TL;DR: Herstel na een hack duurt niet uren maar weken tot maanden en omvat zes fasen: forensisch onderzoek, systeemwederopbouw, credential-reset, communicatie met stakeholders, juridische en verzekeringsafhandeling, en structurele verbetering. In België loopt de NIS2-meldplicht parallel via het CCB (24 uur, 72 uur, 1 maand, eindrapport). Een gestructureerde aanpak verkort de hersteltijd en beperkt de totale schade aanzienlijk.
De eerste 48 uur na een cyberaanval zijn chaotisch. Systemen isoleren, bewijsmateriaal veiligstellen, meldingen versturen. Maar wat daarna komt, is waar de werkelijke uitdaging ligt. Volgens het IBM Cost of a Data Breach Report (2025) bedraagt de gemiddelde kost van een datalek in de Benelux 6,24 miljoen dollar, ruim boven het wereldwijde gemiddelde van 4,44 miljoen dollar. Het grootste deel van die kost ontstaat niet in de eerste crisisuren, maar in de weken en maanden erna: het hersteltraject.
Zoekt u informatie over de eerste crisisreactie? Lees dan eerst Bedrijf gehackt? Dit zijn de eerste 7 stappen die u moet nemen. Wilt u zich voorbereiden op incidenten vóór ze plaatsvinden? Dan is ons artikel over het opstellen van een incident response plan het juiste vertrekpunt. Dit artikel richt zich op wat er ná die eerste 48 uur gebeurt: de recovery-fase die weken tot maanden duurt.
Het NIST-framework als kapstok voor uw herstelproces
In april 2025 publiceerde het National Institute of Standards and Technology (NIST) de definitieve versie van SP 800-61 Revision 3. Deze nieuwe versie integreert incidentrespons volledig in het Cybersecurity Framework (CSF) 2.0, met zes kernfuncties: Govern, Identify, Protect, Detect, Respond en Recover. De belangrijkste verschuiving ten opzichte van eerdere versies is dat herstel niet langer een geïsoleerd IT-project is, maar een integraal onderdeel van uw bedrijfsbrede risicobeheer.
Wat betekent dat concreet? Uw herstelfase is pas afgesloten wanneer u niet alleen systemen opnieuw draait, maar ook hebt aangetoond dat de herstelde omgeving voldoet aan uw geactualiseerde beveiligingsnormen. Voor Vlaamse KMO’s die onder de NIS2-wet vallen, sluit dit naadloos aan bij de Belgische conformiteitsvereisten via het CCB.
De zes fasen die we hieronder beschrijven, volgen deze NIST-logica: van technisch onderzoek tot structurele verbetering. Elke fase heeft een eigen tijdlijn, eigen verantwoordelijken en eigen valkuilen.
Fase 1: forensisch onderzoek afronden (week 1 tot 3)
Zodra de directe dreiging is ingeperkt, begint het forensisch onderzoek. Het doel is drieledig: begrijpen hoe de aanvaller is binnengekomen, welke systemen en data zijn geraakt, en of er nog restanten van de aanval aanwezig zijn.
Forensische experts analyseren logbestanden, netwerkverkeer en systeemartefacten om de zogenaamde attack chain te reconstrueren. Dat begint bij Patient Zero (het eerste gecompromitteerde systeem) en volgt de laterale bewegingen van de aanvaller door uw netwerk. Moderne aanvallers gebruiken steeds vaker legitieme beheertools om onder de radar te blijven, een techniek die bekendstaat als living off the land. Dat maakt het onderzoek tijdintensief: reken op twee tot drie weken voor een middelgroot bedrijf.
De resultaten van dit onderzoek zijn cruciaal voor drie doelen. Ten eerste vormen ze de basis voor uw verzekeringsclaim. Cyberverzekeraars eisen forensisch bewijs om een claim te onderbouwen. Lees meer over wat een cyberverzekering in België wel en niet dekt. Ten tweede hebt u dit rapport nodig voor de NIS2-rapportage aan het CCB. Ten derde levert het onderzoek de objectieve onderbouwing voor budgetverschuivingen richting cybersecurity, iets wat IT-managers vaak nodig hebben om de directie te overtuigen.
Wanneer schakelt u externe hulp in? Als uw bedrijf geen eigen forensische capaciteit heeft (en dat geldt voor de meeste KMO’s), doet u dat bij voorkeur vanaf dag één. In België kunt u terecht bij CERT.be voor technische bijstand bij actieve incidenten. Bij vermoedens van computercriminaliteit meldt u het incident ook bij de Federal Computer Crime Unit (FCCU) van de federale politie. De chain of custody (de bewijsketen) moet waterdicht zijn: elk bewijsstuk moet traceerbaar en ongewijzigd blijven, anders verliest het zijn juridische waarde.
