Het is vrijdagmiddag 16:00 uur. Een monteur belt: "Ik kan niet meer in de planning-app, er staat een raar bericht over losgeld." Tegelijkertijd meldt de administratie dat de server traag is. Paniek? Nee.

Als je een Incidentresponsplan hebt, is dit geen chaos, maar een procedure. Je pakt het plan, slaat pagina 1 open en je weet precies wie wat moet doen.

Onder de nieuwe wetgeving (NIS2 en AVG) is zo'n plan verplicht. Maar nog belangrijker: het zorgt dat je bedrijf niet omvalt als het noodlot toeslaat. In dit artikel lees je hoe je een plan maakt dat niet in een lade verstoft, maar werkt op de werkvloer.

1. Waarom een plan? (De "Rode Knop")

Bij een brand weet iedereen: breek het glaasje, druk op de knop, ga naar buiten. Bij een cyberaanval heerst vaak verwarring. Trekken we de stekker eruit? Bellen we de politie? Mag ik de computer uitzetten?

Een incidentresponsplan is eigenlijk die "rode knop". Het haalt de emotie uit de beslissing. Het doel is simpel: schade beperken en zo snel mogelijk weer draaien.

2. Wie doet wat? (Rollen & Respons)

In een crisis heb je geen tijd voor democratisch overleg. Wijs vooraf deze rollen toe (in een klein bedrijf kan één persoon meerdere rollen hebben):

1. De Incident Manager (De Baas): Vaak de directeur of operationeel manager.
• Taak: Hakt de knopen door. Beslist of de systemen plat gaan en of klanten worden geïnformeerd.
2. De Technische Lead (De Uitvoerder): Vaak de IT-partner of interne systeembeheerder.
• Taak: Isoleert het virus, dicht het lek en zet back-ups terug.
3. De Communicator:
• Taak: Informeert personeel, klanten en (indien nodig) de pers. Voorkomt dat monteurs op eigen houtje dingen op Facebook zetten.

Actie: Maak een Noodlijst. Zet hierop de 06-nummers van deze personen én de noodnummers van je IT-leverancier, softwarebouwer (ERP) en verzekeraar. Print dit uit (digitaal kun je er misschien niet bij!).

3. Het Stappenplan: Van Paniek naar Oplossing

Een goed plan volgt altijd deze 5 stappen. Zorg dat je IT-partner dit technisch invult, maar jij moet het proces bewaken.

Stap 1: Detectie (Er klopt iets niet)

Iemand ziet iets raars. Een muis die zelf beweegt, bestanden die niet openen, een phishing-mail waar op geklikt is.

• Instructie aan personeel: "Bij twijfel, ALTIJD melden. Je wordt niet boos aangekeken."

Stap 2: Analyse & Isolatie (Stop het bloeden)

Dit is de belangrijkste stap om schade te beperken.

• DOEN: Verbreek de verbinding met internet en wifi. Trek de netwerkkabel eruit.
• NIET DOEN: De computer uitzetten! (Tenzij de IT-er dit zegt). In het werkgeheugen zitten vaak sporen die nodig zijn voor onderzoek.
• Doel: Voorkom dat het virus overspringt naar de rest van het bedrijf of naar klanten.

Stap 3: Melding (De 24-uurs regel)

Onder NIS2 en AVG gelden harde deadlines.

• NIS2 (Cyberincident): Heb je een incident dat je bedrijfsvoering ernstig verstoort? Je moet binnen 24 uur een 'vroegtijdige waarschuwing' doen bij het CSIRT/NCSC (Computer Security Incident Response Team).
• AVG (Datalek): Zijn er persoonsgegevens gelekt? Melden bij de Autoriteit Persoonsgegevens binnen 72 uur.

Stap 4: Herstel (Terug naar normaal)

De IT-partner maakt de systemen schoon en zet de back-up terug.

• Let op: Gebruik nooit een back-up van na de besmetting. Check goed wanneer het incident begon.

Stap 5: Evaluatie (Leren)

Als het stof is neergedaald: hoe kon dit gebeuren? Was er geen MFA? Was de software verouderd? Pas je procedures aan.

4. Scenario’s uit de Installatiepraktijk

Schrijf voor deze veelvoorkomende situaties een korte instructie (half A4’tje).

Scenario A: De gestolen bus-laptop/tablet

• Directe actie: Monteur belt Incident Manager.
• IT actie: Voert 'Remote Wipe' uit (wist data op afstand) via MDM-software. Blokkeert direct de inlogaccounts van de monteur.
• Admin actie: Registreert het als datalek (want: klantgegevens op straat).

Scenario B: Ongeautoriseerde toegang (Gehackte werkbon-app)

• Signaal: Er worden vreemde werkbonnen aangemaakt of wachtwoorden zijn gewijzigd.
• Directe actie: Account blokkeren. Wachtwoorden van alle gebruikers resetten.
• Check: Controleer logfiles: wat heeft de indringer gezien? (Offertes? Adressen? Alarmcodes?).

Scenario C: Ransomware (Gijzelsoftware)

• Signaal: Bestanden zijn versleuteld, rode schermen met timer.
• Directe actie: Netwerkkabels eruit! Wifi uit. Isoleer de besmetting.
• Besluit: Betaal nooit zomaar losgeld (je houdt criminelen in stand en krijgt vaak je data niet terug). Bel de IT-partner voor recovery via back-ups.

5. De Meldplicht: Wanneer en Wie?

Onder NIS2 is de meldplicht aangescherpt. Voor installateurs die als 'belangrijke' of 'essentiële' entiteit gelden (of werken voor zulke klanten), geldt:

1. Binnen 24 uur (Early Warning):
• Wanneer: Bij een 'aanzienlijk incident' (je ligt plat, of er is groot risico voor derden).
• Wat: Een simpele melding: "Wij hebben een incident, we onderzoeken het nog, het lijkt op ransomware."
• Waar: Bij het nationale CSIRT (vaak via NCSC of digitaal loket).
2. Binnen 72 uur:
• Een update met details: oorzaak, gevolgen en impact.
3. Binnen 1 maand:
• Eindverslag.

Tip: Weet je niet zeker of je moet melden? Overleg met je juridisch adviseur of IT-partner, maar wacht niet te lang. De klok tikt.

6. Maak het werkbaar voor de Monteur

Een dik boekwerk leest niemand. Zorg voor een "Noodkaart" in elke bus en op elk bureau.

Wat staat er op de Noodkaart?

1. STOP: Zie je iets vreemds? Klik nergens op.
2. ISOLEER: Zet wifi uit of trek de kabel eruit.
3. BEL: Bel direct [Naam Incident Manager] op [06-nummer].
4. ZWIJG: Plaats niets op social media en praat niet met klanten over de oorzaak totdat er instructie is.

Conclusie

Een incidentresponsplan is je reddingsboei. Het verschil tussen een vervelende week en een faillissement zit vaak in de snelheid en kwaliteit van je reactie in het eerste uur. Maak dat plan. Bespreek het één keer per jaar. En zorg dat die Noodkaart in de bus ligt. Dan ben je niet alleen compliant aan NIS2, maar vooral een professioneel bedrijf dat voorbereid is op de realiteit van vandaag.