Cyberincident: Wat te doen in de eerste 24 uur (stappenplan 2026)

De eerste 30 minuten

De eerste 30 minuten na ontdekking van een cyberincident zijn cruciaal. Wat je in deze periode doet (of nalaat) bepaalt in grote mate de omvang van de schade. Dit is wat er moet gebeuren:

• Raak niet in paniek, maar handel snel. Een gestructureerde aanpak voorkomt fouten die de situatie verergeren.
• Activeer het incident response team. Als je dat hebt. Zo niet, wijs direct een coordinator aan en bel je IT-verantwoordelijke.
• Documenteer het tijdstip van ontdekking. Dit is juridisch relevant voor meldplichten.
• Maak een eerste inschatting: Wat is er gebeurd? Welke systemen zijn geraakt? Is er sprake van ransomware, datadiefstal, of een ander type incident?

In Nederland meldden organisaties in 2024 meer dan 25.000 datalekken bij de Autoriteit Persoonsgegevens. Het NCSC rapporteerde een recordaantal ransomware-incidenten bij Nederlandse bedrijven.

8-stappen stappenplan bij een cyberincident

Stap 1: Isoleer getroffen systemen

Koppel getroffen systemen los van het netwerk, maar zet ze niet uit. Uitzetten vernietigt mogelijk forensisch bewijs in het werkgeheugen (RAM). Haal de netwerkkabel eruit of schakel de Wi-Fi uit. Bij ransomware: isoleer ook de backup-systemen om te voorkomen dat die besmet raken.

Stap 2: Documenteer alles

Maak screenshots, noteer foutmeldingen, tijdstippen en welke systemen geraakt zijn. Gebruik een apart, niet-gecompromitteerd apparaat voor deze documentatie. Deze informatie is essentieel voor forensisch onderzoek en voor de verplichte melding bij de Autoriteit Persoonsgegevens.

Stap 3: Informeer het bestuur

Onder NIS2 zijn bestuurders persoonlijk aansprakelijk voor cybersecurity. Informeer het bestuur direct over het incident, de geschatte impact en de genomen stappen. Dit is geen formaliteit: het bestuur moet beslissingen nemen over communicatie, meldingen en eventuele bedrijfscontinuiteitsmaatregelen.

Stap 4: Schakel een forensisch specialist in

Een incident response team onderzoekt de oorzaak, omvang en impact van het incident. Ze bepalen hoe de aanvaller is binnengekomen, welke data mogelijk is gecompromitteerd en of de aanvaller nog actief is in het netwerk. Hoe eerder je dit team inschakelt, hoe meer bewijs beschikbaar is.

Stap 5: Beoordeel de meldplicht

Zijn er persoonsgegevens betrokken? Dan moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Bij NIS2-plichtige organisaties geldt daarnaast een vroegtijdige waarschuwing binnen 24 uur bij het CSIRT/toezichthouder. Documenteer je afweging, ook als je besluit niet te melden.

Stap 6: Communiceer gecontroleerd

Communiceer intern via een veilig kanaal (niet via de mogelijk gecompromitteerde mail). Extern: communiceer alleen feiten, geen speculaties. Bereid een persverklaring voor als het incident publiek wordt. Bij ransomware: communiceer niet met de aanvaller zonder overleg met juridisch adviseurs en het IR-team.

Stap 7: Start herstel en containment

Op basis van het forensisch onderzoek start je met containment (voorkomen dat de aanval zich verspreidt) en herstel (systemen schoonmaken en herstellen). Gebruik schone backups, verander alle wachtwoorden en sluit de misbruikte toegangswegen af. Ga pas live als het IR-team bevestigt dat de aanvaller eruit is.

Stap 8: Evaluatie en verbetering

Na het incident: evalueer wat er is gebeurd, wat goed ging en wat beter moet. Pas processen, technische maatregelen en het incident response plan aan. Dit is geen optionele stap: NIS2 vereist dat organisaties leren van incidenten en hun beveiliging continu verbeteren.

