NL
NL
Boek een kennismaking
Blog

Incident response plan opstellen: 6 stappen voor Vlaamse KMO’s

Stel een incident response plan op in 6 stappen. Leer wat NIS2 verplicht, wie in uw team hoort en hoe u het plan test met tabletop-oefeningen.
Belgisch crisisteam bespreekt incident response plan aan vergadertafel in modern kantoor

TL;DR: Een incident response plan (IRP) beschrijft vooraf wie wat doet bij een cyberaanval, zodat uw bedrijf snel en gestructureerd reageert in plaats van in paniek te improviseren. De zes stappen van het NIST-framework (voorbereiding, detectie, analyse, inperking, herstel en evaluatie) vormen de ruggengraat. Onder NIS2 is een gedocumenteerd IRP verplicht voor essentiële en belangrijke entiteiten in België.

Stel u voor: op maandagochtend opent uw IT-manager zijn laptop en ziet dat alle bedrijfssystemen zijn versleuteld. Klanten kunnen niet factureren, productie ligt stil, en de telefoon rinkelt onophoudelijk. Wie belt u eerst? Wie beslist of u de servers afsluit? En hoe meldt u dit binnen 24 uur aan het CCB, zoals de wet vereist?

Als u nu moet nadenken over die antwoorden, heeft u een probleem. Want een incident response plan stelt u niet op tijdens de crisis, maar lang ervoor. Dit artikel legt uit hoe u als Vlaamse KMO een werkbaar plan opstelt dat zowel uw bedrijf als uw wettelijke verplichtingen beschermt.

Wat is een incident response plan?

Een incident response plan is een gedocumenteerd draaiboek dat beschrijft hoe uw organisatie reageert op een cybersecurity-incident. Het legt vast welke rollen en verantwoordelijkheden er zijn, welke stappen het team doorloopt, en hoe de communicatie verloopt naar interne en externe partijen.

Het cruciale verschil met reactief handelen: een IRP wordt opgesteld wanneer er geen crisis is. U denkt helder na, weegt opties af, en documenteert beslissingen. Vergelijk het met een brandveiligheidsplan: u hangt de evacuatiekaart niet op terwijl het gebouw al in brand staat.

Zonder een geschreven plan vertrouwt uw organisatie op improvisatie onder stress. Dat leidt tot tragere reactietijden, duurdere schade en grotere juridische risico’s. Uit het IBM Cost of a Data Breach Report 2025 blijkt dat organisaties die hun incident response plan regelmatig testen en een voorbereid team inzetten, gemiddeld 80 dagen sneller een incident inperken en aanzienlijk lagere herstelkosten rapporteren.

Wordt u toch onverwacht getroffen? Volg dan ons 7-stappenplan voor acute respons. Maar het doel van dit artikel is juist om die paniek te voorkomen.

Waarom verplicht NIS2 een incident response plan?

De Belgische NIS2-wet (wet van 26 april 2024) maakt een gedocumenteerd incident response plan de facto verplicht voor alle essentiële en belangrijke entiteiten. Artikel 21 schrijft voor dat organisaties “passende en evenredige technische, operationele en organisatorische maatregelen” nemen, waaronder expliciet “incidentenbehandeling” en “bedrijfscontinuïteit”.

Zonder een geschreven plan kunt u bij een inspectie door het CCB (Centrum voor Cybersecurity België) niet aantonen dat u deze processen structureel uitvoert. En dat kan duur uitvallen: essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.

Maar de verplichting gaat verder dan het plan zelf. Artikel 31 van de Belgische NIS2-wet legt de verantwoordelijkheid voor cybersecuritymaatregelen expliciet bij het bestuursorgaan. Bestuurders moeten cybersecurity-opleidingen volgen en kunnen bij ernstige nalatigheid persoonlijk aansprakelijk worden gesteld.

Het CyberFundamentals (CyFun) framework van het CCB vertaalt deze wettelijke eisen naar concrete controles. Vanaf het Basic-niveau worden standaardmaatregelen voor incidentrespons verwacht. Op Important-niveau is een formeel IRP vereist, inclusief regelmatige training van het incidentteam en gedetailleerde communicatieprocedures.

Meer over de volledige scope van NIS2-verplichtingen leest u in onze uitgebreide gids.

