Wordt je bedrijf aangevallen door ransomware of een andere cyberdreiging? Ons CSIRT staat 24/7 klaar. Containment, forensisch onderzoek en volledig ransomware herstel — gegarandeerde response binnen 2 uur.
Het moment dat je ontdekt dat je bedrijf is gehackt, telt elke seconde. Bestanden worden versleuteld, gevoelige data wordt gekopieerd naar servers van criminelen, systemen vallen een voor een uit. De paniek slaat toe: wie moet je bellen? Wat doe je eerst? Hoe beperk je de schade? En hoe voorkom je dat de aanvaller nog steeds in je netwerk zit terwijl je probeert te herstellen? Dit is precies het moment waarop professionele cyber incident response het verschil maakt tussen een beheersbaar security incident en een existentiele crisis voor je bedrijf.
Ransomware is in 2026 de grootste cyberdreiging voor het Nederlandse MKB. Uit het meest recente Cybersecuritybeeld Nederland van het NCSC blijkt dat het aantal ransomware-aanvallen op Nederlandse organisaties in 2025 met 38% is gestegen ten opzichte van het jaar ervoor. De cijfers zijn alarmerend: de gemiddelde downtime bij een ransomware-aanval op een MKB-bedrijf bedraagt 22 dagen volgens Coveware. Tweeentwintig dagen waarin je bedrijf stilstaat, klanten niet geholpen worden, facturen niet verstuurd worden en omzet misloopt. De directe financiele schade van een ransomware-aanval voor een gemiddeld MKB-bedrijf — inclusief losgeld, downtime, herstelkosten, juridische kosten en reputatieschade — bedraagt volgens IBM Cost of a Data Breach Report 2025 gemiddeld 255.000 euro. Voor grotere organisaties loopt dit bedrag snel op tot boven de 500.000 euro. En dan is de indirecte schade — klantverloop, verlies van vertrouwen, hogere verzekeringspremies — nog niet meegerekend.
Wat maakt ransomware zo verwoestend? Moderne ransomware-groepen gebruiken double extortion: ze versleutelen niet alleen je bestanden, maar stelen eerst je data en dreigen die openbaar te maken als je niet betaalt. Triple extortion gaat nog verder en betrekt ook je klanten en partners bij de afpersing. De gemiddelde losgeldeis voor Nederlandse bedrijven bedraagt in 2026 circa 170.000 euro, maar betalen biedt geen garantie. Onderzoek van Sophos toont dat 32% van de organisaties die losgeld betalen, hun data niet of slechts gedeeltelijk terugkrijgen. Bovendien wordt 80% van de bedrijven die betalen, binnen twaalf maanden opnieuw aangevallen — ze zijn gemarkeerd als betalende doelwitten.
Incident response is het gestructureerde proces waarmee een organisatie een cyberaanval detecteert, indamt, analyseert en herstelt. Het NIST Cybersecurity Framework definieert vier fasen: preparation, detection & analysis, containment/eradication/recovery en post-incident activity. Zonder een professioneel cyber incident response team en een vooraf opgesteld incident response plan kan een aanval die in uren beheersbaar was, uitgroeien tot weken van downtime en onherstelbaar dataverlies. Het verschil tussen bedrijven die snel herstellen en bedrijven die maanden worstelen — of zelfs failliet gaan — zit in voorbereiding en snelheid van handelen.
Ons CSIRT (Computer Security Incident Response Team) opereert als de digitale brandweer voor je organisatie. Bij een actief security incident starten we met containment: het isoleren van getroffen systemen om verspreiding te stoppen, het blokkeren van command-and-control verbindingen en het veiligstellen van forensisch bewijsmateriaal. Vervolgens voeren we diepgaand forensisch onderzoek uit om precies te achterhalen wat er is gebeurd, hoe de aanvaller is binnengekomen, hoelang hij toegang had (de zogeheten dwell time, gemiddeld 10 dagen bij ransomware) en welke data is geraakt. Op basis daarvan stellen we een herstelplan op en begeleiden we het volledige ransomware herstel.
