Business Continuity

Blijf functioneren
als het misgaat.

Een Business Continuity Plan beschrijft hoe je organisatie blijft functioneren bij een verstoring. DEFION bouwt plannen die ook werken bij het meest waarschijnlijke scenario: een cyberincident.

Vraag een BCP-traject aan Bestaand BCP laten reviewen

Wat is een Business Continuity Plan?

Een Business Continuity Plan (BCP) is het draaiboek voor de crisis: welke processen zijn kritiek, wat zijn de alternatieven, wie neemt de beslissingen en hoe communiceer je met klanten en medewerkers? DEFION stelt BCP's op die altijd cyberscenario's bevatten, want ransomware die je hele IT versleutelt is het scenario waarvoor de meeste organisaties het slechtst voorbereid zijn.

De Dienst

Een plan dat werkt in de praktijk

Het team werkt samen met je organisatie om een BCP op te stellen dat niet alleen op papier klopt maar ook in de praktijk werkt. Het begint bij het in kaart brengen van je kritieke processen en hun afhankelijkheden. Vervolgens worden voor elk proces continuïteitsstrategieën bepaald: hoe gaan we door als systeem X uitvalt?

Een BCP bij DEFION heeft altijd een cybercomponent. Traditionele BCP's richten zich op fysieke verstoringen, maar de meest waarschijnlijke verstoring voor de meeste organisaties is een cyberincident. Het plan bevat specifieke scenario's voor ransomware, datalekken en volledige IT-uitval.

Het plan wordt getest en geoefend. Een BCP dat in de la ligt is waardeloos. Het team begeleidt tabletop oefeningen die het plan valideren en het team voorbereiden op wat er echt kan gebeuren.

Waarom het ertoe doet

Zonder BCP is elke crisis chaos

Geen cyberscenario's in traditionele BCP's

Veel organisaties hebben een plan voor brand en overstroming, maar niet voor ransomware die de hele IT-omgeving versleutelt. NIS2 vereist dat je specifiek cyberincidenten meeneemt in je continuïteitsplanning.
Niemand weet welke processen echt kritiek zijn

Zonder formele BIA weet je niet welke processen als eerste hersteld moeten worden. In een crisis leidt dit tot ongecoördineerde herstelacties waarbij het verkeerde eerst wordt opgestart.
Communicatie tijdens een crisis is onderschat

Wie communiceert met klanten? Wanneer? Wat zeg je als je niet alle details weet? Zonder communicatiedraaiboek ontstaan informatievacuüms die de reputatieschade vergroten.

Scope

Wat het BCP omvat

Kritieke bedrijfsprocessen en afhankelijkheden

RTO en RPO per proces

Continuïteitsstrategieën per kritiek proces

Cyberscenario's (ransomware, dataleak, IT-uitval)

Communicatieplan (intern, extern, klanten)

Rollen en verantwoordelijkheden (crisisteam)

Leveranciersafhankelijkheden en alternatieven

Testplan en oefenprogramma

Werkwijze

Van BIA tot gevalideerd plan

Business Impact Assessment

Identificatie van kritieke processen, afhankelijkheden en impactscenario's. De BIA is het fundament van het BCP.

Risicoanalyse

Welke dreigingen kunnen continuïteit verstoren: cyber, fysiek en leverancier? Prioritering op basis van waarschijnlijkheid en impact.

Strategiebepaling

Continuïteitsstrategieën per proces en scenario: alternatieve locaties, handmatige procedures, leveranciersswitches.

Planopstelling

Documentatie van het BCP met draaiboeken per scenario. Communicatieprotocollen, contactlijsten en escalatiepaden.

Validatie via tabletop

Tabletop oefening met het crisisteam. Het plan wordt doorlopen, verbeterpunten worden geïdentificeerd.

Onderhoud

Jaarlijks review en update. Bij significante wijzigingen directe aanpassing. Periodieke hertest om de actualiteit te waarborgen.

Wat Je Ontvangt

Deliverables

Business Continuity Plan (volledig document)
Business Impact Assessment rapport
Continuïteitsstrategieën per kritiek proces
Crisisteam samenstelling en contactlijst
Communicatiedraaiboek
Testplan
Gefaciliteerde tabletop oefening ter validatie

Voor Wie

Geschikt voor

Organisaties zonder formeel BCP

Je weet dat je een plan nodig hebt maar hebt nog niets op papier. Dit traject bouwt de volledige basis op.

Bedrijven met een verouderd BCP zonder cyberscenario's

Je hebt een plan maar het bevat geen ransomware- of IT-uitvalscenario's. Dit traject moderniseert het bestaande plan.

Organisaties met NIS2, DORA of ISO 22301 vereisten

Alle drie vereisen aantoonbare continuïteitsmaatregelen inclusief cyberscenario's. Dit traject levert de benodigde documentatie.

Bestuurders die persoonlijk aansprakelijk zijn

Onder NIS2 zijn bestuurders persoonlijk aansprakelijk voor continuïteitsmaatregelen. Een actueel BCP is de basis.

Veelgestelde Vragen

FAQ

Hoe lang duurt het opzetten van een BCP?

Doorgaans 6 tot 12 weken, afhankelijk van de omvang en complexiteit van de organisatie. De Business Impact Assessment is het fundament en neemt de eerste 2 tot 4 weken in beslag. Daarna volgen strategiebepaling, planopstelling en validatie via een tabletop oefening.

Wie moeten er betrokken worden bij een BCP-traject?

Alle afdelingen die kritieke processen uitvoeren: IT, operations, finance, HR, communicatie en het bestuur. Een BCP is geen IT-project maar een organisatiebreed project. Zonder betrokkenheid van alle stakeholders is het plan onvolledig en onwerkbaar.

Hoe houden we het BCP actueel?

Door jaarlijkse reviews, oefeningen en updates bij significante wijzigingen (nieuwe systemen, reorganisatie, nieuwe locatie). Het team kan een onderhoudsprogramma opzetten zodat het BCP altijd actueel is en aansluit bij de werkelijkheid.

Kunnen jullie ook het bestaande BCP reviewen?

Ja. Als je al een BCP hebt, beoordeelt het team of het actueel, volledig en werkbaar is. Specifieke aandacht gaat naar cyberscenario's, die in traditionele BCP's vaak ontbreken. Je ontvangt een gap-analyse en verbeterplan.

Hoe verhoudt dit zich tot ISO 22301 certificering?

Het BCP-traject volgt ISO 22301-structuur en -principes. Het is direct bruikbaar als basis voor een ISO 22301-certificeringstraject. Als je richting certificering wil, adviseert het team over de aanvullende stappen die nodig zijn.

Business Impact Assessment

Meer informatie →

Disaster Recovery Plan

Meer informatie →

DDoS Test

Meer informatie →