Wat je NIET moet doen bij een cyberincident

• Systemen uitzetten: dit vernietigt forensisch bewijs in het werkgeheugen. Isoleer ze in plaats daarvan.
• Losgeld betalen zonder overleg: betaling garandeert geen dataherstel en kan je organisatie markeren als "betalend doelwit" voor toekomstige aanvallen. Het NCSC en de politie raden betaling af.
• Zelf gaan "opruimen": ongecontroleerd bestanden verwijderen of systemen herinstalleren vernietigt bewijs en kan de situatie verergeren.
• Communiceren via gecompromitteerde kanalen: als je e-mail gehackt is, gebruik dan geen e-mail om over het incident te communiceren. De aanvaller leest mee.
• Het incident verzwijgen: naast de wettelijke meldplicht beschadigt verborgen houden het vertrouwen van klanten en partners langdurig als het later alsnog uitkomt.

Meldplicht in Nederland

Nederlandse organisaties hebben bij een cyberincident te maken met meerdere meldplichten:

• AVG/GDPR meldplicht: bij een datalek met persoonsgegevens moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Bij hoog risico voor betrokkenen moeten zij ook direct geinformeerd worden.
• NIS2/Cyberbeveiligingswet meldplicht: significante incidenten melden binnen 24 uur (vroegtijdige waarschuwing), 72 uur (vervolgmelding) en 1 maand (eindverslag) bij het sectorale CSIRT of toezichthouder.
• Aangifte bij politie: bij cybercrime (ransomware, hacking, afpersing) is aangifte bij de politie aan te raden. Dit helpt bij opsporing en kan relevant zijn voor verzekeringsclaims.

Wanneer een IR-team inschakelen?

Schakel direct een professioneel Incident Response team in wanneer:

• Er sprake is van ransomware of datadiefstal
• Je niet weet hoe de aanvaller is binnengekomen
• Je vermoedt dat de aanvaller nog actief is in het netwerk
• Meerdere systemen getroffen zijn
• Er persoonsgegevens of bedrijfskritieke data betrokken is
• Je interne team onvoldoende forensische expertise heeft

Een IR-retainer is verstandig: hiermee heb je vooraf afspraken over responstijden en kosten, zodat je bij een incident niet eerst contracten hoeft te regelen. DEFION biedt een Incident Response Retainer met gegarandeerde responstijden.

Kosten van een cyberincident

De kosten van een cyberincident gaan veel verder dan het directe herstel:

• Gemiddelde kosten datalek wereldwijd: €4,4 miljoen (IBM Cost of a Data Breach Report 2024)
• Gemiddelde downtime bij ransomware: 24 dagen (Coveware 2024)
• Gemiddeld losgeld in Europa: €250.000 - €1 miljoen voor middelgrote organisaties
• Verborgen kosten: reputatieschade, klantverlies, juridische procedures, hogere verzekeringspremies, toezichtboetes

Organisaties met een incident response plan en een IR-retainer besparen gemiddeld €2,66 miljoen per incident vergeleken met organisaties zonder (IBM 2024).

Veelgestelde vragen over cyberincidenten

Moet ik altijd aangifte doen bij de politie?

Aangifte is niet altijd verplicht, maar sterk aan te raden bij cybercrime. Het helpt bij opsporing, kan vereist zijn door je cyberverzekering en versterkt je juridische positie. De politie heeft gespecialiseerde teams (Team High Tech Crime) voor cyberzaken.

Moet ik losgeld betalen bij ransomware?

Het NCSC, de politie en de meeste security-experts raden betaling af. Betaling garandeert niet dat je data terugkrijgt (in 20% van de gevallen lukt decryptie niet ondanks betaling), financiert criminele organisaties en maakt je aantrekkelijker als toekomstig doelwit. Investeer liever in goede backups en incident response.

Hoe snel moet ik een datalek melden bij de AP?

Binnen 72 uur na ontdekking. Dit is een harde wettelijke deadline onder de AVG. Als je niet alle informatie hebt, meld dan wat je weet en vul later aan. Niet melden kan leiden tot boetes tot €20 miljoen of 4% van de jaaromzet.

Dekt mijn cyberverzekering de kosten?

Dat hangt af van je polis en of je aantoonbaar voldoende beveiligingsmaatregelen hebt getroffen. Steeds meer verzekeraars stellen eisen aan MFA, EDR, backupbeleid en patch management. Een pentest-rapport en een incident response plan versterken je positie bij een claim.

Hoe voorkom ik een volgend incident?

Investeer in preventie: regelmatige pentests, 24/7 monitoring (MDR), security awareness training, patch management en een getest incident response plan. De les van elk incident is dat voorbereiding goedkoper is dan herstel.