Van platform tot tabletop: een NIS2-conform incidentresponsplan ontwerpen voor kritieke infrastructuur
Het crisisscenario: waar paraatheid echte gevolgen heeft
Het is 03:17 uur in het Security Operations Center van een grote regionale luchthaven. Het bagageafhandelingssysteem, essentieel voor duizenden passagiers, is geblokkeerd door een besturingsinterface die niet reageert. Het netwerkverkeer vertoont afwijkende pieken. Is dit een tijdelijke IT-storing, een hardwarefout of de aanloop naar een diepgaande, gecoördineerde cyberaanval? Binnen enkele uren begint het boarden van trans-Atlantische vluchten. Elke minuut verwarring of trage respons werkt door in operationele chaos, reputatieschade, toetsing door toezichthouders en mogelijk miljoenenverliezen.
Voor leiders die verantwoordelijk zijn voor kritieke infrastructuur, luchthavens, energienetten, waterbedrijven en ziekenhuizen, zijn zulke momenten niet zeldzaam en nooit onschuldig. Het huidige regelgevingslandschap, verankerd in de NIS2-richtlijn, Digital Operational Resilience Act (DORA) en internationale normen zoals ISO/IEC 27001:2022, vraagt niet alleen om een plan, maar om levend bewijs van paraatheid. De inzet is existentieel. Incidentrespons moet meer zijn dan technisch: zij moet aantoonbaar compliant zijn, nauwgezet worden gedocumenteerd en voor elke toezichtsinvalshoek worden gekoppeld aan de relevante raamwerken.
Dit is de hogedrukomgeving waarvoor Clarysec’s Zenith Controls en Zenith Blueprint zijn ontwikkeld: een omgeving waarin een “plan op papier” niet volstaat en elke beslissing, communicatie en herstelstap bestand moet zijn tegen juridische, toezichtmatige en operationele toetsing.
Het NIS2-mandaat: incidentrespons is een wettelijke verplichting
Met de komst van NIS2 zijn de verwachtingen opnieuw vastgesteld. Toezichthouders eisen gestructureerde, herhaalbare en auditeerbare incidentafhandeling. Article 21(2) vereist “beleid en procedures betreffende incidentenafhandeling” als juridische verplichting. Dit gaat verder dan goede beveiligingspraktijk; het is een plicht die direct kan worden beoordeeld en, bij afwezigheid of ineffectiviteit, kan worden gesanctioneerd.
Belangrijke NIS2-vereisten voor incidentrespons:
- Gedocumenteerde incidentbeheerprocessen
- Volledig bewijsmateriaal van dreigingsafhandeling: identificatie, inperking, eliminatie, herstel
- Gedefinieerde en gemapte rollen, inclusief verantwoordelijkheden van externe leveranciers
- Verplichte tests, inclusief tabletop-oefeningen en doeltreffendheidsbeoordelingen
- Naleving over meerdere raamwerken heen met DORA, NIST, COBIT, GDPR en ISO/IEC 27001:2022
Als uw plan niet onmiddellijk kritieke vragen kan beantwoorden — wie leidt, wie communiceert, wie rapporteert en hoe de respons wordt gevolgd, getest en verbeterd — dan voldoet het eenvoudigweg niet.
De basis leggen: uw respons plannen en operationeel maken
Een robuuste incidentrespons begint met de juiste blueprint. ISO/IEC 27002:2022 beheersmaatregel 5.26, ondersteund door Clarysec’s Zenith Blueprint: een 30-stappenplan voor auditors en Zenith Controls, vereist dat voorbereiding gedetailleerd, operationeel uitgewerkt en toegewezen is.
Clarysec’s Zenith Blueprint, met name fase 4 en 5, schrijft voor:
“Implementeer incidentbeheerprocedures: definieer rollen, verantwoordelijkheden en communicatiekanalen, zodat elke belanghebbende, van SOC-analist tot algemeen directeur, zijn of haar rol kent. Documenteer en valideer capaciteiten via uitgebreide tabletop-oefeningen.”
Dit betekent:
- Bevoegdheden en escalatiepaden documenteren
- Drempels voor meldingen aan toezichthouders vooraf definiëren
- Vastleggen wie crisiscommunicatie opstelt en uitbrengt
- Waarborgen dat forensisch bewijsmateriaal behouden blijft zonder herstel te belemmeren
- Plannen testen en iteratief verbeteren via gestructureerde oefeningen
Voorbereiding is geen eenmalige activiteit. Het is een cyclus: plannen, testen, beoordelen, verbeteren. De Zenith Blueprint biedt gedetailleerde stappen om te zorgen dat al deze punten zijn afgedekt, met bewijsmateriaal zijn onderbouwd en auditgereed zijn.
