Key takeaways
- Bij een incident doorloop je vijf stappen: beheers het incident, neem interne beslissingen, beoordeel de meldingsplicht, communiceer transparant en evalueer achteraf.
- Betrek de directie of zaakvoerder van bij het begin. Een cyberincident is geen IT-probleem, het is een managementvraagstuk.
- Ook als NIS2 niet rechtstreeks op jouw kmo van toepassing is, kan je meldingsplichtig zijn als onderdeel van een keten.
- Ook na het incident moet je evalueren. Alleen zo kan je lessons learned uit het incident halen en je organisatie versterken.
- Een draaiboek schrijf je voor het incident zich voordoet, niet erna.
Een onwetende medewerker opent een e-mail, klikt op een link en even later reageert het systeem traag. Of erger: bestanden zijn plots niet meer toegankelijk. Voor veel kmo’s begint een cyberincident precies op die manier; onverwacht en vooral, midden op een gewone werkdag.
Een cyberincident is elke gebeurtenis waarbij de veiligheid van je digitale systemen, gegevens of processen in gevaar komt. Dat kan gaan van een phishingmail die inloggegevens steelt tot ransomware die al je bestanden blokkeert.
De eerste reactie is dan vaak paniek. Dat is begrijpelijk. Wie geen plan heeft, maakt het probleem vaak onbewust groter. Systemen worden dan te laat afgekoppeld, de verkeerde mensen worden betrokken of de communicatie draait in het honderd. Dat kost de organisatie tijd, geld en op termijn vertrouwen.
In dit artikel lees je welke 5 stappen je helpen om een cyberincident beheerst aan te pakken en schade zo beperkt mogelijk te houden.
Waarom een gestructureerde aanpak belangrijk is
Een cyberaanval is per definitie stressvol. De druk is hoog, iedereen wilt weten wat er aan de hand is en je wilt communiceren zonder paniek te zaaien. Als er dan geen plan van aanpak klaarligt krijg je een recipe for disaster.
Een plan van aanpak brengt structuur die houvast biedt, en zorgt dat er geen stappen overgeslagen worden, ook onder druk. Je weet wie wanneer ingeschakeld of ingelicht moet worden, in welke volgorde en met welk doel. Dat beperkt niet alleen de technische schade, maar beschermt ook je reputatie en het vertrouwen van je klanten en partners.
Vijf stappen die je als kmo neemt bij een cyberincident
Stel: het is een doordeweekse dinsdagochtend. Een medewerker van je boekhoudafdeling opent een e-mail van een vertrouwde leverancier, of zo lijkt het toch. Hij klikt op een bijlage. Enkele minuten later werkt zijn computer traag. Een collega merkt dat ze plots geen bestanden meer kan openen. De map is er nog, maar de inhoud is onleesbaar geworden.
Wat er net gebeurde? Een ransomware-aanval. Iemand is er via die ene klik in geslaagd om al jullie bestanden te versleutelen. De aanvaller eist betaling om ze vrij te geven.
Dit is geen ver-van-mijn-bed-scenario. Het overkomt kmo’s van alle groottes en in alle sectoren. De vraag is niet of zoiets bij jou kan gebeuren, maar of je weet wat je moet doen wanneer het zover is.
1. Beheers het incident
De eerste prioriteit is altijd hetzelfde: voorkom dat dat schade groter wordt. Dat betekent dat je snel, maar wel doordacht moet handelen.
Koppel getroffen systemen zo snel mogelijk los van het netwerk en schakel daarbij ook de wifi uit op toestellen die mogelijk besmet zijn. Blokkeer eveneens verdachte accounts. Elke minuut dat een aanvaller toegang heeft, vergroot het risico.
Doe dit op een manier die de bedrijfsvoering zo min mogelijk verstoort. Niet elk systeem hoeft meteen offline. De focus ligt op het isoleren van het incident, niet op alles platleggen.
Zorg er overigens ook voor dat je niets wist of overschrijft. Sporen zijn waardevol, zowel voor het onderzoek achteraf, als voor een eventuele melding aan de toezichthouder.
2. Interne besluitvorming & escalatie
Een cyberincident is geen puur IT-probleem. Het raakt de kern van je bedrijf: je processen, je klantgegevens en je reputatie. Daarom moet de directie of zaakvoerder van het begin betrokken worden. Het is belangrijk dat er een cultuur heerst waarbij dit mogelijk is. Angst om het management te betrekken, maakt het risico alleen maar groter.
Bovendien moeten beslissingen snel genomen worden. Heeft het incident invloed op kritieke processen? Zijn er persoonsgegevens of andere kostbare data gelekt? Moet er een externe adviseur, een forensisch expert of de verzekeraar ingeschakeld worden?
Onder NIS2 ligt de verantwoordelijkheid voor cyberbeveiliging expliciet bij de directie. Maar ook zonder die verplichting geldt: wie de beslissingen neemt, moet op de hoogte zijn. Hoe sneller de juiste mensen rond de tafel zitten, hoe sneller doordacht gehandeld wordt.
3. Beoordeel de meldingsplicht
Niet elk incident moet gemeld worden, maar het is belangrijk om te weten wanneer dit wel moet.
Organisaties die rechtstreeks onder NIS2 vallen, zijn verplicht om te melden aan de bevoegde toezichthouder. In België is dat het CCB (Center voor Cybersecurity België). Daarbij gelden strikte termijnen; een eerste melding moet vaak binnen de 24 uur gebeuren.
