'Organisaties moeten weten waar ze een cyberincident moeten melden'

Uit het evaluatierapport van ISIDOOR IV, de landelijke cyberoefening die eind vorig jaar plaatsvond, blijkt dat niet alle organisaties die op grond van de Wet beveiliging netwerk- en informatiesystemen (Wbni) een cyberincident hadden moeten melden, dat hebben gedaan. Organisaties weten niet altijd bij welke instantie ze een cyberincident moeten melden of hoe ze dat moeten doen.

Het is belangrijk dat organisaties hun huiswerk doen, al helemaal omdat de meldplicht met de aankomende Cyberbeveiligingswet (die de Wbni vervangt) wordt aangescherpt. Het tijdig melden van cyberincidenten kan helpen voorkomen dat andere organisaties ook de dupe worden.

RDI en NCSC

Vitale aanbieders of aanbieders van essentiële diensten, zoals energiebedrijven en ziekenhuizen, moeten een cyberincident altijd melden bij de Rijksinspectie Digitale Infrastructuur (RDI) en het Nationaal Cyber Security Centrum (NCSC) als deze de dienstverlening bedreigt. Dat kan zowel telefonisch als per (versleutelde) e-mail. Digitale dienstverleners moeten een groot incident melden bij de RDI en het Computer Security Incident Response Team voor Digital Service Providers (CSIRT-DSP).

Binnen 24 uur

Wanneer de nieuwe Cyberbeveiligingswet (NIS2) wordt aangenomen, moeten de cyberincidenten zelfs binnen 24 uur worden gemeld. Wanneer bij een cyberincident toegang is verkregen tot persoonsgegevens, dan moet ook de Autoriteit Persoonsgegevens binnen 72 uur worden geïnformeerd.

Crisis- en herstelplan

Ook blijkt uit het evaluatierapport dat de mate waarin organisaties zelf zijn voorbereid op een cybercrisis erg verschilt. Het is belangrijk dat elke organisatie een crisis- en herstelplan klaar heeft liggen. Dit bevat  informatie over bij welke instanties de organisatie zich moet melden en wanneer. Maar ook welke belangrijke stakeholders de organisatie moeten bereiken en hoe.

Verder moet er een communicatiestrategie in zijn opgenomen zodat de organisatie kan terugvallen op templates en formats waar al over is nagedacht. Natuurlijk bevat het ook alle acties die nodig zijn om de bedrijfsprocessen weer up and running te krijgen.

Back-ups

Goede cyberhygiëne blijft ook een must. Denk aan het maken van back-ups en het direct installeren van security updates. Zo kan een goede back-up ervoor zorgen dat bij een ransomware-aanval de data snel kan worden teruggezet, zonder dat er losgeld betaald hoeft te worden aan de cybercriminelen.