Het incidentresponsteam ontwerpen: rollen, verantwoordelijkheden en capaciteit
Goed reageren, om 03:17 uur of op elk ander moment, hangt af van heldere rollen. Clarysec’s Incidentbeheerbeleid en ISO/IEC 27035-1:2023 definiëren teams en charters volgens beproefde praktijken:
| Rol | Primaire verantwoordelijkheid | Belangrijkste vaardigheden en bevoegdheid |
|---|---|---|
| Incidentleider | Algehele coördinatie, beslissingsbevoegdheid, communicatie met het topmanagement | Besluitvaardig leiderschap, crisismanagement, bevoegdheid over majeure wijzigingen |
| Technisch verantwoordelijke | Onderzoek, forensisch onderzoek, inperking, herstelmaatregelen | Netwerkforensisch onderzoek, malwareanalyse, infrastructuurexpertise |
| Communicatieverantwoordelijke | Interne/externe berichtgeving, contact met toezichthouders en publiek | Crisiscommunicatie, juridische kennis, heldere duiding van bedrijfsimpact |
| Juridische zaken en compliance | Juridische, contractuele en toezichtgerelateerde begeleiding | Gegevensbeschermingsrecht, cyberrecht, expertise in NIS2/DORA/GDPR |
| Vertegenwoordiger bedrijfsvoering | Waarborgen dat operationele prioriteiten centraal blijven | Kennis van bedrijfsprocessen, risicomanagement |
Het documenteren van deze rollen en het koppelen ervan aan zowel primaire als plaatsvervangende personen voorkomt het meest voorkomende faalmechanisme in een crisis: verwarring en miscommunicatie.
De incidentlevenscyclus: beheersmaatregelen moeten samenwerken
Een volwassen incidentresponsplan verweeft meerdere beheersmaatregelen en normen en behandelt ze nooit geïsoleerd. Clarysec’s Zenith Controls laat zien hoe 5.26 (planning en voorbereiding) rechtstreeks samenhangt met andere beheersmaatregelen voor incidentbeheer:
- Voorbereiding en planning (5.26): definieer het incidentresponsteam, maak draaiboeken, stel communicatieplannen op en simuleer scenario’s.
- Beoordeling van gebeurtenissen (5.25): bepaal op basis van vooraf vastgestelde criteria of daadwerkelijk sprake is van een incident, zodat besluitvaardig wordt gehandeld en besluiteloosheid door overanalyse wordt voorkomen.
- Technische respons (5.27): voer inperking, eliminatie en herstel uit, op basis van gedetailleerde draaiboeken en gemapte verantwoordelijkheden.
Deze levenscyclus is niet louter theoretisch; hij vormt de ruggengraat van een respons die zowel aan operationele behoeften als aan toetsing door toezichthouders kan voldoen.
Tabletop-testen: het eindexamen vóór de verstoring
De tabletop-oefening zet planning om in bewezen paraatheid. Het beleid van Clarysec vereist:
“Het incidentresponsplan moet ten minste jaarlijks worden getest, of bij majeure wijzigingen in de infrastructuur. Scenario’s moeten realistische dreigingen weerspiegelen: ransomware, denial-of-service, een inbreuk in de toeleveringsketen of een datalek.”
Een tabletop-voorbeeld voor onze luchthaven:
Facilitator: “Het is 03:17 uur. Het bagagesysteem reageert niet. Er verschijnt een losgeldbericht op een gedeelde beheerschijf. Wat nu?”
Het incidentresponsteam:
- De incidentleider roept het team bijeen.
- De technisch verantwoordelijke start netwerksegmentatie.
- Juridische zaken/compliance bewaakt de NIS2-meldingstermijn van 24 uur.
- De communicatieverantwoordelijke stelt verklaringen op voor partners en media, waarbij helderheid en terughoudendheid in balans zijn.
- Contactlijsten worden getest; verouderde leveranciersinformatie activeert onmiddellijk een verbeterlus.
Uitkomsten worden gedocumenteerd, hiaten geïdentificeerd en beleidsdocumenten bijgewerkt. Elke testiteratie, elk logboek en elke wijziging vormt concreet, auditeerbaar bewijsmateriaal.
Bewijsmateriaal genereren en naleving tijdens audits aantoonbaar maken: uw bewijsvoering is uw plan
Een audit doorstaan betekent meer laten zien dan alleen beleid; auditors willen operationeel bewijsmateriaal.
