C-CIRT is het interne kernteam dat een organisatie activeert bij een cyberincident (zoals ransomware), om:
de impact te beperken
juiste beslissingen te nemen
technische acties, communicatie en governance te coördineren
Het is geen IT-team, en ook geen crisiscel alleen — maar de schakel daartussen.
Waarom een C-CIRT bestaat
Bij een cyberincident lopen drie werelden tegelijk:
Technisch
forensics
containment
herstel
Operationeel
zorgcontinuïteit
beschikbaarheid
alternatieve procedures
Bestuurlijk / juridisch
beslissingen
meldplichten (GDPR, NIS2)
communicatie
Zonder C-CIRT praat iedereen langs elkaar heen.
Wat doet een C-CIRT concreet?
Typische verantwoordelijkheden:
🔹 Incidentcoördinatie
incident classificeren (ernst, scope)
prioriteiten bepalen
escalaties beslissen
🔹 Besluitvorming
bij ransomware: betalen of niet betalen
systemen offline houden of heropstarten
externe partijen inschakelen
🔹 Afstemming
IT & security
directie & management
juridische dienst / DPO
communicatie / pers
🔹 Documentatie
tijdslijn van het incident
beslissingen + motivatie
lessons learned
Wie zit er in een C-CIRT?
Afhankelijk van de organisatie, maar typisch:
Incident lead / CISO
IT / security verantwoordelijke
DPO / legal
Operations (in ziekenhuis: zorgcontinuïteit)
Communicatie
Externe experten (CCB, forensics) → adviserend
Niet iedereen voert acties uit, maar iedereen beslist of valideert.
Wat een C-CIRT NIET is
→ Geen dagelijkse IT-operatie
–> Geen puur technisch team
–> Geen vrijblijvende werkgroep
➡️ Het is een formeel crisisorgaan met mandaat.
De C-CIRT is het formele orgaan dat tijdens een cyberincident beslissingen coördineert over techniek, continuïteit, communicatie en compliance.
