Basisboek effectief herstellen van cyberincident

Het Nationaal Cyber Security Center (NCSC) heeft een “basisboek” herstellen van een cyberincident online gezet. In het document licht het NCSC toe wat het belang van herstel is, hoe je dat inricht en welke maatregelen je kunt nemen om effectief te herstellen van cyberincidenten.

Digitale Overheid

28 mei 2024

Cyberweerbaarheid

Cybersecurity

4 stappen

Het vermogen te herstellen van cyberincidenten is een voorwaarde om digitaal weerbaar te zijn. Maar herstel omvat meer dan back-ups. Weten wat je moet beschermen, welke middelen je daarvoor nodig hebt en hoe je je herstel uitvoert en oefent is noodzakelijk. Daarom is het goed om je voor te bereiden in vier stappen.

Stap 1: Weet wat je moet beschermen

Het is onmogelijk om je organisatie volledig te beschermen tegen elke vorm van uitval of dreiging . Het is daarom verstandig potentiële dreigingen en de effecten daarvan op je organisatie vroegtijdig te identificeren. Maak een bedrijfsimpactanalyse (BIA). Deze kun je downloaden (1) via de website van de Informatiebeveiligingsdienst.

Stap 2: Ontwikkel een herstelplan

Met de inzichten uit de BIA heb je de tools in handen om te bouwen aan het herstelplan. Een herstelplan is een document waar richtlijnen in staan die beschrijven hoe je na een cyberincident snel weer de werkzaamheden kunt hervatten. Het herstelplan is als het ware het draaiboek dat tijdens een cyberincident gebruikt wordt om effectief en snel te kunnen herstellen. Er staan onder andere rollen en verantwoordelijkheden, scenario’s en een back-up strategie in beschreven.

Stap 3: Oefen, test en train het herstel

Wanneer je alles op papier hebt gezet is het van belang om de plannen te oefenen en testen. Oefenen zorgt ervoor dat de mensen die het herstel uitvoeren ook leren hoe zij als team effectief kunnen optreden. Oefenen kan in diverse vormen. Denk aan een tabletop oefening (2), oefening met live herstel of meedoen aan de Overheidsbrede Cyberoefening. (3)

Stap 4: Leer van het incident

Cyberincidenten zijn leerzaam. Als het puin is geruimd, het incident verholpen is en de bedrijfsprocessen weer door kunnen, is het tijd om na te gaan welke lessen daaruit getrokken kunnen worden.

Het gehele basisboek (4) is te raadplegen via de website van het NCSC.

(1) https://www.informatiebeveiligingsdienst.nl/product/bedrijfsimpactanalyse-bia/

(2) https://www.informatiebeveiligingsdienst.nl/aanmeldformulier-table-top/

(3) https://www.weerbaredigitaleoverheid.nl/

(4) https://www.ncsc.nl/wat-kun-je-zelf-doen/weerbaarheid/herstellen/herstel-van-een-cyberincident

Gerelateerd nieuws

Nieuwe Dataverordening treedt in werking: grote gevolgen voor bedrijven en aanbieders van digitale diensten

12 september 2025

Sinds 12 september 2025 is de Europese Dataverordening (Data Act) van kracht. Deze nieuwe wetgeving moet het delen en gebruik van data stimuleren, de positie van gebruikers van verbonden apparaten en clouddiensten versterken en oneerlijke contractvoorwaarden tegengaan. Tijdens onze kennissessie lichtte Jan Baas, advocaat/partner bij La Gro, de belangrijkste veranderingen toe.

Data & Privacy

Persoonsgegevens of anonieme gegevens?

10 september 2025

In een recente uitspraak van het Hof van Justitie van de Europese Unie (EDPS v GAR) is een belangrijke stap gezet in de discussie over pseudonieme, anonieme en persoonsgegevens. Het Hof bevestigt wat velen in het veld al langer betoogden: gepseudonimiseerde gegevens kunnen onder bepaalde omstandigheden wél persoonsgegevens zijn voor de verstrekker, maar géén persoonsgegevens zijn voor de ontvanger. De kwalificatie van gegevens hangt af van de concrete omstandigheden en de positie van de ontvanger. Deze benadering wordt ook wel aangeduid als de contextuele benadering en speelt een belangrijke rol bij de vraag: is de AVG van toepassing?

Data & Privacy

Ontslaat het pseudonimiseren van gegevens mijn onderneming van de verplichtingen op grond van de AVG?

1 september 2025

Het blijft een uitdaging: welke gegevens worden aangemerkt als persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG)? Onlangs boog de Rechtbank Midden-Nederland zich over dit vraagstuk, specifiek met betrekking tot de zogenoemde HoNOS+-gegevens. Deze gegevens zeggen iets over de geestelijke en sociale toestand van cliënten. Het oordeel van de rechtbank? Deze gegevens zijn géén persoonsgegevens, waarom niet? Lees hieronder de blog van advocaat bij Elferink & Kortier Advocaten, Tom Boitelle.

Data & Privacy

NIS2: risicoanalyse van eigen organisatie helpt om grip te krijgen op leveranciersmanagement

27 augustus 2025

De Europese NIS2-richtlijn heeft als doel de digitale weerbaarheid van organisaties én hun toeleveranciers te versterken. Dat betekent dat bedrijven niet alleen hun eigen cyberrisico’s moeten begrijpen, maar ook die van hun toeleveranciers. Dit roept bij veel organisaties een belangrijke vraag op: wat betekent dit nu voor ons leveranciersmanagement?

Data & Privacy

Meer nieuws