Veel gestelde vragen

Onderwerpen zijn basisconcepten, crisisteam & rollen, BOB-methode, de Logger, voorbereiden & oefenen, wet- en regelgeving, cybercrisis vs andere crises, crisisplannen & Runbooks en over CCRC

Basisconcepten

Cybersecurity crisis management is het geheel van processen, besluitvormingsstructuren en communicatielijnen waarmee een organisatie een ernstig cyberincident beheerst, beperkt en te boven komt. Het gaat verder dan technische respons: het omvat ook bestuurlijke coördinatie, juridische verplichtingen, interne en externe communicatie, en het bewaken van de bedrijfscontinuïteit.

Niet elk incident is een crisis. Een incident wordt een crisis op het moment dat de impact de operationele veerkracht van de organisatie overstijgt — denk aan langdurige uitval van kritieke systemen, reputatieschade, aanzienlijke financiële gevolgen, of wanneer de situatie bestuurlijke aandacht vereist. Het vroegtijdig herkennen van die drempel is cruciaal.

Incident response is operationeel en technisch: het detecteren, indammen en verhelpen van een aanval. Crisismanagement is strategisch: het coördineren van de organisatie als geheel, het nemen van besluiten onder tijdsdruk en het managen van interne en externe stakeholders. Beide zijn noodzakelijk, maar vragen om verschillende rollen en vaardigheden.

Crisesteam & rollen

Een effectief crisisteam kent minimaal drie vaste rollen: een voorzitter, een logger en een communicatie-expert.

 

De voorzitter is de spil van het crisisteam. Dit is niet de CISO of de security-verantwoordelijke — die heeft tijdens een cybercrisis een eigen cruciale rol als inhoudelijk expert. De voorzitter moet iemand zijn met voldoende mandaat vanuit de directie om snel en daadkrachtig te kunnen handelen. Bij voorkeur zit de directie zelf níet in het crisisteam: dat vertraagt besluitvorming en trekt de top van de organisatie weg van hun eigen verantwoordelijkheden.

 

In plaats daarvan is de directie nauw betrokken via een vaste communicatielijn met de voorzitter. Cruciale besluiten worden inhoudelijk voorbereid door het crisisteam en vervolgens in afstemming met de directie genomen. Zo blijft de besluitvorming zowel snel als bestuurlijk gedragen.

 

De logger borgt de informatiehuishouding: een nauwkeurig tijdlijn van acties, besluiten en bevindingen is onmisbaar — zowel tijdens de crisis als achteraf voor evaluatie, verantwoording en eventuele juridische of toezichtsrelateerde verplichtingen.

 

De communicatie-expert beheert alle interne en externe berichtgeving. Tijdens een crisis is het risico op tegenstrijdige boodschappen groot; één centraal aanspreekpunt voorkomt verwarring en reputatieschade.

Afhankelijk van de aard van het incident worden aanvullende expertise aangehaakt, zoals juridische en compliance-adviseurs, IT/security-operaties, HR of operations.

De praktijk wijst steeds op dezelfde valkuilen: te laat escaleren, onduidelijke besluitvormingslijnen, slechte interne communicatie, het uitstellen van externe meldingen (waaronder wettelijk verplichte meldingen bij toezichthouders), en het ontbreken van een vooraf bepaald communicatieprotocol. Veel van deze fouten zijn vermijdbaar met goede voorbereiding.

BOB-methode

BOB staat voor Beeldvorming, Oordeelsvorming en Besluitvorming. Het is een gestructureerde gespreksmethode die crisisteams helpt om onder tijdsdruk geordend tot besluiten te komen. Door de drie fasen bewust te scheiden, voorkomt een team dat het te snel naar oplossingen springt voordat er een gedeeld beeld van de situatie bestaat.

In de Beeldvormingsfase staat één vraag centraal: wat weten we? Het team verzamelt feiten, signalen en onzekerheden zonder oordeel. Doel is een gedeeld situatiebewustzijn — iedereen aan tafel moet hetzelfde beeld hebben voordat verdere stappen worden gezet.

