Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Business continuity plan (BCP)

Processen

Gedocumenteerde informatie die een organisatie richting geeft om te reageren op een verstoring en de levering van producten en diensten conform haar doelstellingen voor bedrijfscontinuïteit te hervatten en herstellen.

Een business continuity plan (BCP) beschrijft hoe je organisatie blijft functioneren tijdens en na een ernstige verstoring. Het plan legt vast welke processen kritiek zijn, wie welke rol heeft en welke stappen je neemt om de schade te beperken. Denk aan een cyberaanval, stroomuitval, brand, overstroming of het uitvallen van een belangrijke leverancier. Zonder een BCP riskeer je langdurige uitval, omzetverlies en reputatieschade. In een tijd waarin ransomware en andere digitale dreigingen toenemen, is een actueel BCP onmisbaar voor elke organisatie die haar voortbestaan serieus neemt.

Het begrip business continuity plan komt voort uit de discipline Business Continuity Management (BCM). Waar BCM het overkoepelende managementsysteem is, is het BCP het concrete draaiboek dat je inzet wanneer het misgaat. De internationale norm ISO 22301 beschrijft de eisen voor een BCM-systeem en biedt een gestructureerd raamwerk voor het opstellen, testen en onderhouden van continuiteitsplannen. In Nederland stimuleert het Digital Trust Center organisaties om een BCP op te stellen als onderdeel van hun cyberweerbaarheid.

Hoe werkt een business continuity plan? Stappen

Het opstellen van een BCP begint met een business impact analyse (BIA). Daarin breng je in kaart welke bedrijfsprocessen essentieel zijn en wat de financiele en operationele gevolgen zijn als ze uitvallen. Je bepaalt per proces de maximaal acceptabele uitvalduur, ook wel de Recovery Time Objective (RTO) genoemd, en hoeveel dataverlies je kunt tolereren, de Recovery Point Objective (RPO). Deze twee parameters vormen de basis voor je herstelstrategieen.

Vervolgens voer je een risicoanalyse uit. Je identificeert dreigingen die de continuiteit kunnen verstoren en beoordeelt de waarschijnlijkheid en impact van elk scenario. Categoriseer dreigingen in natuurrampen, technische storingen, cyberincidenten, leveranciersfalen en menselijk falen. Op basis daarvan ontwikkel je herstelstrategieen per kritiek proces. Dat kan varieren van uitwijklocaties en redundante systemen tot handmatige workarounds en afspraken met externe partijen.

Het plan bevat ook een communicatiestrategie. Je legt vast wie je informeert bij een calamiteit, via welke kanalen en met welke boodschap. Denk aan medewerkers, klanten, leveranciers, toezichthouders en de pers. Definieer een crisisteam met duidelijke rollen en mandaten. Tot slot documenteer je de activerings- en deactiveringscriteria: wanneer schakel je het BCP in en wanneer keer je terug naar de normale bedrijfsvoering? Zonder heldere triggers bestaat het risico dat het plan te laat of onnodig wordt geactiveerd.

Een goed BCP bevat ook een overzicht van kritieke afhankelijkheden. Welke IT-systemen ondersteunen je kernprocessen? Welke leveranciers zijn onmisbaar? Welke medewerkers hebben unieke kennis? Door deze afhankelijkheden expliciet te maken, voorkom je blinde vlekken in je herstelstrategie.

Wanneer voer je een business continuity plan uit?

Je activeert een BCP bij elke verstoring die de normale bedrijfsvoering significant bedreigt. Dat kan een datalek zijn, een ransomware-infectie, een natuurramp, het uitvallen van een datacenter of het faillissement van een kritieke leverancier. De activeringsdrempels definieer je vooraf in het plan, zodat er geen discussie ontstaat over de vraag of het plan moet worden ingezet.

Maar een BCP is niet alleen reactief. Je test het plan minstens jaarlijks door middel van tabletop-oefeningen, functionele tests of volledige simulaties. Bij een tabletop-oefening bespreekt het crisisteam een fictief scenario aan tafel. Bij een functionele test activeer je daadwerkelijk delen van het plan, bijvoorbeeld het overschakelen naar een uitwijklocatie. Een volledige simulatie bootst een realistisch incident na zonder voorkennis voor de deelnemers.

