Cyber Crisis Consulting Beyond Deliverables: Het opbouwen van blijvende expertise in de publieke sector

Highlight-image

Tijdens ISCRAM 2026 in Den Haag presenteerden Max Tijmann en Rosa Edema, consultants bij Bureau Veritas Cybersecurity, een paper in de rubriek ‘Practitioner Insights & Perspectives’. Hierin reflecteerden zij op een uitdaging die in de hele publieke sector steeds weer de kop opsteekt: cybercrisismanagement wordt vaak ondersteund door externe expertise, maar is zelden zo opgezet dat organisaties er op de lange termijn sterker en zelfstandiger uitkomen.

Het paper, Cyber Crisis Consulting Beyond Deliverables, is gebaseerd op praktijkervaring uit een reëel project met een Nederlandse overheidsorganisatie die actief is in een kritieke sector. In plaats van zich te richten op een enkele beoordeling of oefening, groeide het project uit tot een bredere reflectie op hoe cybercrisisadvies kan en moet bijdragen aan blijvende organisatorische capaciteit.

Ondersteuning leidt niet altijd tot weerbaarheid

Overheidsorganisaties zijn voor expertise op het gebied van cybercrisismanagement steeds vaker aangewezen op externe consultants. Dat is begrijpelijk: cyberdreigingen veranderen snel, interne budgetten zijn beperkt en de concurrentie om geschoolde professionals is hevig. In dit artikel wordt echter betoogd dat veel consultancyopdrachten onbedoeld de afhankelijkheid versterken.

Traditionele benaderingen leggen vaak de nadruk op tastbare resultaten, zoals rapporten, draaiboeken of tabletop-oefeningen. Hoewel deze deliverables waardevol zijn, zorgen ze niet automatisch voor begrip, eigenaarschap of het vermogen om zelfstandig te handelen wanneer zich een echte cybercrisis voordoet.

Het gevolg is bekend: zodra consultants vertrekken, verdwijnt de kennis, blijven verantwoordelijkheden onduidelijk en vallen organisaties terug op ad-hocreacties wanneer de druk toeneemt.

Image in image block

Een verschuiving van deliverables naar eigenaarschap

De in het document beschreven casus laat een andere aanpak zien. Tijdens het project werd duidelijk dat de respons op cybercrises niet als een puur technisch of op zichzelf staand domein kon worden behandeld. In plaats daarvan was afstemming nodig tussen cyberdeskundigheid, IT-operaties, incidentmanagement en bestaande crisismanagementstructuren.

Samen met interne belanghebbenden werden de bestuursstructuren verduidelijkt, interne ambassadeurs aangewezen en gedeelde verantwoordelijkheden vastgesteld. In plaats van het ‘afleveren’ van oefeningen verschoof de focus naar het overdragen van kennis, het opbouwen van routines en het inbedden van cybercrisis management in bestaande organisatorische processen.

Deze aanpak stelde de organisatie in staat om geleidelijk de verantwoordelijkheid voor haar cybercrisis management capaciteiten op zich te nemen, waarbij externe consultants zich terugtrokken in een adviserende en validerende rol.


Drie belangrijke inzichten voor cybercrisis consulting

Op basis van deze ervaringen hebben Max Tijmann en Rosa Edema drie kerninzichten geïdentificeerd die relevant zijn voor veel organisaties in de publieke sector:

  • Cybercrisisadvies moet verder gaan dan eenmalige activiteiten. Weerbaarheid op de lange termijn vereist een doelgerichte capaciteitsopbouw, en geen losstaande beoordelingen of oefeningen.
  • Effectief cybercrisis management is inherent multidisciplinair. Cyberrespons moet worden geïntegreerd met IT, incidentrespons en traditioneel crisis management.
  • Consultants hebben een professionele verantwoordelijkheid om afhankelijkheid te voorkomen. Duurzame weerbaarheid betekent organisaties helpen om op termijn zelfstandig te kunnen opereren.
USP

Cybercrisisconsultancy Verder dan Deliverables | Praktijkdocument

Blijvend vermogen opbouwen in de publieke sector

Download

Over ISCRAM

ISCRAM (Information Systems for Crisis Response and Management) is een internationale conferentie waar onderzoekers, praktijkmensen en beleidsmakers samenkomen die werkzaam zijn op het gebied van fysieke, digitale en hybride crises. Dankzij de sterke ‘pracademische’ inslag vormt het een waardevol platform voor het delen van ervaringen die een brug slaan tussen theorie en de dagelijkse praktijk.

De presentatie van dit artikel op ISCRAM 2026 bood de kans om vanuit de praktijk verkregen inzichten bij te dragen aan een breder internationaal debat over crisis management en weerbaarheid.

Image in image block

Waarom kiezen voor Bureau Veritas Cybersecurity

Bureau Veritas Cybersecurity is uw specialist op het gebied van digitale veiligheid. Wij ondersteunen organisaties bij het in kaart brengen van risico’s, het verbeteren van hun verdediging en het naleven van wet- en regelgeving. Onze dienstverlening bestrijkt mens, proces en technologie: van awareness-trainingen en social engineering tot advies, compliance en technische beveiligingstests.

We werken in IT-, OT- en IoT-omgevingen en ondersteunen zowel digitale systemen als verbonden producten. Met ruim 300 cybersecurity-specialisten wereldwijd combineren we diepgaande technische kennis met internationale slagkracht. Bureau Veritas Cybersecurity is onderdeel van Bureau Veritas Group, wereldwijd actief in testen, inspectie en certificering.