In de Oordeelsvormingsfase wordt het beeld geïnterpreteerd: wat betekent dit? Welke opties liggen er? Welke risico's kleven aan elke keuze? Dit is de fase van analyse en afweging — niet van beslissen.

In de Besluitvormingsfase wordt op basis van het gedeelde beeld en de afgewogen opties een besluit genomen. De voorzitter sluit de fase expliciet af met een helder besluit, inclusief wie wat doet en binnen welke termijn.

Tijdens een cybercrisis staat een team onder extreme druk: informatie is onvolledig, emoties lopen hoog op en iedereen heeft een mening. Zonder structuur ontstaan er tunnelvisie, dominante sprekers die de discussie bepalen, en besluiten die worden genomen vóórdat het team het eens is over de feiten. BOB doorbreekt dit patroon. Door de fasen expliciet te benoemen — 'we zitten nu in de beeldvorming, oordelen bewaren we voor straks' — bewaakt de voorzitter de kwaliteit van het besluitvormingsproces, ook wanneer de druk het hoogst is

BOB is niet bedoeld voor elke operationele beslissing — dat zou het proces vertragen. Het is het meest waardevol op de momenten dat het crisisteam bij elkaar komt voor een gezamenlijk overleg: bij de eerste crisisbijeenkomst om de situatie te duiden, bij elk volgend crisisoverleg om besluiten te actualiseren, en bij cruciale keuzemomenten zoals het al dan niet betalen van losgeld, het informeren van klanten of het offline halen van systemen. Juist die besluiten verdienen een gestructureerd proces.

De voorzitter is de bewaker van het BOB-proces. Het is zijn of haar taak om de fasen actief te bewaken, deelnemers terug te brengen als ze te vroeg naar oplossingen springen, en elke fase expliciet af te sluiten voordat de volgende begint. Een effectieve voorzitter mengt zich zo min mogelijk inhoudelijk in de discussie — die rol is procesmatig, niet inhoudelijk. Dat is precies waarom de CISO of de security-verantwoordelijke geen voorzitter moet zijn: die heeft te veel inhoudelijke betrokkenheid om het proces objectief te bewaken.

De Logger

De logger is een van de drie minimaal vereiste rollen binnen een crisisteam, maar wordt in de praktijk nog weleens onderschat. De kern van de rol is tweeledig: alles vastleggen wat er gebeurt, én de voorzitter ontlasten van operationele taken zodat die volledig strategisch kan blijven sturen. Een voorzitter die zelf notities maakt, vergaderingen plant en acties bewaakt, is geen voorzitter meer — die is aan het administreren. De logger voorkomt dat.

De logger houdt tijdens elk crisisoverleg een nauwkeurig en gestructureerd logboek bij. Dat omvat: genomen besluiten (inclusief wie het besluit heeft genomen en op basis van welke informatie), uitgezette acties (inclusief eigenaar en deadline), de tijdlijn van gebeurtenissen, vastgestelde feiten én expliciete aannames. Het onderscheid tussen feiten en aannames is cruciaal — in een crisis werkt een team vaak op onvolledige informatie, en het is belangrijk dat dit traceerbaar blijft.

De logger stopt niet als het overleg eindigt. Na elk overleg stelt de logger een beknopt verslag op dat de besluiten, acties en de actuele stand van zaken samenvat — dit verslag vormt de basis voor het volgende overleg. Daarnaast organiseert de logger het vervolgoverleg: tijdstip, deelnemers, agenda. Tussendoor bewaakt de logger actief de opvolging van uitgezette acties: zijn eigenaren aan de slag? Worden deadlines gehaald? Waar is bijsturing nodig? Dit wordt teruggekoppeld aan de voorzitter.

De voorzitter heeft tijdens een crisis één primaire taak: strategisch sturen. Dat lukt alleen als die niet wordt afgeleid door operationele beslommeringen. Door de logger al het logistieke en administratieve werk uit handen te nemen — vastlegging, verslaglegging, actiebewaking, overlegorganisatie — wordt de voorzitter vrijgehouden voor waar het om gaat: situatiebeoordeling, besluitvorming en afstemming met de directie. De logger is in die zin de stille motor achter een goed functionerend crisisteam.