Fase 2: systemen rebuilden en herstellen (week 1 tot 6)
De wederopbouw van uw IT-omgeving is de meest zichtbare en arbeidsintensieve fase. De kernvraag is: herstellen vanuit backups, of volledig opnieuw opbouwen?
Bij grootschalige ransomware-aanvallen geniet de clean slate-benadering vaak de voorkeur: volledig opnieuw bouwen in plaats van een mogelijk gecompromitteerde omgeving terugzetten. De reden is eenvoudig: aanvallers kunnen persistente toegangsmechanismen (backdoors, nieuwe adminaccounts, web shells) achtergelaten hebben die bij een eenvoudige restore meekomen. Hebt u een solide backupstrategie? Verifieer dan eerst of uw backups schoon zijn voordat u ze terugzet. Onze gids over de 3-2-1-1-0 backupregel beschrijft hoe u dat structureel aanpakt.
De volgorde van herstel is niet willekeurig. Begin met uw identiteitsinfrastructuur: Active Directory (of Entra ID voor cloudomgevingen). Zolang uw identity-laag gecompromitteerd is, is niets wat u daarboven bouwt betrouwbaar. Daarna volgen uw business-kritische systemen (ERP, e-mail, productiesystemen) en tot slot data-herstel en minder kritieke applicaties.
Tijdens het rebuilden is hardening het sleutelwoord. Het is niet voldoende om systemen terug te brengen naar hun staat van voor de hack, ze moeten robuuster terugkomen. Dat betekent concreet: alle kritieke patches installeren, netwerksegmentatie implementeren of versterken, en Attack Surface Reduction-regels activeren die veelvoorkomende aanvalsvectoren blokkeren. Wie meer wil weten over de basis van een sterke beveiliging, leest ons artikel over de 10 fundamenten van cybersecurity.
Voor Vlaamse KMO’s die afhankelijk zijn van legacy-applicaties is dit extra uitdagend: u moderniseert terwijl de operatie langzaam weer opstart. Dat vereist nauwe afstemming tussen IT en de business om te bepalen welke systemen met voorrang hersteld worden.
Fase 3: credentials, sleutels en geheimen resetten (week 1 tot 4)
Bij vrijwel elke moderne cyberaanval richten hackers zich op de identiteitsinfrastructuur om volledige controle over het netwerk te krijgen, de zogenaamde domain dominance. Wanneer beheerdersaccounts zijn gecompromitteerd, is de integriteit van de volledige omgeving verloren.
De reset volgt een gelaagd model, waarbij u begint bij de accounts met de hoogste rechten:
Tier 0 (het controle-vlak): Domain Admin-accounts, het KRBTGT-account en AD FS/ADCS service-accounts. Het KRBTGT-account verdient bijzondere aandacht: dit account geeft Kerberos-tickets uit. Een dubbele reset van het KRBTGT-wachtwoord (met een interval van minimaal 12 uur) maakt alle bestaande tickets ongeldig, inclusief tickets die een aanvaller mogelijk heeft vervalst (Golden Tickets). Dit moet zorgvuldig gescript en getimed worden om verstoring voor legitieme gebruikers te beperken.
Tier 1 (het management-vlak): Serveradministrators, backup operators en alle lokale adminwachtwoorden. Implementeer LAPS (Local Administrator Password Solution) als dat nog niet het geval is, zodat elk systeem een uniek lokaal adminwachtwoord krijgt.
Tier 2 (gebruikers en applicaties): Geforceerde wachtwoordreset voor alle medewerkers, MFA verplichten op alle externe toegangspunten, en alle service-accounts, API-keys en cloud-credentials vernieuwen.
Wat vaak vergeten wordt: SaaS-integraties met opgeslagen OAuth-tokens, API-sleutels voor koppelingen met externe diensten, en VPN-certificaten. Maak een volledige inventaris van alle authenticatiemiddelen en reset ze systematisch. Eén gemist account kan een achterdeur openlaten.
Overweeg daarnaast de invoering van een Privileged Access Model (PAM): IT-beheerders voeren administratieve taken uit via aparte, zwaar beveiligde accounts en werkstations, niet via hun dagelijkse account waarmee ze ook e-mailen en surfen. Voor een KMO met een klein IT-team vergt dit een cultuuromslag, maar het is de effectiefste manier om laterale bewegingen van aanvallers in de toekomst te blokkeren.