De 6 stappen van een effectief incident response plan

Het NIST Cybersecurity Framework structureert incidentrespons in een cyclus van zes fasen. Voor een KMO met 50 tot 250 medewerkers is het essentieel om dit framework te vertalen naar een werkbare realiteit, zonder de kern te verliezen.

Stap 1: voorbereiding

Voorbereiding is het fundament van elk incident response plan. In deze fase stelt u uw Cyber Incident Response Team (CIRT) samen, traint u medewerkers en implementeert u de basiscontroles die snelle respons mogelijk maken.

Voor de meeste KMO’s is een fulltime security-team niet realistisch. Werk daarom met een virtueel CIRT: aangewezen personen uit IT, HR, juridische zaken en management die bij een incident samenkomen. Leg vast wie de teamleider is en wie de beslissingsbevoegdheid heeft om bijvoorbeeld systemen offline te halen.

Zorg ook voor een “jump bag”: een fysieke of digitale map met essentiële documenten die offline beschikbaar is wanneer het netwerk plat ligt. Denk aan contactlijsten, netwerkdiagrammen, contracten met leveranciers, en verzekeringspolissen.

En maak vooraf afspraken met een externe incident response partner die kan opschalen wanneer uw eigen IT-capaciteit tekortschiet. Tijdens een crisis is het te laat om nog leveranciers te vergelijken.

Stap 2: detectie

Hoe sneller u een incident detecteert, hoe kleiner de schade. Deze fase draait om het herkennen van afwijkingen in uw systemen: ongebruikelijke inlogpogingen, verdacht netwerkverkeer, onverklaarbare bestandswijzigingen.

Voor KMO’s zijn Endpoint Detection and Response (EDR) tools een haalbare oplossing. Deze software monitort alle eindpunten (laptops, servers, mobiele apparaten) en waarschuwt bij verdacht gedrag. Overweeg ook een Security Operations Center (SOC) as-a-service als uw team geen 24/7 monitoring kan garanderen.

Een veelvoorkomende fout: logs worden niet lang genoeg bewaard. Zorg dat uw logbestanden minimaal 90 dagen beschikbaar blijven, zodat onderzoekers achteraf kunnen reconstrueren wat er precies is gebeurd.

Stap 3: analyse en classificatie

Niet elk verdacht signaal is een crisis. In deze stap beoordeelt uw team de ernst van het incident en bepaalt het de juiste respons.

Gebruik een eenvoudig classificatiesysteem:

  • Kritiek: bedrijfskritieke systemen zijn getroffen, data is mogelijk gelekt, onmiddellijke escalatie nodig
  • Hoog: belangrijke systemen zijn getroffen maar de impact is beperkt
  • Gemiddeld: verdachte activiteit gedetecteerd, onderzoek nodig maar geen directe bedreiging
  • Laag: vals alarm of minimale impact

De classificatie bepaalt ook of u een NIS2-melding moet doen. Een incident is “significant” wanneer het onder meer leidt tot ernstige operationele verstoring, financieel verlies boven 250.000 euro, of impact op derden.

Stap 4: inperking

Zodra de ernst vaststaat, is het doel om de schade te beperken zonder bewijsmateriaal te vernietigen. Dat klinkt eenvoudig, maar in de praktijk maken organisaties hier de meeste fouten.

Concrete acties bij inperking:

  • Isoleer getroffen systemen van het netwerk (trek de netwerkkabel eruit, maar zet de computer niet uit: het werkgeheugen bevat waardevolle sporen)
  • Blokkeer gecompromitteerde accounts
  • Wijzig wachtwoorden van beheerdersaccounts
  • Schakel toegang van derden tijdelijk uit

Belangrijk: documenteer elke actie die u neemt. Dit is niet alleen nuttig voor het herstel, maar ook verplicht voor de NIS2-meldingen en eventueel strafrechtelijk onderzoek.

Stap 5: herstel

Na de inperking verwijdert u de dreiging volledig (malware wissen, backdoors sluiten, kwetsbaarheden patchen) en herstelt u systemen vanuit schone back-ups. Test na herstel grondig of de dreiging daadwerkelijk is verdwenen voordat u systemen weer in productie neemt.

Definieer vooraf twee kernwaarden:

  • Recovery Time Objective (RTO): hoeveel uur of dagen mag het duren voordat een systeem weer operationeel is?
  • Recovery Point Objective (RPO): hoeveel dataverlies is acceptabel? Een uur? Een dag?

