Gastblog Forvis Mazars: Hoera, we hebben een cyberincident!
In onze gastblogs geven we kennispartners de gelegenheid hun blik en expertise te laten schijnen over een actueel onderwerp. Deze bijdrage is van Jan Matto van Forvis Mazars Accountants & Adviseurs.
Cyberincidenten zijn dagelijks in het nieuws en dan gaat het vaak nog alleen om de meer ernstige gevallen. In werkelijkheid krijgt vrijwel elke organisatie vroeg of laat te maken met een cyberincident. Het is een constante zorg van organisaties om cyberincidenten te voorkomen en de gevolgen daarvan te minimaliseren. Helemaal uitsluiten van cyberincidenten is helaas onmogelijk, zeker in de dynamisch vervlochten wereld van Internet en ook door afhankelijkheden van IT bij derde partijen. Het gaat misschien tegen je primaire gevoelens in, maar het is beter om een cyberincident te omarmen dan om het te verdringen. Weten wat je moet doen op het moment van een incident, helpt enorm om de schade te beperken en regie te behouden.
Incidentmanagement: een cyclisch proces
Een eerste goede stap is het opzetten van een incidentmanagementsproces voor het beheersen van incidenten. Dit bestaat uit een cyclus van drie fasen: incidentdetectie, -respons en -herstel. Het is uiteraard belangrijk om incidenten snel te herkennen. Incidenten die de beschikbaarheid van systemen en data verstoren, worden vaak snel opgemerkt. Maar er zijn ook incidenten die minder catastrofaal zijn en minder makkelijk te ontdekken – zoals gebruikersfouten, uitval van medewerkers, inbreuken op regelgeving of fouten in software en hardware- die minstens zo belangrijk zijn om aan te pakken.
Een veel gehanteerde indeling naar oorzaak van incidenten is bijvoorbeeld: “people, process, technology”. En natuurlijk zijn er allerlei externe dreigingen in de vorm van systemen van derde partijen en activiteiten van cybercriminelen. Het is belangrijk om alle incidenten te registreren, te classificeren en afhankelijk van de aard en ernst, passende scenario’s klaar te hebben om de gevolgen van incidenten te beperken.
Een cyberdreiging- en risicoanalyse biedt een stevige basis die richting geeft aan het classificeren en analyseren van incidenten, en helpt om van incidenten te kunnen leren en toekomstige incidenten te voorkomen.
Regelgeving: DORA en NIS2
Recente regelgeving zoals DORA en NIS2 (in Nederland: de Cyberbeveiligingswet) introduceren cybersecurityverplichtingen, hieronder vallen onder andere het administreren van cyberincidenten en specifieke eisen ten aanzien van de classificatie van incidenten. Wat in deze regelgeving opvalt, is dat zij stellen dat bij het classificeren van de ernst van een incident er rekening gehouden moet worden met de potentiële impact en schade bij derden – denk aan cumulatieve schade bij afnemers verderop in de digitale keten, ofwel de bredere maatschappelijke en economische schade. Een ander opmerkelijk onderdeel in deze regelgeving is ook dat zij spreken van “near misses”. Dat zijn incidenten die niet geleid hebben tot een daadwerkelijk “ongeluk”, maar die wel verkeerd hadden kunnen aflopen. Ook deze incidenten dienen geregistreerd te worden, in de praktijk betekent dit dat goede monitoring op je systemen noodzakelijk zal zijn.
Incidenten die een laag risico vormen, maar zich frequenter voordoen, dienen in de administratie geherclassificeerd te worden als hoog risico. Dit betekent een incidentenregistratie periodiek geanalyseerd moet kunnen worden. In sommige gevallen geldt bovendien een meldplicht bij de toezichthouder. De meldplicht gaat verder dan alleen het melden van het incident. Na deze eerste notificatie binnen 24 uur, moet je bovendien een volledige melding maken binnen 72 uur en binnen een maand een eindverslag insturen. Indien na de ontdekking en bij analyse van het incident vastgesteld wordt dat het ontstaan van het incident terug ligt in het verleden, dan dient dat bij de inschatting van de impact van het incident worden meegewogen. Het kan dus zijn dat na eerste ontdekking van het incident bij de verdere analyse van het incident de ernst groter kan zijn dan eerder is ingeschat. Dan dient de classificatie te worden verhoogd en dient ook dit geregistreerd en mogelijk alsnog gemeld te worden.