Fase 4: klant- en leverancierscommunicatie afronden (week 1 tot 8)
In de eerste 72 uur na een incident gaat communicatie over crisisbeheersing: melden bij de autoriteiten, klanten informeren over directe risico’s, intern afstemmen. Maar in de weken daarna verschuift de communicatiebehoefte van crisisupdates naar strategisch reputatieherstel.
De Belgische markt is relatief klein. Reputatieschade verspreidt zich snel en kan langdurige gevolgen hebben voor uw orderportefeuille. Transparantie is het belangrijkste principe: organisaties die openlijk communiceren over de aard van de aanval en de stappen die ze nemen om herhaling te voorkomen, komen doorgaans sterker uit de crisis.
Per stakeholdergroep verschilt de aanpak:
Klanten verwachten voortgangsrapportages: welke data is geraakt, welke maatregelen zijn genomen, en wat zij zelf moeten doen (wachtwoord wijzigen, extra waakzaamheid). Na de initiële datalekmelding volgen vervolgvragen van de GBA (Gegevensbeschermingsautoriteit) die u tijdig en volledig moet beantwoorden.
Medewerkers verdienen erkenning. De herstelperiode gaat gepaard met hoge werkdruk, frustratie over trage systemen en onzekerheid. Communiceer transparant over de tijdlijn, bied ondersteuning en geef duidelijke instructies over nieuwe beveiligingsprocedures. Uw team is niet alleen een risicofactor, maar ook uw belangrijkste troef bij het herstel.
Leveranciers moeten weten of de aanval hun systemen of data raakt. Dit is met name relevant bij supply chain-incidenten, waar de aanvaller mogelijk via een gedeelde koppeling is binnengekomen.
Toezichthouders (CCB, GBA) verwachten gedetailleerde voortgangs- en eindrapportages volgens de wettelijke termijnen die we verderop beschrijven.
Fase 5: verzekering en juridische afhandeling (week 2 tot 12)
De juridische en verzekeringstechnische afhandeling is een traject dat maanden kan duren en vaak onderschat wordt.
Cyberverzekering: Verzekeraars eisen een gedetailleerd forensisch rapport, een overzicht van alle gemaakte kosten en bewijs dat u vóór het incident redelijke beveiligingsmaatregelen had getroffen. Het niet kunnen aantonen van “best-effort” beveiliging, denk aan het ontbreken van MFA, verouderde patches of niet-geteste backups, kan leiden tot gedeeltelijke of volledige weigering van de uitkering. Documenteer daarom vanaf het eerste moment elke actie, elke kost en elke beslissing. Ons artikel over wat een cyberaanval echt kost beschrijft welke verborgen kosten u kunt verwachten.
Juridisch: Afhankelijk van de aard van het incident kan er sprake zijn van regres tegen IT-leveranciers die nalatig waren, vorderingen van betrokkenen wier data gelekt is, of contractuele aansprakelijkheid jegens klanten. Betrek uw juridisch adviseur vroeg in het proces.
NIS2-rapportage: De meldplicht stopt niet na de eerste 72 uur. De volledige tijdlijn beschrijven we hieronder.
Fase 6: lessons learned en structurele verbetering (week 4 tot 26)
De laatste fase is waar een incident transformeert van crisis naar strategisch voordeel. Volgens de NIST-filosofie is een incident pas afgesloten wanneer het heeft geleid tot een meetbare verbetering van uw weerbaarheid.
Start met een blameless post-mortem: een gestructureerde evaluatie waarbij het doel niet is om schuldigen aan te wijzen, maar om te leren. Welke aannames bleken niet te kloppen? Werden de besluitvormingslijnen gevolgd? Was de communicatie met het CCB efficiënt? Waren de backups werkelijk offline en bruikbaar?
Op basis van deze evaluatie actualiseert u uw incident response plan (IRP) en disaster recovery plan (DRP). De praktijk tijdens de hack heeft aangetoond waar de theorie tekortschoot. Daarnaast is dit het moment om uw risk register te updaten en een tabletop-oefening te plannen, een simulatie waarbij uw team een fictief incident doorloopt om de verbeterde procedures te testen. Dit is overigens ook een vereiste onder NIS2 artikel 21, lid 2, punt f: het testen van de effectiviteit van uw beveiligingsmaatregelen.
Volgens het IBM Cost of a Data Breach Report (2025) besparen organisaties die AI-gestuurde beveiligingstools inzetten gemiddeld 1,9 miljoen dollar per incident, voornamelijk door een kortere hersteltijd. De maanden na een hack zijn daarom het juiste moment om niet alleen gaten te dichten, maar ook strategisch te investeren in detectie en automatisering.