Voorbeeldtabel met bewijsmateriaal:
| Vereiste | Clarysec-resource | Hoe bewijsmateriaal wordt gegenereerd |
|---|---|---|
| Incidentresponsplan bestaat | Zenith Controls, 30-stappenblueprint | Ondertekend, toegankelijk plan met versiebeheer |
| Rollen en verantwoordelijkheden | Incidentresponsbeleid, leveranciersbeleid | Organogrammen, rollenmatrices, contractueel vastgelegde verplichtingen |
| Logboek van tabletop-oefening | Zenith Controls, blueprintstap | Oefenrapporten met tijdstempel, notulen, geleerde lessen |
| Meldingsregistraties | Communicatiesjablonen, blueprint | E-mailketens, formulieren voor toezichthouders, responslogboeken |
| Bewijs van verbetercyclus | Evaluatie na incident, blueprintstappen | Bijgewerkte plannen, trainingslogboeken, bewijsmateriaal van voortdurende verbetering |
Mapping over meerdere raamwerken: NIS2, DORA, NIST, COBIT, ISO/IEC 27001:2022
Clarysec’s Zenith Controls mapt de belangrijkste normen op unieke wijze voor uniforme assurance. Beheersmaatregelen voor incidentrespons bevinden zich op het snijvlak:
| Beheersmaatregelnummer | Naam van de beheersmaatregel | Beschrijving | Ondersteunende normen | Gemapte raamwerken |
|---|---|---|---|---|
| 5.24 | Beheersmaatregelen voor incidentbeheer | Detectie, rapportage, bewijslogging, beoordeling | ISO/IEC 27035:2023, ISO/IEC 22301:2019, ISO/IEC 27031:2021 | NIS2, DORA, NIST SP 800-61, COBIT |
| 5.25 | Incidentresponsplan | Ontwerp van het responsteam, meldingspaden, periodiek testen/verbeteren | ISO/IEC 22301:2019, ISO/IEC 27031:2021, ISO/IEC 27035:2023 | NIS2, DORA, NIST, COBIT, GDPR |
| 5.26 | Planning en voorbereiding | Definitie van het incidentresponsteam, draaiboeken, communicatieplannen, scenariomapping | ISO/IEC 27001:2022, ISO/IEC 27035:2023, ISO/IEC 22301:2019 | NIS2, DORA, NIST, COBIT |
| 5.27 | Technische respons | Draaiboeken voor inperking, eliminatie en herstel; operationele logboeken | ISO/IEC 27001:2022, ISO/IEC 27031:2021 | NIS2, DORA, NIST, COBIT |
Ondersteunende normen versterken de weerbaarheid:
- ISO/IEC 22301:2019: bedrijfscontinuïteit; brengt de afstemming tussen incidentafhandeling en herstel na verstoringen op gang.
- ISO/IEC 27035:2023: incidentlevenscyclus, essentieel voor geleerde lessen en auditbeoordeling.
- ISO/IEC 27031:2021: ICT-gereedheid voor technische incidentinperking en herstel.
Aandachtspunten per raamwerk
- DORA: vereist snelle meldingen aan toezichthouders en integratie met bedrijfscontinuïteits- en technische plannen.
- NIST CSF: sluit direct aan op de functie “Respond”, met nadruk op onmiddellijke, gedocumenteerde actie.
- COBIT 2019: richt zich op governance en integreert incidentrespons met ondernemingsrisico’s en prestatiemetrieken.
Integratie van leveranciers en derde partijen: de uitgebreide perimeter beveiligen
Kritieke infrastructuur is slechts zo sterk als de zwakste leverancier of partner. Clarysec’s Beleid voor beveiliging van derde partijen en leveranciers stelt duidelijke verplichtingen vast.
Belangrijke vereisten zijn onder meer:
“Leveranciers moeten hun eigen incidentresponsplannen ontwikkelen, onderhouden en testen in lijn met onze normen. Verantwoordelijkheden, kanalen en bewijsmateriaal van oefeningen moeten worden gedocumenteerd.” (Sectie 9)
Dit is niet optioneel. Contracten moeten integratie van incidentrespons, meldingen door derde partijen en audittrails specificeren. De mkb-gerichte variant past deze eisen aan voor kleinere leveranciers, zodat naleving uw volledige ecosysteem bestrijkt.
Voorbeeld van een tabletop-oefening met een leverancier:
- Uitval wordt herleid tot de externe leverancier van het bagagesysteem.
- Het incidentresponsplan van de leverancier wordt geactiveerd en gecoördineerd volgens gezamenlijke oefenprotocollen.
- Fouten, zoals verouderde contactinformatie, worden gedocumenteerd en leiden tot corrigerende maatregelen voordat zich een echte verstoring voordoet.
