Veel organisaties zijn zich vandaag aan het voorbereiden op NIS2.
Daarbij botsen ze vroeg of laat op twee begrippen die vaak door elkaar gebruikt worden: het Business Continuity Plan (BCP) en het Disaster Recovery Plan (DRP).
Hoewel ze nauw met elkaar verbonden zijn, zijn het geen synoniemen. In de praktijk zien we dat organisaties soms wel een DR-plan hebben voor hun IT-systemen, maar geen volledig business continuity plan. Of omgekeerd: er bestaat een crisisplan, maar niemand weet hoe de IT-omgeving effectief hersteld moet worden na een incident.
Onder NIS2 volstaat dat niet meer. Organisaties moeten aantonen dat ze voorbereid zijn om cyberincidenten én andere verstoringen op te vangen en snel te herstellen.
Maar wat is nu precies het verschil tussen beide plannen? En waarom heb je ze allebei nodig?
Waarom NIS2 zoveel nadruk legt op continuïteit
De NIS2-richtlijn heeft als doel de cyberweerbaarheid van organisaties in Europa sterk te verhogen. Daarbij kijkt de regelgeving niet alleen naar preventie, maar ook naar weerbaarheid en herstel.
Met andere woorden:
Het is niet de vraag of er ooit een incident zal plaatsvinden, maar hoe goed je daar als organisatie op voorbereid bent.
Cyberaanvallen, ransomware maar ook hardwareproblemen, menselijke fouten of zelfs een brand in het datacenter kunnen kritische bedrijfsprocessen stilleggen. Voor elke organisatie, of ze nu onder NIS2 vallen of niet, kan dat niet alleen operationele schade veroorzaken, maar ook juridische en reputatierisico’s.
Daarom verwacht NIS2 dat organisaties:
• kritische processen identificeren
• risico’s analyseren
• procedures hebben om incidenten te beheersen
• systemen en processen snel kunnen herstellen
In de laatste twee stappen komen het Business Continuity Plan en het Disaster Recovery Plan in beeld.
Wat is een Business Continuity Plan?
Een Business Continuity Plan (BCP) beschrijft hoe een organisatie haar kritische activiteiten blijft uitvoeren tijdens een verstoring.
Het gaat dus niet alleen over IT. Een BCP kijkt naar de volledige organisatie: mensen, processen, infrastructuur, technologie, leveranciers en communicatie.
Het doel is duidelijk:
De impact van een incident op de bedrijfsactiviteiten minimaliseren.
Typische vragen die een BCP beantwoordt zijn bijvoorbeeld:
• Welke bedrijfsprocessen zijn kritiek voor de organisatie?
• Hoe lang mogen deze processen maximaal onderbroken worden?
• Welke alternatieve werkwijzen bestaan er tijdens een crisis?
• Wie neemt beslissingen tijdens een incident?
• Hoe communiceren we intern en extern?
Een goed business continuity plan omvat meestal:
1 Business Impact Analysis (BIA)
Identificatie van kritische processen en hun maximale tolerantie voor downtime.
2 Crisismanagementstructuur
Wie doet wat tijdens een incident?
3 Continuïteitsstrategieën
Bijvoorbeeld: alternatieve locaties, fallback-processen, leveranciers.
4 Communicatieplan
Communicatie naar medewerkers, klanten, partners en eventueel autoriteiten.
Kort samengevat:
Een Business Continuity Plan zorgt ervoor dat de organisatie blijft functioneren, zelfs wanneer er iets ernstig misloopt.
Wat is een Disaster Recovery Plan?
Waar een Business Continuity Plan kijkt naar de organisatie als geheel, focust een Disaster Recovery Plan (DRP) meer specifiek op de IT-systemen en data.
Een DR-plan beschrijft hoe IT-systemen hersteld moeten worden na een incident.
Denk bijvoorbeeld aan:
• ransomware
• serveruitval
• datacorruptie
• netwerkstoringen
• brand in het datacenter
Het DR-plan bevat concrete technische procedures zoals:
• hoe infrastructuur wordt overgeschakeld naar een secundaire locatie
• hoe je backups moet terugzetten
• hoe je de systemen opnieuw moet opbouwen / herinstallere
• hoe je applicaties terug beschikbaar maakt
Belangrijke begrippen binnen disaster recovery zijn:
• RTO (Recovery Time Objective)
Hoe snel moet een systeem opnieuw operationeel zijn?
• RPO (Recovery Point Objective)
Hoeveel dataverlies is maximaal aanvaardbaar voor jouw organisatie?
