Zo leg je in vier weken een fundament voor je Incident Response Plan

Het is maandagochtend. Ransomware heeft je organisatie platgelegd. Geen mail. Geen Teams. Geen toegang tot ERP. Gelukkig beschikt een medewerker nog over een uitgeprint Incident Response Plan. Alleen: het plan is drie jaar oud, geschreven door iemand die niet meer bij de organisatie werkt, en beschrijft een netwerk dat inmiddels allang anders in elkaar zit. Ondertussen tikt de klok door.

Dit is geen hypothetisch doemscenario. Het is de realiteit waar incidentcoördinatoren en strategische adviseurs regelmatig mee te maken krijgen wanneer zij organisaties ondersteunen tijdens een echte cybercrisis. Op papier is er vaak een plan. In de praktijk blijkt dat plan verouderd, onbekend of nooit getest.

1. Het plan is verouderd

Vaak is er wel iets vastgelegd. Alleen sluit dat niet meer aan op de werkelijkheid. Het is opgesteld op basis van een oude netwerkomgeving, verouderde systemen of verantwoordelijkheden die inmiddels zijn verschoven. Medewerkers zijn vertrokken, leveranciers vervangen en kritieke processen anders ingericht. Wie tijdens een crisis moet werken met verouderde informatie, verliest kostbare tijd.

2. Het plan is onbekend

Soms is het plan inhoudelijk nog bruikbaar, maar weet bijna niemand dat. De mensen die in actie moeten komen, hebben het document nooit écht gelezen, weten niet waar het staat of kennen hun rol onvoldoende. Op het moment dat snelheid cruciaal is, ontstaat twijfel.
Wie roept de crisis uit? Wie neemt besluiten? Wie informeert medewerkers, klanten en partners? Als dit vooraf niet scherp is, begint de verwarring direct.

3. Het plan is nooit getest

Een Incident Response Plan kan op papier logisch zijn en toch in de praktijk niet werken. Dat wordt pas duidelijk tijdens een oefening. Werkt het out-of-band communicatiekanaal daadwerkelijk? Krijg je de crisiscel snel genoeg bij elkaar? Blijft besluitvorming overeind onder druk? Zonder testen blijven dit aannames. En zodra een echt incident zich voordoet, neemt improvisatie het over.

Start bij het zwartste scenario

Veel organisaties schrijven hun Incident Response Plan vanuit een beheersbaar scenario. Een applicatie valt uit. Een leverancier is tijdelijk niet beschikbaar. Een proces loopt vertraging op. Bij ransomware werkt dat vertrekpunt niet.

Dan moet je uitgaan van het tegenovergestelde: alles ligt plat. Geen mail, geen telefonie, mogelijk geen ERP en beperkte zekerheid over welke systemen nog te vertrouwen zijn.

Vanaf dat moment verandert ook de vraag. Het gaat niet direct om volledig herstel, maar eerst om overleven. Hoe kom je operationeel de dag door? Welke bedrijfsprocessen moeten als eerste weer op gang komen? Hoe organiseer je besluitvorming en communicatie wanneer de normale middelen niet beschikbaar zijn?

Dat klinkt ingrijpend, maar een bruikbaar Incident Response Plan hoeft niet perfect te zijn. Juist in een crisis is werkbaarheid belangrijker dan volledigheid.

Een werkbaar fundament in vier weken

Organisaties hebben geen maanden nodig om een eerste, bruikbaar fundament voor hun Incident Response Plan te leggen. Wie scherp kiest en klein begint, kan in vier weken al een groot verschil maken.

Week 1: prioriteer processen

De eerste week draait om focus. Welke drie bedrijfsprocessen zijn zo kritisch dat de organisatie ze bij een incident als eerste moet herstellen? Niet tien, niet vijf, maar drie. Daarnaast moet per proces duidelijk zijn wat het minimale operationele niveau is, hoeveel uitval acceptabel is en wie verantwoordelijk is voor herstel en besluitvorming.

Week 2: breng afhankelijkheden in kaart

In week twee verschuift de aandacht naar afhankelijkheden. Voor elk proces wordt inzichtelijk welke mensen, systemen, databronnen en externe partijen nodig zijn om het draaiend te houden. Juist hier blijkt vaak hoe kwetsbaar organisaties zijn. Processen zijn beschreven voor de situatie waarin alles werkt, maar niet voor het moment waarop IT wegvalt. Daarom is ook relevant hoe een proces tijdelijk zonder digitale ondersteuning kan functioneren.

Week 3: maak een compact plan

De derde week staat in het teken van het plan zelf. Dat hoeft geen uitgebreid draaiboek van tientallen pagina’s te zijn. Vaak zijn twee compacte documenten al voldoende. Het eerste beschrijft wat er in het eerste uur moet gebeuren: wie een crisis mag uitroepen, hoe de crisiscel wordt samengebracht, welk out‑of‑band communicatiekanaal wordt gebruikt en wie de regie voert over herstel en besluitvorming. Het tweede richt zich op de eerste vierentwintig uur: wat is bevestigd, wat is nog onzeker, welke workarounds worden opgestart, wie informeert welke stakeholders en welke acties mogen niet worden uitgesteld om te voorkomen dat de situatie verder verslechtert.

Week 4: test het plan

De vierde week draait om testen. Een Incident Response Plan dat nooit is geoefend, blijft een aanname. Twee korte tabletop-oefeningen zijn vaak voldoende om de belangrijkste zwakke plekken zichtbaar te maken. De eerste oefening toetst of de organisatie binnen vijftien minuten een crisis kan uitroepen en de juiste mensen bij elkaar krijgt. De tweede oefening laat zien of het team onder druk prioriteiten kan stellen en besluiten durft te nemen, zonder te verzanden in overleg.

Ook de directie moet aangehaakt zijn

Een belangrijk voordeel van deze aanpak is dat incident response geen puur IT-onderwerp blijft. In veel organisaties zijn plannen zo technisch ingestoken dat bestuurlijke betrokkenheid ontbreekt. Terwijl de meest impactvolle beslissingen tijdens een crisis zelden technisch zijn.

Welke processen moeten als eerste terug? Welke risico’s accepteert de organisatie tijdelijk? Wat communiceren we naar medewerkers, klanten en partners? En wie neemt daarover het besluit? Zonder actieve betrokkenheid van directie en bestuur blijft incident response per definitie onvolwassen.

Zodra een Incident Response Plan wordt opgebouwd rond bedrijfsprocessen, prioriteiten en communicatie, ontstaat die betrokkenheid wel. En die is essentieel in een serieuze crisis.

Paraatheid wint van perfectie

Wie verder wil groeien in volwassenheid, zal uiteindelijk investeren in zaken als Business Impact Analyse, actuele documentatie, duidelijke rolverdelingen en periodieke oefeningen. Maar dat mag geen reden zijn om te wachten op het perfecte plan.

De eerste stap is kleiner en praktischer dan veel organisaties denken. Het doel is niet een document dat in theorie alles afdekt, maar dat je tijdens een crisis niet vanaf nul hoeft te beginnen. Dat je weet wie moet aanhaken, hoe je elkaar bereikt als de standaardmiddelen uitvallen en welke processen als eerste weer op gang moeten komen.

Daarvoor zijn vier weken genoeg.

Plan een kennismaking

Wil je sparren over hoe jouw organisatie een werkbaar Incident Response Plan kan opzetten of aanscherpen? We kijken graag mee hoe dit er in jouw context uit kan zien.