NL
NL
Boek een kennismaking
Blog

Bedrijf gehackt? Dit zijn de eerste 7 stappen die u moet nemen

Uw bedrijf is gehackt. Wat nu? Ontdek de 7 cruciale stappen om schade te beperken, aan de meldingsplicht te voldoen en uw bedrijf snel te herstellen.
Crisisteam bespreekt 7-stappenplan op whiteboard na cyberaanval op hun bedrijf

Versleutelde bestanden. Medewerkers die niet meer kunnen inloggen. Een losgeldbericht op uw scherm. Als uw bedrijf gehackt is, tellen de eerste uren. Niet volgende week, niet morgen. Nu.

In 2025 kreeg een gemiddeld Belgisch bedrijf zo’n 1.288 cyberaanvallen per week te verwerken, een stijging van 14% tegenover het jaar daarvoor. Bijna de helft van de Vlaamse bedrijven werd in 2024 slachtoffer van een cyberaanval. En met de NIS2-wetgeving die sinds oktober 2024 in voege is, riskeert u boetes tot 10 miljoen euro als u niet correct en tijdig reageert.

Dit stappenplan helpt u om de controle terug te nemen. Geen technisch jargon, wel concrete acties die u vandaag nog kunt uitvoeren.

1. Alarmeer uw IT-verantwoordelijke of cybersecurity-partner

Het eerste wat u doet wanneer uw bedrijf gehackt is: bel uw IT-verantwoordelijke. Heeft u een externe cybersecurity-partner? Schakel die onmiddellijk in. Elk uur dat u wacht, geeft aanvallers meer tijd om dieper in uw systemen door te dringen.

Moderne aanvallen werken razendsnel. Waar hackers vroeger dagen nodig hadden om schade aan te richten, verloopt dat vandaag met geautomatiseerde tools in enkele uren of zelfs minuten. Het doel van deze eerste stap is triage: vaststellen wat er precies aan de hand is, hoe groot de schade is en of de aanval nog actief is.

Concreet:

  • Bel uw IT-team of externe partner. Geen e-mail, geen Teams-bericht, bel.
  • Meld elk vermoeden, ook als u niet 100% zeker bent. Liever een vals alarm dan een gemiste aanval.
  • Gebruik bij voorkeur uw GSM of een privételefoon, niet het bedrijfsnetwerk. Aanvallers kunnen meeluisteren op uw interne communicatie.

Heeft u geen vaste cybersecurity-partner? Cyberplan biedt een 24/7 noodlijn voor bedrijven die op dit moment gehackt zijn. Eén telefoontje, en u heeft direct een expert aan de lijn.

2. Isoleer de getroffen systemen (maar zet ze niet uit)

Zodra duidelijk is welke systemen getroffen zijn, moeten die geïsoleerd worden van het netwerk. Trek de netwerkkabel eruit of schakel de wifi-verbinding uit. Dit voorkomt dat de aanval zich verder verspreidt naar andere computers, servers of vestigingen.

Maar, en dit is cruciaal: zet de computers niet uit. Malware laat sporen achter in het werkgeheugen (RAM) van uw computer. Die sporen zijn essentieel voor het forensisch onderzoek achteraf. Zodra u een computer uitschakelt, zijn die sporen voorgoed weg.

Concreet:

  • Trek de netwerkkabel uit de getroffen computers en servers.
  • Zet wifi uit op getroffen toestellen.
  • Laat de stroomvoorziening intact.
  • Schakel over op alternatieve communicatie: privé-gsm’s, een WhatsApp-groep buiten het bedrijfsnetwerk.

3. Stel een crisisteam samen

Een cyberaanval is niet alleen een IT-probleem. Het raakt uw hele bedrijfsvoering: juridisch, financieel, operationeel en communicatief. Stel daarom onmiddellijk een kernteam samen dat beslissingen mag nemen.

Wie zit er in dat crisisteam?

