Een cybercrisis kondigt zich zelden netjes aan. Er is geen startschot en bijna nooit meteen volledige duidelijkheid. Er is een melding, een vermoeden, een paar signalen die niet kloppen. En ondertussen kijkt iedereen naar dezelfde mensen in de organisatie met één verwachting: neem de regie en los het op.
Volgens Cees Berrens zit daar precies de kern van cyber crisis readiness. Het gaat niet om een document dat ergens opgeslagen staat, maar om hoe je team reageert wanneer de druk hoog is en de informatie onvolledig. Als managing partner bij Heimdallr werkt hij aan digitale weerbaarheid met thema’s als Sovereign Cloud en Zero Trust. Daarnaast traint hij bij CCRC crisis- en incidentteams in realistische simulaties. Zijn ervaring, ook uit veeleisende omgevingen binnen de overheid en financiële sector, heeft hem één overtuiging gegeven: een crisisplan is nuttig, maar readiness zit in gedrag. En dat gedrag krijg je alleen scherp door te oefenen.
De eerste 60 minuten bepalen de toon
Wat Cees in crisissimulaties vaak als eerste ziet, is niet een verkeerde technische keuze, maar een menselijk patroon. “Iedereen schiet in een eigen reflex. De één wil meteen handelen, de ander bevriest, weer iemand anders raakt verstrikt in details of wacht op bevestiging. Daardoor ontstaat ruis, en die ruis kost tijd. Tijd die je in de eerste fase van een incident simpelweg niet hebt.”
Daarom hamert hij op één vraag die bijna te simpel klinkt, maar in de praktijk het verschil maakt: “Waar kijken we eigenlijk naar?” Hij bedoelt daarmee niet alleen een technische analyse, maar vooral een gezamenlijke reality check. Cees legt uit: “Stel jezelf de vragen: wat weten we zeker? Wat vermoeden we? Wat is de impact op operatie, data en continuïteit? Wat is nog onzeker? Pas als je dat in dezelfde kamer gelijk trekt, kun je keuzes maken die ergens op gebaseerd zijn. En oefenen is daarbij cruciaal.
Ik vergelijk het altijd met topsport: je kunt niet verwachten dat je op het hoogste niveau presteert als je alleen een paar keer theoretisch hebt doorgenomen wat je zou moeten doen. Zet iemand ongetraind bovenaan een olympische afdaling en je weet eigenlijk al hoe dat afloopt. In een crisis is het net zo. Er wordt iets van je verwacht, er is druk van buiten, er is druk van binnen, en juist dan blijken rollen en routines vaak toch minder helder dan gedacht.”
Structuur brengt rust
Die structuur komt niet vanzelf. Volgens Cees is cybercrisismanagement vooral teamwerk: iedereen brengt z’n eigen rol en specialisme in, en juist die combinatie maakt je effectief. Tegelijk is er iemand nodig die regie voert wanneer de druk oploopt: de crisismanager/voorzitter als regisseur. “Niet omdat die het meeste weet, maar omdat je in chaos iemand nodig hebt die het proces strak houdt: prioriteiten, ritme, besluitvorming en opvolging.” Cees ziet dat juist dat duidelijke leiderschap tijdens een crisis vaak bepalend is voor hoe snel een team weer grip krijgt.
Cees gebruikt daarvoor graag een vaste werkwijze: eerst bevindingen ophalen, dan gezamenlijk oordeelsvorming doen, en pas daarna besluiten nemen. En meteen een vervolgafspraak plannen, zodat iedereen weet wanneer je terugkomt op acties en nieuwe informatie. Zijn ervaring is dat structuur rust brengt, en rust is precies wat je nodig hebt om onder druk goed te blijven denken.
Daar hoort ook discipline bij. In veel crisissituaties wordt een team letterlijk platgebeld, zowel intern als extern. Mensen willen updates, bestuurders hebben vragen, collega’s zoeken houvast. Als je daar niet in stuurt, gaat alle aandacht naar ad hoc communicatie en verliest het team focus.
Cees is daar duidelijk in: “Scherm af waar nodig en maak meteen afspraken: wie is woordvoerder, wie onderhoudt contact met bestuur, wie schakelt met leveranciers en wie houdt het tempo in het team.” Daarnaast hoort er vanaf minuut één iemand te zijn die het actie- en besluitenlogboek bijhoudt. Niet als administratieve bijzaak, maar als ruggengraat van je crisisaanpak: welke acties zijn uitgezet, door wie, met welke deadline; welke feiten zijn bevestigd; welke besluiten zijn genomen en op basis waarvan.