Voor Vlaamse bedrijven die onder NIS2 vallen, is dit ook het moment om uw CyberFundamentals-niveau (Basic, Important of Essential) te evalueren en eventueel certificeringstrajecten in gang te zetten. Dat versterkt niet alleen uw beveiliging, maar geeft u ook een aantoonbaar bewijs van compliance bij een toekomstige audit.
De NIS2-meldplicht tijdlijn in detail
De Belgische NIS2-wet verplicht essentiële en belangrijke entiteiten om significante incidenten te rapporteren via het platform van het CCB, Safeonweb@Work. De meldplicht volgt een gefaseerde tijdlijn die parallel loopt aan uw herstelproces:
| Rapportagetype | Termijn | Wat rapporteert u? |
|---|---|---|
| Early warning | Binnen 24 uur na detectie | Eerste indicatie van het incident, vermoeden van opzet, mogelijke grensoverschrijdende impact |
| Incident notification | Binnen 72 uur na detectie | Update van de situatie, ernst van het incident, indicatoren van compromittering (IOC’s) |
| Voortgangsrapport | Op verzoek van het CCB, of na 1 maand als het incident nog loopt | Gedetailleerde voortgang van de afhandeling |
| Eindrapport | Binnen 1 maand na de incident notification | Volledige analyse van de oorzaak, genomen maatregelen, geleerde lessen |
| Definitief rapport (bij doorlopend incident) | Binnen 1 maand na volledige afhandeling | Vervanger van het eindrapport als het incident langer dan een maand duurde |
Loopt het incident nog op het moment dat het eindrapport verschuldigd is? Dan dient u een voortgangsverslag in en volgt het definitieve rapport binnen één maand nadat de afhandeling volledig is afgerond.
Hoe verhoudt dit zich tot de GDPR-meldplicht? Als het incident ook persoonsgegevens raakt, moet u apart melding doen bij de GBA (Gegevensbeschermingsautoriteit), eveneens binnen 72 uur. De twee meldingen dienen verschillende doelen: NIS2 richt zich op continuïteit van dienstverlening, de GDPR op bescherming van persoonsgegevens. Bereid beide meldingen parallel voor en zorg dat de gerapporteerde feiten consistent zijn. Onze complete NIS2-gids beschrijft de volledige wettelijke context.
Wanneer bent u “volledig hersteld”?
Een veelgemaakte fout is om herstel te definiëren als “het moment dat de computers het weer doen”. Volledig herstel na een hack is pas bereikt wanneer vier criteria zijn vervuld:
Operationele stabiliteit: Alle systemen draaien op volle capaciteit met herstelde data-integriteit. Geen workarounds meer, geen tijdelijke oplossingen.
Gevalideerde veiligheid: Het forensisch onderzoek bevestigt dat de dreiging volledig is uitgeroeid. De hardening-maatregelen zijn geïmplementeerd en getest, bij voorkeur via een externe validatie-audit of pentest.
Wettelijke afsluiting: Alle rapportageverplichtingen aan het CCB en de GBA zijn voldaan. Er zijn geen lopende sanctieprocedures en de verzekeringsclaim is afgehandeld.
Organisatorische volwassenheid: Het personeel is getraind in de nieuwe procedures. Het incident response plan is geactualiseerd op basis van de werkelijke ervaringen. Er is een tabletop-oefening uitgevoerd.
In de praktijk betekent dit dat de herstelfase voor een Vlaamse KMO vaak pas 3 tot 6 maanden na het incident echt kan worden afgesloten. Volgens het IBM Cost of a Data Breach Report (2025) had slechts een derde van de getroffen organisaties hun systemen volledig hersteld op het moment van de studie, en duurde het bij de meesten meer dan 100 dagen. Herstel na een hack is een marathon, geen sprint.
Welke hulp roept u extern in, welke doet u intern?
Niet elke fase vereist externe expertise, maar bij de meeste KMO’s is het onrealistisch om het volledige traject intern af te leggen. Een pragmatische vuistregel:
Extern aangewezen: Forensisch onderzoek (gespecialiseerde tools en ervaring), Active Directory recovery bij complexe compromittering, juridisch advies rond NIS2 en GDPR-meldingen, en communicatiebegeleiding bij reputatiegevoelige incidenten.
Intern haalbaar (met begeleiding): Credential-resets (mits er een duidelijk draaiboek is), communicatie naar eigen medewerkers, kostenregistratie voor de verzekeringsclaim, en het organiseren van de blameless post-mortem.
Hybride: Systeemwederopbouw (uw IT-team doet het operationele werk, een externe partner begeleidt de hardening en valideert de resultaten), en het actualiseren van uw IRP en DRP.
