Cyberdreigingen maken Business Continuity Management tot een strategische noodzaak

In een tijdperk waarin digitalisering de ruggengraat vormt van vrijwel elke organisatie, is het waarborgen van continuïteit geen bijzaak meer. Cyberrisico’s, de snelle opkomst van AI en ketenafhankelijkheden maken Business Continuity Management (BCM) urgenter dan ooit. Nieuwe Europese wetgeving, zoals NIS2 en de Wet weerbaarheid kritieke entiteiten, dwingt organisaties bovendien om hun weerbaarheid structureel te verhogen. In Aon’s Global Risk Management Survey 2025 komt naar voren dat cyberrisico’s door organisaties opnieuw wereldwijd als het grootste risico’s wordt gezien. Duidelijk is dat het niet alleen een technische aangelegenheid is, maar vooral een strategisch organisatievraagstuk.

Van nut en noodzaak naar strategische positionering

“BCM is geen doel op zich,” zegt Abderrahman Kaouass, expert op het gebied van Business Continuity Management en Crisismanagement bij Aon Global Risk Consulting Nederland. “Het is een middel om als organisatie onder alle omstandigheden je afspraken na te komen.” Of het nu gaat om het leveren van een product, het uitvoeren van een dienst of het nakomen van juridische en maatschappelijke verplichtingen—continuïteitsmanagement zorgt ervoor dat de organisatie blijft functioneren, ook als het misgaat. Het gaat dus niet alleen om het reageren op incidenten, maar vooral om het vooraf inrichten van herstelmaatregelen en het maken van keuzes over wat écht kritiek is. Het is belangrijk om een koppeling te maken met de missie van de organisatie. “Als je begrijpt dat BCM draait om het waarborgen van je missie, dan zie je direct het strategische belang. Het gaat om leveringsbetrouwbaarheid, om vertrouwen en om reputatie.”

Cyberrisico’s katalysator

De digitalisering/automatisering van processen/diensten heeft geleid tot steeds verdergaande afhankelijkheid van IT-systemen en data. Organisaties zijn volledig afhankelijk geworden van digitale systemen en data. Als die uitvallen, ligt alles stil. Cyberincidenten zijn geen hypothetisch risico meer, maar helaas dagelijkse realiteit. BCM helpt organisaties om voorbereid te zijn op uitval van systemen, applicaties of leveranciers. Cruciaal daarbij is dat het niet alleen technisch wordt ingestoken. “Het is niet alleen een IT-aangelegenheid; het is een breed organisatievraagstuk,” benadrukt Ronald Elverding, Consultant Risk & Resilience bij Aon Global Risk Consulting Nederland. “De IT-beheerder kan niet bepalen wat voor de hele organisatie kritiek is. Dat is een strategische keuze die door de directie en de lijn gemaakt moet worden. Er is dus helder begrip nodig van de gevolgen van bepaalde keuzes”.

De misvatting: Business Continuity Management is geen crisismanagement

Organisaties denken vaak: ‘We hebben Crisismanagement, dus we hebben ook continuïteitsmanagement.’ Maar dat is een verkeerde aanname. Waar Crisismanagement zich richt op het reageren op acute crises, vereist continuïteitsmanagement vooral voorbereiding om te voorkomen dat er een continuïteitscrisis ontstaat; de organisatie weet van tevoren wat de kritieke processen zijn, en staan er vooraf al herstelmaatregelen en work-arounds klaar.
Een ander verschil is testen en oefenen. Bij Crisismanagement organiseert u een oefening met een fictief scenario. Bij BCM test u de herstelmaatregelen. U wilt weten of de backup-server echt werkt, niet alleen op papier. Ronald Elverding: “Vergelijk het met een ontruimingsoefening: je wilt niet alleen kunnen zeggen dat je een ontruimingsplan hebt, je wilt daadwerkelijk met eigen ogen zien dat iedereen binnen een kwartier buiten het pand staat.”

Wat zijn de belangrijkste valkuilen?

Drie veelvoorkomende valkuilen waarom continuïteitsmanagement bij klanten niet van de grond komt of niet het benodigde niveau behaalt:

1. Te technisch ingestoken: Het wordt alleen vanuit IT benaderd, zonder strategische visie.
2. Fragmentarisch: Insteek waarbij afdelingen los van elkaar (‘in silo’s’) werken, zonder centrale coördinatie.
3. Onzekerheid: Organisaties weten niet of ze het juiste doen, of hoe ze verder moeten, waardoor het te complex en omvangrijk wordt.

De rol van bestuurders: Van compliance naar waardecreatie

Volgens Abderrahman Kaouass ligt er een belangrijke taak bij bestuurders. “BCM moet niet worden gezien als een verplicht programma, maar als een investering in de eigen waardepropositie. Het stelt een organisatie in staat te doen wat men belooft; verplichtingen nakomen, sneller herstellen na een incident en de reputatie beschermen. Helaas zien niet alle bestuurders dit zo. Binnen deze organisaties blijft BCM het zoveelste ‘moetje’, terwijl men juist in de top van de organisatie moet begrijpen dat het bijdraagt aan de bestaansgrond van de organisatie. Het is direct verbonden met je missie en visie. En uiteraard gaan daarbij de kosten voor de baten uit, maar die baten zijn wel essentieel.

Wetgeving als externe prikkel

De Europese richtlijnen NIS2 en de Wet weerbaarheid kritieke entiteiten (Wwke) verplichten organisaties tot actie. Als een organisatie behoort tot de kritieke infrastructuur, dan moeten deze te allen tijde kunnen blijven opereren – ondanks disruptieve incidenten. Dat is geen vrijblijvendheid meer. Deze externe prikkels zijn helaas nodig om organisaties te dwingen om continuïteit de prioriteit te geven die het nodig heeft. Wanneer een organisatie vanuit intrinsieke motivatie aan de slag gaat, levert dit echter veel meer voordeel op, dan voldoen aan de regels.

Katalysator voor ketensamenwerking

Cyber-BCM is geen technische tool, maar een strategisch fundament voor weerbare organisaties. Door het te koppelen aan missie, sector en keten en door bestuurders actief te betrekken, ontstaat een veerkrachtige organisatie die klaar is voor de toekomst. Business Continuity Management zorgt ervoor dat je succesvol bent en blijft—voor klanten, afnemers en de maatschappij.