Business Continuïty Management (BCM) gaat over het waarborgen van de bedrijfscontinuïteit bij onverwachtse verstoringen. BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510. Maar wat houdt BCM precies in binnen deze verschillende standaarden en hoe wordt het toegepast? Je leest het in deze blog.

Download hier een pdf van deze blog

Bedrijfscontinuïteitsbeheer (BCM) is een proces waarbij organisaties maatregelen treffen om de continuïteit van de meest (kritische) bedrijfsprocessen te waarborgen, ongeacht de omstandigheden. In geval van een onderbreking van een of meerdere bedrijfsprocessen door een calamiteit, moet de organisatie snel en effectief kunnen reageren om de dienstverlening zo snel mogelijk te herstellen. Niet voor niets is BCM een belangrijk onderdeel binnen veelgebruikte beveiligings- en normstandaarden, zoals de Baseline Informatiebeveiliging Overheid (BIO), de Network and Information Systems Directive 2 (NIS2), ISO 27001 en NEN 7510. Maar wat houdt BCM precies in per standaard, en hoe wordt het toegepast? In deze blog hebben we het voor je op een rij gezet:

BCM binnen de BIO

De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). De BIO is gebaseerd op de ISO27001 en helpt bij het beveiligen van overheidsinformatie en -systemen tegen verschillende bedreigingen.

BCM speelt een belangrijke rol binnen de BIO. De BIO vereist dat organisaties plannen opstellen, implementeren en onderhouden om de continuïteit van hun dienstverlening te garanderen als er iets fout gaat (BIO 17.1.1 t/m 17.1.3). Zo moeten organisaties:

• Een bedrijfscontinuïeitsplan (BCP) opstellen en bijhouden: Dit plan beschrijft de noodzakelijke acties om de bedrijfsvoering te herstellen in het geval van een calamiteit. Een belangrijk onderdeel hiervan is het bepalen van welke bedrijfsprocessen cruciaal zijn voor de continuïteit van de dienstverlening en welke risico’s deze processen beïnvloeden (door middel van een risicoanalyse) en welke maatregelen deze risico’s kunnen verminderen.
• Het BCP implementeren: er moeten processen, procedures en beheersmaatregelen voor het herstellen van kritieke bedrijfsprocessen worden vastgesteld en geïmplementeerd. Deze procedures beschrijven de te nemen stappen, zoals het herstellen van IT-systemen, het opnieuw opstarten van productieprocessen en het herstellen van normale bedrijfsactiviteiten.
• Regelmatig testen en evalueren: het BCP moet regelmatig worden getest en beoordeeld om ervoor te zorgen dat het effectief blijft en wordt aangepast aan veranderende omstandigheden.

De BIO benadrukt vooral de noodzaak van een gestructureerde aanpak voor BCM. Dit betekent dat procedures, rollen en verantwoordelijkheden goed moeten worden vastgesteld. Ook is het belangrijk om de plannen te blijven verbeteren door middel van regelmatige audits en beoordelingen. Op dit moment wordt de BIO herzien – BIO 2.0 – maar de maatregelen rondom bedrijfscontinuïteit zullen hierin behouden blijven. Een conceptversie van de BIO 2.0 is momenteel beschikbaar via Github. NB: deze is nog in ontwikkeling.

BCM binnen NIS2

De Network and Information Systems Directive (NIS2) is een Europese richtlijn die gericht is op het verbeteren van de beveiliging van netwerk- en informatiesystemen binnen de Europese Unie (EU). NIS2 richt zich vooral op essentiële diensten en digitale dienstverleners, waarbij de nadruk ligt op het verhogen van de veerkracht en beveiliging van deze systemen, zodat ze beter bestand zijn tegen aanvallen. De NIS2 wordt momenteel omgezet naar nationale wetgeving waarin de BIO ook wordt geborgd.

