Stel je voor: een zaal vol CISOs, security managers en crisisspecialisten. Je geeft ze een realistisch datalek-scenario, tijdsdruk en de opdracht om er samen uit te komen. Wat verwacht je?
Waarschijnlijk dit: debat over forensisch onderzoek, discussie over detectietechnologie, meningsverschillen over incident response tooling. Wat er op 19 mei tijdens het PvIB-congres Prevent, Detect, Respond daadwerkelijk gebeurde, was iets anders. 160 securityprofessionals kwamen in minder dan een uur tot scherpe, gedeelde antwoorden op vier cybercrisisdilemma's. En vrijwel geen van die antwoorden ging over techniek, maar ze gingen juist over wie er aan tafel zit, over wanneer je communiceert, over wat je doet als een ketenpartner je de informatie onthoudt die je nodig hebt en over of je betaalt.
Dat is de verrassing die dit experiment oplevert, en tegelijk de confronterende vraag die het oproept: als de echte uitdagingen bij een cybercrisis governance en communicatie zijn, waar richt de sector dan al die voorbereidingstijd op?
Het technische gedeelte staat klaar, de rest niet
Organisaties investeren fors in detectie, in tooling, in respons-infrastructuur. Maar ze investeren minder in de vraag wie er mandaat heeft als het misgaat, of wie er in het crisisteam zit en of die mensen weten hoe ze besluiten moeten nemen onder druk.
De deelnemers waren snel en eensgezind: een compact crisisteam onder voorzitterschap van een bestuurder met echte beslissingsbevoegdheid presteert beter dan een groot overlegorgaan. De CISO, Legal en business rollen zijn waardevol als ondersteuning, niet als vaste leden die elke stap vertragen. En twee rollen die consequent terugkwamen als onmisbaar: een crisiscoördinator / voorzitter en een logger (crisis-secretaris). Zonder die twee verlies je tijdens een crisis het overzicht over wat er al besloten is.
De keten als blinde vlek
Het put dat het meeste herkenning opriep: een ketenpartner die een ‘onregelmatigheid’ meldt, maar verder weinig deelt. Jij zit in je crisisteam en weet niet of jullie koppeling gecompromitteerd is, hoeveel klanten er geraakt zijn, of wanneer het incident voor het eerst werd waargenomen.
De reactie van de deelnemers was eensgezind: afwachten is geen optie. Je escaleert direct, CISO-to-CISO, parallel aan je eigen impactanalyse. Verwijzen naar contractuele afspraken werken daarbij averechts, want op het moment van een crisis wil je samenwerken op basis van wederzijds belang, niet juridisch / contractueel tegenover elkaar staan.
Maar de échte les zat een laag dieper. Wie pas op het moment van de crisis voor het eerst contact zoekt met de CISO aan de andere kant van de API koppeling, heeft al verloren. Niet omdat die persoon incompetent is, maar omdat je kostbare tijd verliest in kennismaken en vertrouwen bouwen als het misgaat.
Het losgeldilemma: de verantwoordelijkheid van de CISO?
Het losgelddilemma verdeelde de deelnemers het meest, maar de manier waarop ze erover redeneerden was veelzeggend. De meerderheid neigde naar niet betalen, en de argumenten waren consistent: een betaling biedt geen garantie, beloont crimineel gedrag en is pas zinvol als er bewijs is dat de dreigingsgroep de data daadwerkelijk heeft.
Maar interessanter dan het antwoord was de observatie die eronder zat: dit is geen technische beslissing. Het is een strategische, met juridische, financiële en reputatie-implicaties. Toch kijken vele ogen in de richting van de CISO als expert, omdat niemand van tevoren heeft nagedacht over wie dit type besluit eigenlijk neemt.
Wat 160 experts samen bewijzen
De deelnemers leverden in één uur betere antwoorden dan veel organisaties in dagen kunnen formuleren. Dat komt omdat ze een gedeeld referentiekader hadden, elkaar kenden via het PvIB-netwerk, en gewend zijn om samen te redeneren onder druk. Dat is precies wat ontbreekt op het moment dat een echte crisis toeslaat; niet de kennis, niet de tooling, maar de vertrouwdheid met de mensen aan de andere kant van de lijn.
Wat kun je daar nú al voor doen? Investeer in je netwerk voordat je het nodig hebt, ken de CISO bij je leverancier, weet wie het crisisteam leidt bij je dienstverlener en vooral: oefen samen, zodat die eerste kennismaking niet plaatsvindt terwijl de klok tikt.
De 160 experts in die zaal bewezen het zelf. Een sector die zichzelf kent, reageert beter.
De inzichten in dit artikel zijn gebaseerd op Operatie NovaStar, een crisissimulatie gehouden tijdens het PvIB-congres Prevent, Detect, Respond op 19 mei 2026, gefaciliteerd door CCRC. Download de volledige whitepaper via deze link.