Hoe houd je koers als een cyberaanval alles onder druk zet?

In december 2023 werd Coaxis, een Franse IT-dienstverlener, getroffen door een ransomware-aanval. Wat volgde, raakte 350.000 bedrijven. Accountantskantoren, medische laboratoria en advocatenfirma’s konden niet meer bij hun systemen, hun data en hun dagelijkse werk. Voor Coaxis en zijn klanten begon daarna een fase waarin elke beslissing zwaar woog. Klanten wachtten op duidelijkheid. Systemen moesten veiliggesteld worden. De druk vanuit aanvallers, medewerkers, klanten en toezichthouders nam toe.

Besluiten nemen terwijl het beeld nog schuift

Een cybercrisis begint zelden met volledig overzicht. In de eerste uren weten teams vaak alleen dat er iets mis is. De omvang, oorzaak en impact worden pas later duidelijk. Toch moet de organisatie al richting geven.

Dat is precies waar veel organisaties kwetsbaar blijken. Een cybercrisis legt bloot of vooraf echt is nagedacht over besluitvorming. Technisch herstel, juridische zorgvuldigheid, klantcommunicatie en continuïteit vragen tegelijk aandacht. Als mandaat en prioriteiten ontbreken, moet het crisisteam tijdens de aanval alsnog bepalen wat zwaarder weegt. Daardoor gaat kostbare tijd verloren aan afstemming. Iedereen probeert zorgvuldig te handelen, terwijl de situatie vraagt om snelheid, rust en vertrouwen in eerder gemaakte keuzes.

Een incident response-plan helpt, maar alleen als de organisatie weet hoe het plan gebruikt moet worden wanneer de werkelijkheid afwijkt. En dat gebeurt bijna altijd.

Waarom druk besluitvorming moeilijk maakt

Onder druk worden normale afwegingen groter. Een update naar klanten kan vertrouwen geven, maar ook onrust veroorzaken als er nog weinig vaststaat. Een systeem uitzetten kan verdere schade beperken, maar raakt mogelijk direct de operatie. Externe hulp inschakelen kost geld en vraagt om toegang tot gevoelige informatie, terwijl snelle expertise juist nodig kan zijn om de aanval te stoppen.

Ook aangifte doen past in die bredere afweging. Het is een belangrijk onderdeel van de crisisaanpak, omdat het meteen gevolgen heeft voor bewijs, afstemming en communicatie. Je moet bewijs veiligstellen, verzekeraars en toezichthouders betrekken en zorgvuldig bepalen wat je intern en extern deelt.

Wie zulke keuzes pas tijdens het incident voor het eerst bespreekt, maakt het crisisteam onnodig kwetsbaar. De aanval zorgt al voor genoeg onzekerheid. De basis van besluitvorming moet dan juist vaststaan.

Hoe bereid je besluitvorming onder druk voor?

Een organisatie hoeft niet elk mogelijk scenario uit te schrijven. De praktijk is altijd rommeliger dan het draaiboek. Voorbereiding draait vooral om een paar afspraken die richting geven zodra de druk oploopt.

1. Leg vast wie mag beslissen

Een crisisteam moet weten wie de leiding neemt, wie technische maatregelen mag goedkeuren en welke besluiten naar directie of bestuur gaan. Dat geldt vooral voor keuzes met grote impact, zoals systemen offline halen, productie tijdelijk stilleggen, klanten actief informeren of externe incident response inschakelen.

Duidelijk mandaat voorkomt dat teams blijven wachten op toestemming. Het zorgt ook dat bestuurders betrokken zijn bij de besluiten die echt bestuurlijk gewicht hebben.

2. Maak opschaling concreet

Veel vertraging ontstaat doordat organisaties te lang in incidentmodus blijven hangen. Opschaling moet daarom gekoppeld zijn aan duidelijke signalen. Denk aan verstoring van kritieke systemen, mogelijke toegang tot klantdata, impact op dienstverlening, signalen van ransomware of afhankelijkheden in de keten.

Zodra zulke signalen optreden, moet het juiste team aan tafel zitten. Het liefst zo snel mogelijk, op het moment dat snelheid nog verschil maakt. Opschaling zorgt ervoor dat technische, juridische, operationele en communicatieve keuzes direct in samenhang worden genomen.

3. Bereid communicatie voor op onzekerheid

Tijdens een cyberincident groeit de behoefte aan duidelijkheid sneller dan het feitenbeeld. Intern willen mensen weten wat ze moeten doen. Buiten de organisatie ontstaat druk om iets te zeggen, ook wanneer nog niet alles zeker is.

Goede crisiscommunicatie hoeft in de eerste uren niet compleet te zijn. Ze moet wel betrouwbaar en bruikbaar zijn. De organisatie moet kunnen uitleggen wat bekend is, welke acties lopen, wat betrokkenen moeten doen en wanneer er een nieuwe update volgt.

Wie deze basis al heeft voorbereid, voorkomt dat communicatie tijdens de crisis eerder lijkt op een les improvisatietheater. Goede crisiscommunicatie neemt de onzekerheid niet weg, maar laat wel zien dat de organisatie grip houdt, verantwoordelijkheid neemt en betrokkenen serieus informeert. Dat kan veel verschil maken voor het vertrouwen dat klanten, medewerkers en andere stakeholders houden na het incident.

4. Bepaal vooraf de lijn rond aangifte, losgeld en externe hulp
Aangifte, losgeld en externe hulp raken meerdere belangen tegelijk. Juridisch, financieel, technisch en bestuurlijk. Daarom moet vooraf duidelijk zijn welke uitgangspunten gelden.

Bij losgeld draait de druk vaak om continuïteit. Als systemen stilliggen, back-ups ontbreken of herstel te lang duurt, kan betalen ineens als enige uitweg voelen. Juist daarom moet vooraf duidelijk zijn hoe back-ups zijn geregeld, hoe snel kritieke systemen kunnen worden hersteld en welke risico’s de organisatie nooit wil accepteren.

Ook aangifte vraagt om voorbereiding. De organisatie moet weten wanneer de politie wordt ingeschakeld, wie bewijs veiligstelt en hoe de afstemming met juridische adviseurs, verzekeraars en toezichthouders loopt.

Bij externe hulp gaat het om beschikbaarheid, toegang en snelheid. Daarom kan een zogenoemde incident response retainer rust geven: een vooraf gemaakte afspraak met een specialist die direct kan helpen bij een cyberincident. Zo is al duidelijk wie je belt, welke expertise beschikbaar is en hoe de eerste respons start.

5. Oefen met bestuurlijke spanning

Een oefening laat zien waar besluitvorming vastloopt. Vaak zit de zwakte niet in de techniek, maar in timing, mandaat, communicatie of samenwerking. Een goed voorbeeld van de voordelen daarvan zien we bij Defensie. Daar oefenen teams met waarschijnlijke scenario’s en met scenario’s met de zwaarste impact. Het doel is dat mensen kunnen handelen in de geest van het plan, ook wanneer het plan zelf tekortschiet.

Voor organisaties werkt dat op dezelfde manier. Een goede cybercrisisoefening maakt zichtbaar of bestuur, CISO, IT, legal, communicatie en operatie elkaar snel genoeg vinden. Daardoor worden afspraken scherper voordat echte schade ontstaat.