Maar incident response begint idealiter niet pas op het moment van een aanval. Een incident response plan — afgestemd op jouw organisatie, met duidelijke rollen, procedures en communicatielijnen — verkort de reactietijd drastisch. Wie belt wie? Welke systemen worden eerst geïsoleerd? Wanneer schakel je de Autoriteit Persoonsgegevens in? Hoe communiceer je naar klanten zonder juridische risico's? Met de komst van NIS2 (Network and Information Security Directive 2), die sinds oktober 2024 van kracht is, zijn de eisen aan incidentmelding aangescherpt. Organisaties in essentieel en belangrijke sectoren moeten significante incidenten binnen 24 uur melden bij het CSIRT van de overheid, gevolgd door een volledige melding binnen 72 uur. Niet-naleving kan leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde omzet. Ook buiten NIS2-scope is de meldplicht bij de Autoriteit Persoonsgegevens onder de AVG onverminderd van kracht: een datalek met persoonsgegevens moet binnen 72 uur gemeld worden.
Bij CleverTech bieden we zowel reactieve ransomware hulp (als het al gebeurt) als proactieve voorbereiding via een retainer-model met vooraf opgesteld draaiboek. Bij het retainer-model analyseren we vooraf je IT-omgeving, stellen we een incident response plan op, trainen we je team via tabletop-oefeningen en garanderen we een response-tijd van maximaal 2 uur bij een actief incident. Die voorbereiding kan het verschil maken tussen een security incident MKB van uren en een crisis van weken. De kosten van een retainer — vanaf 500 euro per maand — vallen in het niet bij de gemiddelde schade van 255.000 euro per ransomware-incident. Of je nu acute ransomware hulp nodig hebt of je organisatie proactief wilt beschermen met een professioneel incident response plan en CSIRT op afroep: wij staan klaar, 24 uur per dag, 7 dagen per week, 365 dagen per jaar.
Concrete onderdelen en wat u kunt verwachten
De eerste fase van cyber incident response is containment: het beperken van de schade en het stoppen van de actieve aanval. In de eerste minuten na detectie isoleert ons CSIRT getroffen systemen van het netwerk om laterale verspreiding te voorkomen. Bij ransomware betekent dat het ontkoppelen van geinfecteerde machines voordat de encryptie zich verspreidt naar netwerkschijven, backups en cloud-opslag. Elke minuut vertraging kan tientallen extra systemen kosten. Tegelijkertijd blokkeren we de command-and-control (C2) verbindingen van de aanvaller. Moderne ransomware communiceert continu met servers van de aanvallers voor instructies, encryptiesleutels en data-exfiltratie. Door deze C2-verbindingen te verbreken via firewall-regels, DNS-sinkholing en netwerksegmentatie, ontnemen we de aanvaller de controle over je systemen. Compromised accounts worden direct vergrendeld, wachtwoorden gereset en MFA-tokens ingetrokken. Bij vermoeden van domain controller compromise wordt het volledige Active Directory als gecompromitteerd beschouwd en handelen we dienovereenkomstig. Cruciaal in deze fase is het veiligstellen van forensisch bewijsmateriaal. We maken forensische images van getroffen systemen voordat er iets wordt gewijzigd. RAM-dumps worden vastgelegd omdat vluchtig geheugen essentieel bewijs bevat — encryptiesleutels, actieve netwerkverbindingen, malware in uitvoering — dat verloren gaat zodra een systeem wordt uitgeschakeld. Dit bewijsmateriaal is onmisbaar voor het forensisch onderzoek, voor aangifte bij de politie (Team High Tech Crime) en voor de verplichte melding bij de Autoriteit Persoonsgegevens. Zonder goed bewaarde forensische data is het achteraf onmogelijk om vast te stellen welke gegevens zijn gelekt en of je aan je meldplicht hebt voldaan.
