Wat is een incident response plan en heb je dat nodig voor NIS2?
Een incident response plan is verplicht onder NIS2. De richtlijn schrijft voor dat organisaties beschikken over gedocumenteerde procedures om cyberincidenten te detecteren, te beheersen en te melden. Zonder zo’n plan voldoe je niet aan de zorgplicht die NIS2 oplegt. In dit artikel beantwoorden we de meest gestelde vragen over het incident response plan en wat NIS2 precies van jouw organisatie verwacht.
Wat moet er in een incident response plan staan?
Een incident response plan beschrijft stap voor stap hoe jouw organisatie reageert op een cyberincident. Het plan legt vast wie wat doet, hoe je communiceert en hoe je de schade beperkt. Een volledig plan dekt minimaal de volgende onderdelen af:
- Detectie en classificatie: hoe herken je een incident en hoe bepaal je de ernst ervan?
- Rollen en verantwoordelijkheden: wie is incident response coördinator, wie informeert het bestuur, wie schakelt externe partijen in?
- Communicatieprocedures: interne communicatielijnen én externe meldplichten richting toezichthouders en eventueel klanten
- Inperkingsmaatregelen: concrete stappen om verspreiding van het incident te stoppen
- Herstelproces: hoe breng je systemen veilig terug in productie?
- Documentatie en evaluatie: vastlegging van alle acties en een verplichte nabespreking om herhaling te voorkomen
Een goed incident response plan is geen statisch document. Het vraagt om regelmatige tests, bij voorkeur via oefenscenario’s of tabletop-sessies, zodat iedereen weet wat er van hem of haar verwacht wordt op het moment dat het er echt toe doet. Hoe concreter het plan, hoe sneller en effectiever de reactie bij een daadwerkelijk incident.
Wat zegt NIS2 precies over incident response?
NIS2 verplicht organisaties om passende technische en organisatorische maatregelen te treffen voor het beheer van beveiligingsrisico’s. Incident response is expliciet benoemd als een van die verplichte maatregelen. De richtlijn stelt daarnaast concrete eisen aan de melding van significante incidenten bij de bevoegde nationale autoriteit.
Concreet schrijft NIS2 voor dat significante incidenten binnen 24 uur na ontdekking gemeld worden via een eerste melding, gevolgd door een uitgebreid rapport binnen 72 uur. Een maand na het incident volgt een eindrapportage. Deze termijnen gelden ook onder de Nederlandse Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt.
Naast de meldplicht legt NIS2 ook een zorgplicht op het gebied van informatiebeveiliging op. Dat betekent dat je niet alleen moet melden, maar ook aantoonbaar moet kunnen laten zien dat je vooraf de juiste maatregelen had getroffen. Een gedocumenteerd en getest incident response plan is daarvoor een van de meest concrete bewijzen.
Voor welke organisaties is een incident response plan verplicht onder NIS2?
Een incident response plan is verplicht voor alle organisaties die onder NIS2 vallen: zowel essentiële als belangrijke entiteiten. De richtlijn maakt onderscheid op basis van sector en omvang. Organisaties met meer dan 50 medewerkers of een jaaromzet boven 10 miljoen euro in aangewezen sectoren vallen in principe binnen de scope.
Sectoren die onder NIS2 vallen zijn onder andere energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur, ICT-dienstverlening, financiële dienstverlening en overheidsinstanties. Ook middelgrote organisaties in de maakindustrie, logistiek en voedselproductie kunnen in scope vallen.
Belangrijk om te weten: ook als jouw organisatie zelf niet direct onder NIS2 valt, kun je er indirect mee te maken krijgen. Lever je diensten aan partijen die wél onder de richtlijn vallen, dan zullen die opdrachtgevers steeds vaker eisen dat ook jij aantoonbaar voldoet aan vergelijkbare beveiligingsnormen. Ketenbeveiliging is een expliciet onderdeel van NIS2.
Wat is het verschil tussen een incident response plan en een BCP of DRP?
Een incident response plan (IRP), een business continuity plan (BCP) en een disaster recovery plan (DRP) zijn drie afzonderlijke documenten met elk een eigen focus. Ze vullen elkaar aan, maar zijn niet uitwisselbaar.
- Incident response plan: richt zich op de directe reactie op een beveiligingsincident. Het doel is het incident te detecteren, in te perken en te onderzoeken. De tijdshorizon is uren tot dagen.
- Disaster recovery plan: beschrijft hoe je IT-systemen en data herstelt na een verstoring, ongeacht de oorzaak. De focus ligt op technisch herstel, back-ups en herstelsnelheid (RTO en RPO).
- Business continuity plan: heeft de bredere scope van het in stand houden van bedrijfsprocessen tijdens en na een ernstige verstoring. Het BCP omvat ook niet-IT-aspecten zoals personeel, locaties en communicatie richting klanten.
In de praktijk zijn de drie plannen sterk met elkaar verweven. Een cyberincident kan leiden tot activering van zowel het IRP als het DRP, en bij een langdurige verstoring ook het BCP. NIS2 vraagt specifiek om een incident response plan, maar een volwassen beveiligingsstrategie heeft alle drie de documenten op orde.
