Governance rond ransomwarebetalingen voor NIS2 en DORA
Het is 3:17 uur op een doordeweekse dag in 2026. Maria, de CISO van een snelgroeiend fintechplatform, wordt door een bericht van haar senior SOC-analist in een crisisoverleg getrokken: grootschalige encryptie bevestigd, kerndiensten uitgevallen en een ransomwaregroep die beweert 2 TB aan klantgegevens te hebben buitgemaakt.
De CEO sluit als eerste aan bij het overleg. Daarna volgen juridische zaken, privacy, financiën, communicatie, de cyberverzekeraar, een forensische dienstverlener en het cloudoperations-team. Op een darkwebportaal staat een aftelklok van 48 uur en een losgeldeis van zeven cijfers in cryptovaluta.
De CEO stelt de vraag waar iedere CISO tegenop ziet.
“Kunnen we betalen, en wie mag daarover beslissen?”
Het verkeerde antwoord is om dit als een onderhandelingsprobleem te behandelen. Het juiste antwoord is om het als een governancevraagstuk te behandelen.
In 2026 is governance rond besluiten over ransomwarebetalingen geen private, technische crisiskeuze meer. Het besluit kan worden getoetst door toezichthouders, auditors, verzekeraars, klanten, opsporingsinstanties, aandeelhouders en de raad van bestuur. Een betalingsbesluit raakt sanctieblootstelling, beoordeling van een inbreuk in verband met persoonsgegevens, voorwaarden van de cyberverzekering, contractuele verplichtingen, crisiscommunicatie, bewaring van bewijsmateriaal, gefaseerde NIS2-rapportage, DORA-incidentclassificatie, GDPR-melding en verbetering na incidenten.
Daarom adviseert Clarysec klanten om governance rond besluiten over ransomwarebetalingen al vóór het incident in het ISMS op te nemen. ISO/IEC 27001:2022 biedt de structuur van het managementsysteem. De beheersmaatregelen uit ISO/IEC 27002:2022 bieden het operationele model. Zenith Blueprint: een 30-stappenroadmap voor auditors en Zenith Controls: de gids voor cross-compliance helpen om die structuur om te zetten in praktisch, auditeerbaar bewijs.
Een ransomwaredraaiboek waarin alleen staat “juridische zaken informeren” is niet genoeg. De organisatie moet weten wie onderhandelingen mag autoriseren, hoe sanctiescreening wordt uitgevoerd, wanneer de verzekeraar goedkeuring moet geven, hoe de classificatie onder GDPR, NIS2 en DORA wordt gedocumenteerd en hoe bewijsmateriaal wordt beschermd terwijl herstelteams onder druk werken.
Waarom ad-hocbesluiten over ransomwarebetalingen falen
Een besluit over een ransomwarebetaling wordt vaak als binair voorgesteld: betalen of niet betalen. In werkelijkheid kent het besluit ten minste zes lagen:
- Is de gebeurtenis bevestigd, ingedamd en correct geclassificeerd?
- Zijn persoonsgegevens, gereguleerde gegevens of de levering van kritieke diensten geraakt?
- Mag de organisatie juridisch communiceren met of transacties uitvoeren met de dreigingsactor?
- Vereist de cyberverzekering voorafgaande kennisgeving, goedgekeurde leveranciers, toestemming of specifiek bewijsmateriaal?
- Vermindert betaling de bedrijfsimpact, of vergroot zij het juridische, financiële en reputatierisico?
- Wie heeft de bevoegdheid om te beslissen, en hoe wordt dat besluit vastgelegd?
Tijdens een live incident trekken los van elkaar opererende teams vaak in verschillende richtingen. De CFO kan het losgeld zien als bedrijfskosten in vergelijking met oplopende uitvaltijd. Juridische zaken ziet sancties, financiële criminaliteit en blootstelling aan toezicht. De DPO beoordeelt of versleutelde of geëxfiltreerde gegevens leiden tot een meldingsplichtige inbreuk in verband met persoonsgegevens. Compliance bewaakt de rapportagetermijnen van NIS2 en DORA. De CISO probeert bewijsmateriaal te bewaren terwijl diensten worden hersteld. De CEO wil een aanbeveling voordat de timer van de aanvaller afloopt.
Zonder formeel besluitvormingsproces kan de luidste stem in de ruimte het governancemodel worden. Dat is precies de situatie die moderne cyberbeveiligingsregelgeving moet voorkomen.
NIS2 maakt cyberbeveiliging een managementverantwoordelijkheid. Article 20 behandelt governance en verantwoordingsplicht van bestuursorganen, terwijl Article 21 risicobeheersmaatregelen vereist voor onder meer incidentenafhandeling, bedrijfscontinuïteit, back-upbeheer, crisismanagement, beveiliging van de toeleveringsketen, toegangscontrole, beheer van bedrijfsmiddelen, MFA en beoordeling van doeltreffendheid. Article 23 introduceert gefaseerde rapportage voor significante incidenten, waaronder een vroegtijdige waarschuwing binnen 24 uur, melding binnen 72 uur en, waar van toepassing, eindrapportage binnen één maand.
Voor financiële entiteiten is DORA het sectorspecifieke regelwerk voor digitale operationele weerbaarheid. Article 5 legt de verantwoordelijkheid voor ICT-risicobeheer bij het bestuursorgaan. Articles 17, 18 en 19 behandelen beheer, classificatie en rapportage van ICT-gerelateerde incidenten en majeure ICT-gerelateerde incidenten. DORA vereist daarnaast respons- en herstelcapaciteiten, back-up en herstel, leren na incidenten, testen en beheer van ICT-risico’s van derde partijen.