“Dat logboek helpt niet alleen bij verantwoording achteraf, maar vooral tijdens de crisis zelf. Het voorkomt dubbel werk, maakt overdracht tussen shifts mogelijk en zorgt dat je, als de situatie weer kantelt, direct kunt terugpakken op wat er al is gedaan en waarom.”
Wat moet er vooraf geregeld zijn
Als je hem vraagt wat er vóór een crisis geregeld moet zijn om gedoe te voorkomen, komt hij uit op drie basisvoorwaarden: “Structuur, rolverdeling en leiderschap. Het klinkt bijna vanzelfsprekend, maar in oefeningen kom ik dit vaak tegen als hekelpunten. Structuur gaat over hoe je opschaalt, hoe je vergadert, hoe je besluiten neemt en hoe je dat ritme vasthoudt. Rolverdeling gaat over mandaat en taken. Wie zit voor, wie communiceert, wie houdt het logboek bij, wie schakelt met leveranciers. Leiderschap gaat over het durven nemen van verantwoordelijkheid, juist als nog niet alles zeker is. Héle belangrijke punten dus.”
Daarbij wijst Cees op een praktisch punt dat veel crisisplannen onderschatten. “Je hebt een crisisteam niet in vijf minuten bij elkaar. Iemand zit in overleg, iemand is onderweg, iemand is vrij, iemand zit midden in een afspraak die niet zomaar kan stoppen. Een plan dat uitgaat van een perfecte start, faalt op het moment dat het misgaat. Je moet dus oefenen met die werkelijkheid, inclusief de tijd die het kost om te verzamelen, te schakelen en te escaleren.”
Waar het misgaat tussen incidentteam en bestuur
Een terugkerend spanningsveld in cybercrises is de samenwerking tussen incidentteams en het C-level. Cees ziet dat het hier vaak misgaat op taal: “Technische teams vertellen wat er gebeurt in termen van systemen, logs en tooling. Bestuurders moeten besluiten nemen op basis van impact, risico en verplichtingen. Als die vertaalslag ontbreekt, haken bestuurders af of wordt een incident kleiner gemaakt dan het is. Daar komt bij dat veel mensen het woord ‘crisis’ liever vermijden, omdat het meteen voelt als gedoe, reputatierisico en escalatie. Maar juist dat vermijden maakt het vaak erger.”
Cees merkt dat incidentteams soms te technisch blijven, terwijl bestuurders juist behoefte hebben aan betekenis: wat staat er op het spel, wat is de schade als we niets doen, en wat zijn de opties. Zijn advies is om bestuurstaal als skill te trainen. “Start bij de gevolgen: wat betekent dit voor de operatie? Voor financiële schade? Voor reputatie en voor wettelijke verplichtingen? Als je dat helder hebt, kun je sneller keuzes laten maken op het juiste niveau.”
De nuance achter besluiteloos leiderschap
“In veel omgevingen hoeft een aanvaller niet spectaculair in te breken; die kan vaak simpelweg inloggen. En zodra iemand eenmaal binnen is, kan die in traditionele omgevingen vaak te ver komen omdat het uitgangspunt impliciet vertrouwen is. Je logt in en je komt overal.” Daarom verbindt Cees crisis readiness ook aan keuzes die je vóór de crisis maakt. Zero Trust is geen product, maar een architectuur waarin vertrouwen expliciet wordt gemaakt. Toegang wordt per stap en per resource geverifieerd, waardoor de bewegingsruimte van een aanvaller kleiner wordt en afwijkend gedrag sneller zichtbaar is.
Hetzelfde geldt volgens hem voor Sovereign Cloud. “Ook dat is geen label dat je op een leverancier plakt, maar een stapel aan keuzes die je bewust bouwt, afhankelijk van risico, data en afhankelijkheden. Zeker bij gevoelige informatie en geopolitieke ontwikkelingen is dat niet alleen een securityvraag, maar ook een continuïteitsvraag.”
Realistische scenario’s maken readiness zichtbaar
Wat het belangrijkste is voor Cees? Realistische scenario’s. “Niet omdat het leuk is, maar omdat je er onverbiddelijk ziet waar je organisatie in de praktijk vastloopt. Een oefening is pas waardevol als die niet blijft bij bewustwording, maar leidt tot actie. Je weet het nu, dus wat ga je anders doen?”
Die urgentie hangt samen met hoe werken is veranderd. “We werken hybride, we zitten verspreid, en veel draait in de cloud. Daardoor is het aanvalsoppervlak groter dan ooit. Het is niet meer één kantoornetwerk dat je verdedigt. En precies daarom is cyber crisis readiness geen bijlage meer. Het is een vaardigheid die je traint, een structuur die je bouwt, en een manier van samenwerken die je moet kunnen reproduceren op het moment dat niemand nog de luxe heeft om rustig na te denken.”