Deze waarden bepalen uw back-upstrategie. Meer over het beschermen van back-ups tegen ransomware leest u in onze praktische gids.

Stap 6: evaluatie en verbetering

De fase die het vaakst wordt overgeslagen, maar die NIS2 en CyFun expliciet vereisen. Na elk incident (of na een oefening) evalueert u wat goed ging, wat fout ging, en wat er moet veranderen.

Stel binnen twee weken na het incident een “lessons learned”-rapport op:

  • Wat was de oorzaak?
  • Hoe snel werd het gedetecteerd?
  • Werkten de communicatielijnen?
  • Waren de contactgegevens up-to-date?
  • Welke stappen kosten onnodig veel tijd?

Dit rapport wordt de input voor een update van uw IRP. Zo wordt elke crisis (of oefening) een leermoment dat uw weerbaarheid structureel versterkt.

Wat moet erin staan? De essentiële elementen

Een effectief IRP hoeft geen boekwerk van honderd pagina’s te zijn. Voor een KMO volstaat een beknopt maar compleet document met deze kernelementen:

Contactboom: een lijst met alle interne en externe contactpersonen, inclusief vervangers. Denk aan de CIRT-leden, uw IT-partner, juridisch adviseur, verzekeraar, en de Belgische meldpunten (zie hieronder). Bewaar deze lijst ook op papier of op een apparaat dat niet aan het bedrijfsnetwerk hangt.

Escalatiematrix: wie escaleert naar wie, bij welke classificatie? De IT-manager hoeft de CEO niet te bellen voor een vals alarm, maar bij een ransomware-aanval moet de directie binnen het uur op de hoogte zijn.

Communicatieprotocol: hoe communiceert u intern als e-mail en Teams onbruikbaar zijn? Welke boodschap gaat naar klanten, leveranciers en de pers? Stel sjablonen vooraf op, zodat u bij een crisis niet onder druk teksten hoeft te schrijven.

Meldingsprocedure: de NIS2-termijnen concreet uitgewerkt:

  • Binnen 24 uur: early warning aan het CCB via Safeonweb@Work
  • Binnen 72 uur: volledige incidentmelding met beoordeling van ernst en impact
  • Binnen 1 maand: eindverslag met oorzaakanalyse en genomen maatregelen

Bij een datalek met persoonsgegevens meldt u ook bij de GBA (Gegevensbeschermingsautoriteit), binnen 72 uur na ontdekking.

Playbooks per scenario: werk de drie tot vijf meest waarschijnlijke scenario’s voor uw organisatie uit. Voor de meeste KMO’s zijn dat ransomware, Business Email Compromise (BEC), een datalek via een cloudleverancier, en phishing met credential theft.

Een cybersecurity audit is een ideaal startpunt om te bepalen welke scenario’s voor uw organisatie het meest relevant zijn.

Hoe test u uw plan? Tabletop-oefeningen

Een IRP dat in een lade verstofd, biedt schijnveiligheid. Tabletop-oefeningen zijn de meest toegankelijke manier om uw plan te testen zonder productiesystemen te raken.

Een tabletop-oefening is een geleide discussie waarin uw CIRT een fictief incident doorloopt. Een facilitator schetst een scenario (bijvoorbeeld: “Het is dinsdagochtend, uw boekhoudsoftware is versleuteld en de aanvaller eist 50.000 euro in Bitcoin”) en brengt gaandeweg nieuwe informatie in. Het doel is niet om het “juiste” antwoord te geven, maar om gaten in het plan bloot te leggen.

Wat test u specifiek?

  • Werken de escalatielijnen? Wordt de juiste persoon op het juiste moment geïnformeerd?
  • Heeft de beslisser (bv. de CEO) de bevoegdheid om snel te handelen, zoals de webshop offline halen?
  • Wat als Microsoft Teams of de centrale mailserver uitvalt? Hoe communiceert u dan?
  • Kent iedereen de 24-uurstermijn voor de CCB-melding?

Hoe vaak? Minimaal jaarlijks, en telkens na een significant incident of een grote wijziging in uw IT-omgeving. Onder CyFun Important-niveau is periodiek testen van het IRP een expliciete controle.

Tip: wissel de scenario’s af. Dit jaar ransomware, volgend jaar een BEC-aanval, het jaar erna een datalek via een leverancier. Zo traint u uw team op diverse dreigingen.

Belgische meldpunten: wie belt u bij een cyberincident?

