Business continuity management is geen risicomanagement… Maar ze zijn beide nodig om veerkracht en weerbaarheid te creëren. Risicomanagement en business continuity management zijn essentiële onderdelen van een robuust bedrijfsbeheer, en deze worden nog belangrijker in de context van cybersecurity en weerbaarheid. De NIS2-richtlijn, bedoeld om de digitale veerkracht van de EU-lidstaten te versterken, benadrukt het belang van risicomanagement en business continuity management met specifieke vereisten hieromtrent voor organisaties actief in essentiële en belangrijke sectoren. Al te vaak worden business continuity management en risicomanagement verkeerd geïnterpreteerd. De rol van business continuity manager wordt vaak toegewezen aan de risicomanager als een aanvullende rol, maar ze hebben beiden verschillende doelstellingen. Hun samenwerking is uiteraard cruciaal, vooral in het kader van cybersecurity programma’s.
Risicomanagement
Een risicomanager neemt preventieve maatregelen om risico’s te verminderen door de waarschijnlijkheid en impact van een gebeurtenis te evalueren die de doelstellingen van een organisatie in gevaar brengen. Hij of zij zal preventieve maatregelen voorstellen voor bedreigingen die een hoge waarschijnlijkheid en een grote impact hebben. Als je die twee met elkaar vermenigvuldigt, krijg je een belangrijk risico. Deze aanpak is nauw verbonden met de vereisten van de NIS2-richtlijn, die organisaties verplicht om risicoanalyses uit te voeren en passende maatregelen te nemen om cyberdreigingen te voorkomen of te beperken. Betrokkenheid van het management, formele (rest)risicoaanvaarding en duidelijke bedrijfsdoelstellingen zijn hierbij essentieel.
Een risicomanager zal zich meestal eerder weinig bezighouden met extremen. De extremen betreffen gebeurtenissen of bedreigingen met een minimale kans en een enorme impact. De vermenigvuldiging vormt een relatief klein risico. Gebeurtenissen met een zeer grote kans van voorkomen en een zeer kleine impact zullen ook niet worden behandeld door de risicomanager. Ze worden behandeld door de dagelijkse bedrijfsvoering.
Business continuity management
Business continuity management richt zich op het waarborgen van de bedrijfscontinuïteit, zelfs in het geval van ernstige verstoringen zoals cyberaanvallen. Dit omvat het identificeren van kritieke bedrijfsprocessen, het ontwikkelen van plannen voor het omgaan met noodsituaties en het regelmatig testen en bijwerken van deze plannen. Binnen een cybersecurityprogramma speelt business continuity management een cruciale rol in het minimaliseren van de impact van cyberincidenten en het bevorderen van een snel herstel van de bedrijfsactiviteiten.
Een business continuity manager werkt quasi enkel met impact. Enkel gebeurtenissen of bedreigingen met een hoge impact worden behandeld. Met waarschijnlijkheid wordt veel minder rekening gehouden. Bedrijfscontinuïteit gaat ervan uit dat alles kan gebeuren, we weten alleen niet wanneer het gaat gebeuren.
Bedrijfscontinuïteit zal zich daarom in eerste instantie richten op het beperken van de impact van een gebeurtenis. Reactievermogen en eerst de juiste dingen doen zijn daarom belangrijk wanneer zich een incident voordoet met een enorme impact. Een impact die zo groot is dat de normale werking van een bedrijf wordt stilgelegd en een crisismodus wordt geactiveerd, wat vaak gepaard gaat met een verlaagd activiteitenniveau waarbij alleen de meest kritieke activiteiten worden gegarandeerd. Pas als de meest kritieke activiteiten zijn hersteld, worden de minder kritieke activiteiten weer geactiveerd, zodat op een bepaald moment kan worden overgeschakeld op de normale bedrijfswerking.
Hoe goed een risicomanager zijn werk ook doet, een bedrijfscontinuïteitsplan en -management is altijd nodig. Er kan altijd iets onverwachts gebeuren. Denk maar aan de impact van de oorlog in Oekraïne, de oorlog in de Gazastrook en de overstromingen in Wallonië of de Covid-19 crisis. Deze recente voorbeelden van externe gebeurtenissen met een enorme impact maken de noodzaak voor bedrijfscontinuïteitsbeheer overduidelijk.
Samenwerking en synergieën
Het belang van een nauwe samenwerking tussen risicomanagement en business continuity management wordt duidelijk bij het nastreven van naleving van de NIS2-richtlijn en het waarborgen van een effectief cybersecurityprogramma. Risicomanagement identificeert potentiële cyberdreigingen en kwetsbaarheden, terwijl business continuity management ervoor zorgt dat organisaties voorbereid zijn op deze dreigingen en in staat zijn om snel te reageren en te herstellen.
Binnen een cybersecurityprogramma kan business continuity management worden beschouwd als een integraal onderdeel van de bredere strategie om cyberdreigingen aan te pakken. Dit omvat het ontwikkelen van plannen voor het herstel van systemen en gegevens na een cyberaanval, het trainen van personeel over hoe ze moeten reageren op noodsituaties, en het regelmatig evalueren en bijwerken van de incidentresponsplannen.
Door risico’s te identificeren en passende maatregelen te nemen, kunnen organisaties hun vermogen vergroten om cyberdreigingen te weerstaan en snel te herstellen van incidenten. Lessen die zijn getrokken in de zin van het nemen van preventieve maatregelen op basis van gebeurtenissen in het verleden, kunnen in het mandje van de risicomanager terechtkomen. Het aanmoedigen van het installeren van preventieve maatregelen die de verbetering van het bedrijfscontinuïteitsplan aanmoedigen op basis van gebeurtenissen uit het verleden en op basis van uitgevoerde tests, behoren tot de taak van de Business Continuity Manager.
In het kader van de NIS2-richtlijn is het van vitaal belang dat organisaties een holistische benadering volgen die zowel risicomanagement als business continuity management omvat. Alleen door deze disciplines te integreren en samen te werken, kunnen organisaties effectief omgaan met de steeds evoluerende cyberdreigingen en de operationele veerkracht verbeteren.
Conclusie
Het nauwgezet begrijpen en implementeren van zowel risicomanagement als business continuity management is van cruciaal belang voor organisaties, niet alleen om te voldoen aan de vereisten van de NIS2-richtlijn, maar ook om een robuust cybersecurityprogramma te ontwikkelen en te handhaven. Door risico’s te identificeren, passende maatregelen te nemen en noodplannen te ontwikkelen, kunnen organisaties zich beter voorbereiden op cyberdreigingen en hun veerkracht vergroten in het geval van een cyberaanval of andere verstoringen.
Zowel de rol van Risicomanager als die van Business Continuity Manager zijn noodzakelijk binnen elke organisatie. Hun doel is om de negatieve impact van potentiële en actuele gebeurtenissen op het bereiken van de doelstellingen van een bedrijf zoveel mogelijk te beperken. En indien mogelijk, de positieve impact van gebeurtenissen op het bereiken van de doelstellingen van een bedrijf te maximaliseren.