Hoe stel je een incident response plan op dat NIS2-proof is?
Een NIS2-proof incident response plan opstellen begin je met een risicoanalyse van jouw specifieke omgeving. Zonder inzicht in welke systemen kritiek zijn en welke dreigingen realistisch zijn voor jouw sector, kun je geen effectief plan schrijven. Doorloop daarna de volgende stappen:
- Breng kritieke systemen en processen in kaart: welke uitval heeft direct impact op continuïteit of veiligheid van data?
- Definieer incidentcategorieën en escalatieniveaus: niet elk beveiligingsevent is een significant incident in de zin van NIS2.
- Stel een responsteam samen: benoem rollen, inclusief wie de bestuurder informeert en wie de externe melding verzorgt.
- Schrijf concrete procedures per incidenttype: denk aan ransomware, datalekken, DDoS-aanvallen en insiderdreigingen.
- Integreer de meldtermijnen van NIS2: zorg dat de 24-uurs en 72-uursmelding expliciet zijn opgenomen in de procedure.
- Test het plan regelmatig: voer minimaal jaarlijks een oefening uit en actualiseer het plan op basis van de bevindingen.
Zorg er ook voor dat het plan formeel is goedgekeurd door het bestuur. Onder NIS2 zijn bestuurders persoonlijk verantwoordelijk voor de naleving van de zorgplicht. Een plan dat alleen bij IT bekend is, voldoet niet aan die bestuurlijke verantwoordelijkheid.
Wat zijn de gevolgen als je geen incident response plan hebt bij een NIS2-audit?
Als je bij een NIS2-audit geen incident response plan kunt overleggen, loop je het risico op significante sancties. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten gelden maxima van 7 miljoen euro of 1,4% van de jaaromzet.
Naast financiële sancties kan de toezichthouder ook aanwijzingen opleggen, tijdelijke beperkingen opleggen aan de bedrijfsvoering of bestuurders persoonlijk aansprakelijk stellen. Dat laatste is een nieuw element dat NIS2 introduceert ten opzichte van eerdere wetgeving: het bestuur kan niet langer de verantwoordelijkheid volledig bij IT neerleggen.
De reputatieschade bij een ernstig incident zonder aantoonbaar incident response plan is minstens zo groot als de financiële gevolgen. Klanten, partners en toezichthouders verwachten dat een organisatie van enige omvang haar beveiligingshuishouding op orde heeft. Het ontbreken van een gedocumenteerd plan is een signaal dat cybersecurity niet serieus wordt genomen op bestuursniveau.
Hoe Puur ICT helpt met jouw incident response plan en NIS2-compliance
Wij begrijpen dat het opstellen van een NIS2-proof incident response plan voor veel organisaties een complexe stap is, zeker als er geen dedicated CISO aanwezig is. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener helpen wij je van begin tot eind:
- We brengen jouw huidige beveiligingssituatie in kaart via een nulmeting
- We adviseren over de technische en organisatorische maatregelen die aansluiten op jouw sector en risicoprofiel
- We helpen bij het opstellen, testen en actualiseren van jouw incident response plan
- We ondersteunen bij de implementatie van beveiligingsmaatregelen binnen het Microsoft-ecosysteem
- We verzorgen bestuurderstrainingen zodat jouw management aantoonbaar voldoet aan de opleidingsplicht onder de Cyberbeveiligingswet
- We begeleiden je bij het doorlopend beheer en de rapportage richting toezichthouders
Onze aanpak is pragmatisch: kleine stappen, begrijpelijke taal en persoonlijk contact. Zo zorg je ervoor dat jouw organisatie niet alleen voldoet aan de NIS2-verplichting, maar ook structureel digitaal weerbaarder wordt. Neem contact op met Puur ICT en ontdek wat wij voor jouw organisatie kunnen betekenen.
Gerelateerde artikelen
- Wat is een goede manier om bedrijfsdocumenten centraal op te slaan zodat iedereen er bij kan?
- Binnen welke termijn moet je een incident melden onder NIS2?
- Hoe weet je of je te veel betaalt voor softwarelicenties die je eigenlijk maar half gebruikt?
- Wat kost NIS2-compliance gemiddeld voor een middelgrote organisatie?
- Wat moet je geregeld hebben in Microsoft 365 voordat je Copilot zinvol kunt inzetten?
Gerelateerde artikelen
- Hoe hoog zijn de boetes bij overtreding van de NIS2-richtlijn?
- Hoe weet je of je te veel betaalt voor softwarelicenties die je eigenlijk maar half gebruikt?
- Wat zijn de belangrijkste verplichtingen onder NIS2?
- Hoe houd je je digitale beveiliging op orde als ondernemer zonder dat het je dagelijkse werk stilzet?
- Hoe ziet een Microsoft 365-migratietraject eruit van begin tot livegang?