GDPR voegt een afzonderlijke maar overlappende beoordeling toe. Als ransomware leidt tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot persoonsgegevens, moet de verwerkingsverantwoordelijke beoordelen of sprake is van een inbreuk in verband met persoonsgegevens. Als melding vereist is, loopt de termijn voor de toezichthoudende autoriteit doorgaans 72 uur vanaf kennisname. Bij een hoog risico voor betrokkenen kan ook communicatie aan getroffen personen vereist zijn.
De conclusie is eenvoudig: de losgeldvraag mag niet voor het eerst in de crisiskamer worden gesteld.
ISO 27001:2022-beheersmaatregelen die betalingsgovernance verankeren
Een ISO/IEC 27001:2022-ISMS is geen checklist voor auditors. Het is een managementsysteem voor risicogebaseerde besluitvorming. Governance rond ransomwarebetalingen hoort in dat systeem thuis omdat zij risicobeoordeling, risicobehandeling, rollen, wettelijke verplichtingen, incidentrespons, continuïteit, leveranciersbeheer en voortdurende verbetering combineert.
De meest relevante beheersmaatregelen uit ISO 27001:2022 Annex A vormen samen een samenhangende keten van beheersmaatregelen.
| Beheersgebied ISO 27001:2022 | Waarom dit relevant is tijdens governance rond ransomwarebetalingen |
|---|---|
| A.5.24 Planning en voorbereiding van beheer van informatiebeveiligingsincidenten | Definieert het incidentresponskader, het escalatiemodel, communicatie en gereedheid voordat afpersing begint. |
| A.5.25 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen | Legt vast hoe gebeurtenissen incidenten worden, hoe ernst wordt bepaald en wanneer escalatie naar het topmanagement wordt geactiveerd. |
| A.5.26 Respons op informatiebeveiligingsincidenten | Beheerst indamming, verwijdering, herstelcoördinatie en uitvoering van operationele besluiten. |
| A.5.27 Leren van informatiebeveiligingsincidenten | Zorgt ervoor dat uitkomsten van losgeldbesluiten, bijna-incidenten, feedback van verzekeraars en bevindingen van toezichthouders toekomstige beheersmaatregelen verbeteren. |
| A.5.28 Verzamelen van bewijsmateriaal | Bewaart logboeken, images, correspondentie, malwaresamples en besluitvormingsregistraties op een juridisch betrouwbare manier. |
| A.5.29 Informatiebeveiliging tijdens verstoringen | Houdt beveiligingsmaatregelen werkend terwijl de organisatie in gedegradeerde modus opereert. |
| A.5.30 ICT-gereedheid voor bedrijfscontinuïteit | Verbindt back-ups, herstelprioriteiten, failover en continuïteitsplannen met het besluitvormingsproces rond het incident. |
| A.5.31 Wettelijke, statutaire, regelgevende en contractuele eisen | Legt sanctiescreening, regelgevende rapportage, klantverplichtingen, verzekeringsverplichtingen en juridische goedkeuring vast. |
| A.5.34 Privacy en bescherming van PII | Stuurt de GDPR-inbreukbeoordeling en privacy-impactbeoordeling tijdens afpersing. |
| A.6.3 Contact met autoriteiten | Ondersteunt geplande communicatie met toezichthouders, CSIRT’s, opsporingsinstanties en bevoegde autoriteiten. |
| A.8.13 Informatieback-up | Bepaalt of betaling operationeel relevant is door herstelopties aantoonbaar te maken. |
| A.8.15 Logging en A.8.16 Monitoringactiviteiten | Leveren de bewijsbasis voor reikwijdte, tijdlijn, impact en activiteit van de aanvaller. |
In Zenith Controls classificeert de sectie voor A.5.24, planning en voorbereiding van beheer van informatiebeveiligingsincidenten, de beheersmaatregel als corrigerend, gekoppeld aan vertrouwelijkheid, integriteit en beschikbaarheid, en afgestemd op Respond- en Recover-concepten. De sectie koppelt A.5.24 ook aan A.5.25 gebeurtenisbeoordeling, A.5.27 leren van incidenten, A.8.15 logging, A.8.16 monitoring, A.5.29 beveiliging tijdens verstoringen, continuïteit en contact met autoriteiten.
Dit is relevant omdat governance rond ransomwarebetalingen een keten is. Als u de gebeurtenis niet kunt detecteren en classificeren, kunt u niet beslissen. Als u bewijsmateriaal niet kunt bewaren, kunt u het besluit niet verdedigen. Als wettelijke verplichtingen niet in kaart zijn gebracht, kan onderhandeling of betaling onrechtmatig zijn. Als herstelopties niet zijn getest, kunnen leidinggevenden onder druk worden gezet tot een besluit op basis van angst in plaats van feiten.
Zenith Controls beschrijft de relatie tussen voorbereiding en besluitvorming helder:
“5.25 is het beslispunt dat bepaalt wanneer een gebeurtenis de drempel naar een beveiligingsincident overschrijdt, waardoor de in 5.26 beschreven acties worden geactiveerd. Tijdige en nauwkeurige gebeurtenisbeoordeling zorgt ervoor dat incidentrespons niet wordt vertraagd of verkeerd wordt gestuurd.”
Dezelfde gids koppelt A.5.31, wettelijke, statutaire, regelgevende en contractuele eisen, aan privacy, bewaartermijnen voor registraties, onafhankelijke beoordeling en naleving van interne beleidslijnen. Voor ransomware is A.5.31 de plek waar sanctiescreening, verzekeringsverplichtingen, betrokkenheid van opsporingsinstanties, klantcontracten, verplichtingen inzake gegevensbescherming en sectorspecifieke regelgevende rapportage in één complianceregister worden vastgelegd.