Het crisislogboek van de logger is na afloop van een incident meer dan een intern document. Bij een onderzoek door een toezichthouder, een juridische procedure of een NIS2-verantwoording biedt een goed bijgehouden logboek het bewijs van aantoonbaar handelen: welke besluiten zijn wanneer genomen, op basis van welke informatie, en wie daarvoor verantwoordelijk was. Organisaties die tijdens een crisis geen gestructureerde vastlegging hebben, staan achteraf met lege handen — zelfs als ze inhoudelijk de juiste keuzes hebben gemaakt.

Professionele loggers werken bij voorkeur met dedicated crisismanagement software in plaats van losse Word-documenten of notitieblokken. Zulke tools bieden een gestructureerde omgeving voor het vastleggen van besluiten, acties, tijdlijnen en feiten — met een real-time overzicht dat alle crisisteamleden tegelijk kunnen inzien.

Bekende voorbeelden:

  • CrisisSuite (Nederlands, van Merlin Software) — all-in-one platform voor de Nederlandse markt, ondersteunt BOB en biedt modules voor alarmering en actiebeheer.
  • D4H — internationaal platform, sterk in real-time samenwerking en aanpasbare dashboards per crisistype.
  • Noggin — combineert crisismanagement met bedrijfscontinuïteitsplanning en dreigingsintelligentie, schaalbaar voor grote organisaties.
  • Everbridge — voor grote organisaties, met gecentraliseerde crisisrespons en interactieve dashboards.

Voor kleinere organisaties of oefensituaties kan ook worden gewerkt met een gestructureerd logboek in Microsoft OneNote of SharePoint — mits de structuur vooraf goed is afgesproken. De tool is een middel, geen doel: wat telt is dat de vastlegging volledig, gestructureerd en herleidbaar is.

Voorbereiding & Oefenen

Voorbereiding bestaat uit vier pijlers: (1) een actueel en getest crisisplan, (2) duidelijke rollen en besluitvormingslijnen, (3) regelmatige oefeningen — bij voorkeur realistische scenario-oefeningen — en (4) een cultuur waarin incidenten tijdig worden gemeld. Een organisatie die nooit heeft geoefend, ontdekt haar kwetsbaarheden op het slechtst mogelijke moment.

Een cybercrisisoefening simuleert een realistisch aanvalsscenario om te toetsen hoe mensen, processen en systemen reageren onder druk. De waarde zit niet alleen in het blootleggen van technische lacunes, maar juist in het testen van besluitvorming, communicatie en samenwerking. Een goede oefening levert meer bruikbare inzichten op dan een jaar aan beleidsdocumenten.

Ja. Voor organisaties die vallen onder de NIS2-richtlijn is oefenen geen vrijblijvende best practice, maar een aantoonbare verplichting. In het Nederlandse Cyberbeveiligingsbesluit (de AMvB die NIS2 uitwerkt) staat in artikel 9 lid 3 expliciet dat essentiële en belangrijke entiteiten een vastgesteld bedrijfscontinuïteitsplan moeten hebben, dat plan moeten toepassen in geval van een incident, én dat plan periodiek moeten testen.

 

De wet vraagt dus niet alleen om het hebben van een plan — ze vraagt om bewijs dat het werkt. Organisaties die wel een crisisplan op de plank hebben liggen maar nooit hebben geoefend, voldoen daarmee formeel niet aan de NIS2-vereisten.

'Aantoonbaar' is het sleutelwoord. Toezichthouders kunnen vragen om te laten zien dat oefeningen daadwerkelijk hebben plaatsgevonden en dat de uitkomsten zijn gebruikt om de organisatie te verbeteren. In de praktijk betekent dit:

 

  • Documentatie van oefeningen: datum, deelnemers, scenario, bevindingen en opvolging.
  • Periodieke herhaling: een eenmalige oefening twee jaar geleden volstaat niet; de wet veronderstelt een terugkerend ritme.
  • Betrokkenheid van de juiste niveaus: een puur technische oefening is onvoldoende. NIS2 richt zich op de organisatie als geheel, inclusief bestuurlijk niveau.
  • Aantoonbare verbeteringen: bevindingen uit oefeningen moeten aantoonbaar hebben geleid tot aanpassingen in het plan of de organisatie.

