Stel, het is maandagochtend. De eerste medewerkers klappen hun laptop open. Maar in plaats van het vertrouwde scherm verschijnt er een rood scherm:
“Uw bestanden zijn versleuteld. Betaal binnen 48 uur.”
Wat doen bij een cyberaanval?
Het soort bericht waarvan uw hartslag meteen stijgt — ook al heeft u een IT-partner, back-ups en “best wel wat met security geregeld”.
En ineens voelt iedereen in de organisatie dezelfde urgente vraag:
Cyberaanvallen zijn geen ver-van-je-bed-show meer. Ze raken mkb-organisaties net zo hard — misschien nog wel harder — omdat processen stilvallen, data op straat kan belanden en klanten afhankelijk zijn van uw dienstverlening.
In dit artikel krijgt u het complete, praktische en direct toepasbare antwoord, zodat u weet hoe u schade beperkt én rust bewaart.
Kort antwoord: wat doet u direct bij een cyberaanval?
Wanneer u nu een cyberaanval ontdekt, doet u in de eerste uren het volgende:
- Raak niets onnodig aan en zet geen systemen uit.
- Schakel uw incidentteam in (directie, IT, security, privacy, communicatie).
- Isoleer getroffen systemen van het netwerk — zonder ze uit te zetten.
- Breng de impact in kaart (systemen, data, processen, gebruikers).
- Controleer meldplichten (AVG binnen 72 uur, NIS2 vaak binnen 24 uur).
- Controleer back-ups, maar herstel pas wanneer ze aantoonbaar schoon zijn.
- Documenteer elke stap voor juridische, technische en verzekeringsdoeleinden.
Dit is de snelle versie. Hieronder duiken we dieper in elke stap, met voorbeelden uit de praktijk en concrete aanbevelingen voor mkb-organisaties.
Wat is een cyberaanval in de praktijk?
Een cyberaanval is veel meer dan “een virus” of “een hack”. In de praktijk zien we bij mkb-bedrijven vooral vier soorten aanvallen:
Ransomware
Bestanden worden versleuteld, systemen ontoegankelijk gemaakt. regelmatig gekoppeld aan datadiefstal.
Business Email Compromise
Een medewerker gebruikt een gehackt Microsoft 365-account zonder het te weten. Aanvallers lezen mail mee, kapen facturen of passen bankrekening nummers aan.
Account takeover
Criminelen krijgen toegang via gestolen wachtwoorden, niet-gepatchte systemen of ontbrekende Multi Factor Authenticatie.
Supply chain-aanval
De IT-dienstverlener, softwareleverancier of integratiepartner wordt gehackt, waardoor uw omgeving indirect geraakt wordt.
Het maakt niet uit welk type aanval u treft — de eerste stappen blijven hetzelfde: rust, isolatie en overzicht.
De eerste 60 minuten: wat doen bij cyberaanval?
De eerste 60 minuten zijn cruciaal. In deze fase maakt u fouten die later grote gevolgen kunnen hebben, of u legt de basis voor een gecontroleerde aanpak.
1. Stop met 'even proberen' en raak niets onnodig aan
Deze fouten zien we vrijwel altijd gebeuren:
- IT-dienstverlener reboot “voor de zekerheid”
- systemen worden uitgeschakeld
- gebruikers proberen opnieuw in te loggen of openen meer bestanden
Dit zorgt voor:
- verlies van bewijs
- versnelling van encryptie
- verdere verspreiding
- problemen bij AVG/NIS2-meldingen (u moet kunnen reconstrueren wat er is gebeurd)
Laat systemen draaien zoals ze zijn, tenzij een security-expert anders adviseert.
Deze fouten zien we in de praktijk vrijwel altijd terug. Vaak reboot een IT-dienstverlener een systeem “voor de zekerheid”, worden werkstations uitgeschakeld of proberen gebruikers nog eens opnieuw in te loggen of extra bestanden te openen om te controleren wat er aan de hand is. Helaas verergert dit de situatie. Dergelijke handelingen leiden namelijk tot verlies van belangrijk bewijsmateriaal, versnellen in sommige gevallen de encryptie, vergroten de kans op verdere verspreiding van de aanval en maken het lastiger om te voldoen aan AVG- of NIS2-meldplichten, omdat u niet meer precies kunt reconstrueren wat er is gebeurd.
