Melding maken van een cyberincident wat moet u doen

Stap 1 detecteer en bevestig

Leg vast wat u ziet. Welke systemen, diensten en locaties zijn geraakt. Voorkom dat u bewijs overschrijft door te snel te herstellen.

• Bewijs borgenLogbestanden, alerts, tijdlijn, betrokken accounts, getroffen assets, indicatoren.
• Eerste scopeWat is geraakt, wat is niet geraakt, wat is onzeker.

Stap 2 bepaal of het significant is

Een incident is in de praktijk significant als het een ernstige verstoring kan veroorzaken, financiële verliezen kan veroorzaken, of anderen kan raken door aanzienlijke materiële of immateriële schade.

Stap 3 beperk impact en stabiliseer

Neem maatregelen die verdere schade beperken. Denk aan isoleren, credentials resetten, blokkeren van laterale beweging en veilig herstel.

• ContainmentSegmenteren, blokkeren, tijdelijke workarounds en extra monitoring.
• ContinuiteitPrioriteer de dienst die maatschappelijk of contractueel het zwaarst weegt.

Stap 4 meld volgens de fasen

Meld tijdig via de route die voor uw sector geldt. U geeft eerst een vroege waarschuwing en volgt daarna met een uitgebreidere melding en een eindverslag.

• Vroegtijdige waarschuwingBreng CSIRT en toezichthouder op de hoogte en vraag bijstand als nodig.
• Melding met updateInitiele beoordeling, ernst, impact en indicatoren voor aantasting.
• EindverslagOorzaak, genomen maatregelen, herstelstatus en lessen.

Significante impact op uw dienst

Denk aan uitval, ernstige prestatie degradatie, verlies van controle over systemen, of verstoring die u niet snel kunt stabiliseren.

• Duur en bereikHoe lang en hoeveel gebruikers, klanten of processen worden geraakt.
• ContinuiteitIs het een dienst die niet mag uitvallen of wettelijke taken raakt.

Schade voor anderen of keteneffect

Ook als uw eigen impact beheersbaar lijkt, kan het incident meldplichtig zijn door schade bij ketenpartners, klanten of publieke processen.

• Materiele schadeFinanciele schade, contractbreuk, productiestop, herstelkosten.
• Immateriele schadeVertrouwen, veiligheid, reputatie, maatschappelijke impact.

CSIRT route

Het CSIRT ondersteunt bij coordinatie, advies en informatie over dreigingen en incidenten. U meldt zodat bijstand en afstemming mogelijk is.

• Sector CSIRTUw sector kan een eigen CSIRT hebben, of gebruikmaken van het nationale CSIRT.
• OverheidGemeenten doorgaans via IBD, andere overheidsinstanties doorgaans via NCSC.

Toezichthouder route

Naast het CSIRT wordt de toezichthouder geinformeerd. Dat helpt bij toezicht, opvolging en indien nodig sectorbrede waarschuwingen.

• Bewijs van handelenU moet kunnen aantonen dat processen werken en dat u opvolgt.
• Let op sectorregelsSommige sectoren hebben extra regels of loketten.

Kerngegevens incident

• TijdlijnDetectie, eerste impact, escalatie momenten, containment stappen.
• Getroffen dienstenWelke diensten zijn geraakt en welke kritieke processen erachter zitten.
• Impact indicatieDuur, bereik, klanten, keten, financiele schade, veiligheidsrisico.

Technische en organisatorische gegevens

• Assets en systemenServers, endpoints, cloud, identity, netwerksegmenten.
• IndicatorenHashes, domeinen, ip adressen, accounts, log fragments.
• Acties tot nu toeContainment, patching, resets, herstelplan en status.

Contactpunten en communicatie

• Incident contactNaam, rol, bereikbaarheid, escalatie lijn.
• Interne communicatieWie mag extern spreken, welke boodschap, welke kanalen.
• Externe partijenLeveranciers, forensisch team, verzekeraar, juridische ondersteuning.

Datalek check

Controleer of er persoonsgegevens zijn gelekt of onrechtmatig beschikbaar zijn geweest. Als dat zo is, kan een AVG melding nodig zijn en kan informeren van betrokkenen nodig zijn bij hoog risico.

• Welke dataType persoonsgegevens, aantallen, gevoeligheid.
• RisicoKans op misbruik, impact op betrokkenen, maatregelen om risico te beperken.