Aandacht voor Business Continuity - Siemens Answers

Onderzoek naar de status van Business Continuity Management in Nederland 2014
Aandacht voor Business Continuity
www.siemens.nl/bcmonderzoek
De status van Business Continuity Management in Nederland
Inhoud
november 2014
1Voorwoord
5
2Managementsamenvatting
6
3Inleiding
8
4 Het belang van continuïteitsmanagement
12
5 Hoe wordt continuïteitsmanagement in organisaties vormgegeven?
13
6 Business continuity: risico’s, maatregelen en kansen
14
7 Welke rol speelt de overheid bij continuïteitsmanagement?
19
8Onderzoeksverantwoording
21
9Literatuuroverzicht
23
3
De status van Business Continuity Management in Nederland
4
november 2014
De status van Business Continuity Management in Nederland
1
Voorwoord
Beste Lezers,
Onze wereld verandert in een rap tempo. Megatrends zoals
demografische verandering, urbanisatie, globalisering en
klimaatverandering spelen daarbij een stuwende rol. Zowel
de groeiende wereldbevolking als de stijgende welvaart ervan
leiden tot een toenemende vraag naar grondstoffen en
energie.
Technologie speelt een zeer belangrijke rol bij het vormgeven
van een duurzame en leefbare wereld. Siemens levert al ruim
160 jaar vooruitstrevende en innovatieve technologie.
Al sinds haar ontstaan staan de uitdagingen van de toekomst
bij deze ontwikkelingen centraal.
Duurzaamheid en continuïteit zijn leidende principes binnen
de hedendaagse maatschappij en de organisaties die daarin
functioneren. Dit leidt tot een groeiende aandacht voor
continuïteitsmanagement in het algemeen en daarbinnen
voor de rol die Safety- en Security oplossingen daarbij kunnen
spelen.
Voor u ligt het rapport dat is opgesteld naar aanleiding van
het tweede onderzoek dat Siemens heeft gedaan naar de
status van Business Continuity Management in Nederland.
Het onderzoek is uitgevoerd onder het management van
gebruikers van gebouwen- en infratechnologie.
De steeds verdergaande automatisering en digitalisering van
de (ondersteuning) van het primaire proces, biedt nieuwe
mogelijkheden én creëert nieuwe kwetsbaarheden.
De aandacht voor business continuity management helpt om
de voorwaarden te scheppen waaronder uw organisatie haar
doelstellingen kan blijven realiseren, of het nu ten faveure
van de eigen stakeholders is of, zoals bij de vitale infra
structuur, ook voor de continuïteit van de BV Nederland.
Ik wens u veel leesplezier en ga graag met u in gesprek over
de rol van technologie bij het borgen van de continuïteit van
uw faciliteiten.
Met vriendelijke groet,
Roel Aldenkamp
Manager Enterprise Security
november 2014
5
De status van Business Continuity Management in Nederland
2
Managementsamenvatting
De tegenwoordige maatschappij kenmerkt zich door een toenemende (technische)
verbondenheid van systemen en organisaties. Het World Economic Forum heeft het over
‘digital hyperconnectivity’. Naast vele voordelen leidt deze verbondenheid ook tot nieuwe
risico’s. Niet alleen zijn organisaties steeds afhankelijker geworden van technische
infrastructuur, het herkennen en beheersen van hun risico’s is daardoor steeds complexer
geworden. In de Technologieverkenning Nationale Veiligheid wordt hiervoor door het RIVM
gewaarschuwd. Verstoringen kunnen door de verregaande samenhang leiden tot ‘van te
voren onbekende’ consequenties.
Een van de belangrijkste maatregelen voor organisaties om risico’s te beperken is het voeren van
continuïteitsmanagement of business continuity
management. Siemens Building Technologies
helpt haar relaties door oplossingen en diensten
te leveren die incidenten voorkomen en beheersen
op het gebied van branddetectie, blussing en ontruiming, security, klimaat- en energiebeheersing
en incident- en crisismanagement. Vanuit deze
positie doet Siemens regelmatig onderzoek naar
de behoeften van haar relaties. Dit onderzoek
naar de status van business continuity in
Nederland is daar een voorbeeld van. Met dit
onderzoek wil Siemens haar relaties informeren
en inspireren en de mogelijkheid geven om
zichzelf te vergelijken met andere organisaties.
