Martin de Vries is CISO bij VDL. Daarvoor vervulde hij dezelfde rol bij de Technische Universiteit Eindhoven (TU/e), waar hij van dichtbij meemaakte hoe een cybercrisis je organisatie in één klap op z’n kop zet. Martin deelt in dit interview wat crisisoefenen concreet betekent op het moment dat het écht gebeurt. Hoe oefenen ervoor zorgt dat je niet eerst hoeft te zoeken wie de leiding neemt, wie noteert, wie beslist, maar direct kunt handelen. En waarom dat in de eerste uren letterlijk het verschil maakt.
Oefenen scheelt tijd wanneer je die niet hebt
Wie crisisoefenen als vinkje ziet, mist het punt. Martin ziet oefenen als iets dat je organisatie sneller maakt op het moment dat alles onder druk staat. Hij vertelt: “In de meeste sectoren gaat het niet over leven en dood, maar het gaat wel over continuïteit, vertrouwen en enorme impact. Het is hetzelfde principe als bij vakmensen die onder druk niet hoeven te zoeken naar hun basisroutine. Een brandweerman die zijn spullen blind weet te pakken. Een arts die niet eerst hoeft te bladeren in een handleiding voordat hij een operatie uitvoert.”
In een cybercrisis heb je geen ruimte voor discussie over fundamentals. Dan wil je dat de basis automatisch gaat, zodat je kunt focussen op analyse, mitigatie en herstel.
Geen ruis door een goede rolverdeling
Martin schetst hoe een crisisorganisatie er in de praktijk uitziet: meerdere lagen die tegelijk moeten draaien. Een technische oplossingsgroep die in kaart brengt wat er is gebeurd. Een laag erboven die vooral kijkt naar systemen en herstelvolgorde. En daarboven het centrale crisismanagementteam, dat de impact voor de hele organisatie moet managen, zoals bij de TU/e: onderwijs, onderzoek, HR, salarisbetalingen, alles wat stilvalt als systemen wegvallen.
Het verschil tussen chaos en grip zit volgens Martin vaak in iets simpels: iedereen moet weten welke rol hij pakt. Hij zag dat bij TU/e gebeuren. Omdat rollen en routines in oefeningen waren vastgelegd, ontstond er in het echt geen discussie over wie notuleert, wie voorzit, wie besluiten vastlegt.
“Je kijkt rond, bepaalt wie er is; zeker ’s nachts is de bezetting nooit compleet zoals in het scenario bij de TU/e, en de rollen worden ingenomen. En dat is precies wat tijd oplevert: geen oponthoud door rolverwarring, geen energieverlies aan afstemming die je vooraf had kunnen doen.”
De stille succesfactor: voldoende mensen om te wisselen
Martin benadrukt dat je crisisorganisatie meerdere mensen moet hebben die dezelfde rol kunnen oppakken. “Niet iedereen is beschikbaar tijdens een crisis door bijvoorbeeld vakantie, ziekte of privézaken. En een crisis duurt bijna nooit één dag. Bij TU/e duurde de acute fase een week en zelfs daarna was het niet business as usual. Soms duurt de nasleep maanden.”
Bij TU/e ontstond na zondag meer controle en een werkbare kadans: lange dagen, maar ’s avonds wel weer naar huis. Toch blijft afwisseling cruciaal. Hij noemt ook dat teams soms moeite hebben om naar huis te gaan zolang anderen doorwerken. “Dan moet je als leiding juist durven ingrijpen: mensen naar huis sturen, tegen hun eigen reflex in, omdat je anders later uitval krijgt.”
Een gerelateerd onderwerp dat volgens Martin structureel te weinig aandacht krijgt, is de mentale impact van een cybercrisis. Hij verwijst daarbij naar onderzoek van Northwave, waaruit blijkt hoe groot die impact kan zijn. Cybercrises kunnen leiden tot burn-outklachten en zelfs PTSS-achtige klachten, juist doordat de druk hoog is en langdurig aanhoudt. Zijn boodschap: “Denk tijdens de crisis al aan nazorg. Neem mensen tegen zichzelf in bescherming. Dat is geen zachte toevoeging, maar onderdeel van effectief crisismanagement.”
De concrete tip: plan alsof je hele IT weg is
Als Martin één tip moet geven die organisaties morgen al kunnen toepassen, is het deze: ga uit van het worst case scenario waarin je complete IT-landschap niet beschikbaar is. “Veel organisaties denken bij crisis nog te snel: we plannen wel een call of delen een document. Maar wat als dat niet kan? Dan worden opeens simpele dingen kritisch: waar staat je bellijst, hoe noteer je besluiten, hoe werk je samen, hoe hou je overzicht?”
Martin adviseert daarom om een noodvoorziening klaar te hebben: analoog of een aparte digitale samenwerkingstool die buiten je primaire omgeving valt. Juist omdat bij TU/e in de eerste uren nog wél communicatie mogelijk was, maar daarna letterlijk de stekker eruit moest om weer controle te krijgen.
Van universiteit naar maakindustrie: OT en keten maken het nóg tastbaarder
In zijn huidige rol bij VDL ziet Martin extra complexiteit. IT-uitval is niet alleen ‘lastig’; het kan productie stilzetten. Er komt geen product van de band. En in een OT-context kan het zelfs raken aan fysieke veiligheid: processen, machines, gevaarlijke stoffen.
Daarnaast wijst hij op de keten. “We zijn in West-Europa extreem goed geworden in just-in-time supply chain systemen; efficiënt, maar kwetsbaar. Een incident bij jou of bij een leverancier kan direct doorwerken. Daarom is ketenoefenen geen luxe, maar noodzakelijk.”
Zijn afsluitende oproep is dan ook: “Kijk niet alleen intern, maar oefen ook over de keten heen. Check scenario’s bij je netwerk. Test of processen op elkaar aansluiten. Stel de simpele vraag: als je leverancier geraakt wordt, krijg jij dan op tijd een signaal? En als jij geraakt wordt, kun je je leveranciers dan snel informeren zodat logistiek en verwachtingen kloppen? En het hoeft niet ingewikkeld te zijn. Haal er een kop koffie bij, leg je scenario’s naast elkaar en heb het erover. Juist door die gesprekken groeit je weerbaarheid, samen.”