Het Clarysec-vijfpoortenmodel voor governance rond ransomwarebetalingen
Het model van Clarysec splitst governance rond besluiten over ransomwarebetalingen op in vijf poorten. Het doel is niet om betalen gemakkelijker te maken. Het doel is om elk besluit, inclusief weigering om te betalen, op feiten te baseren, juridisch te beoordelen, te autoriseren en auditeerbaar te maken.
| Poort | Kernvraag | Vereist bewijsmateriaal | Typische eigenaar |
|---|---|---|---|
| Poort 1: incidentverklaring | Is een ransomware- of afpersingsincident verklaard op basis van vastgestelde criteria? | SIEM-waarschuwingen, endpointtelemetrie, losgeldnotitie, getroffen bedrijfsmiddelen, initiële ernstregistratie | Incident Commander of CISO |
| Poort 2: juridische en regelgevende triage | Betreft het incident persoonsgegevens, gereguleerde diensten, sanctierisico, contractuele kennisgeving of sectorspecifieke rapportage? | Mapping in het juridisch register, GDPR-inbreukbeoordeling, NIS2- of DORA-classificatie, notities van juridisch adviseur | Juridische zaken, compliance, DPO |
| Poort 3: haalbaarheid van herstel | Kan de organisatie veilig herstellen zonder betaling binnen toelaatbare impactgrenzen? | Controles op back-upintegriteit, RTO/RPO-status, Business Impact Analysis, resultaten van hersteltests | IT, verantwoordelijke continuïteit en herstel |
| Poort 4: risicobeoordeling betaling | Is enige onderhandeling of betaling juridisch toegestaan, door de verzekeraar goedgekeurd, op sancties gescreend en door de raad geautoriseerd? | Registratie van sanctiescreening, toestemming van verzekeraar, registratie van overleg met opsporingsinstanties, financiële goedkeuring, risicoacceptatie | Topmanagement of raad van bestuur |
| Poort 5: afsluiting en verbetering | Zijn besluiten, communicatie, oorzaak en geleerde lessen geregistreerd? | Incidentrapport, chain-of-custody, communicatielogboek, verbeterplan voor beheersmaatregelen | CISO, ISMS-manager, interne audit |
Dit model gebruikt de logica van risicobehandeling uit ISO 27001. Een ransomwarebetaling is geen beveiligingsmaatregel. Hooguit is het een crisisoptie die wordt overwogen binnen een context van risicobehandeling en herstel. Vóór een incident moet de organisatie al hebben bepaald hoe ransomware-risico’s worden behandeld: beperken via beheersmaatregelen, een deel van de financiële blootstelling overdragen via verzekering, onaanvaardbare legacy-afhankelijkheden vermijden of restrisico expliciet accepteren wanneer dat gerechtvaardigd is.
In de risicobeheerfase, stap 13, planning van risicobehandeling en Verklaring van Toepasselijkheid, instrueert Zenith Blueprint organisaties om voor elk risico behandelopties te bepalen en deze in het risicoregister te documenteren. Het waarschuwt dat overdracht, zoals cyberverzekering, de noodzaak van beheersmaatregelen niet wegneemt, omdat overdracht vaak de financiële impact adresseert en niet de waarschijnlijkheid. Het stelt ook:
“Acceptatie moet expliciet zijn en door het management worden goedgekeurd, met name voor elk middelgroot risico. Hoge risico’s worden zelden geaccepteerd, tenzij ze werkelijk onvermijdelijk zijn en op het hoogste niveau zijn overeengekomen.”
Die passage is direct relevant voor governance rond ransomwarebetalingen. Als aan de raad wordt gevraagd het restrisico van weigering om te betalen te accepteren, of het juridische en reputatierisico van goedkeuring van onderhandeling, moet die acceptatie expliciet zijn, worden geregistreerd en door de juiste bevoegdheid worden goedgekeurd.
Clarysec’s Beleid inzake risicobeheer bevestigt hetzelfde punt:
“Besluiten over risicobehandeling moeten aansluiten op de vooraf gedefinieerde opties”
Uit clausule 5.5.
Een losgeldbesluit is daarom geen omweg rond risicobeheer. Het moet worden behandeld als een formeel, gedocumenteerd besluit over risicobehandeling onder vastgestelde bevoegdheid.
Beleidsbevoegdheid: wie mag onder druk beslissen?
Veel ransomwaremislukkingen zijn governancefouten vermomd als technische fouten. Iemand neemt buiten het goedgekeurde kanaal contact op met de aanvaller. Iemand belooft betaling vóór goedkeuring door de verzekeraar. Iemand herstelt systemen en overschrijft forensisch bewijsmateriaal. Iemand informeert klanten te vroeg, te laat of met onjuiste feiten.
Clarysec-beleidslijnen zijn ontworpen om die ambiguïteit weg te nemen.
Voor het mkb geeft het Beleid inzake governancerollen en -verantwoordelijkheden - mkb een eenvoudige regel:
“Alle significante beveiligingsbesluiten, uitzonderingen en escalaties moeten worden geregistreerd en traceerbaar zijn.”
Uit de sectie “Governancevereisten”, beleidsclausule 5.5.
Het mkb-Incidentresponsbeleid wijst escalatiebevoegdheid toe:
“De algemeen directeur (GM) is verantwoordelijk voor het autoriseren van alle besluiten over incidentescalatie, regelgevende meldingen en externe communicatie.”
Uit de sectie “Governancevereisten”, beleidsclausule 5.1.1.
Het verbindt ook incidenten met klantgegevens aan regelgevende verplichtingen:
“Wanneer klantgegevens betrokken zijn, moet de algemeen directeur wettelijke meldingsverplichtingen beoordelen op basis van de toepasselijkheid van GDPR, NIS2 of DORA.”