Impact op IT-dienstverleners
Deze regelgeving geldt voor specifieke sectoren, waaronder een groot deel van de digitale sector. Bovendien kunnen IT-dienstverleners er indirect mee te maken krijgen wanneer hun klanten eronder vallen. Echter, de praktijk leert dat, indien afnemers van IT-dienstverleners direct onder deze regelgeving vallen, zij eisen stellen aan de communicatie en een bredere rapportage over incidenten. IT-dienstverleners kunnen daarom zowel direct als indirect geraakt worden door deze eisen. Anders gezegd, incidentmanagement en in het bijzonder de rapportage en communicatie daarover is een onderdeel van de service geworden.
Oefenen, communiceren en leren
Bij de maatregelen voor incidentdetectie, -respons en -herstel zijn er een paar belangrijke aandachtsgebieden. Enige vorm van monitoring van systemen is nodig om incidenten tijdig te kunnen ontdekken. Vervolgens is het belangrijk dat de communicatielijnen volstrekt duidelijk zijn bij elke fase van afwikkeling van het incident. Uit krantenberichten blijkt vaak dat gebrekkige communicatie vaak leidt tot escalerende incidenten en reputatieschade, doordat de getroffen organisatie de regie kwijtraakt.
Een goed advies is om het herstel na een incident te oefenen en reële situaties te simuleren. Test of back-ups werken, of communicatielijnen functioneren, en of iedereen weet wat te doen. Het belang van oefenen met calamiteiten en de evaluatie daarvan kan niet onderschat worden. Betrek het hoogste management actief bij deze oefeningen – de NIS2/Cyberbeveiligingswet maakt cybersecurity immers een directieverantwoordelijkheid.
Incidenten als bron van waarde
Kan een incident ook meerwaarde hebben? Het antwoord is, ja dat kan en moet. Goede communicatie en transparantie laten zien dat incidenten verantwoord worden opgepakt en afgewikkeld worden. Dit versterkt de reputatie en het vertrouwen in uw organisatie. Daarnaast bieden incidenten waardevolle inzichten waar we lessen uit kunnen trekken. Een goede root cause analysis geeft inzicht in de werkelijke oorzaken van een incident. Maar ook het periodiek analyseren van de gehele populatie van incidenten genoteerd in de incidentenregistratie kan belangrijke inzichten geven. Bijvoorbeeld genereren bepaalde applicaties of hardware componenten veel incidenten, of juist bepaalde afdelingen en groepen gebruikers of derde partijen? Met deze inzichten kunnen gerichte verbeteracties worden ondernomen.
Een maandelijkse rapportage aan het verantwoordelijke management op basis van incidentregistratie en classificatie is dan ook sterk aan te raden, mede gezien de aangehaalde regelgeving. En in sommige gevallen zelfs verplicht. Incidentmanagement is een directieverantwoordelijkheid en gaat onder meer over reputatie. Een regelmatige interne rapportage over incidenten is een vereiste om deze verantwoordelijkheid te kunnen dragen.
Cyberincidenten horen bij digitalisering. Ze zijn niet leuk, maar wel leerzaam. Door ze serieus te nemen, te registeren, te analyseren, te verbeteren en erover te communiceren, bouwt u aan het vertrouwen van alle stakeholders en laat u zien dat incidenten op een verantwoorde wijze worden afgewikkeld.
Volg de training ISAE & SOC2: nu met 50% korting voor leden
Wil je meer grip krijgen op cyberrisico’s én de assurance-standaarden die daarbij een rol spelen? Schrijf je dan in voor de tweedaagse training van Forvis Mazars: ‘ISAE 3402, ISAE 3000 en SOC2 in de praktijk’ op 19 en 20 november 2025.
Tijdens deze training leer je hoe je deze standaarden effectief toepast binnen uw organisatie en hoe je cyberrisico’s aantoonbaar beheerst in lijn met actuele wet- en regelgeving zoals NIS2 en DORA. NLdigital-leden profiteren van 50% korting op de deelnamekosten. Deelnemers ontvangen bovendien 12 PE-punten.
Gerelateerde artikelen
Digitalisering: een sociaal maatschappelijk en macro-economisch thema
Voordat je AI inzet: denk na over AI governance