Wanneer is een incident dan ernstig? Simpel gesteld:
Elk incident bij een bedrijf dat onder NIS2 valt dat:
- een verstoring van diensten veroorzaakt, OF
- financiële verliezen veroorzaakt, OF
- andere natuurlijk of rechtspersonen treft via aanzienlijke materiële of immateriële schade
Maar ook als NIS2 niet rechtstreeks op jouw kmo van toepassing is, kan je meldingsplichtig zijn. Lever je diensten aan een organisatie die wél onder NIS2 valt? Dan ben je als onderdeel van hun keten mogelijk mee verantwoordelijk.
Bovendien kan het zelfs als er geen verplichting is toch verstandig zijn om een melding te doen. Het CCB kan ondersteuning bieden én transparantie beschermt, ook naar klanten en partners toe, je reputatie op de lange termijn. Niet melden wanneer het wel verwacht wordt, kan het vertrouwen permanent beschadigen.
4. Communiceer op een transparante manier
Naast die formele meldingsplicht, is er nog een vorm van communicatie die vaak onderschat wordt: de communicatie naar je eigen mensen, klanten, partners, en eventueel de pers.
Wie mogelijk getroffen is, heeft het recht om dat te weten. Snel en helder communiceren voorkomt dat de geruchtenmolen draait en verhindert dat een verhaal via sociale media zijn eigen leven gaat leiden. Het toont dat je de situatie onder controle hebt.
Deze communicatie moet zorgvuldig opgesteld worden. Feitelijk, zonder onnodige details prijs te geven, maar ook zonder het probleem te minimaliseren. Dat evenwicht vinden is zeker niet altijd vanzelfsprekend. Ook hier ligt de verantwoordelijkheid niet bij IT, maar wel bij het management.
5. Evalueer en verbeter
Eens het incident weer onder controle is, stopt het proces niet. Integendeel, NIS2 verwacht dat organisaties leren uit incidenten. Los van die verplichting is een grondige evaluatie een verstandige keuze. Wat ging er mis? Welke maatregelen ontbraken? Hoe kon de aanvaller binnenkomen?
Analyseer je aanpak stap voor stap en stel vast waar de aanpak werkte, en waar die tekortschoot. Gebruik die inzichten dan om je beveiliging te versterken en je plan bij te sturen. Een incident is nooit aangenaam, maar wie er de juiste lessen uit trekt, staat daarna sterker.
Ebook
Cyberveilig ondernemen zonder IT-afdeling?
Download het ebook om meer te leren rond cyberveilig ondernemen, ook voor kleinere budgetten of kmo’s.
Wat maakt kmo’s extra kwetsbaar?
De vijf stappen hierboven klinken misschien logisch, maar in de praktijk zijn ze voor kmo’s vaak moeilijker uit te voeren dan bij grote organisaties (ondanks de grotere structuren).
De reden is eenvoudig: kmo’s hebben nu eenmaal minder mensen, minder middelen en zelden een dedicated security-verantwoordelijke. De day-to-day gang van zaken gaat pijlsnel. Er wordt snel geschakeld, verantwoordelijkheden liggen niet altijd vast en een formeel incidentplan ontbreekt.
Daar komt bij dat kmo’s steeds vaker onderdeel zijn van de keten van grotere organisaties. Die grote organisaties zijn onder NIS2 verplicht om hun toeleveranciers te screenen en aan te spreken op hun beveiliging. Als kmo kan je dus meldingsplichtig zijn of aangesproken worden op je securitybeleid, ook als NIS2 niet rechtstreeks op jou van toepassing is.
Voorkomen is beter dan reageren
Een cyberincident kan je niet altijd vermijden, maar je kan je er wel op voorbereiden.
Wie weet wat er moet gebeuren, wie er beslist en hoe er gecommuniceerd wordt, beperkt de schade aanzienlijk. Dat begint niet tijdens een incident, maar ver daarvoor. Documenteer dit voor het incident zich voordoet, Zo heb je een plan, of een draaiboek, wanneer de druk hoog is.
Bij Cingulum helpen we kmo’s om die voorbereiding concreet te maken. Van een eerste inschatting van je huidige beveiliging tot een helder plan van aanpak en de begeleiding om het uit te voeren. Zo hoef je niet te improviseren op het moment dat het er echt op aankomt.
Wil je weten waar je vandaag staat? Neem contact op voor een vrijblijvend gesprek.
Veelgestelde vragen
Ben ik als kmo verplicht een cyberincident te melden?
Ja, als kmo ben je in België in verschillende situaties wettelijk verplicht om een cyberincident te melden. Er was reeds de AVG (GDPR) die altijd van toepassing is (ongeacht de grootte van je kmo) en die eist dat elk datalek wordt gemeld waarbij persoonsgegevens (van klanten, van personeel of van derden) zijn gelekt, verloren gegaan of ingekeken door onbevoegden, en waarbij er een risico is voor de rechten en vrijheden van de betrokken.
Recenter is er ook NIS2, die eist dat elk significant cyberincident gemeld wordt indien je kmo binnen de scope van NIS2 valt of je kmo als onderdeel van een toeleveranciersketen door je klanten gevraagd wordt om cyberincidenten te melden.