Nadat de directe dreiging is ingedamd, volgt het forensisch onderzoek — de kern van elke professionele incident response. Dit is geen optionele stap: zonder forensisch onderzoek weet je niet hoe de aanvaller is binnengekomen, welke data is gestolen en of er backdoors zijn achtergelaten die een herhaalde aanval mogelijk maken. Ons forensisch team analyseert logbestanden, netwerkverkeer, malware-samples, registry-wijzigingen en systeemtijdlijnen om de volledige kill chain te reconstrueren. We beantwoorden de kritieke vragen: hoe is de aanvaller binnengekomen (phishing, kwetsbaarheid, gestolen credentials, supply chain)? Hoelang had hij toegang tot je systemen (dwell time)? Welke systemen en datasets zijn geraakt? Is er data geexfiltreerd — en zo ja, welke gegevens, hoeveel records en naar welke bestemming? Zijn er persistentiemechanismen achtergelaten (backdoors, scheduled tasks, rogue accounts) die de aanvaller opnieuw toegang geven? De antwoorden bepalen de scope van het ransomware herstel, je meldingsverplichtingen onder AVG en NIS2, en de noodzakelijke beveiligingsverbeteringen. Bij ransomware-incidenten onderzoeken we of de encryptie te breken is zonder losgeld te betalen. Voor veel ransomware-varianten bestaan gratis decryptietools via het No More Ransom-project, een initiatief van Europol en security-bedrijven. Ons CSIRT adviseert principieel om geen losgeld te betalen: het financiert criminele organisaties, biedt geen garantie op ransomware herstel en maakt je een doelwit voor herhaalde aanvallen. In plaats daarvan richten we ons op recovery vanuit backups en forensische reconstructie van verloren data.
De recovery-fase richt zich op het veilig herstellen van al je systemen en het hervatten van je bedrijfsprocessen. Ransomware herstel is fundamenteel meer dan alleen backups terugzetten. Voordat systemen weer online gaan, moeten ze schoon zijn: vrij van malware, backdoors, persistentiemechanismen en de kwetsbaarheid waardoor de aanvaller binnenkwam. Anders loop je het risico op een herhaalde aanval binnen dagen — en dat gebeurt vaker dan je denkt. We herstellen systemen in een gecontroleerde volgorde op basis van bedrijfskritikaliteit: eerst de systemen die je primaire bedrijfsprocessen ondersteunen, dan de secundaire en ondersteunende systemen. Elk hersteld systeem wordt geverifieerd met behulp van integrity checks, EDR-monitoring en gedragsanalyse voordat het weer wordt aangesloten op het netwerk. Bij ransomware herstellen we data vanuit de laatste schone backup — na verificatie dat de backup zelf niet besmet is, want geavanceerde ransomware-groepen besmetten bewust backups weken voor de daadwerkelijke aanval. Parallel aan het technische herstel begeleiden we alle communicatie: naar medewerkers (interne crisiscommunicatie), klanten en partners (externe communicatie), de Autoriteit Persoonsgegevens (meldplicht binnen 72 uur bij een datalek met persoonsgegevens), het CSIRT van de overheid (NIS2-melding binnen 24 uur voor essentieel en belangrijke organisaties) en indien nodig de politie (aangifte bij het Team High Tech Crime). Wij helpen bij het opstellen van alle meldingen en adviseren over de juridische implicaties van elke communicatiestap.
De beste incident response begint voordat er een security incident is. Een goed incident response plan is het verschil tussen een organisatie die binnen uren weer operationeel is en een organisatie die wekenlang worstelt. Met ons retainer-model bereiden we je organisatie systematisch voor op het onvermijdelijke. We analyseren je IT-omgeving, identificeren kritieke systemen en data (crown jewels), brengen afhankelijkheden in kaart en stellen een incident response plan op dat is afgestemd op jouw specifieke organisatie, sector en dreigingsprofiel. Het plan bevat duidelijke escalatieprocedures: wie wordt wanneer gebeld (inclusief noodcontactlijst buiten kantooruren), welke systemen worden als eerste geïsoleerd, waar staan de backups en hoe verifieer je dat ze schoon zijn, welke juridische en communicatieve stappen zijn nodig en wie neemt welke beslissingen? We definieren rollen en verantwoordelijkheden conform het NIST-framework en zorgen dat de juiste mensen getraind zijn. Periodiek voeren we tabletop-oefeningen uit: gesimuleerde cyber-incidenten waarbij je team oefent met het plan in een realistische maar veilige omgeving. Uit onderzoek van IBM blijkt dat organisaties met een getest incident response plan gemiddeld 2,66 miljoen dollar minder schade lijden per incident. Als retainer-klant garanderen we een response-tijd van maximaal 2 uur bij een actief security incident, 24 uur per dag, 7 dagen per week. Ons CSIRT kent je omgeving al, heeft vooraf toegang tot de benodigde systemen en kan direct aan de slag zonder kostbare uren te verliezen aan orientatie. Die voorbereiding verkort de gemiddelde herstelperiode van weken naar dagen en bespaart je organisatie tienduizenden euro aan onnodige downtime.