Laat systemen daarom draaien zoals ze zijn, tenzij een security-expert expliciet aangeeft dat uitschakelen noodzakelijk is.
2. Activeer direct het incidentteam
Cyberaanvallen zijn geen puur technische incidenten, maar organisatiebrede crisissituaties. Daarom is het essentieel om vanaf het eerste moment een goed samengesteld incidentteam te activeren. Dat team bestaat minimaal uit
- Directie, die besluiten neemt over communicatie, kosten en meldplichten
- IT-beheer of de IT-dienstverlener, die de technische maatregelen uitvoert
- Een securityspecialist die de analyse, containment en eventuele forensics coördineert
- De privacy officer of functionaris gegevensbescherming, die toeziet op de AVG- en contractuele verplichtingen
- Iemand van communicatie die zorgt voor duidelijke interne en externe berichtgeving
Wanneer één van deze rollen ontbreekt, ontstaat al snel chaos, miscommunicatie en vertraging. Vergeet bovendien niet om het hele proces zorgvuldig te laten notuleren — volledige documentatie is cruciaal voor juridische verantwoording, meldplichten en verzekeringsafhandeling.
3. Isoleer systemen, maar zet ze niet uit
Veel organisaties denken dat uitzetten veiliger is.
Maar: zodra systemen uitgaan, raakt u kritische loginformatie kwijt die nodig is om:
- te zien hoe de aanvaller binnenkwam
- te bepalen of data is gekopieerd
- te voldoen aan AVG/NIS2
- de aanval écht te stoppen
Isoleren betekent:
- wifi verbreken
- netwerkpoort dichtzetten
- verdachte accounts blokkeren
- remote toegang tijdelijk afsluiten
Maar de systemen blijven aan.
Veel organisaties denken in eerste instantie dat het veiliger is om systemen volledig uit te zetten. Dat lijkt logisch, maar het tegenovergestelde is waar. Zodra systemen worden uitgeschakeld, verdwijnt een groot deel van de kritische loginformatie die u later nodig heeft om te achterhalen hoe de aanvaller binnenkwam, of er data is gekopieerd, welke verplichtingen u heeft richting AVG of NIS2, en welke stappen noodzakelijk zijn om de aanval écht te stoppen.
Daarom is het belangrijk om systemen niet uit te zetten, maar te isoleren. In de praktijk betekent dit dat u bijvoorbeeld de wifi-verbinding verbreekt, een netwerkpoort afsluit, verdachte accounts blokkeert of tijdelijk de remote toegang (zoals VPN of RDP) uitschakelt. Op deze manier voorkomt u verdere verspreiding van de aanval, terwijl u de waardevolle informatie intact houdt die nodig is voor analyse, herstel en naleving van wet- en regelgeving.
4. Leg alles vast: meldingen, schermen en tijdstippen
Forensisch bewijs zit in kleine details.
Maak screenshots van:
- foutmeldingen
- verdachte e-mails
- encryptieberichten
- logbestanden
- afwijkend gedrag
Documenteer:
- wie wat zag
- wanneer het begon
- welke systemen vreemd gedrag vertoonden
Dit maakt schadebeperking, meldingen en verzekeringsclaims aanzienlijk eenvoudiger.
Forensisch bewijs zit vaak in de kleinste details. Daarom is het verstandig om meteen screenshots te maken van alles wat relevant kan zijn: foutmeldingen die plotseling verschijnen, verdachte e-mails die aan de aanval gekoppeld kunnen zijn, berichten waarin bestanden versleuteld lijken, logbestanden die afwijkingen tonen, en elk ander stukje systeemgedrag dat niet normaal is. Leg daarnaast duidelijk vast wie welk signaal heeft gezien, op welk moment het probleem begon en welke systemen afwijkend gedrag vertoonden. Door dit zorgvuldig te documenteren, wordt het later veel eenvoudiger om de schade goed in te schatten, meldingen onder de AVG of NIS2 correct uit te voeren en verzekeringsclaims te onderbouwen.
Vervolgstappen: van analyse tot herstel
Na de eerste 60 minuten start de fase waarin u echt grip krijgt op de aanval.