BCM speelt een grote rol binnen NIS2. De richtlijn verplicht organisaties om maatregelen te nemen om de continuïteit van hun diensten te waarborgen bij cyberaanvallen of andere verstoringen. Zo moeten organisaties:

• Beheersmaatregelen nemen: Organisaties moeten passende maatregelen nemen om de risico’s voor hun netwerk- en informatiesystemen te beheersen. Denk aan maatregelen voor bedrijfscontinuïteit en incidentrespons (artikel 18, lid 2).
• Een strategie hebben voor risicobeheer: Deze strategie moet specifiek aandacht hebben voor bedrijfscontinuïteit. Daarnaast moeten organisaties beveiligingsmaatregelen implementeren om de beschikbaarheid, integriteit, en vertrouwelijkheid van netwerk- en informatiesystemen te waarborgen (artikel 18, lid 1 en 3).
• Incidenten melden: Incidenten met grote impact moeten worden gemeld bij de daarvoor aangewezen autoriteit. Organisaties moeten daarom een incidentresponsplan hebben dat beschrijft hoe ze reageren en herstellen van incidenten om de continuïteit van de diensten te waarborgen (artikel 20, lid 1 en 2).
• Regelmatig testen en evalueren: Continuïteitsplannen moeten regelmatig worden getest en geëvalueerd om ervoor te zorgen dat ze effectief zijn en blijven. Ook moet er aandacht zijn voor het verhogen van de digitale weerbaarheid tegen cyberaanvallen en andere verstoringen, bijvoorbeeld door middel van continue monitoring (artikel 18 lid 4 en artikel 21).
• Samenwerken: Door samen te werken en best practices te delen kunnen organisaties van elkaar leren en zorgen dat ze weerbaarder worden (artikel 13).

NIS2 legt vooral de nadruk op samenwerking en het delen van informatie tussen organisaties en overheden. Ook is het belangrijk om de plannen continu te verbeteren door regelmatig te testen en indien nodig aanpassingen te doen, zodat ze effectief blijven in een snel veranderende bedreigingsomgeving.

BCM binnen ISO 27001/ ISO27002

De ISO 27001 is een internationale norm voor informatiebeveiliging. Het biedt een gestructureerd kader voor het beheren van informatiebeveiliging binnen organisaties. Daarnaast is er de ISO 27002, een nadere uitwerking van de ISO 27001 annex A, die meer details geeft over de implementatie van een Information Security Management System (ISMS).

Ook binnen de ISO 27001/ISO 27002 speelt BCM een belangrijke rol. Deze normen stellen eisen aan organisaties om plannen en procedures te ontwikkelen die de continuïteit van informatiebeveiliging waarborgen. Dit kun je met name nalezen in hoofdstuk 17 van de norm. Zo moeten organisaties:

• Een bedrijfscontinuïteitsplan (BCP) opstellen en bijhouden: Dit plan beschrijft de noodzakelijke acties om de bedrijfsvoering te herstellen in het geval van een calamiteit. Een belangrijk onderdeel hiervan is het bepalen van welke bedrijfsprocessen cruciaal zijn voor de continuïteit van de dienstverlening en welke risico’s deze processen beïnvloeden (risicoanalyse) en welke maatregelen deze risico’s kunnen verminderen.
• Procedures ontwikkelen en implementeren: Deze procedures moeten ervoor zorgen dat kritieke functies blijven werken bij verstoringen. Denk aan het implementeren van redundante systemen, back-ups van belangrijke data en het voorbereiden van noodlocaties.
• Regelmatig testen en evalueren: het BCP moet regelmatig worden getest en beoordeeld om ervoor te zorgen dat het effectief blijft en wordt aangepast aan veranderende omstandigheden. Dit kan door oefeningen te doen en verschillende noodsituaties te simuleren.
• Een duidelijke communicatiestrategie hebben voor crisissituaties: dit is nodig om ervoor te zorgen dat alle relevante stakeholders, zoals medewerkers, burgers en leveranciers, op de hoogte worden gehouden bij noodsituaties. Effectieve communicatie is super belangrijk tijdens een crisis.
• Zorgen voor training en bewustwording: Elke medewerker moet begrijpen wat zijn rol is binnen het BCP en hoe te handelen bij een calamiteit. Regelmatig oefenen is hierbij belangrijk. Medewerkers moeten niet alleen weten hoe ze moeten reageren, maar ook wat de communicatieafspraken zijn en eventuele uitwijk- en herstelstrategieën na een calamiteit.