Dit onderzoek is eerder uitgevoerd in 2012. De
resultaten van dit onderzoek worden vergeleken
met het eerder uitgevoerde onderzoek.
Continuïteitsmanagement staat nog steeds hoog
op de agenda binnen organisaties. Maar liefst 70%
van de respondenten geeft aan dat het structureel
op de agenda staat bij het hoogste management.
Dit resulteert bij 70% van de grotere organisaties
ook in de aanwezigheid van een business
continuity plan. Kleinere organisaties (minder
dan 1000 werknemers) hebben in 50% van de
gevallen een plan en blijven daarmee duidelijk
achter.
Uit de resultaten van dit jaar blijkt dat de verantwoordelijkheden voor continuïteitsmanagement
duidelijk zijn belegd. Bij 93% van de respondenten
is dit namelijk het geval. Dit is een forse stijging
ten opzichte van het onderzoek uit 2012 waar het
percentage 79% was. De verantwoordelijkheid
voor de continuïteit wordt voornamelijk geacht
in de ‘lijn’ te liggen. De directie (63%) en het
operationele management (32%) worden door de
respondenten het meest genoemd. Ook safety en
6
security managers worden veel genoemd als
(mede)verantwoordelijk (29%). In tweederde van
de gevallen is de verantwoordelijkheid over meer
dan één functie verdeeld.
De beantwoording van de vraag waarop de focus
van continuïteitsmanagement ligt is wezenlijk
anders in vergelijking met de resultaten uit 2012.
In 2012 werd aangegeven dat de focus voornamelijk ligt op het beschermen van het productieproces en werd het beschermen van informatie en
informatiesystemen nauwelijks genoemd. Dit jaar
ligt de focus overduidelijk op het beschermen van
informatie en informatiesystemen. Deze focus
wordt door 72% van de respondenten genoemd.
Tweederde van de respondenten geeft aan dat de
continuïteit van hun organisatie afhankelijk is van
andere organisaties. 70% van de respondenten
vindt dat het beschermen van de continuïteit van
hun organisatie (daardoor) complexer geworden is.
Met betrekking tot beschermingsmaatregelen zijn
de uitkomsten vergelijkbaar met de uitkomsten uit
2012. IT security wordt het meest als belangrijk
tot zeer belangrijk genoemd (89%). In dit onderzoek zijn proces control of SCADA systemen voor
het eerst als aparte categorie gevraagd. 62% van
de respondenten vindt de security van dergelijke
systemen belangrijk tot zeer belangrijk. De andere
maatregelen zoals brandbeveiliging, security en
klimaatregeling worden, net als twee jaar geleden,
voornamelijk als belangrijk tot zeer belangrijk
gezien.
Een zeer belangrijk onderdeel van business
continuity is het vaststellen van de consequenties
van een mogelijke verstoring. Dit wordt Business
Impact Analyse (BIA) genoemd. In eerdere publicaties is vastgesteld dat als er geen inzicht is in de
impact van een verstoring er ook veelal geen
maatregelen worden genomen. Dit jaar geven
november 2014
De status van Business Continuity Management in Nederland
Wat is BCM?
Business Continuity Management is een proces
waarmee getracht wordt de continuïteit van een
organisatie te waarborgen. Dit betekent het in
stand houden van de belangrijkste, primaire of
kritische processen.
Allereerst betekent dit dat een organisatie zichzelf goed moet kennen: wat zijn de belangrijkste
en/of kritische processen? Wat is de relatie met
andere interne of externe processen? Waarvan
zijn ze afhankelijk? Vervolgens kan worden bepaald wat er gebeurt als deze verstoord worden:
Wat voor verstoringen kunnen er optreden? Hoe
groot is de kans op een verstoring? Wat kunnen
de gevolgen zijn van een verstoring?
Voordat er maatregelen en beleid kunnen worden
geformuleerd dient er een dergelijke grondige
‘Business Impact Analyse’ (BIA) plaats te vinden.