Onder de NIS2-richtlijn zijn organisaties in vitale sectoren verplicht om bedrijfscontinuiteitsmaatregelen te treffen en regelmatig te testen. Het NCSC biedt richtlijnen voor het opstellen en testen van continuiteitsplannen. Ook ISO 27001 vereist aandacht voor bedrijfscontinuiteit als onderdeel van informatiebeveiliging.

Daarnaast evalueer je het plan na elke daadwerkelijke activering. Wat ging goed, wat kan beter? Die lessons learned verwerk je direct in een geactualiseerde versie. Organisatorische wijzigingen, nieuwe systemen, veranderde dreigingen of fusies en overnames zijn ook triggers om het BCP bij te werken. Een BCP dat twee jaar onaangeroerd in een la ligt, is waardeloos op het moment dat je het nodig hebt.

Wat kost een business continuity plan?

De kosten van een BCP hangen sterk af van de omvang en complexiteit van je organisatie. Voor een MKB-bedrijf met 50 medewerkers liggen de kosten voor het opstellen van een BCP doorgaans tussen de 5.000 en 15.000 euro als je een externe consultant inschakelt. Grotere organisaties met complexe IT-infrastructuur en meerdere locaties betalen al snel 25.000 tot 75.000 euro voor een volledig programma inclusief BIA, risicoanalyse, herstelstrategieen en testprogramma.

Daar komen terugkerende kosten bij voor jaarlijkse tests, trainingen en updates. Reken op 10 tot 20 procent van de initiele investering per jaar. Vergeet ook de kosten van technische maatregelen niet, zoals backup-oplossingen, redundante netwerken en uitwijkfaciliteiten. Die vallen strikt genomen buiten het plan zelf, maar zijn essentieel voor de uitvoering ervan.

Zet die kosten af tegen de potentiele schade van onvoorbereid zijn. Onderzoek toont aan dat de gemiddelde kosten van downtime voor middelgrote organisaties variaren van 10.000 tot 50.000 euro per uur, afhankelijk van de sector. Een ransomware-aanval die een week productie stillegt, kan tonnen kosten aan directe schade, herstel en gemiste omzet. Een goed BCP verdient zichzelf dus snel terug door de hersteltijd te verkorten en de impact te beperken.

Organisaties die intern expertise hebben, kunnen delen van het BCP zelf opstellen. Externe validatie door een specialist blijft wel aan te raden om blinde vlekken te voorkomen en de kwaliteit van het plan te waarborgen. Sommige cyberverzekeraars bieden premievoordeel voor organisaties met een getested BCP, wat een deel van de investering kan dekken.

Veelgestelde vragen over business continuity plan

Wat is het verschil tussen een BCP en een disaster recovery plan?

Een BCP richt zich op het voortzetten van alle kritieke bedrijfsprocessen tijdens een verstoring. Een disaster recovery plan (DRP) focust specifiek op het herstellen van IT-systemen en data na een incident. Het DRP is daarmee een onderdeel van het bredere BCP dat ook niet-IT-gerelateerde processen afdekt.

Is een business continuity plan verplicht?

Onder NIS2 zijn organisaties in essentieel en belangrijke sectoren verplicht om continuiteitsmaatregelen te treffen. ISO 27001 vereist ook aandacht voor bedrijfscontinuiteit. Voor andere organisaties is het geen wettelijke verplichting, maar het is sterk aan te raden.

Hoe vaak moet je een BCP testen?

Test je BCP minimaal een keer per jaar. Bij grote organisatorische veranderingen, nieuwe dreigingen of na een daadwerkelijk incident test je aanvullend. Varieer tussen tabletop-oefeningen en volledige simulaties voor het beste resultaat.

Wie is verantwoordelijk voor het BCP?

De directie draagt eindverantwoordelijkheid voor bedrijfscontinuiteit. In de praktijk coerdineert een BCM-manager of CISO het proces. Elke afdeling levert input over hun kritieke processen en herstelbehoeften. Het crisisteam is verantwoordelijk voor de uitvoering bij activering.

Wat staat er minimaal in een BCP?

Een BCP bevat minimaal een business impact analyse, risicoanalyse, herstelstrategieen per kritiek proces, communicatieplan, contactlijsten, activerings- en deactiveringscriteria en een testschema. Aanvullend neem je afhankelijkheidsoverzichten en escalatieprocedures op.

Stel je BCP op met de juiste specialist. Vergelijk Business Continuity Management (BCM) aanbieders op IBgidsNL.