1. Breng de impact in kaart
U moet weten:
- Welke systemen zijn getroffen?
- Is er datadiefstal?
- Zijn gebruikersaccounts misbruikt?
- Welke bedrijfsprocessen liggen stil?
- Wat is het risico voor klanten en ketenpartners?
Zonder deze informatie kunt u geen juiste besluiten nemen.
Zodra de eerste noodmaatregelen zijn getroffen, is het cruciaal om snel een helder beeld te krijgen van de daadwerkelijke impact. Breng in kaart welke systemen zijn getroffen, of er sprake is van datadiefstal, of gebruikersaccounts zijn misbruikt en welke bedrijfsprocessen hierdoor stilvallen. Kijk bovendien naar de gevolgen voor klanten en ketenpartners — in veel mkb-organisaties zit juist daar de grootste afhankelijkheid.
Zonder dit overzicht kunt u geen gefundeerde beslissingen nemen over prioriteiten, herstel en communicatie. Een goed beeld van de impact bepaalt de rest van uw aanpak én voorkomt dat problemen later groter blijken dan gedacht.
2. Onderzoek de oorzaak
Een cyberaanval is vaak het gevolg van:
- een medewerker die op phishing klikt
- ongepatchte systemen
- zwakke wachtwoorden
- leverancier die gehackt is
- misbruik van remote toegang
Door de oorzaak te achterhalen, voorkomt u vervolgschade.
Om grip te krijgen op een cyberaanval is het essentieel om te achterhalen hoe de aanvaller binnen is gekomen. Vaak begint het met iets ogenschijnlijk kleins: een medewerker die op een phishingmail klikt, een systeem dat al maanden geen updates heeft gehad, een zwak wachtwoord dat eenvoudig te raden is, een gehackte leverancier die toegang heeft tot uw omgeving, of misbruik van remote toegang zoals VPN of RDP.
Door zorgvuldig te onderzoeken wat de daadwerkelijke oorzaak is, voorkomt u dat de aanval zich herhaalt of verder uitbreidt. Dit inzicht bepaalt bovendien welke verbetermaatregelen nodig zijn om uw organisatie structureel beter te beschermen.
3. Controleer back-ups — écht grondig
Hier gaat het vaak mis. Veel organisaties ontdekken tijdens een incident dat hun back-ups:
- nooit getest zijn
- ook geïnfecteerd zijn
- te oud zijn
- niet volledig zijn
- niet offline staan
Back-ups vormen het laatste verdedigingsmiddel.
Maar herstel pas wanneer u zeker weet dat ze:
- schoon zijn
- compleet zijn
- bruikbaar zijn
Back-ups lijken vaak het reddingsmiddel tijdens een cyberaanval, maar in de praktijk gaat het hier opvallend vaak mis. Veel organisaties ontdekken pas tijdens een incident dat hun back-ups nooit zijn getest, dat ze besmet of onbruikbaar zijn, dat ze te ver teruggaan in de tijd, niet volledig bleken te zijn of zelfs helemaal niet offline stonden.
Omdat back-ups vaak het laatste verdedigingsmiddel vormen, is het cruciaal om ze zeer grondig te controleren voordat u begint met herstellen. Zorg dat u zeker weet dat het herstelpunt dat u kiest schoon is, volledig is en daadwerkelijk bruikbaar. Pas wanneer dat bevestigd is, kunt u veilig beginnen met het herstel van uw systemen.
4. Herstel gefaseerd en gecontroleerd
Zodra duidelijk is wat veilig is, gaat herstel in fases:
- kritieke bedrijfsprocessen
- primaire applicaties (ERP, e-mail, dossierbeheer)
- secundaire systemen
- overige diensten
Parallel daaraan:
- wachtwoorden resetten
- MFA opnieuw instellen
- kwetsbaarheden dichten
- monitoring aanscherpen
Zodra duidelijk is welke onderdelen van de omgeving veilig zijn, kan het herstelproces in fases worden uitgevoerd. Begin altijd met de kritieke bedrijfsprocessen, gevolgd door de primaire applicaties zoals ERP-systemen, e-mail en dossierbeheer. Pas daarna komen de secundaire systemen en overige diensten aan bod.