De ISO/IEC 27002 benadrukt een proactieve aanpak om bedrijfscontinuïteit te waarborgen. Dit betekent dat je plannen moet maken en implementeren en maatregelen moet testen en onderhouden, om ervoor te zorgen dat als er iets misgaat de impact minimaal is en je zaken snel kunt herstellen.

BCM binnen NEN 7510

De NEN 7510 is een Nederlandse norm voor informatiebeveiliging in de zorgsector, gericht op het beschermen van gezondheidsinformatie tegen bedreigingen zoals datalekken en cyberaanvallen. Gezondheidszorgorganisaties worden gezien als essentiële entiteiten binnen de NIS2-richtlijn en zullen ook hier aandacht aan moeten geven de komende tijd.

BCM speelt ook een rol binnen de NEN 7510. Deze norm vereist dat zorginstellingen plannen en procedures ontwikkelen om de continuïteit van zorgprocessen te waarborgen. De NEN7510 lijkt erg veel op de 27001/ISO27002 maar is specifieker en gedetailleerder voor de zorgsector in Nederland. Zo bevat de NEN 7510:

• Specifieke richtlijnen voor de zorgcontinuïteit: De NEN 7510 legt extra nadruk op de continuïteit van zorgprocessen en de beschikbaarheid van belangrijke informatie in noodsituaties. Binnen de zorgsector is dit extra belangrijk, aangezien onderbrekingen direct gevolgen kunnen hebben voor de veiligheid van patiënten.
• Een sectorgerichte benadering: De norm richt zich echt op het waarborgen van bedrijfscontinuïteit in de zorgsector. Denk aan het plannen en testen van noodprocedures en het waarborgen van de beschikbaarheid van medische informatie, zodat de zorg niet stopt als er iets misgaat.

De NEN 7510 benadrukt hoe belangrijk het is om gezondheidsinformatie te beschermen en ervoor te zorgen dat zorgprocessen nooit stil komen te liggen. Dit vraagt om een systematische aanpak voor BCM, inclusief goed gedocumenteerde plannen en regelmatige evaluaties.

Overeenkomsten

Hoewel elke norm zijn eigen focuspunten heeft, hebben ze allemaal één ding gemeen: het waarborgen van de bedrijfscontinuïteit en het beschermen van kritieke gegevens en diensten tegen risico’s en bedreigingen. Een aantal zaken die je bij alle beveiligings- en normstandaarden terugziet, zijn:

1. Risicobeheer: Alle normen benadrukken het belang van het benoemen en in kaart brengen van dreigingen en risico’s die de dienstverlening kunnen beïnvloeden.
2. Continuïteitsplanning: Het ontwikkelen van gedetailleerde en praktische actieplannen om ervoor te zorgen dat kritieke processen kunnen doorgaan tijdens een verstoring.
3. Opleiding en bewustwording: Regelmatige training en bewustwording van het personeel is een belangrijk onderdeel van BCM om ervoor te zorgen dat medewerkers op de hoogte zijn van BCM en weten wat hun rol en verantwoordelijkheden zijn.
4. Testen en evalueren: Het periodiek testen en beoordelen van continuïteitsplannen is nodig om ervoor te zorgen dat het effectief blijft en aangepast wordt aan veranderende omstandigheden.
5. Documentatie en systematische aanpak: Alle normen vereisen een gedocumenteerde en systematische aanpak voor BCM, inclusief regelmatig testen en evalueren. Door dit te doen kan je waar nodig verbeteringen doorvoeren.

Conclusie

Door een BCM-plan op te stellen, risico’s in kaart te brengen, medewerkers te trainen én het plan regelmatig te testen en bij te werken, voldoet jouw organisatie niet alleen aan de BCM-vereisten van de BIO, NIS2, ISO 27001/ISO27002 en NEN 7510, maar is ze ook goed voorbereid op mogelijke calamiteiten. Hierdoor kan jouw organisatie sneller en effectiever reageren en herstellen na een calamiteit, wat essentieel is voor het waarborgen van de bedrijfscontinuïteit.

Wil je met BCM aan de slag? Lees dan ook onze eerdere blog ‘BCM-routekaart voor gemeenten’ waarin we een routekaart aanbieden om BCM succesvol te implementeren in jouw organisatie.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P kan je helpen bij het ontwikkelen en opzetten van een ambassadeursprogramma. Neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.