Auditorperspectief: toetsing over meerdere raamwerken doorstaan
Auditors hanteren verschillende invalshoeken. Clarysec’s Zenith Controls bereidt organisaties voor op elk perspectief:
ISO/IEC 27001:2022-auditors:
- Eisen gedocumenteerde, geteste incidentresponsplannen.
- Toetsen op rolhelderheid, bewijsmateriaal van tabletop-tests en integratie met bedrijfscontinuïteit.
NIS2/DORA-auditors:
- Vereisen scenariogebaseerde resultaten.
- Controleren timing en volgorde van meldingen aan toezichthouders.
- Zoeken naar naadloze leveranciersintegratie en verbetercycli.
NIST/COBIT-auditors:
- Toetsen de werking van beheersmaatregelen in de incidentlevenscyclus.
- Zoeken bewijsmateriaal van risico-integratie, procesverbetering en documentatie van geleerde lessen.
Kritieke uitdagingen en de tegenmaatregelen van Clarysec
Veelvoorkomende valkuilen die rechtstreeks door de tools van Clarysec worden aangepakt:
- Rolonduidelijkheid of communicatiehiaten: rollenmatrices uit de Zenith Blueprint, gekoppeld aan meldingen en acties.
- Onvolledige incidentrespons bij leveranciers: verplichte audits, contractuele eisen en gezamenlijke oefeningen volgens het beleid voor derde partijen.
- Hiaten in bewijsmateriaal: geautomatiseerde logboeken, sjablonen voor evaluatie na incidenten en opvolging van verbeteringen in beleid en praktijk.
Uw incidentrespons bouwen, testen en onderbouwen met bewijsmateriaal
Een vijfpuntenchecklist voor aantoonbare NIS2-naleving tijdens audits
- Beoordeel uw huidige incidentresponsplan en breng het in kaart: gebruik de 30 stappen van de Zenith Blueprint voor een volledige hiaatanalyse.
- Implementeer Zenith Controls en mappingstabellen: zorg voor mapping naar beheersmaatregelen van ISO/IEC 27001:2022, DORA, NIS2, NIST en COBIT. Neem leverancierscontracten en ondersteunende normen mee.
- Voer realistische tabletop-oefeningen uit: documenteer bewijsmateriaal (logboeken, communicatie, leverancierscoördinatie, verbeteracties).
- Dwing het beleid voor derde partijen af: pas Clarysec’s Beleid voor beveiliging van derde partijen en leveranciers en de mkb-variant toe, zodat alle leveranciers voldoen.
- Stel een bewijsmateriaalportfolio samen: neem ondertekende plannen, rollenschema’s, oefenlogboeken, meldingsrapportages en gedocumenteerde geleerde lessen op.
Uw traject: van platform tot tabletop, van onzekerheid naar assurance
In de huidige gereguleerde, onderling verbonden wereld moet een incidentresponsplan niet alleen bestaan, maar in de praktijk worden bewezen via bewijsmateriaal, naleving over meerdere raamwerken heen en daadwerkelijke paraatheid. De geïntegreerde toolkit van Clarysec — Zenith Blueprint, Zenith Controls en robuust beleid — biedt de architectuur voor echte operationele weerbaarheid.
Elke stap wordt gemapt, getest en auditgereed gemaakt, zodat uw organisatie effectief handelt, of de crisis nu om 03:17 uur begint of in de bestuurskamer. Het opbouwen van een operationeel sterke, NIS2-conforme incidentresponscapaciteit betekent meer dan zekerheid: het combineert toezichtbestendige verantwoording met operationele excellentie.
Volgende stappen: borg uw assurance met Clarysec
De reis van platform tot tabletop begint nu:
- Download Clarysec’s Zenith Blueprint en Zenith Controls.
- Plan uw tabletop-simulatie met ons team.
- Beoordeel en verbeter uw Beleid voor beveiliging van derde partijen en leveranciers, voor elke partner, groot of klein.
Wacht niet tot de volgende melding om 03:00 uur om de hiaten in uw plan te ontdekken. Neem contact op met Clarysec om uw organisatie te versterken met bewezen, geteste en met bewijsmateriaal onderbouwde incidentrespons.
Clarysec: uw partner in naleving, weerbaarheid en incidentrespons in de praktijk.
Zenith Controls | Zenith Blueprint | Beleid voor beveiliging van derde partijen en leveranciers | Incidentbeheerbeleid
Ontdek meer casestudy’s en toolkits op de Clarysec-blog. Plan vandaag nog een workshop op maat of beoordeling om naleving tijdens audits aantoonbaar te maken.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