Een goed gedocumenteerde cybercrisisoefening is daarmee niet alleen een leermiddel — het is ook een verantwoordingsdocument richting toezichthouders.

Wet- en Regelgeving

Dat hangt af van de sector en de aard van het incident. Onder de AVG geldt een meldplicht bij de Autoriteit Persoonsgegevens binnen 72 uur bij een datalek met risico voor betrokkenen. Organisaties die vallen onder de NIS2-richtlijn hebben aanvullende meldverplichtingen bij significante incidenten. Juridisch advies tijdens een crisis is dan ook geen luxe, maar een noodzaak.

Cybercrisis vs Andere Crises

Bij een brand, een stroomstoring of een bedrijfsongeval is de oorzaak doorgaans snel zichtbaar en de omvang redelijk snel te bepalen. Bij een cybercrisis is dat fundamenteel anders. De aanval is onzichtbaar begonnen — soms weken of maanden eerder — en de werkelijke omvang is op het moment van ontdekking zelden bekend. Een crisisteam opereert daardoor in diepe onzekerheid: wat is er precies geraakt, hoe ver reikt de impact, en is de aanvaller nog actief in de systemen? Die onzekerheid maakt cybercrises in besluitvormingstermen bijzonder complex.

De basisstructuur — voorzitter, logger, communicatie-expert — is bij alle crises gelijk. Wat verschilt is de inhoudelijke samenstelling van het team. Bij een brand of bedrijfsongeval zijn veiligheidskundigen, arbo-specialisten en facility management de kern. Bij een cybercrisis is security-expertise onmisbaar: de CISO of een gelijkwaardige rol speelt een centrale inhoudelijke rol. Daarnaast is bij een cybercrisis de betrokkenheid van juridische expertise en externe forensische specialisten vaak al in een vroeg stadium noodzakelijk — bij andere crisistypen komt dat doorgaans pas later.

Een brand is geblust of niet. Een stroomstoring is opgelost zodra de stroom terugkeert. Een cybercrisis kent zelden zo'n helder eindpunt. Systemen herstellen is technisch complex en tijdrovend. Maar nog belangrijker: zolang niet volledig in kaart is gebracht hoe de aanvaller is binnengekomen, welke systemen zijn geraakt en of er nog achterdeurtjes open staan, is herstel riskant. De crisisperiode — en daarmee de druk op het crisisteam — kan dagen tot weken aanhouden. Dat vraagt om een ander soort uithoudingsvermogen dan bij acute fysieke crises.

Bij een brand of groot bedrijfsongeval is externe communicatie relatief eenduidig: er is een zichtbare gebeurtenis, en de omgeving begrijpt wat er is gebeurd. Bij een cybercrisis is communicatie strategisch een stuk ingewikkelder. Te vroeg of te gedetailleerd communiceren kan de aanvaller informatie geven over wat er wel of niet is ontdekt. Tegelijkertijd zijn er wettelijke meldplichten — onder AVG en NIS2 — die communicatie binnen strikte termijnen vereisen. En anders dan bij fysieke crises speelt bij cybercriminaliteit ook de vraag: communiceren we over een aanval waarvan we de dader nog niet kennen, en die misschien nog gaande is?

Ja, en dat is een onderschat kenmerk. Een brand treft in de eerste plaats het eigen gebouw. Een cybercrisis — zeker bij ransomware of supply chain-aanvallen — kan snel overslaan naar klanten, leveranciers en ketenpartners. Denk aan een softwareleverancier die gehackt wordt en daarmee honderden klantorganisaties raakt, of aan een aanval op een havenbeheerder die de logistieke keten platlegde. Die ketenimpact vereist crisiscoördinatie die de eigen organisatiegrenzen overstijgt — iets wat bij de meeste andere crisistypen minder snel speelt.