Uit de sectie “Risicobehandeling en uitzonderingen”, beleidsclausule 7.4.1.
Voor grotere organisaties vereist het enterprise-Beleid inzake governancerollen en -verantwoordelijkheden onmiddellijke escalatie waar juridische blootstelling of meldingsplichtige datalekken kunnen bestaan:
“Juridische/regelgevende escalatie: incidenten met mogelijke juridische blootstelling of meldplichtige datalekken moeten onmiddellijk worden geëscaleerd naar de Juridisch en Compliance Officer en het topmanagement.”
Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.4.3.
Het enterprise-Incidentresponsbeleid definieert uitvoerende bevoegdheid tijdens ernstige incidenten. Clausule 4.6.1 stelt dat de rol van het topmanagementteam is om:
“Strategische besluiten te nemen tijdens incidenten met hoge ernst, inclusief goedkeuring van meldingen en publieke communicatie.”
In een ransomwarecontext behandelt Clarysec bespreking van betaling, autorisatie van onderhandeling, klantkennisgeving, verklaringen aan toezichthouders en publieke communicatie als strategische besluiten, niet als technische acties.
Daaruit volgt een praktische governanceregel: de CISO kan adviseren, het incidentteam kan beoordelen, juridische zaken kan adviseren, financiën kan betalingsmechanismen valideren, de verzekeraar kan instemmen of dekking weigeren, maar het topmanagement of de raad van bestuur moet eigenaar zijn van het besluit volgens vooraf gedefinieerde bevoegdheden.
Sanctieconforme escalatie vóór elke onderhandeling
Een sanctieconform ransomwareproces begint met een verbod: geen werknemer, contractant, leverancier, broker, onderhandelaar of incidentbehandelaar mag onderhandelen, betaling toezeggen, faciliteren of waarde overdragen aan een dreigingsactor zonder goedgekeurde juridische beoordeling.
Het juridische controlepunt moet plaatsvinden vóór actieve betrokkenheid met de aanvaller, niet pas nadat een walletadres verschijnt. Het proces moet het volgende omvatten:
- Juridisch adviseur wordt betrokken vóór elke communicatie die verder gaat dan passieve vastlegging van bewijsmateriaal.
- Identificatie van de dreigingsactor met gebruik van forensische gegevens, intelligence en input van opsporingsinstanties waar beschikbaar.
- Screening op sancties en restricted parties voor groepsnamen, aliassen, walletadressen, infrastructuur, tussenpersonen en betalingskanalen.
- Overleg met opsporingsinstanties wordt overwogen en geregistreerd.
- De cyberverzekeraar wordt conform de polisvoorwaarden geïnformeerd voordat leveranciers worden aangesteld of onderhandelingen worden gestart.
- De DPO of privacyverantwoordelijke wordt betrokken als persoonsgegevens mogelijk betrokken zijn.
- De CFO of financieel verantwoordelijke bevestigt betalingsbeheersmaatregelen, functiescheiding, antifraudecontroles en vereisten voor goedkeuring door de raad.
- Het bestuursbesluit wordt geregistreerd met overwogen alternatieven, waaronder herstel, indamming, opschorting van dienstverlening, klantcommunicatie en weigering om te betalen.
- Bewijsmateriaal wordt bewaard voor communicatie met aanvallers, indicatoren, walletgegevens, besluitvormingsvergaderingen, goedkeuringen en extern advies.
Voor ransomware moet het juridisch register ten minste de volgende bronnen van verplichtingen bevatten.
| Bron van verplichting | Impact op betalingsgovernance |
|---|---|
| Sanctie- en antiwitwas-/financiëlecriminaliteitsvereisten | Geen onderhandeling of betaling zonder juridische screening en gedocumenteerde goedkeuring. |
| Cyberverzekeringscontract | Kennisgeving aan verzekeraar, goedgekeurde leveranciers, voorafgaande toestemming, bewijseisen en dekkingsvoorwaarden. |
| GDPR | Beoordeling van een inbreuk in verband met persoonsgegevens, melding aan de toezichthoudende autoriteit, communicatie aan betrokkenen en verantwoordingsregistraties. |
| NIS2 | Classificatie van significante incidenten, vroegtijdige waarschuwing binnen 24 uur, melding binnen 72 uur en eindrapport binnen één maand waar van toepassing. |
| DORA | Classificatie van majeure ICT-gerelateerde incidenten, rapportage aan de bevoegde autoriteit, communicatie aan cliënten en oorzaakanalyse na incidenten. |
| Klantcontracten | Kennisgeving van beveiligingsincidenten, servicelevelverplichtingen, auditrechten en verplichtingen voor klantcommunicatie. |
| Verwachtingen van opsporingsinstanties | Bewaring van bewijsmateriaal, behandeling van communicatie met aanvallers en coördinatieregistraties. |
Organisaties moeten ook bepalen wie het betalingsbesluit kan stoppen. Juridische zaken, compliance, de DPO, sanctieadvocaat of de raad moeten expliciete bevoegdheid hebben om onderhandeling of betaling te pauzeren als screening onvolledig is, bewijsmateriaal onbetrouwbaar is, verzekeringsvoorwaarden niet zijn vervuld of de handeling wet of contract kan schenden.
Bewaring van bewijsmateriaal: vernietig geen bewijs tijdens herstel van dienstverlening
Ransomwareteams willen vanzelfsprekend de operatie snel herstellen. Maar als herstel logboeken, snapshots, losgeldnotities, malwaresamples, geheugenimages of berichten van aanvallers vernietigt, kan de organisatie het vermogen verliezen om aan te tonen wat er is gebeurd.
