot en zwaar hoeft te zijn. Volgens Koopmans kun je ook veel leren door actuele incidenten te gebruiken als uitgangspunt voor een gesprek. “Stel dat iets vergelijkbaars morgen bij jouw organisatie gebeurt; wat doe je dan? Wie schuift aan? Welke keuzes maak je? Ook dat soort sessies helpen om crisismanagement levend te houden.”
In de zorg draait continuïteit direct om mensen
In zijn huidige werk in de zorg ziet hij bovendien hoe belangrijk het is om crisismanagement te verbinden aan business continuity. De principes van crisisbeheersing zijn volgens hem in elke sector vergelijkbaar, maar de impact van verstoring verschilt sterk. In een ziekenhuis kun je sommige processen uitstellen, maar andere absoluut niet. Een poliklinische afspraak kan later plaatsvinden, maar een intensive care of complexe bevalling niet. Daarom moet vooraf duidelijk zijn welke processen minimaal overeind moeten blijven. “Bij ons wil je vóór een crisis al maatregelen hebben geïmplementeerd die de continuïteit op een vooraf afgesproken minimumniveau waarborgen.”
Dat raakt aan een punt dat volgens hem nog te vaak onderbelicht blijft: als incidentmanagement en business continuity goed op orde zijn, hoeft een verstoring niet automatisch uit te groeien tot een crisis. Hij gebruikt daarvoor de metafoor van een reserveband. Zolang je die hebt en weet hoe je hem gebruikt, kun je verder. Pas als die reserve ontbreekt, ontstaat echt een crisissituatie.
“Als je incidentmanagement en business continuity management goed op orde hebt, hoef je ook veel minder vaak op te schalen naar crisismanagement.”
Als er één denkkader is dat volgens Martin helpt om ook onder druk grip te houden, dan is het beeldvorming, oordeelsvorming en besluitvorming. Eerst vaststellen wat er feitelijk aan de hand is, dan bepalen wat dat betekent, en pas daarna besluiten wat er moet gebeuren. “Even pas op de plaats: wat is er nu, wat betekent dat, en wat besluiten we daarop? Juist die structuur voorkomt dat organisaties in de hectiek te snel in de actiestand schieten zonder gedeeld beeld.”
Waar bestuurders morgen mee kunnen beginnen
Zijn belangrijkste advies aan bestuurders is helder: breng eerst in kaart waar de grootste impact zit als het misgaat. Welke processen zijn kritiek? Wat mag absoluut niet uitvallen? En wat betekent dat voor klanten, burgers, patiënten of ketenpartners? “Als je niet weet waar de grootste impact zit, kun je het ook niet beschermen.”
Daarna volgt de stap die volgens hem nog te vaak wordt overgeslagen: oefenen. Want cyber crisis readiness begint niet bij een document, maar bij het vermogen van een organisatie om onder druk samen te werken, keuzes te maken en koers te houden.