Cyber Incident Actie Plan

Voor het managen van risico’s op het werk is er een Risico Inventarisatie & Evaluatie (RI&E) en voor privacy is er een Data Protection Impact Assessment (DPIA). Maar is er ook een tool voor om risico’s van een computerhack of ander ICT risico te managen? Dat is er en heet een Cyber Incident Actie Plan (CIAP) of Cyber Respons Plan. 

Een CIAP is een stappenplan waarin je een proces beschrijft in geval van een computerhack of ander “cyber risico”. De voorbereiding en uitvoering van zo’n plan ligt in handen van een team, een Cyber Incident Actie Team. Waarom zou je zo’n Cyber Incident Actie Plan nodig hebben?

Waarom een Cyber Incident Actie Plan?

In de afgelopen jaren is meer dan eens duidelijk geworden dat Cyber Crime grote schade kan aanrichten. Het Cybersecuritybeel Nederland 2020 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid laat dat ook wel zien. Cyberincidenten, of anders gezegd, digitale dreiging wordt beschreven als een permanent gevaar. Het kan daarbij gaan m afpersing (ransomware), maar ook diefstal van data, manipulatie van systemen (hacken). Zeker als het gaat om cruciale systemen of gegevens kan dat grote impact hebben voor personen en ondernemingen en schade veroorzaken.  Een Cyber Incident Actie Plan maakt dat een onderneming de risico’s in kaart brengt en analyseert en een plan maakt hoe om te gaan met deze risico’s. Het doel is om de periode van herstel en de schade zo beperkt mogelijk te maken. Daarvoor zijn een aantal stappen noodzakelijk.

Stap 1 Incident Actie Team

Een goed Cyber Incident Actie Plan doorloopt een aantal stappen. De eerste is het samenstellen van een verantwoordelijk team, een Cyber Incident Actie Team. Immers vraagt een incident om ‘actie’ en dat bestaat meestal uit verschillende regeldingen en coördinatie. Wie gaat dat doen? Zijn de teamleden ook voldoende geautoriseerd om te doen wat ze moeten doen? Dat moet geen vraag zijn als er een incident is. Door een team samen te stellen wordt – naast verantwoordelijkheid – ook kennis en ervaring geconcentreerd op 1 plek. Door teamleden uit een organisatie te betrekken is de ‘awareness’ van dreigingen ook groter en gaat dit ‘leven’ in de organisatie. 

Ook dient rekening te worden gehouden met de rol van bijvoorbeeld een Ondernemingsraad. Artikel 25 van de Wet op de Ondernemingsraden geeft de OR immers ook een adviesrecht bij wijzigingen in zeggenschap, het invoeren van een belangrijke technologische voorziening, of het inschakelen van een deskundig adviseur op deze gebieden. 

Stap 2 voorbereiding

Een goed plan begint met een goede voorbereiding. Een van de aandachtspunten is een bedrijfsbeleid dat aandacht schenkt aan het gebruik van systemen, data en monitoring. Onduidelijkheid schept immers ruimte voor discussie. 

Een goede voorbereiding vraagt ook het inventariseren van risico’s. Welke incidenten kent de onderneming uit het verleden? Welke systemen heeft de onderneming en zijn ze kwetsbaar en wat zijn de risico’s van incidenten? Zijn de betrokken medewerk(s)ters zich daar ook bewust van? Worden er backups gemaakt? Dit soort risico’s kan je ook indelen in een risicoschaal. Hoe hoger het risico en hoe ernstiger de gevolgen, hoe groter het risico. Meestal kan het geen kwaad daarbij een externe partij de systemen te laten analyseren. 

Stap 3 het plan

De uitkomsten van de analyse, de schaalverdeling, de uitkomsten van een externe analyse worden behandeld in het Cyber Incident Actie Plan. Per risico kan een handelingsplan worden gemaakt (wie doet wat, wie wordt geïnformeerd, worden externe partijen betrokken, etc.). Ook is van belang dat er een ‘meldpunt’ komt, wat zorgt dat het actieplan in werking treedt bij incidenten.  Het Cyber Incident Actie Plan is uiteindelijk een duidelijk plan van aanpak, als er een keer wat gebeurd. De snelheid van handelen kan cruciaal zijn om schade te beperken. 

Stap 4 implementeren

Na het opstellen van een Cyber Incident Actie Plan moet het geen ‘papieren tijger’ worden. Het moet een ‘levend’ document zijn, wat bij herhaling / periodiek geüpdatet moet blijven. Ook kan ieder incident dat zich voordoet worden gebruikt als aanleiding om het plan of de aanpak bij incidenten te verbeteren. 

Communiceer bestaande risico’s en train zo nodig ook personeelsleden op de omgang met risico’s. Net als bij een BHV training die ook periodiek herhaald wordt, geldt hetzelfde voor een Cyber Incident Actie Plan. Door trainen en het regelmatig ter sprake brengen van risico’s blijft iedereen zich beter bewust van risico’s. Ook is de omgang met risico’s effectiever en vermindert het de risico’s van inbreuken in systemen of verlies van data en daarmee schade. 

Geen garantie

Een Cyber Incident Actie Plan is een ‘tool’ om risico’s te beheersen, net als een RI&E! Neemt het alle risico’s weg? Neen. Bedrijfsongevallen, hoe tragisch soms ook, zijn ook met de beste RI&E’s niet altijd te voorkomen. Wel kan hiermee, net als een RI&E, risico’s, de dreiging van cyber crime en de gevolgen van incidenten (en daarmee de schade) beperken. Als er een incident plaats vindt is immers van belang dat een onderneming de gevolgen kan ‘indammen’. Hoe minder een incident de onderneming (en de klanten) ‘raakt’ hoe kleiner het afbreukrisico en de schade.

Contact

Vragen over een Cyber Incident Actie Plan? Hulp nodig bij een Cyber Incident Actie Plan? Neem contact op met Heijink & Meure advocaten via de contactgegevens die onderaan staan vermeld. Door onze ervaring met ICT recht en ons netwerk aan deskundigen hebben we alle kennis in huis om ondernemers te helpen bij hun ICT vraagstukken.