In de fase Controls in Action, stap 23, Organizational controls, instrueert Zenith Blueprint organisaties om capaciteiten voor incidentbeheer te valideren en te testen door meldingsplichtige beveiligingsgebeurtenissen te definiëren, besluitvorming te documenteren en forensisch bewijsmateriaal te bewaren. Het instrueert teams om:
“Alle besluiten, rollen en communicatie vast te leggen en te loggen (5.26), en het plan bij te werken met geleerde lessen (5.27). Bevestig dat procedures aanwezig zijn om forensisch bewijsmateriaal te bewaren (5.28), waaronder logsnapshots, back-ups en veilige isolatie van getroffen systemen.”
Dezelfde stap legt A.5.28 uit in taal die iedere raad begrijpt:
“wat u kunt aantonen is net zo belangrijk als wat er daadwerkelijk is gebeurd”
Clarysec’s enterprise-Beleid inzake bewijsverzameling en forensisch onderzoek benadrukt dat bewijsmateriaal traceerbaar moet blijven:
“Een chain-of-custody-logboek moet alle fysieke of digitale bewijsmaterialen begeleiden vanaf het moment van verwerving tot en met archivering of overdracht en moet documenteren:”
Uit de sectie “Governancevereisten”, beleidsclausule 5.6.
Voor het mkb is het Beleid inzake bewijsverzameling en forensisch onderzoek - mkb bewust praktisch:
“Er moet altijd een forensische kopie of export worden gemaakt; het oorspronkelijke bewijsmateriaal mag nooit rechtstreeks worden bewerkt.”
Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.1.1.
Het vereist ook juridisch overleg wanneer HR-, juridische of klantimpact kan bestaan:
“Als het incident mogelijke Human Resources (HR)-, juridische of klantimpact heeft, moet de GM juridisch adviseur raadplegen voordat wordt doorgegaan met toepassing of escalatie.”
Uit de sectie “Governancevereisten”, beleidsclausule 5.4.2.
Tijdens Poort 2 moet een praktisch bewijspakket worden geopend. Maak een afgeschermde map voor incidentbewijsmateriaal. Exporteer SIEM-tijdlijnen, EDR-detecties, cloudauditlogboeken, aanmeldlogboeken van identiteitsproviders, status van back-upjobs, losgeldnotities, schermafbeeldingen, berichten van aanvallers, walletadressen, bestandsvoorbeelden, verwijzingen naar juridisch advies, correspondentie met de verzekeraar en vergaderbesluiten. Wijs een beheerder aan. Registreer hashwaarden waar passend. Laat beheerders getroffen systemen niet opschonen vóór forensische verwerving, tenzij levensveiligheid, bescherming van kritieke diensten of door het topmanagement goedgekeurde indamming dat vereist.
Eén classificatiewerkblad voor NIS2, DORA en GDPR
Een ransomware-incident kan meerdere termijnen activeren. De uitdaging is niet alleen om de deadlines te kennen. Het gaat erom te weten wanneer de organisatie kennis kreeg, wat zij op dat moment wist en hoe classificatiebesluiten zijn genomen.
NIS2 Article 23 vereist dat essentiële en belangrijke entiteiten de CSIRT of bevoegde autoriteit zonder onnodige vertraging informeren over significante incidenten. Significantheid is gekoppeld aan ernstige operationele verstoring, financieel verlies of aanzienlijke materiële of immateriële schade aan anderen. Het gefaseerde model omvat een vroegtijdige waarschuwing binnen 24 uur, melding binnen 72 uur, tussentijdse updates indien gevraagd en, waar van toepassing, een eindrapport binnen één maand na de incidentmelding.
DORA vereist dat financiële entiteiten beheer van ICT-gerelateerde incidenten definiëren en implementeren, incidenten en significante cyberdreigingen registreren, incidenten classificeren aan de hand van criteria zoals getroffen cliënten, duur, geografische spreiding, gegevensverlies, criticaliteit en economische impact, en majeure ICT-gerelateerde incidenten via initiële, tussentijdse en eindrapporten aan bevoegde autoriteiten rapporteren.
GDPR stelt een andere maar overlappende vraag: heeft het incident geleid tot een inbreuk in verband met persoonsgegevens? Zo ja, is het waarschijnlijk dat dit een risico voor betrokkenen oplevert? Als de meldingsdrempel is gehaald, moet de melding aan de toezichthoudende autoriteit worden beoordeeld tegen de termijn van 72 uur. Bij een hoog risico kan ook communicatie aan betrokkenen nodig zijn.
Clarysec adviseert één ransomwareclassificatiewerkblad te gebruiken met afzonderlijke secties voor elk regime.
