Leestijd: 5 minuten
Informatiebeveiliging, crisismanagement en bedrijfscontinuïteit zijn onlosmakelijk met elkaar verbonden. Wet- en regelgeving zoals de NIS2 en normen als ISO 27001 en NEN 7510 zijn daar helder over: organisaties móéten voorbereid zijn op verstoringen. Niet alleen op papier, maar aantoonbaar en getest.
Dat is ook vaak het moment waarop klanten bij Beyond Ideas aankloppen. Soms omdat een norm het vereist, soms omdat er al iets is misgegaan. In beide gevallen begint het gesprek vaak bij IT. En bijna altijd eindigt het bij de business.
Van IT-storing naar bedrijfscrisis
Wat we vaak in de praktijk zien is dat de discussie vaak begint bij techniek: welke systemen zijn kritisch en wat gebeurt er als ze uitvallen? Effectiever is het om het vertrekpunt bij de primaire processen te leggen. Welke activiteiten zijn essentieel voor de organisatie, en wat is de impact als die worden verstoord? Vanuit dat perspectief wordt inzichtelijk welke IT-systemen ondersteunend zijn en wat de gevolgen zijn als die niet beschikbaar zijn. Een verstoring raakt zelden alleen IT; uiteindelijk raakt het de dienstverlening, productie of zorgverlening.
Crisis- en bedrijfscontinuïteitsmanagement draait daarom niet om technologie alleen, maar om het vermogen van de organisatie om onder druk (eventueel in aangepaste vorm) door te blijven functioneren en zo snel mogelijk terug te keren naar een normale situatie.
Praktijkvoorbeeld: crisisoefening in de zorg
Een concreet voorbeeld dat we onlangs hebben gedaan is een crisisoefening bij een zorgorganisatie voor ouderen. Daar hebben we samen met medewerkers een realistisch cyberaanvalscenario uitgewerkt: hoe zou je deze organisatie kunnen ontwrichten, via welke ingangen en met welke impact?
Belangrijk detail: deze organisatie had haar plannen al op orde vanuit de NEN 7510. De focus lag dus niet op het schrijven van nieuwe documenten, maar op het testen ervan.
Tijdens de oefening bleek dat niet alleen de plannen inhoudelijk klopten, maar ook dat de samenwerking tussen afdelingen goed functioneerde. Mensen wisten wie welke rol had, wie beslissingen nam en hoe er opgeschaald moest worden. Dat gaf vertrouwen. Omdat we zo wisten: dit werkt als het erop aankomt.
Wie neemt de leiding als IT uitvalt?
In de praktijk start een cyberincident vaak bij IT: een storing, een melding, verdachte activiteit. Vanuit daar wordt geëscaleerd. Maar zodra de impact groter wordt dan alleen techniek, moet het ook als bedrijfsprobleem worden gemanaged.
Dat betekent dat een crisismanagementteam wordt geactiveerd waarin niet alleen IT en security zitten, maar ook directie of bestuur. Alleen dan kun je de juiste afwegingen maken tussen continuïteit, veiligheid, reputatie en dienstverlening.
Cybersecurity is geen IT-feestje. Het raakt de hele organisatie.
Crisis oefenen in andere sectoren
Crisisoefeningen zijn niet beperkt tot de zorg. We voeren ze ook uit bij bouwbedrijven en in de fintechsector. De vorm verschilt, maar de kern is hetzelfde: realistische scenario’s, afgestemd op de organisatie. Gericht op samenwerking en besluitvorming.
Dat kan via tabletop-oefeningen, waarbij plannen en rollen worden getest aan tafel. Maar uiteindelijk ontkom je niet aan meer technische testen, zoals recoverytests, pentests of red team-oefeningen. Een plan dat alleen op papier bestaat, biedt schijnzekerheid.
Als data niet beschikbaar is
Steeds meer processen zijn volledig afhankelijk van data. In de financiële sector kan een korte uitval al betekenen dat transacties niet meer te volgen zijn, met risico op fraude. In de zorg kan het ontbreken van informatie over medicatie of behandelplannen directe gevolgen hebben voor patiëntenveiligheid.
Dit maakt continuïteit geen abstract risico, maar een concreet bestuurlijk vraagstuk.
Stilvallen van een organisatie na een aanval
Hoe snel een organisatie weer operationeel is, hangt af van wat er geraakt wordt en hoe goed men is voorbereid. In de praktijk zien we dat herstel weken kan duren. Een bekend voorbeeld is VDL Group, waar de productie bijna een maand stillag na een cyberincident, doordat de hele IT-omgeving opnieuw moest worden opgebouwd.
Goede plannen, vooraf gemaakte keuzes en geoefende draaiboeken kunnen dat verschil aanzienlijk verkleinen. Niet tot nul, maar wel tot beheersbaar.
Aantoonbaar voorbereid richting toezichthouders
Toezichthouders en verzekeraars vragen niet alleen om beleid en plannen, maar ook om bewijs dat die plannen werken. Documentatie in combinatie met oefenresultaten is daarbij essentieel. Dat geldt voor NIS2, ISO 27001 en andere relevante normen.
Een realistische crisisoefening
Omdat scenario’s specifiek op de organisatie worden geschreven, herkennen deelnemers zichzelf er snel in. Dat maakt het realistisch en confronterend. Vaak komt na afloop de conclusie: “Hier hadden we nog niet over nagedacht.”
Die inzichten zijn precies de waarde van oefenen. Ze leveren concrete verbeterpunten op, zonder dat je eerst een echte crisis hoeft mee te maken.
En het oefenen? Minimaal één keer per jaar, dat schrijven normen en wetgeving voor. Maar de juiste frequentie hangt af van risico’s, veranderingen in de organisatie en afhankelijkheden. Technische tests zoals back-up en recovery zouden vaker moeten plaatsvinden, juist omdat ze cruciaal zijn op het moment dat het misgaat.
Groot of klein: iedereen loopt risico
Crisis en continuïteit zijn niet alleen relevant voor grote organisaties. Cybercriminelen maken geen onderscheid. Kleinere organisaties zijn vaak zelfs kwetsbaarder door afhankelijkheid van leveranciers of uitbestede IT.
Juist dan is het belangrijk om vooraf afspraken te maken: wie helpt wanneer, hoe snel en onder welke voorwaarden. Dat wil je niet pas uitzoeken midden in een crisis.
Wat levert een goed business continuity plan op?
Een goed business continuity plan levert vooral rust op. Omdat je hebt nagedacht over scenario’s, verantwoordelijkheden, leveranciers en herstel. Omdat je weet wie je moet bellen. En omdat je het plan hebt getest.
Die combinatie – nadenken, vastleggen en oefenen – zorgt ervoor dat een organisatie niet verlamd raakt als het misgaat, maar regie houdt. Dat is uiteindelijk waar crisis- en continuïteitsmanagement om draait.
Meer weten?
Meer weten over een business continuity plan, een crisisoefening of het testen van je plannen? Weet ons te vinden! Wij denken graag met je mee.
