Cloudflare storing
Als samenleving zijn we kwetsbaar. Dat bleek opnieuw wanneer een storing bij Cloudflare wereldwijd apps en websites platlegde. Van nieuwsplatformen tot kritische bedrijfsapplicaties. Eén incident en de digitale keten schuurt meteen. Voor organisaties is dat inmiddels geen theoretisch scenario, maar écht een operationeel risico.
Wat zegt ISO 27001 over continuïteit?
En precies daarom vraagt ISO 27001 (en ook normen zoals NEN 7510) expliciet aandacht voor dit onderwerp. In controls A.5.29 (informatiebeveiliging tijdens een verstoring) en A.5.30 (ICT-gereedheid voor bedrijfscontinuïteit) draait alles om voorbereiding op noodsituaties voor organisaties. Een continuïteitsplan is een vereiste voor bedrijven die grip willen houden, ook wanneer de digitale omgeving even geen grip meer op hen heeft.
De parallellen tussen “Denk vooruit” en bedrijfscontinuïteit
Waar burgers wordt gevraagd een noodpakket samen te stellen, geldt voor bedrijven iets soortgelijks: een plan dat overeind blijft wanneer systemen dat even niet doen. Waar particulieren een noodplan maken voor hun gezin, maken organisaties een plan voor hun processen, toegang tot data en communicatie.
En waar mensen met elkaar moeten praten en elkaar helpen, geldt dat voor teams niet anders. Bij een verstoring heeft iedereen een rol. De campagne bevestigt wat ISO 27001 al jaren benadrukt: weerbaarheid kost voorbereiding. En voorbereiding voorkomt chaos.
Waarom continuïteit steeds urgenter wordt
De toename van geopolitieke spanningen, cyberaanvallen en de afhankelijkheid van cloudleveranciers vergroten de noodzaak voor een goed continuïteitsplan. Tijdens een ISO 27001 implementatie zie je deze risico’s al snel terugkomen in een ISO 27001 risicoanalyse. Ook vanuit NIS2 is aandacht voor continuïteit geen optie maar een verplichting. Organisaties die aan NIS2 compliance moeten voldoen, of bezig zijn met een NIS2 implementatie, worden geacht hun weerbaarheid aantoonbaar te organiseren. Dat betekent passende maatregelen om verstoringen op te vangen en dienstverlening in stand te houden.
Wat staat er in een continuïteitsplan?
Een goed plan is concreet, getest en gekoppeld aan realistische risico’s. In de basis houd je rekening met de volgende zaken:
1. Kritieke processen bepalen
Welke activiteiten moeten doorgaan om de schade te beperken? Denk aan klantcommunicatie, orderverwerking, zorgverlening, financiële transacties of beveiligingsdiensten. Dit werkt alleen als de organisatie scherp heeft waar de afhankelijkheden liggen: applicaties, leveranciers, data en locaties. Analyseer daarom de gevolgen van risico's voor bedrijfsprocessen en bepaal welke processen kritiek zijn.
2. Scenario’s uitwerken
Een verstoring is meer dan een cyberaanval. Het kan ook een langdurige stroomstoring zijn, uitval van een cloudleverancier, brand, waterschade of een geopolitiek risico, waardoor leveranciers niet bereikbaar zijn. Informatiebeveiligingsadvies en cybersecurity advies gaan daarom steeds vaker breder dan alleen techniek. Een scenario is pas compleet als mens, proces en technologie meedoen.
3. Herstel- en communicatiestappen
Hoe snel moet een proces weer draaien? Waar staan alternatieven? Hoe communiceer je met medewerkers, klanten en partners wanneer e-mail of internet plat ligt? De kracht zit in eenvoud. Tijdens stress werkt niemand prettig met ingewikkelde schema’s.
4. Rollen & verantwoordelijkheden
Wie doet wat? Deze vraag moet glashelder zijn. Leg in het plan duidelijk vast wie welke rol heeft tijdens een incident. Dat voorkomt ruis wanneer het erop aankomt. Denk aan wie bevoegd is om beslissingen te nemen, wie verantwoordelijk is voor de uitvoering van het continuïteitsplan, wie tijdens een crisissituatie de communicatie verzorgt en wie minimaal jaarlijks het plan test en evalueert. Duidelijkheid vooraf brengt rust op het moment dat je het het meest nodig hebt.
