Ransomware, cloud-uitval en identiteitsincidenten maken business continuity weer een bestuursonderwerp. ISO 22301 richt zich op continuïteit; ISO 27001 op beveiliging — in de praktijk horen ze dezelfde scenario’s te delen.
Koppel beide werelden
- gedeelde scenario’s (encryptie, IdP-compromis, SaaS-storing);
- RTO/RPO per kritieke dienst — niet per server;
- contactlijsten legal/PR/IT getest;
- tabletop minstens jaarlijks; lessons in verbeterregister.
Bewijs voor auditors
Toon restore-tests, failover-oefeningen en management review-besluiten. Backup zonder geteste restore telt niet. Koppel aan BCM hub en incidentmanagement.
Ransomware in 2026 vereist offline of immutable back-ups en geteste restore binnen RTO — auditors vragen naar datum van laatste succesvolle restore, niet alleen back-up job logs. Koppel BCM-tests aan uw ISO 27001 backup-controls in de SoA.
Gedeelde scenario’s tussen security en BCM moeten in één oefenkalender staan. Dubbele table tops met verschillende conclusies zijn een rode vlag bij surveillance — harmoniseer lessons learned in één register.
Management review moet rest-risico op continuïteit expliciet bespreken: welke diensten hebben geen geteste failover en welke investering is gepland? Bestuurlijk besluit documenteren is verplicht onderdeel van het bewijs.
Continuïteit die bestuur begrijpt
Bestuurders willen weten welke klantimpact optreedt bij uitval van één kritieke SaaS-dienst — niet welke server in welk rack staat. Vertaal RTO en RPO naar diensten en omzet, en leg die vertaling vast in het BCM-document. Dat maakt management review en auditgesprekken korter en concreter.
Oefen minimaal één scenario waarbij communicatie (pers, klanten, toezicht) even belangrijk is als technisch herstel. Veel BCM-plannen falen niet op back-up, maar op onduidelijke escalatie naar directie en legal in de eerste uren.
Koppel leverancierscontinuïteit aan uw leveranciersregister: welke SaaS heeft geen alternatief binnen RTO, welk contractueel exit-plan bestaat en wanneer is dat getest? NIS2- en DORA-klanten vragen daar expliciet naar in 2026.
Documenteer na elke oefening drie concrete verbeteracties met eigenaar en deadline. Een uitgebreid verslag zonder opvolging telt voor auditors niet als bewijs van werking.
Leg contactgegevens voor crisisteams vast in het ISMS en test bereikbaarheid — inclusief privé-nummers waar contractueel toegestaan. BCM faalt in oefeningen vaker op communicatie dan op techniek. Koppel testresultaten aan hetzelfde verbeterregister als security-incidenten.
Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.