Incident response plan: wat erin moet (sjabloon voor MKB)
Een incident response plan (IRP) is geen 50-pagina document dat in een lade ligt. Het is een kort, helder draaiboek dat iedereen tijdens een crisis kan volgen. Dit moet erin staan voor het Nederlandse MKB.
Onderdeel 1: detectie en escalatie
Wie merkt het en wat doen zij meteen?
- Wie kan een incident melden? (Antwoord: iedereen)
- Bij wie melden ze het? (1 vast nummer, 24/7 bereikbaar)
- Welke informatie verzamelen ze in eerste minuut? (Wat zien ze, op welke computer, op welk tijdstip)
- Wanneer wordt er geëscaleerd naar externe specialist? (Antwoord: bij ransomware: direct)
Onderdeel 2: het crisis team
Wie doet wat tijdens een incident? Vooraf benoemen:
- Crisis coordinator (vaak directeur of CFO) — heeft eindverantwoordelijkheid
- IT-lead (intern of extern partner) — technische coordinatie
- Communicatie-verantwoordelijke — interne en externe communicatie
- Juridisch contact — voor AP-melding, contracten, claims
- Vervangers voor elke rol — als hoofdpersoon op vakantie is
Onderdeel 3: directe acties
Per scenario (ransomware, datalek, phishing-incident, DDoS) een kort stappenplan met wat eerst, wat tweede. Voor ransomware bijvoorbeeld:
- Stap 1: isoleer besmette systemen (netwerkkabel eruit, WiFi uit, NIET uitschakelen)
- Stap 2: bel IT-partner / incident response team
- Stap 3: documenteer met foto's wat u ziet
- Stap 4: informeer crisis team via WhatsApp-groep (NIET via mail, mailbox kan gehackt zijn)
- Stap 5: meld bij cyberverzekeraar binnen 4 uur
Onderdeel 4: communicatie templates
Vooraf opgestelde teksten voor:
- Bericht aan medewerkers (uitleg situatie, instructies)
- Bericht aan klanten (afhankelijk van impact)
- Bericht aan leveranciers/partners
- Holding statement voor pers (als het uitkomt)
- Datalek-melding aan AP (vooraf 80% ingevuld)
Onderdeel 5: contactenlijst
Op één pagina alle belangrijke nummers — geprint én digitaal beschikbaar. Inclusief: IT-partner 24/7 nummer, cyberverzekeraar, juridisch adviseur, NCSC, politie, AP, bestuursleden, communicatiebureau.
Oefenen — anders werkt het niet
Een ongeoefend plan werkt niet onder druk. Doe minimaal 1x per jaar een 'table top' oefening: zit met het crisis team rond de tafel, neem een fictief scenario door, identificeer wat onduidelijk was en verbeter het plan.
Een goed incident response plan kost een paar dagen om te maken en kan miljoenen besparen tijdens een crisis. Wij helpen bij het opstellen én oefenen van plannen. Meer over onze IT-managementdiensten op vanrosmalenautomatisering.nl.
Complete IT-beveiliging voor uw bedrijf
Van Rosmalen Automatisering helpt Nederlandse MKB-bedrijven met beheerde cybersecurity: MFA, EDR, backups, monitoring en 24/7 support. Bekijk onze complete dienstenportfolio.
Lees ook
Wat moet u doen tijdens een ransomware aanval? Stap voor stap
U ziet een melding dat uw bestanden versleuteld zijn. Wat nu? Dit zijn de eerste 60 minuten — de belangrijkste minuten — uitgelegd in heldere stappen.
Lees meerDatalek melden bij de Autoriteit Persoonsgegevens: complete gids
Een ransomware-aanval is bijna altijd ook een datalek. Niet correct melden bij de AP kan boetes tot €20 miljoen opleveren. Zo doet u het goed.
Lees meerNIS2 richtlijn: wat het voor uw MKB betekent
NIS2 is de nieuwe Europese cybersecurity-wet en raakt veel meer bedrijven dan u denkt — ook in het MKB. Wat moet u nu doen?
Lees meer