Parallel aan dit hersteltraject moeten ook de nodige beveiligingsmaatregelen worden genomen: alle wachtwoorden worden opnieuw ingesteld, MFA-configuraties worden herbevestigd, kwetsbaarheden worden gedicht en de monitoring wordt aangescherpt om te voorkomen dat de aanvaller opnieuw toegang krijgt. Vergeet bij het opnieuw instellen van de wachtwoorden ook zeker niet de zogenaamde service accounts en wachtwoorden voor API's en scripts.
Deze combinatie van gecontroleerd herstel en versterkte beveiliging zorgt ervoor dat uw organisatie weer veilig en stabiel kan functioneren.
Meldplichten: AVG en NIS2
Wetgeving speelt een grote rol tijdens cyberincidenten.
Veel organisaties onderschatten dit.
AVG-melding (binnen 72 uur)
U moet melden als:
- er persoonsgegevens zijn betrokken, én
- er risico’s voor betrokkenen zijn (klanten/medewerkers)
Daarnaast kunt u verplicht zijn betrokkenen te informeren.
NIS2 / Cyberbeveiligingswet (vaak binnen 24 uur)
Voor sectoren in zorg, logistiek, IT-diensten, overheid, financiële ketens:
- early warning binnen 24 uur
- incidentmelding binnen 72 uur
- eindrapport binnen 30 dagen
Ook organisaties die niet direct onder NIS2 vallen, kunnen indirect meldplicht hebben via ketenverantwoordelijkheid.
Wetgeving speelt een grote rol tijdens cyberincidenten, maar veel organisaties onderschatten hoeveel impact dit in de praktijk heeft. Zodra er sprake is van een aanval, moet u namelijk niet alleen technisch handelen, maar ook voldoen aan strikte juridische verplichtingen.
AVG-melding (binnen 72 uur)
Onder de AVG bent u verplicht een datalek te melden wanneer er persoonsgegevens zijn betrokken én wanneer dit risico’s oplevert voor betrokkenen, zoals klanten of medewerkers. In sommige situaties moet u deze betrokkenen zelfs rechtstreeks informeren, bijvoorbeeld wanneer zij direct hinder kunnen ondervinden van het lek. De termijn van 72 uur is hard; wachten of twijfelen kan leiden tot boetes en compliance problemen.
NIS2 / Cyberbeveiligingswet (vaak binnen 24 uur)
Voor organisaties in onder andere de zorg, logistiek, IT-dienstverlening, overheidssectoren en financiële ketens gelden nog strengere meldplichten. Zij moeten binnen 24 uur een early warning indienen, binnen 72 uur een volledige incidentmelding aanleveren en binnen 30 dagen een uitgebreid eindrapport verstrekken.
Let op:
Ook organisaties die niet rechtstreeks onder NIS2 vallen, kunnen toch met meldplichten te maken krijgen. Dit gebeurt wanneer u onderdeel bent van een keten waarin wél een NIS2-plichtige partij actief is. In dat geval kunnen contractuele afspraken ervoor zorgen dat u alsnog incidenten moet melden of extra informatie moet aanleveren.
Veelgemaakte fouten die wij in de praktijk zien bij mkb-bedrijven
In incident analyses zien we terugkerende patronen:
Te laat schakelen
Er wordt pas een crisis team bijeen geroepen wanneer er al grote schade is.
IT-dienstverlener krijgt volledige verantwoordelijkheid
Maar: security ≠ IT-beheer. Daarnaast ligt de verantwoordelijkheid ligt altijd bij uw organisatie.
Back-ups zijn nooit getest
Op papier bestaan ze, maar in de praktijk werken ze niet altijd.
Geen duidelijke verantwoordelijkheden
Wie beslist? Wie meldt? Wie communiceert? Als dit niet vooraf geregeld is, ontstaat chaos.
Logging en monitoring ontbreken
Daardoor blijft onduidelijk of data is gekopieerd, wat cruciaal is voor meldplichten.
Communicatie is onduidelijk of te laat
Medewerkers raken in paniek, klanten raken vertrouwen kwijt.
Hoe bereidt u uw organisatie voor op een cyberaanval?
De schade van een cyberaanval wordt niet bepaald door de aanval zelf, maar door uw voorbereiding.