| Classificatiegebied | Voorbeeldvraag bij ransomware | Output |
|---|---|---|
| Operationele impact | Zijn kritieke diensten verstoord of waarschijnlijk verstoord? | Input voor NIS2-significantie en DORA-criticaliteit |
| Financiële impact | Heeft het incident materieel financieel verlies veroorzaakt of kan het dat veroorzaken? | Input voor NIS2- en DORA-ernst |
| Klantimpact | Zijn serviceontvangers, cliënten, tegenpartijen of transacties geraakt? | Input voor NIS2, DORA en contractuele kennisgeving |
| Persoonsgegevens | Zijn persoonsgegevens ingezien, geëxfiltreerd, gewijzigd, vernietigd of onbeschikbaar gemaakt? | Input voor GDPR-inbreukbeoordeling |
| Gevoeligheid van gegevens | Omvatten de getroffen gegevens bijzondere categorieën gegevens, inloggegevens, financiële gegevens, identiteitsdocumenten of gegevens van kinderen? | Input voor GDPR-risico en communicatie |
| Grensoverschrijdende impact | Zijn meerdere lidstaten, jurisdicties, klanten of servicelocaties geraakt? | Input voor NIS2- en DORA-rapportage |
| Zekerheid over bewijsmateriaal | Welke feiten zijn bevestigd, vermoed of onbekend? | Basis voor gefaseerde rapportage en updates |
Deze aanpak past bij de ISO 27001-clausules over risicobeoordeling, risicobehandeling en gedocumenteerde informatie. Hij sluit ook aan op NIST CSF 2.0. De GOVERN-functie van NIST CSF 2.0 verwacht dat organisaties stakeholders, wettelijke en regelgevende verplichtingen, risicobereidheid, rollen, beleid, toezicht en risico’s van derde partijen begrijpen. De uitkomsten voor detectie, respons en herstel ondersteunen incidentverklaring, analyse, responscoördinatie, kennisgeving aan stakeholders, uitvoering van herstel en validatie van herstel.
Voor financiële entiteiten kan DORA fungeren als het sectorspecifieke cyberbeveiligingsregime voor overlappende NIS2-verplichtingen, maar dat neemt de noodzaak niet weg om de toepasselijkheid van NIS2 te begrijpen voor groepsentiteiten, ICT-aanbieders, managed services of cloudafhankelijkheden. Het praktische antwoord is niet om afzonderlijke draaiboeken te onderhouden. Het is om één ISMS-bewijsmodel te hanteren dat is gekoppeld aan alle relevante verplichtingen.
Cyberverzekering en leverancierscoördinatie zijn governancebeheersmaatregelen
Cyberverzekering kan waardevol zijn, maar is geen ransomwarestrategie. Het is een mechanisme voor risico-overdracht met voorwaarden. Tijdens een ransomwaregebeurtenis kan de verzekeraar onmiddellijke kennisgeving, gebruik van panelpartijen, voorafgaande goedkeuring voor onderhandeling, bewaring van bewijsmateriaal, bewijs van falende back-ups, bewijs van redelijke beheersmaatregelen en juridische beoordeling vóór enige betalingsafweging vereisen.
DORA maakt ICT-risico’s van derde partijen tot een volwaardig compliancedomein. NIS2 Article 21 vereist ook beveiliging van de toeleveringsketen en aandacht voor kwetsbaarheden en cyberbeveiligingspraktijken van leveranciers. ISO 27001 ondersteunt dezelfde logica via leveranciers- en cloudbeheersmaatregelen zoals A.5.19 tot en met A.5.23, plus incident-, continuïteits- en juridische beheersmaatregelen.
Zenith Controls koppelt incidentvoorbereiding aan externe partners, waaronder forensische partijen, juridische zaken, PR en contact met autoriteiten. Vanuit auditperspectief kan het ontbreken van vooraf geïdentificeerde externe partners worden gezien als een gereedheidskloof, omdat dit respons tijdens een werkelijk incident kan vertragen.
Voor governance rond ransomwarebetalingen adviseert Clarysec om vooraf afspraken te maken over:
- Forensische retainer of voorwaarden voor snelle respons.
- Beschikbaarheid van externe juridisch adviseurs voor inbreuken, sancties en privilege-strategie.
- Meldroute naar de cyberverzekeraar en lijst met goedgekeurde leveranciers.
- Escalatieroute bij de cloudprovider voor snapshots, logboeken, isolatie en herstel.
- Samenwerkingsprocedures voor incidenten met MSSP of MDR.
- Reviewproces voor PR en crisiscommunicatie.
- Goedkeuringsmaatregelen vanuit bank of financiën voor uitzonderlijke betalingen.
- Contactprotocol met opsporingsinstanties.
Dit sluit goed aan op de uitkomsten voor de toeleveringsketen in NIST CSF 2.0, waaronder rollen en verantwoordelijkheden van leveranciers, due diligence, contractuele cyberbeveiligingseisen, coördinatie van leveranciersincidenten en activiteiten na beëindiging.
Een praktisch escalatiedraaiboek voor ransomwarebetalingen
De vijf poorten kunnen worden vertaald naar een operationeel draaiboek. Elke stap moet worden gedocumenteerd, toegewezen aan een eigenaar en geoefend.