Deels. De bestuursstructuur, de escalatielogica en de communicatieprincipes zijn generiek toepasbaar. Maar een crisisplan dat is ingericht op fysieke incidenten schiet op drie punten tekort bij een cybercrisis: het mist technische beslisbomen voor digitale scenario's, het houdt geen rekening met de specifieke meldplichten onder NIS2 en AVG, en het gaat er vaak van uit dat de communicatie-infrastructuur zelf intact is. Juist bij een cybercrisis kan e-mail, telefonie of het interne netwerk onderdeel zijn van het probleem — en moet het crisisteam terugvallen op vooraf afgesproken alternatieve communicatiekanalen.

Crisisplannen & Runbooks

Een crisisplan beschrijft de bestuursstructuur en organisatie rondom een crisis: wie zit er in het crisisteam, hoe wordt er geëscaleerd, wie communiceert naar buiten, welke meldplichten gelden er en hoe worden besluiten genomen. Het is het strategische kader waarbinnen een crisis wordt gemanaged.

 

Een runbook is operationeel en technisch: het beschrijft stap voor stap welke handelingen worden uitgevoerd bij een specifiek type incident — zoals het isoleren van een geïnfecteerd systeem, het resetten van accounts of het activeren van een backupomgeving. Waar het crisisplan het 'wie en hoe' van de organisatie regelt, regelt het runbook het 'wat en wanneer' van de technische respons.

Zo kort als mogelijk, zo volledig als noodzakelijk. Een crisisplan dat niet wordt gelezen, heeft geen waarde — en dikke documenten worden in de praktijk zelden gelezen, laat staan tijdens de stress van een crisis. Een werkbaar crisisplan past bij voorkeur op een beperkt aantal pagina's en bevat alleen wat het crisisteam op het moment van de crisis daadwerkelijk nodig heeft: rollen, escalatielijnen, besluitmandaten en communicatieprotocollen. De rest is bijlage.

Een crisiskaart is een compacte samenvatting van het crisisplan voor een specifiek scenario — idealiter één A4 of één schermvullende pagina. Het bevat de meest kritische informatie: welk type incident is dit, wie activeer je als eerste, wat zijn de eerste drie acties, wie heeft welk mandaat en welke meldplichten gelden er?

 

Een crisisteamlid dat onder druk staat heeft geen tijd om een document van dertig pagina's door te spitten. Een crisiskaart geeft in één oogopslag houvast. De praktijk leert dat een goede crisiskaart meer waard is dan een uitgebreid plan dat in een la verdwijnt.

De meeste cybercrises vallen binnen vijf herkenbare scenario's. Voor elk daarvan is een aparte crisiskaart zinvol:

  • DDoS – systemen of diensten worden onbereikbaar gemaakt door een overweldiging van verkeer.
  • Datalek – ongeautoriseerde toegang tot of diefstal van persoonsgegevens of vertrouwelijke informatie, met directe AVG-meldplicht.
  • Ransomware – systemen worden versleuteld en gegijzeld, vaak gecombineerd met datadiefstal en afpersing.
  • Ketenaanval – de aanval loopt via een leverancier, partner of softwareleverancier en raakt de eigen organisatie indirect.
  • APT (Advanced Persistent Threat) – een geavanceerde, langdurige aanval waarbij een actor zich verborgen houdt in de systemen, vaak gericht op spionage of sabotage.

Deze vijf scenario's dekken het overgrote deel van de cybercrises die organisaties in de praktijk treffen. Per scenario verschilt de prioritering van acties, de samenstelling van het crisisteam en de communicatiestrategie.

Crisisteamleden moeten hun crisisplan of crisiskaart altijd binnen handbereik hebben — ook buiten kantooruren, ook als de systemen plat liggen. De meest praktische oplossing is een beveiligd digitaal document op de eigen telefoon, of beschikbaar via een vooraf ingericht beveiligd kanaal zoals Signal met alle crisisteamleden. Zo is de informatie altijd bereikbaar, ook wanneer e-mail of het interne netwerk niet beschikbaar zijn.

 

Een papieren uitdraai in een tas lijkt praktisch, maar kent serieuze nadelen: het document raakt verouderd, gaat verloren of wordt gestolen. Crisisplannen bevatten doorgaans zeer gevoelige informatie — escalatielijnen, mandaathouders, technische contacten en privégegevens van crisisteamleden. Een kwijtgeraakt crisisplan is daarmee zelf een beveiligingsincident.