Dit is wat elke mkb-organisatie nodig heeft:
1. Incident Response Plan
Wie doet wat, wanneer en hoe?
Eenduidige rollen, processen en draaiboeken.
2. Geteste back-up- en herstelprocedures
Back-ups die niet getest zijn, zijn geen back-ups. Dus zorg ervoor dat regelmatig herstel tests worden uitgevoerd door de IT afdeling of IT-dienstverlener.
3. Afgestemde afspraken met de IT-dienstverlener
Heldere taakverdeling:
- wat is beheer
- wat is security
- waar ligt welke verantwoordelijkheid
- hoe snel wordt gereageerd
4. Basismaatregelen op orde
- multi factor authenticatie (MFA)
- kwetsbaarheden beheer, systeem hardening en life cycle management
- toegangsbeheer
- logging en monitoring
- awareness-training
- netwerksegmentatie
5. Periodieke onafhankelijke securitychecks
Geen vinkjes, maar echte controle:
- klopt het?
- werkt het?
- is het aantoonbaar?
Samenvatting: wat doen bij een cyberaanval?
In één oogopslag:
- raak niets onnodig aan
- isoleer systemen
- activeer het incidentteam
- documenteer alles
- bepaal impact & oorzaak
- controleer meldplichten
- herstel gefaseerd
- evalueer en verbeter
Een cyberaanval hoeft geen ramp te zijn — als u de juiste stappen volgt én goed bent voorbereid.
Veelgestelde vragen over cyberaanvallen (FAQ)
Moet ik aangifte doen bij een cyberaanval?
Ja, bij ransomware en datadiefstal is aangifte verstandig en vaak vereist voor verzekeringen.
Wanneer moet ik een datalek melden?
Binnen 72 uur bij de Autoriteit Persoonsgegevens wanneer persoonsgegevens risico lopen.
Helpt het betalen van losgeld bij ransomware?
Nee. U weet nooit of u de sleutel krijgt — en u stimuleert criminele activiteit.
Hoe weet ik of mijn back-ups betrouwbaar zijn?
Door ze periodiek te testen en door herstel te oefenen.
Los mijn IT-dienstverlener dit niet gewoon op?
Nee. IT-beheer ≠ security. Uiteindelijk blijft uw organisatie verantwoordelijk.
Wilt u zeker weten dat uw organisatie écht voorbereid is?
Veel organisaties denken dat hun cybersecurity op orde is, maar kunnen het niet aantonen.
Bij Vink Information Security helpen we u om:
- risico’s zichtbaar te maken
- processen te organiseren
- IT-afspraken te verscherpen
- borgen dat back-ups en herstel testen worden uitgevoerd
- incidentrespons klaar te zetten
- aan NIS2 en AVG te voldoen
Pragmatisch, helder en zonder onnodige kosten.
Wilt u een vrijblijvende risico-scan of introductiegesprek? Stuur me gerust een bericht.
Bronnenlijst
Bronnen
Autoriteit Persoonsgegevens. (z.d.). Datalekken: Zo meldt u een datalek.
https://autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/zo-meldt-u-een-datalek
Autoriteit Persoonsgegevens. (z.d.). Meldplicht datalekken (AVG).
https://autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/meldplicht-datalekken
Europese Commissie. (2022). Directive (EU) 2022/2555 of the European Parliament and of the Council (NIS2-richtlijn).
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555
Nationaal Cyber Security Centrum. (2023). Wat betekent NIS2 voor uw organisatie?
https://www.ncsc.nl/onderwerpen/nis2
Nationaal Cyber Security Centrum. (2024). Meldplicht voor incidenten onder NIS2.
https://www.ncsc.nl/onderwerpen/nis2/meldplicht
Nationaal Cyber Security Centrum. (2023). Ransomware: Dreigingsbeeld en handelingsperspectief.
https://www.ncsc.nl/documenten/publicaties/2023/01/01/ransomware-rapport
Privacy Regulation. (z.d.). AVG Artikel 33 – Melding van een datalek binnen 72 uur.
ENISA. (2023). Threat Landscape Report.
https://www.enisa.europa.eu/publications
Microsoft. (2024). Cyberattack and ransomware response guide.
https://learn.microsoft.com/security
IBM Security. (2023). Cost of a Data Breach Report.