  • Uzelf (of een ander directielid) als eindverantwoordelijke.
  • De IT-verantwoordelijke voor het technische overzicht.
  • Uw DPO (Data Protection Officer) of privacyverantwoordelijke, want bij een datalek moet u mogelijk de Gegevensbeschermingsautoriteit (GBA) verwittigen.
  • Een juridisch adviseur, zeker als contracten met klanten of leveranciers geraakt worden.
  • Uw externe cybersecurity-partner voor forensische expertise.

Onder de NIS2-wetgeving draagt het management expliciet verantwoordelijkheid voor cybersecurity-risicobeheer. Dit is niet iets dat u volledig aan uw IT-team kunt delegeren.

4. Documenteer alles in een incidentlogboek

Vanaf het moment dat u de aanval ontdekt, houdt u een logboek bij. Noteer tijdstippen, genomen acties, betrokken personen en technische bevindingen. Dit logboek is geen formaliteit. Het is uw belangrijkste wapen bij drie dingen:

  • De melding aan de autoriteiten (CCB en eventueel GBA).
  • Uw cyberverzekering, die een gedetailleerd overzicht zal vragen.
  • Het herstelproces, zodat uw IT-team exact weet welke stappen al gezet zijn.

Laat uw IT-team of externe partner forensisch bewijsmateriaal verzamelen: logbestanden, systeemwijzigingen, verdachte verbindingen. Hoe sneller dit gebeurt, hoe groter de kans dat de oorzaak van de aanval achterhaald wordt.

Belangrijk: betaal geen losgeld zonder professioneel advies. Betaling biedt geen garantie op dataherstel en kan verdere afpersing in de hand werken.

5. Voldoe aan uw wettelijke meldingsplicht

Hier wordt het voor veel bedrijven spannend. Sinds de NIS2-wet op 18 oktober 2024 in werking is getreden, gelden er strikte meldingsverplichtingen voor bedrijven die onder deze wet vallen. En het toepassingsgebied is fors uitgebreid: van 7 naar 18 sectoren.

Valt uw bedrijf onder NIS2 (meer dan 50 werknemers of meer dan 10 miljoen euro omzet in een betrokken sector)? Dan moet u significante incidenten melden bij het Centrum voor Cybersecurity België (CCB):

Melding Termijn Wat u rapporteert
Vroege waarschuwing Binnen 24 uur Signalering van het incident
Incidentmelding Binnen 72 uur Impactanalyse en eerste bevindingen
Eindrapport Binnen 1 maand Oorzaakanalyse en herstelmaatregelen

Daarnaast geldt onder de GDPR een aparte meldingsplicht bij de Gegevensbeschermingsautoriteit (GBA) als er persoonsgegevens gelekt zijn. Ook die melding moet binnen 72 uur gebeuren.

De meldingen verlopen via het platform Safeonweb@Work. Uw cybersecurity-partner kan u helpen om de technische bevindingen te vertalen naar de rapportages die de toezichthouders verwachten.

6. Herstel uw systemen stap voor stap

Na de beheersing begint het eigenlijke herstel. Dit is geen kwestie van “alles terugzetten vanuit de back-up” en verder werken. Herstel vraagt een methodische aanpak.

De juiste volgorde:

  • Verwijder eerst alle malware en dicht de kwetsbaarheden waardoor de aanvallers zijn binnengekomen.
  • Controleer de integriteit van uw back-ups voordat u ze terugzet. Aanvallers besmetten steeds vaker ook back-upsystemen.
  • Herstel de meest kritieke systemen eerst: e-mail, facturatie, productie.
  • Reset alle wachtwoorden en activeer tweefactorauthenticatie (2FA) op alle externe verbindingen.

Pas wanneer alle lekken gedicht zijn en 2FA actief is op alle toegangspunten, mag het systeem als hersteld beschouwd worden. Te snel weer online gaan met dezelfde kwetsbaarheden is een uitnodiging voor de volgende aanval.

7. Evalueer en versterk uw beveiliging voor de toekomst

De laatste stap is misschien wel de belangrijkste: leer van het incident. Wat ging er mis? Hoe zijn de aanvallers binnengekomen? Welke beveiligingsmaatregelen ontbraken?