5. RTO en RPO
De Recovery Time Objective (RTO) is de streeftijd waarbinnen een geprioriteerde ICT-dienst of systeem hersteld moet zijn na een verstoring. De Recovery Point Objective (RPO) is de maximale hoeveelheid dataverlies die een organisatie kan accepteren, uitgedrukt in tijd. Als je RPO 8 uur is, dan verlies je maximaal 8 uur aan gegevens sinds de laatste back-up in het geval van een acute noodsituatie.
Bepaal dus vooraf binnen welke tijd een kritieke ICT-dienst of systeem weer online moet zijn na een verstoring en hoevaak je back-ups (zie ook A.8.13 binnen ISO 27001) moet maken. Dat klinkt simpel, maar het betekent ook dat je scherp moet kijken naar je leveranciers. Wat garanderen zij in hun SLA? En leggen zij misschien eisen bij jou neer die verder de keten in doorwerken? Deze keuzes raken direct aan het bepalen van je RTO.
Voor systemen die echt niet lang uit de lucht mogen zijn, loont het om verder te denken. Redundantie (zie ook A.8.14 binnen ISO 27001) is dan al snel geen luxe maar noodzaak. Denk aan een tweede datacenter of een extra netwerkverbinding. Op papier voelt dit soms zwaar, maar in de praktijk is het een manier om rust te creëren in een omgeving die steeds minder voorspelbaar is.
6. Respons- en herstelprocedures
Respons- en herstelprocedures vormen het hart van je continuïteitsplan: duidelijke, stap-voor-stap instructies over hoe je een verstoring beheerst, prioriteiten stelt, systemen herstelt en wanneer je opschaalt. Zorg dat deze procedures niet alleen op papier bestaan, maar ook daadwerkelijk worden getest. Door minimaal jaarlijks te oefenen – met realistische scenario’s – ontdek je of de aanpak werkt, waar hiaten zitten en of iedereen zijn rol begrijpt. Dat voorkomt dat een procedure tijdens een echte verstoring pas voor het eerst wordt “uitgeprobeerd”.
7. Test niet alleen techniek, maar ook functies
Test- en evaluatieverslagen zorgen, naast aantoonbaarheid voor de ISO 27001 en NIS2, ook voor leermomenten. Meestal staat jaarlijks testen netjes in de planning, maar in de praktijk wordt vooral naar de techniek gekeken. En dat terwijl het minstens zo belangrijk is om te oefenen wat er gebeurt als een kritieke functie of sleutelpersoon wegvalt: kan iemand anders de test uitvoeren, interpreteren en beoordelen? Door zowel techniek als taken te testen, voorkom je afhankelijkheden en weet je zeker dat je organisatie ook onder druk blijft draaien.
Voorkom de fout die veel bedrijven maken
Een continuïteitsplan in een lade verdwijnt sneller dan wifi bij een grote cyberstoring. Het succes zit in testen en onderhouden. Tijdens interne audits, een voortgangsmeeting of een oefenscenario komen altijd verbeterpunten naar boven. Dat hoort zo. Continuïteit is niet statisch – het is een levend onderdeel van je organisatie. Je organisatie (intern) en jouw omgeving (extern) veranderen immers ook voortdurend.
En nog even over dat continuïteitsplan in een lade. Geloof het of niet: deze worden vandaag de dag nog steeds vaak geprint en in een lade opgeruimd, terwijl er vaak kritieke data in staat. Zo'n plan moet dus ook veilig opgeborgen worden. 😉
Kortom: wees als organisatie ook voorbereid
De "Denk vooruit"-campagne richt zich op burgers, maar het onderliggende principe is identiek voor organisaties: wie voorbereid is, functioneert beter wanneer het misgaat. Echter wachten de meesten totdat het te laat is. We begrijpen dat veel mensen en organisaties het zo ervaren, maar het blijft alsnog een denkfout. Zonder continuïteitsplan sta je bij een digitale verstoring met lege handen. Zonder noodpakket wordt het een stuk lastiger om 72 uur zonder water, stroom of internet te doorstaan.
Weerbaarheid begint aan de tekentafel, maar bewijst zich pas in de praktijk. En tegenwoordig kan één storing, bij één leverancier, het internet halveren. En dan is voorbereiding simpelweg een bedrijfsvoorwaarde geworden.
Heb je hier hulp bij nodig? Plan een vrijblijvend, kosteloos adviesgesprek met ons in. 👇