Een crisisplan veroudert snel: mensen wisselen van rol, systemen veranderen en dreigingen ontwikkelen zich. Plan daarom vaste momenten in om het plan te reviewen — minimaal één keer per jaar, en altijd na een oefening of een echt incident. Koppel de review aan een concrete eigenaar. Een crisisplan zonder eigenaar is een document in verval. De crisiskaarten per scenario kunnen sneller worden bijgewerkt dan het volledige plan — dat maakt ze ook in onderhoud praktischer.

Over CCRC

De missie van CCRC is om organisaties en hun ketens weerbaarder te maken tegen de groeiende dreiging van cybercriminaliteit. Wij geloven dat echte cyberweerbaarheid niet stopt bij de grenzen van één organisatie — het gaat om de keten als geheel. CCRC helpt organisaties om die ketenverantwoordelijkheid te nemen, te begrijpen en structureel in te vullen.

CCRC ziet een wereld waarin organisaties niet reactief, maar proactief omgaan met cyberdreigingen — niet omdat het wettelijk verplicht is, maar omdat ze begrijpen hoe kwetsbaar onderlinge afhankelijkheden zijn. Onze visie is dat cyberweerbaarheid een gedeelde verantwoordelijkheid is: tussen afdelingen, tussen organisaties en tussen sectoren. Alleen wie de keten kent, kan de keten beschermen.

Ketenweerbaarheid betekent dat niet alleen uw eigen organisatie bestand is tegen een cyberaanval, maar ook de leveranciers, afnemers en partners waarmee u samenwerkt. Een organisatie kan intern uitstekend beveiligd zijn en toch zwaar getroffen worden via een kwetsbare leverancier of partner. CCRC helpt organisaties om die onderlinge afhankelijkheden in kaart te brengen en als keten gezamenlijk sterker te staan.

Veel organisaties weten niet precies welke ketenpartners een kritische rol spelen in hun bedrijfsvoering — en dus ook niet waar de grootste kwetsbaarheden liggen. CCRC brengt dit systematisch in kaart: welke partijen zijn onmisbaar? Welke digitale koppelingen bestaan er? Waar zitten de zwakste schakels? Die analyse vormt de basis voor gerichte maatregelen en een gezamenlijke aanpak van ketenrisico's.

Volwassen crisismanagement is geen eindbestemming, maar een groeipad. CCRC begeleidt organisaties stap voor stap: van het in kaart brengen van de huidige situatie, via het opstellen of aanscherpen van crisisplannen en het inrichten van de juiste rollen en structuren, tot het ontwerpen en faciliteren van realistische oefeningen. Wij meten de voortgang, zorgen voor borging en helpen organisaties om van elke oefening én elk incident te leren.

Cybercrises komen in vele vormen: ransomware, datalekken, DDoS-aanvallen, sabotage via een leverancier, of een aanval op kritieke infrastructuur. Weerbaar zijn voor elke vorm betekent dat een organisatie niet voor elk scenario een apart plan nodig heeft, maar beschikt over een robuuste crisisstructuur die flexibel genoeg is om met elk type incident om te gaan. CCRC helpt organisaties die structurele weerbaarheid op te bouwen — los van het specifieke scenario.

CCRC werkt voor organisaties die een kritische rol spelen in hun sector of keten — van financiële instellingen en zorgorganisaties tot industriële bedrijven, overheidsinstanties en logistieke dienstverleners. Wat onze opdrachtgevers gemeen hebben, is dat een cybercrisis bij hen niet alleen de eigen organisatie raakt, maar direct gevolgen heeft voor klanten, partners of de samenleving.

CCRC combineert drie expertisegebieden die zelden in één partij samenkomen: diepgaande kennis van offensive security en red teaming, brede ervaring in crisismanagement en oefenontwerp, en een expliciete focus op de keten in plaats van de individuele organisatie. Wij adviseren niet vanuit theorie, maar vanuit de praktijk van echte aanvallen, echte crises en echte oefeningen.