Op basis van de uitkomsten van een BIA kunnen
maatregelen worden geformuleerd op het gebied
van preventie (beperking van de kans dat een
verstoring optreedt), detectie (het tijdig detecte-
minder respondenten aan niet te weten wat
de impact van een dag downtime is (35%). Dit
percentage is nog steeds relatief hoog maar in
2012 was het 52%. Er lijkt zich op dit punt een
duidelijke verbetering af te tekenen.
Dit jaar heeft het onderzoek een speciale focus
gehad op de rol van de overheid bij business
continuity. De overheid wordt gezien als een
van de belangrijkste bronnen van informatie
met betrekking tot risico’s die organisaties lopen.
Er wordt daarnaast meer verwacht van de overheid. Maar liefst 73% van de respondenten geeft
aan dat de overheid door middel van het stellen
van normen de continuïteit van (vitale) infrastructuur dient af te dwingen. Ook respondenten uit
deze vitale sectoren zijn hier in ruime meerderheid voorstander van. 62% van de respondenten
vindt zelfs dat de overheid verantwoordelijk zou
november 2014
ren van een verstoring), mitigatie (het beperken
van schade) en herstel (het zo snel mogelijk herstellen van de processen).
Risico’s kenmerken zich door een mate van
onzekerheid, immers als iets zeker is, is het
geen risico. Wat wel zeker is aan risico’s, is dat
ze continu veranderen onder invloed van vele inen externe factoren en omstandigheden. Het
eenmalig vaststellen van risico’s en maatregelen
biedt daarmee maar een tijdelijke bescherming.
Business Continuity Management (BCM) is
een continu proces van het inventariseren van
bedreigingen en risico’s en het vaststellen,
implementeren en evalueren van maatregelen.
Sinds jaren geldt de British Standard 25999
als veruit meest gebruikte methodiek hiervoor
(BCI 2012, Taylor 2012). Het biedt zowel een
solide raamwerk als concrete ‘best practices’.
Sinds begin 2012 is de ISO 22301 uitgebracht
die deel 2 van de BS 25999 zal vervangen.
moeten zijn voor de continuïteit van deze infrastructuur.
Op de vraag of de overheid voldoende toezicht
houdt, vindt slechts 21% van de respondenten
het toezicht van de overheid onvoldoende.
Wellicht is dat typisch Nederlands, de respondenten verwachten meer sturing door normen van de
overheid maar willen vervolgens niet te veel op de
naleving ervan worden aangesproken.
In de volgende hoofdstukken van dit rapport
worden de resultaten uitgebreid beschreven en
verbonden met maatschappelijke ontwikkelingen.
Siemens nodigt u van harte uit om dit rapport
verder te lezen en hoopt dat het een bijdrage
mag leveren aan het vergroten van uw inzicht in
continuïteitsmanagement.
7
De status van Business Continuity Management in Nederland
3
Inleiding
Het beheersen van risico’s is voor organisaties van levensbelang. Huidige maatschappelijke
ontwikkelingen maken het beheersen van risico’s enerzijds belangrijker dan ooit en anderzijds ook steeds complexer. Eén van de maatregelen voor het beheersen van risico’s is het
voeren van continuïteitsbeleid of business continuity Management. In 2012 heeft Siemens
hier voor het eerst een onderzoek naar gedaan (Siemens 2012). Dit rapport beschrijft de
resultaten van het tweede onderzoek en vergelijkt deze met de eerdere resultaten. Siemens
hoopt haar relaties een beeld te geven van de status van business continuity in Nederland.
De informatie uit dit rapport is bedoeld om organisaties te informeren en te inspireren en
kan gebruikt worden om het eigen organisatiebeleid te vergelijken met dat van anderen.
Risicomanagement vs Business continuity
Business continuity en risicomanagement zijn
onlosmakelijk met elkaar verbonden. Binnen een
risicomanagementproces, zoals beschreven in de
NEN 31000 (NEN_ISO 2009) zie figuur 1, worden
risico’s geïdentificeerd, geanalyseerd en gewogen.
Daarna worden maatregelen gedefinieerd om
onaanvaardbare risico’s te beperken.