"Wat kost incident response?" is een vraag die je liever vooraf beantwoordt dan op het moment dat je bedrijf wordt aangevallen. Bij een actief ransomware-incident zonder retainer werken de meeste incident response providers op uurbasis, met tarieven tussen 200 en 350 euro per uur. Een gemiddeld ransomware-incident vergt 80 tot 200 manuren aan containment, forensisch onderzoek en herstel — dat komt neer op 16.000 tot 70.000 euro aan directe incident response kosten, bovenop de schade door downtime, dataverlies en reputatieschade. Het retainer-model van CleverTech biedt voorspelbare kosten en gegarandeerde beschikbaarheid. Voor een MKB-bedrijf met 20 tot 100 endpoints start een retainer vanaf 500 euro per maand. Daarvoor ontvang je: een incident response plan op maat, jaarlijkse tabletop-oefening met je team, 24/7 bereikbaarheid via een dedicated noodnummer, gegarandeerde response-tijd van 2 uur, en de eerste 40 uur incident response per jaar inbegrepen. Voor grotere organisaties of omgevingen met hogere complexiteit (meerdere locaties, cloud-hybride, OT-omgevingen) bieden we enterprise retainers op maat. Zet de retainerkosten af tegen het alternatief: 255.000 euro gemiddelde schade per ransomware-incident, 22 dagen gemiddelde downtime, mogelijke NIS2-boetes tot 10 miljoen euro en het risico op faillissement — 60% van de MKB-bedrijven die een ernstig cyberincident meemaken zonder adequate voorbereiding, staakt de bedrijfsvoering binnen zes maanden. Een retainer van 6.000 euro per jaar is een fractie van wat een enkel onvoorbereid incident aanricht. Daarnaast bieden steeds meer cyberverzekeraars premiekorting tot 20% aan organisaties met een actief retainer-contract en getest incident response plan.
Concrete voorbeelden van hoe bedrijven incident response & ransomware hulp 24/7 inzetten
Antwoorden op veelgestelde vragen over incident response & ransomware hulp 24/7
Vraag niet beantwoord?
Neem contact met ons op - ga naar de contactpaginaEen AI security audit is essentieel voor elk bedrijf dat AI inzet. Leer de methodologie, tools en veelgemaakte fouten bij het testen van AI-systemen op kwetsbaarheden.
Eén op de vijf MKB-bedrijven wordt jaarlijks slachtoffer van een cyberaanval. De gemiddelde schade: 65.000 euro. Deze 20 maatregelen beschermen je bedrijf tegen de meest voorkomende dreigingen.
Elk bedrijf dat AI gebruikt heeft een AI-beleid nodig. Deze praktische gids met template helpt je om in 5 stappen een compleet AI-beleid op te stellen.
Ontdek andere aspecten van onze website beveiliging dienst
Je weet dat NIS2 op je organisatie van toepassing is. Nu moet je de 10 basismaatregelen, de 24-uurs meldplicht en bestuurdersaansprakelijkheid concreet implementeren. Wij begeleiden je van roadmap tot aantoonbare NIS2 compliance.
Meer infoEen pentest laten uitvoeren betekent dat gecertificeerde ethical hackers jouw systemen aanvallen voordat criminelen dat doen. Penetration testing as a service voor websites, apps en netwerken — met concreet actieplan en vaste prijs.
Meer infoProfessionele cybersecurity training en phishing training die medewerkers leert om cyberaanvallen te herkennen. Voldoe aan NIS2-vereisten met meetbare resultaten.
Meer infoVan laptops en werkstations tot BYOD-apparaten — endpoint beveiliging met EDR oplossing, next-gen antivirus en geautomatiseerd patch management voor het MKB.
Meer infoVan DMARC instellen en SPF/DKIM configuratie tot anti-phishing bescherming en security awareness training — bescherm je organisatie tegen phishing, BEC-fraude en email spoofing met een gelaagde beveiligingsstrategie die 99,8% van alle dreigingen blokkeert.
Meer infoMet een managed SOC en enterprise-grade SIEM-technologie verkort je je detectietijd van maanden naar minuten in 2026 — zonder de kosten van een eigen Security Operations Center.
Meer infoOntdek hoe incident response & ransomware hulp 24/7 uw bedrijf kan versterken. Geen verplichtingen.