| Fase | Kernactie | Verantwoordelijke rol | Belangrijkste ISO 27001:2022-beheersmaatregelen | Bewijsmateriaal of output |
|---|---|---|---|---|
| 1. Triage en verklaring | Beoordeel de gebeurtenis aan de hand van criteria, verklaar een significant of majeur incident en activeer het responsteam | SOC Lead, Incident Commander | A.5.24, A.5.25 | Incidentticket, verklaringslogboek, eerste situatierapport |
| 2. Business Impact Analysis | Kwantificeer de operationele impact, schat de RTO/RPO-positie in en bepaal gegevens- en dienstcriticaliteit | Bedrijfseigenaren, CISO, verantwoordelijke continuïteit en herstel | A.5.29, A.5.30, A.8.13 | Business Impact Analysis, bevindingen over back-upintegriteit |
| 3. Bewaring van bewijsmateriaal | Exporteer logboeken, bewaar systemen, beveilig bewijsmateriaal en onderhoud chain-of-custody | Forensisch verantwoordelijke, Incident Response Team | A.5.28, A.8.15, A.8.16 | Forensische images, logexporten, chain-of-custody-registratie |
| 4. Juridische en sanctiecontrole | Betrek juridisch adviseur, identificeer de dreigingsactor, screen op sancties en beoordeel rapportageverplichtingen | Juridisch functionaris, DPO, compliance, externe juridisch adviseur | A.5.31, A.5.34, A.6.3 | Juridisch advies, registratie van sanctiecontrole, rapportagewerkblad |
| 5. Coördinatie met verzekering en leveranciers | Informeer de verzekeraar, bevestig goedgekeurde leveranciers en coördineer cloud-, MSSP- en forensische ondersteuning | CISO, juridische zaken, leveranciersmanager | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Toestemming van verzekeraar, leverancierstickets, actielogboek leveranciers |
| 6. Besluitvormingsbriefing voor topmanagement | Presenteer opties, risico’s, juridische visie, haalbaarheid van herstel, communicatie-impact en positie van de verzekeraar | Incident Commander, CISO, juridische zaken, CFO | A.5.1, A.5.2, A.5.26, A.5.31 | Briefingdocument voor ransomwarebesluit |
| 7. Autoriseren en documenteren | Bevoegd topmanagement besluit of wordt onderhandeld, geweigerd, betaald of alternatieve acties worden gevolgd | CEO, topmanagement, raad van bestuur | A.5.2, A.5.3, A.5.26, A.5.31 | Ondertekende besluitregistratie, risicoacceptatie, actielogboek |
| 8. Afsluiting en verbetering | Voer oorzaakanalyse, lessons learned en actualisatie van beheersmaatregelen uit | ISMS-manager, CISO, interne audit | A.5.27, ISO 27001-clausule 10.2 | Rapport met geleerde lessen, plan voor corrigerende maatregelen, bijgewerkte ISMS-registraties |
Het doel is niet om een comfortabel besluit te garanderen. Er is mogelijk geen comfortabel besluit. Het doel is te waarborgen dat het besluit geautoriseerd, op bewijsmateriaal gebaseerd, juridisch onderbouwd en verdedigbaar is.
De tabletop-oefening van 90 minuten die gereedheid aantoont
De eenvoudigste manier om governance rond ransomwarebetalingen te testen is geen technische red team-oefening. Het is een besluitvormings-tabletop.
Gebruik Zenith Blueprint, fase Controls in Action, stap 23, om de capaciteit voor incidentbeheer te valideren. Kies een ransomwarescenario en voer een getimede oefening uit. Het doel is niet om vooraf te besluiten dat de organisatie zou betalen of nooit zou betalen. Het doel is te bewijzen dat de organisatie tot een beheerst besluit kan komen.
Scenario: een in de cloud gehoste klantendatabase is versleuteld, de aanvaller beweert data-exfiltratie, back-ups bestaan maar zijn nog niet op integriteit getest, de verzekeraar is nog niet geïnformeerd en de aanvaller verstrekt een walletadres met een deadline van 48 uur.
Oefenchecklist:
- Verklaar het incident en wijs de Incident Commander aan.
- Open het besluitvormingslogboek voor ransomware.
- Classificeer de gebeurtenis met A.5.25-criteria.
- Identificeer getroffen bedrijfsmiddelen en bedrijfsdiensten.
- Bepaal of persoonsgegevens betrokken zijn.
- Activeer beoordelingsworkflows voor GDPR, NIS2, DORA en contractuele verplichtingen.
- Informeer juridische zaken, DPO, topmanagement, verzekeraar en forensische dienstverlener.
- Bewaar bewijsmateriaal vóór destructieve herstelacties.
- Controleer back-upintegriteit en herstelopties.
- Voer sanctiescreening uit vóór elke onderhandeling.
- Registreer of overleg met opsporingsinstanties vereist is.
- Stel holding statements op voor klanten en toezichthouders.
- Presenteer besluitopties aan de bevoegde besluitvormer.
- Registreer besluit, rationale, afwijkende meningen, goedkeuringen en vervolgstappen.
- Plan de post-incident evaluatie en verbeteracties voor beheersmaatregelen.
De output moet een volledig bewijspakket zijn: deelnemerslijst, tijdlijn, classificatiewerkblad, besluitvormingslogboek, communicatieconcepten, juridische actiepunten, actiepunten voor de verzekeraar, back-upbevindingen en geleerde lessen. Dat pakket is auditgoud omdat het laat zien dat governance al vóór een echte crisis werkt.
Hoe auditors en toezichthouders het proces zullen toetsen
Auditors met verschillende achtergronden bekijken hetzelfde ransomwareproces door verschillende lenzen.