Onder NIS2 is deze evaluatie geen vrijblijvende oefening, maar een onderdeel van uw zorgplicht. U moet een actieplan opstellen voor verbeteringen en die ook daadwerkelijk doorvoeren.

Typische verbeterpunten die we bij Vlaamse bedrijven zien na een incident:

  • Ontbreken van netwerksegmentatie (waardoor de aanval zich snel verspreidde).
  • Geen of verouderde back-upstrategie.
  • Medewerkers die phishingmails niet herkenden.
  • Geen incident response plan waardoor kostbare uren verloren gingen.
  • Onvoldoende toegangscontrole en geen 2FA op externe verbindingen.

Een grondige cybersecurity audit na het incident brengt al deze zwakke punten in kaart en geeft u een concrete roadmap om ze aan te pakken.

Veelgestelde vragen over een gehackt bedrijf

Moet ik een cyberaanval altijd melden bij de overheid?

Als uw bedrijf onder de NIS2-wetgeving valt, bent u verplicht om significante incidenten binnen 24 uur te melden bij het CCB. Daarnaast geldt onder de GDPR een meldingsplicht bij de GBA als er persoonsgegevens gelekt zijn. Twijfelt u? Meld liever te veel dan te weinig.

Moet ik losgeld betalen bij ransomware?

Experts raden het sterk af. Betaling biedt geen garantie dat u uw data terugkrijgt en moedigt criminelen aan om u opnieuw te viseren. Schakel eerst een cybersecurity-specialist in om uw opties te bekijken.

Hoe snel kan mijn bedrijf weer operationeel zijn na een hack?

Dat hangt af van de omvang van de aanval en uw voorbereiding. Bedrijven met een getest incident response plan en betrouwbare back-ups zijn vaak binnen enkele dagen weer operationeel. Zonder voorbereiding kan het herstel weken duren.

Valt mijn KMO onder de NIS2-meldingsplicht?

NIS2 geldt in principe voor organisaties met minstens 50 werknemers of meer dan 10 miljoen euro omzet die actief zijn in een van de 18 betrokken sectoren. Maar ook kleinere bedrijven in de toeleveringsketen van NIS2-entiteiten kunnen indirect verplichtingen hebben. Gebruik de scopingstest van Safeonweb om het te controleren.

Dekt mijn cyberverzekering de schade van een hack?

Dat verschilt sterk per polis. Veel verzekeringen dekken forensisch onderzoek en bedrijfsonderbreking, maar stellen wel voorwaarden zoals aantoonbare beveiligingsmaatregelen en tijdige melding. Controleer uw polis nu, niet pas na een incident.

Hoe voorkom ik dat mijn bedrijf opnieuw gehackt wordt?

Door structureel te investeren in beveiliging: regelmatige pentests, netwerksegmentatie, phishing-trainingen voor medewerkers en een getest incident response plan. Een jaarlijkse cybersecurity audit geeft u inzicht in waar uw organisatie staat en welke verbeteringen prioriteit verdienen.

Gehackt en hulp nodig? Cyberplan staat klaar

Een cyberaanval is stressvol, maar u hoeft het niet alleen op te lossen. Cyberplan helpt Vlaamse bedrijven bij elke stap: van de eerste isolatie tot het forensisch onderzoek, van de NIS2-melding tot het structureel versterken van uw beveiliging.

Met een team van meer dan 20 gecertificeerde ethische hackers (OSCP, CISSP, CEH, CISM) en een 24/7 noodlijn bent u nooit alleen als het misgaat.

En het goede nieuws? Via de VLAIO KMO-portefeuille krijgt u als kleine onderneming tot 45% terug op uw investering in cybersecurity-advies. Zo betaalt u voor expertise zonder uw budget onder druk te zetten.

Wilt u zich voorbereiden voordat het zover komt? Boek een vrijblijvend kennismakingsgesprek en ontdek hoe een cybersecurity audit uw organisatie beschermt.