België beschikt over een sterk ondersteunend ecosysteem: het CCB biedt via Safeonweb@Work richtlijnen en templates, CERT.be helpt bij actieve incidenten, en de GBA is het aanspreekpunt voor alles rond datalekken en persoonsgegevensbescherming. Daarnaast bieden sectorale federaties steeds vaker cybersecurity-richtlijnen aan die zijn afgestemd op specifieke sectoren.
Veelgestelde vragen over herstel na een hack
Hoe lang duurt het gemiddeld om volledig te herstellen na een cyberaanval?
Voor een middelgrote Vlaamse onderneming duurt het volledige hersteltraject doorgaans 3 tot 6 maanden. Volgens het IBM Cost of a Data Breach Report (2025) bedraagt de gemiddelde levenscyclus van een datalek 241 dagen, waarvan 60 dagen voor de inperking alleen. Veel hangt af van de omvang van het incident en de paraatheid van de organisatie.
Wat is het verschil tussen de NIS2-melding en de GDPR-melding na een hack?
De NIS2-melding gaat naar het CCB via Safeonweb@Work en richt zich op de continuïteit van uw dienstverlening. De GDPR-melding gaat naar de GBA en richt zich op de bescherming van persoonsgegevens. Beide hebben een termijn van 72 uur, maar dienen onafhankelijk van elkaar ingediend te worden.
Hoeveel tijd heb ik voor het NIS2-eindrapport?
U moet het eindrapport indienen binnen één maand na uw incident notification (de 72-uursmelding). Loopt het incident op dat moment nog? Dan dient u een voortgangsrapport in en volgt het definitieve rapport binnen één maand nadat de afhandeling volledig is afgerond.
Moet ik mijn systemen opnieuw opbouwen of kan ik herstellen vanuit backups?
Dat hangt af van de aard van de aanval. Bij ransomware-incidenten waar de integriteit van backups twijfelachtig is, geniet een volledige rebuild de voorkeur. Bij beperktere incidenten kan restore vanuit een geverifieerde schone backup volstaan. In beide gevallen is hardening na het herstel essentieel.
Wat als mijn cyberverzekering de claim weigert?
Verzekeraars kunnen claims weigeren als u niet kunt aantonen dat u vóór het incident redelijke beveiligingsmaatregelen had getroffen. Veelvoorkomende weigeringsgronden zijn het ontbreken van MFA, sterk verouderde patches of het niet testen van backups. Documenteer uw beveiligingsmaatregelen doorlopend, niet pas na een incident.
Wat kost het herstel na een hack voor een Vlaamse KMO?
De totale kost hangt sterk af van de omvang van het incident. Het IBM Cost of a Data Breach Report (2025) rapporteert een gemiddelde van 6,24 miljoen dollar voor de Benelux, maar dat omvat ook grote organisaties. Voor een middelgrote KMO liggen de directe herstelkosten (forensisch onderzoek, systeemherstel, juridisch advies) typisch tussen 50.000 en 250.000 euro, exclusief omzetverlies en reputatieschade. Lees onze analyse van de werkelijke kosten van een cyberaanval voor Belgische KMO’s.
Wanneer schakel ik CERT.be of de FCCU in?
CERT.be schakelt u in voor technische bijstand bij het beheersen van actieve incidenten. De FCCU (Federal Computer Crime Unit) contacteert u wanneer u aangifte wilt doen van computercriminaliteit. Beide kunnen parallel lopen: CERT.be helpt technisch, de FCCU onderzoekt strafrechtelijk.
Uw herstel begint bij de juiste begeleiding
Herstel na een hack raakt de kern van uw organisatie. Het is een traject dat technische diepgang, juridische zorgvuldigheid en menselijke begeleiding vereist. Cyberplan helpt Vlaamse bedrijven bij elke fase: van forensisch onderzoek en systeemherstel tot NIS2-rapportage en structurele verbetering.
Met een team van 22 gecertificeerde ethische hackers (OSCP, CISSP, CEH, CISM) en jarenlange ervaring met hersteltrajecten bij middelgrote bedrijven, bent u niet alleen wanneer het erop aankomt.
Is uw bedrijf gehackt of vermoedt u een incident? Bel onze 24/7 noodlijn. Onze experts schakelen onmiddellijk in om de schade te beperken en het hersteltraject te begeleiden.
Wilt u zich voorbereiden op een mogelijke aanval? Boek een kennismakingsgesprek en ontdek hoe een audit-gesprek klaarheid brengt over waar uw organisatie vandaag staat.