Een incident response plan is waardeloos als de juiste telefoonnummers niet voor het grijpen liggen. In België is het landschap van incidentondersteuning gestructureerd rond het CCB en de politiediensten.

Instantie Rol Contact
CCB / CERT.be Nationaal CSIRT voor NIS2-meldingen en technische bijstand incident@ccb.belgium.be / +32 2 501 05 60 (24/7 voor spoed)
Safeonweb@Work Portaal voor registratie en incidentmelding notif.safeonweb.be
GBA Autoriteit voor datalekken (GDPR) gegevensbeschermingsautoriteit.be
Federale Politie (FCCU) Computercriminaliteit en aangifte Lokaal politiekantoor of police.be
Card Stop Blokkeren van betaalkaarten na phishing 078 170 170

Wanneer de politie inschakelen? Bij elke aanval waarbij u vermoedt dat er sprake is van een strafbaar feit (ransomware, fraude, datadiefstal). Aangifte is ook belangrijk voor verzekeringsclaims. De Computer Crime Units (FCCU en RCCU) zijn gespecialiseerd in digitaal sporenonderzoek.

Praktische tip van de politie: zet geïnfecteerde computers niet uit, maar trek de netwerkkabel uit de muur. Zo bewaart u de sporen in het werkgeheugen (RAM) die cruciaal zijn voor het onderzoek.

Veelgestelde vragen over incident response

Hoe vaak moet ik mijn incident response plan testen?

Minimaal één keer per jaar via een tabletop-oefening. Onder CyFun Important-niveau is periodiek testen een expliciete controle. Test daarnaast altijd na een werkelijk incident of na grote wijzigingen in uw IT-omgeving, zoals een migratie naar de cloud of een overname.

Wie hoort in het incident response team?

Een effectief CIRT bevat minimaal vijf rollen: een teamleider (vaak de IT-manager), een technisch specialist, een communicatieverantwoordelijke, een juridisch adviseur (of DPO), en een lid van de directie met beslissingsbevoegdheid. Bij een KMO combineren medewerkers vaak meerdere rollen.

Moet ik een incident melden bij het CCB?

Ja, als u een essentiële of belangrijke entiteit bent onder NIS2 en het incident “significant” is. De wet definieert criteria zoals ernstige operationele verstoring, financieel verlies boven 250.000 euro, of impact op derden. De eerste melding (early warning) moet binnen 24 uur.

Valt het opstellen van een IRP onder de KMO-portefeuille subsidie?

Ja. Het opstellen van een incident response plan als onderdeel van cybersecurity-advies komt in aanmerking voor de VLAIO KMO-portefeuille. Kleine ondernemingen krijgen 45% subsidie, middelgrote 35%. Via het VLAIO Cybersecurity Verbetertraject kunt u zelfs tot 50% subsidie ontvangen.

Wat is het verschil tussen een IRP en een business continuity plan?

Een IRP focust op de directe respons bij een cybersecurity-incident: detectie, inperking, communicatie en melding. Een Business Continuity Plan (BCP) is breder en beschrijft hoe uw organisatie doorwerkt bij elke verstoring, inclusief brand, overstroming of stroomuitval. Het IRP vormt de brug tussen detectie en activering van het BCP.

Hoelang duurt het om een incident response plan op te stellen?

Voor een KMO met 50 tot 150 medewerkers is een werkbaar IRP haalbaar binnen vier tot zes weken, inclusief een initiële risicobeoordeling en één tabletop-oefening. Met externe begeleiding kan het sneller. Houd er rekening mee dat het plan een levend document is dat jaarlijks wordt bijgewerkt.

Voorkom de paniek: begin vandaag

Een incident response plan opstellen is geen administratieve last, maar een investering die zich terugbetaalt bij het eerste incident. De combinatie van NIS2-verplichtingen, stijgende cyberaanvallen op Belgische KMO’s, en de persoonlijke aansprakelijkheid van bestuurders maakt uitstel steeds riskanter.

Cyberplan helpt Vlaamse KMO’s bij het opstellen en testen van een incident response plan als onderdeel van een cybersecurity audit. We vertalen de wettelijke eisen naar een werkbaar plan dat past bij uw bedrijfsgrootte en sector.

Wilt u weten hoe voorbereid uw organisatie is op een cyberincident? Boek een vrijblijvend kennismakingsgesprek en ontdek waar uw IRP staat ten opzichte van de NIS2-eisen.