| Auditlens | Waar zij om zullen vragen | Hoe goed bewijsmateriaal eruitziet |
|---|---|---|
| ISO 27001:2022-auditor | Zijn incidentplanning, gebeurtenisbeoordeling, respons, bewijsmateriaal, wettelijke eisen en geleerde lessen beheerst? | Incidentresponsplan, SoA-mapping, risicoregister, registraties van tabletop-oefeningen, bewijsprocedure, besluitvormingslogboeken, outputs van directiebeoordeling |
| ISO/IEC 27007-stijl ISMS-auditor | Begrijpen mensen hun rollen en kunnen registraties de werking aantonen? | Interviews met CISO, juridische zaken, DPO, SOC, leidinggevenden, plus steekproeven van incidenttickets en escalatieregistraties |
| Op NIST afgestemde assessor | Zijn governance, detectie, respons, communicatie en hersteluitkomsten geïntegreerd? | CSF-profiel, risicoregister, monitoringsregels, criteria voor incidentverklaring, stakeholdercommunicatie, validatie van herstel |
| COBIT 2019- of ISACA-auditor | Is er managementeigenaarschap, procesbeheersing, voldoende bewijsmateriaal en voortdurende verbetering? | RACI, procesmetrieken, compliancerapportage, post-incident evaluatie, opvolging van corrigerende maatregelen |
| DORA-gerichte auditor | Worden ICT-incidenten geclassificeerd, geëscaleerd, gerapporteerd, hersteld en verbeterd binnen het ICT-risicokader? | Criteria voor incidentclassificatie, rapportage aan het bestuursorgaan, bewijsmateriaal van cliëntcommunicatie, oorzaakanalyse, weerbaarheidstesten |
| GDPR/privacy-auditor | Was de beoordeling van de inbreuk in verband met persoonsgegevens tijdig, risicogebaseerd en gedocumenteerd? | Formulier voor inbreukbeoordeling, betrokkenheid van DPO, besluit over toezichthoudende autoriteit, rationale voor communicatie aan betrokkenen, context uit registraties van verwerkingsactiviteiten |
Zenith Controls biedt een gedetailleerde auditmethodologie voor A.5.24, A.5.25 en A.5.31. Voor A.5.24 onderzoeken auditors het incidentresponsplan, ernstclassificaties, rollen, contactlijsten, instructies voor regelgevende rapportage, oefeningen en afspraken met externe partners. Voor A.5.25 beoordelen zij of criteria voor gebeurtenisclassificatie bestaan, of registraties van waarschuwingafhandeling onderzoek en escalatiebesluiten aantonen, of SIEM en Threat Intelligence worden gebruikt en of DPO- of juridische teams worden betrokken wanneer persoonsgegevens kunnen zijn geraakt. Voor A.5.31 zoeken auditors naar juridische registers, compliancemapping, bewijsmateriaal van beoordeling, dekking door interne audit en rapportage aan het hoger management.
Het auditrisico is niet alleen dat een organisatie heeft betaald of heeft geweigerd te betalen. Het auditrisico is dat niemand kan aantonen hoe het besluit is genomen.
Van afpersing naar verbetering van beheersmaatregelen
Ransomwaregovernance eindigt niet wanneer systemen zijn hersteld. ISO 27001 verwacht voortdurende verbetering. A.5.27 leren van informatiebeveiligingsincidenten staat centraal in die verwachting. DORA vereist oorzaakanalyse en aanvullende beheersmaatregelen. Eindrapportage onder NIS2 verwacht mitigerende maatregelen en, waar van toepassing, de waarschijnlijke oorzaak. GDPR-verantwoordingsplicht verwacht documentatie van besluiten en waarborgen.
Elke post-incident evaluatie na ransomware moet de volgende vragen beantwoorden:
- Zijn rapportagetermijnen correct geïdentificeerd?
- Werkte de beslissingsbevoegdheid zoals ontworpen?
- Vond juridische en sanctiebeoordeling vroeg genoeg plaats?
- Hielp de coördinatie met de verzekeraar of vertraagde deze de respons?
- Waren back-ups volledig, gescheiden, herstelbaar en getest?
- Waren logboeken voldoende om toegang en data-exfiltratie te beoordelen?
- Reageerden leveranciers conform contract?
- Was klantcommunicatie accuraat en tijdig?
- Ontvingen leidinggevenden de juiste informatie op het juiste moment?
- Welke beheersmaatregelen, beleidslijnen, contracten of trainingen moeten worden aangepast?
Deze antwoorden moeten het risicoregister, de Verklaring van Toepasselijkheid, het incidentresponsplan, de back-upstrategie, leverancierscontracten, het communicatieplan en het trainingsprogramma bijwerken.
In de fase ISMS Foundation and Leadership, stap 5, benadrukt Zenith Blueprint de planning van externe communicatie, waaronder het identificeren van klanten, toezichthouders, partners en het publiek, bepalen wat en wanneer wordt gecommuniceerd en vastleggen wie communiceert. Voor ransomware wordt die stap de brug tussen technische respons en behoud van vertrouwen.
Bouw de besluitregistratie vóór de losgeldnotitie
Het beste moment om een losgeldbesluit te beheersen is voordat de aanvaller de deadline stelt.
Als uw ransomwaredraaiboek geen beslissingsbevoegdheid, juridische beoordeling, sanctiescreening, verzekeringsgoedkeuring, bewaring van bewijsmateriaal, NIS2- en DORA-classificatie, GDPR-inbreukbeoordeling en documentatie op bestuursniveau definieert, heeft de organisatie een governancehiaat dat op een crisis wacht.
Clarysec helpt organisaties deze capaciteit in het ISMS in te bouwen met:
- Zenith Blueprint: een 30-stappenroadmap voor auditors voor gefaseerde ISO 27001-implementatie, risicobehandeling, communicatieplanning en validatie van incidentcapaciteit.
- Zenith Controls: de gids voor cross-compliance voor het mappen van ISO 27001-beheersmaatregelen naar NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 en auditbewijs.
- Clarysec-beleidslijnen voor enterprise en mkb, waaronder Incidentresponsbeleid, Incidentresponsbeleid - mkb, Beleid inzake bewijsverzameling en forensisch onderzoek, Beleid inzake bewijsverzameling en forensisch onderzoek - mkb, Beleid inzake governancerollen en -verantwoordelijkheden, Beleid inzake governancerollen en -verantwoordelijkheden - mkb en Beleid inzake risicobeheer.
- Praktische templates voor ransomware-tabletops, besluitvormingslogboeken, matrices voor juridische escalatie, bewijspakketten en rapportagewerkbladen voor cross-compliance.
Wacht niet tot het telefoontje om 3 uur ’s nachts om te ontdekken wie mag beslissen. Beoordeel uw incidentresponsplan aan de hand van de vijf poorten van Clarysec, voer een tabletop-oefening van 90 minuten over ransomwarebetalingen uit en bouw een sanctieconforme, auditklare besluitregistratie die standhoudt bij toezichthouders, verzekeraars en uw eigen raad van bestuur.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council