Een cyberveiligheidsincident kan een snelle oplossing kennen, maar in de praktijk duurt het vaak dagen, soms wel weken vooraleer de eindfase in zicht is. Het is daarbij wel belangrijk om enige realisme aan de dag te leggen: zelfs wanneer de dienstverlening grotendeels terug operationeel is en het incident schijnbaar werd opgelost, blijft de kans bestaan dat sporen achterblijven of dat sommige bestanden en data onbereikbaar blijven. Gezien de kans op een mogelijk herval en de opportuniteit om lessen te trekken uit deze ongeplande praktijkoefening, is het belangrijk om te voorzien in de nodige opvolging. Zo moet al het bewijsmateriaal gebundeld en gearchiveerd worden, maar wordt de slotfase ook best aangegrepen om technische en organisatorische beschermingsmaatregelen door te voeren om de kans op toekomstige cyberveiligheidsincidenten te verkleinen.
In deze fase behandelen we de volgende onderwerpen:
5.1 Archiveer bewijsmateriaal en breng de impact in kaart
5.3 Implementeer oplossingen en maatregelen uit de evaluatie