Een voorbeeld:
Een goed DR-plan bevat daarnaast ook:
• een inventaris van systemen
• prioriteiten voor herstel
• technische herstelprocedures
• testprocedures
Kort gezegd:
Het DR-plan is de handleiding van hoe je de IT-omgeving van je organisatie terug werkzaam krijgt.
De belangrijkste verschillen samengevat:
Een eenvoudige manier om het onderscheid te begrijpen is:
Business Continuity = hoe de bedrijfsactiviteiten verdergezet kunnen worden bij een calamiteit
Disaster Recovery = hoe de IT-systemen hersteld moeten worden ná een calamiteit
Of visueel voorgesteld:
Het DR-plan vormt dus een onderdeel van het bredere Business Continuity Plan.
Wanneer IT onbeschikbaar is, moet de organisatie nog steeds weten:
• hoe kritische processen tijdelijk verder kunnen lopen
• hoe medewerkers moeten handelen
• hoe klanten en andere stakeholders geïnformeerd moeten worden
En tegelijk moet IT weten:
• hoe de IT-systemen zo snel mogelijk opnieuw beschikbaar gemaakt kunnen worden.
Waarom hebben organisaties vaak maar één van beide?
In de praktijk zien we dat organisaties vaak een technisch DR-plan hebben, maar geen echt Business Continuity Plan.
Dat komt omdat wij als IT-teams gewoon zijn om te werken rond:
• backups
• redundantie
• failover
• disaster recovery oplossingen
Maar business continuity is een vraag die breder gaat dan de IT-afdeling en ook input verwacht van:
• management
• operations
• HR
• communicatie
• leveranciers
Het is dus een organisatiebreed traject en niet alleen een IT-oefening.
Het omgekeerde gebeurt ook: organisaties hebben een crisisplan of een noodprocedure, maar geen concrete IT-herstelstrategie.
En dat kan in het geval van een cyberincident al heel snel problematisch worden.
Wat verwacht NIS2 concreet met betrekking tot herstelmaatregelen?
De NIS2-richtlijn verplicht organisaties om maatregelen te nemen rond:
• incident response
• business continuity
• disaster recovery
• crisismanagement & communicatie
Concreet betekent dit dat organisaties moeten kunnen aantonen dat ze:
risico’s analyseren
• kritische processen identificeren
• procedures hebben voor incidentbeheer
• systemen en data kunnen herstellen
• hun plannen regelmatig testen
Belangrijk: NIS2 verwacht niet alleen dat plannen bestaan, maar ook dat ze regelmatig getest en geüpdatet worden.
De rol van testing en oefeningen
Een plan op papier is één ding.
Maar werkt het ook in de praktijk?
Een DR-plan dat drie jaar geleden geschreven werd en nooit getest werd, heeft in een echte crisissituatie weinig waarde.
Daarom raden best-practices aan om regelmatig oefeningen te organiseren, zoals:
• Een simulatie-oefeningen
Simulatie van een incident met het managementteam.
• Disaster recovery tests
Effectieve hersteltests van systemen en backups.
• Crisiscommunicatie-oefeningen
Simulatie van communicatie naar klanten en stakeholders.
Deregelijke tests helpen organisaties om:
• de routine in de vingers te krijgen
• zwakke punten te ontdekken
• procedures te verbeteren
• teams beter voor te bereiden
Daarnaast tonen ze aan auditors dat de organisatie continu werkt aan haar cyberweerbaarheid.
Business continuity als strategisch voordeel
Hoewel BCP en DRP vaak worden bekeken vanuit compliance en als een “last” ervaren worden, bieden ze ook strategische voordelen.
Organisaties die hun continuïteit goed onder controle hebben:
• herstellen sneller na incidenten
• beperken financiële schade
• beschermen hun reputatie
• versterken het vertrouwen van klanten en partners
In een wereld waar cyberrisico’s steeds groter worden, vormt dit een belangrijk concurrentievoordeel.
Conclusie
Onder NIS2 volstaat het niet louter te focussen op cybersecuritypreventie. Organisaties moeten ook voorbereid zijn op het moment dat er toch iets misgaat, én als het misgaat is het niet alleen aan de IT-afdeling om de continuïteit van de business te verzekeren, maar een organisatiebrede verantwoordelijkheid.
Daarom zijn zowel een Business Continuity Plan als een Disaster Recovery Plan essentieel.
Het BCP zorgt ervoor dat de organisaties blijven functioneren, terwijl het DR-plan ervoor zorgt dat IT-systemen zo snel als mogelijk hersteld kunnen worden.
Samen met de inspanning van iedereen binnen de organisatie vormen ze de basis van een robuuste strategie voor operationele- en digitale weerbaarheid.
En dat is precies waar NIS2 op inzet: organisaties die niet alleen veilig zijn, maar ook veerkrachtig.