Vaststellen van de context
Risico-identificatie
Risicoanalyse
Risico-evaluatie
Monitoring en beoordeling
Communicatie en overleg
RISICOBEOORDELING
Risicobehandeling
Figuur 1: Risicomanagementproces conform NEN-ISO
31000 Risicomanagement – principes en richtlijnen
Business Continuity Management (BCM) is een
proces dat als een van de maatregelen wordt ingezet om risico’s te beperken. BCM richt zich daarbij
met name op het beperken van de gevolgen van
8
verstoringen. Om de gevolgen van een verstoring
te kunnen beperken is het evident dat deze gevolgen allereerst goed in kaart gebracht moeten zijn.
Een zogenaamde Business Impact Analyse (BIA)
is daarom een belangrijk onderdeel van business
continuity. Hier ligt een direct verband met het
risicomanagement proces. Tijdens de risico
identificatie fase worden de gevolgen, de consequenties, van de verschillende risico’s eveneens in
kaart gebracht.
In de hoofdstukken 4 en 5 worden de resultaten van
dit onderzoek met betrekking tot respectievelijk het
belang van continuïteitsmanagement en de wijze
waarop dit vormgegeven wordt beschreven. Hierbij
kunnen relaties worden gelegd tussen continuïteitsmanagement en andere organisatorische functies
die bepaalde risico’s voor organisaties behandelen.
Door de steeds veranderende omstandigheden
waarin organisaties opereren zijn zowel risico
management als business continuity management
geen eenmalige acties maar doorlopende processen.
In de huidige samenleving, waarin geopolitieke,
technologische, sociologische en klimatologische
veranderingen elkaar steeds sneller opvolgen,
beïnvloeden en versterken, worden deze doorlopende risicoprocessen des te belangrijker.
Verantwoording in een risicomaatschappij
De socioloog Ulrich Beck heeft in 1986 de term risicosamenleving geïntroduceerd (Beck 1992). Hij bedoelde daarmee niet dat de (westerse) samenleving
onveiliger zou zijn geworden of dat we in een dergelijke samenleving meer risico’s lopen. Het tegendeel
november 2014
De status van Business Continuity Management in Nederland
is waar, we leven langer, gezonder, veiliger en wel
varender dan ooit. Deze levenswijze betekent echter
dat we ons veel bewuster zijn geworden van de
risico’s die we lopen. Een voorbeeld daarvan is de
vaststelling dat de Nederlandse bevolking zich on
veiliger voelt terwijl het aantal incidenten afneemt.
Dit risicobewustzijn in de samenleving leidt tot
andere verhoudingen tussen overheid, burgers
en organisaties. De veiligheidsrelatie tussen deze
partijen dient (opnieuw) gedefinieerd te worden
(Siemens 2013, Van Vollenhoven 2014). Binnen
dit onderzoek is dan ook de rol van de overheid
rond business continuity onderzocht. In hoofdstuk 7
worden de resultaten van het onderzoek met betrekking tot de rol van de overheid beschreven.
Daarnaast zijn we onze wereld steeds meer als
‘maakbaar’ gaan beschouwen. Vrijwel alle oorzaken
van incidenten zijn bekend of worden achteraf
bekend. ‘Domme pech’ bestaat daarmee niet meer.
Alles is een risico geworden en risico’s kunnen
worden vermeden of beheerst. Daarmee wordt
verantwoordelijkheid geïntroduceerd. Immers als
alles een risico is dat door middel van management
kan worden vermeden of beheerst is er altijd een
natuurlijk of juridisch persoon verantwoordelijk voor.
Binnen organisaties leidt dit tot steeds meer aandacht voor risicomanagement (Accenture 2013).
Risicomanagement verandert van een ‘showstopper’
in een ‘business enabler’. Moderne professionals die
zich met risicomanagement bezig houden, zoals
safety & security managers, business continuity
managers, corporate risk officers e.d., staan steeds
meer midden in de organisatie en beslissen mee
over strategische bedrijfsprocessen.
november 2014
Het kennen van risico’s en risicomanagement versterkt de mogelijkheden van organisaties en biedt
kansen. Duidelijkheid en transparantie over risico’s
en de behandeling ervan is steeds meer een
vereiste in onze samenleving. Het afleggen van
verantwoordelijkheid en compliancy nemen aan
belang toe en staan hoog op de agenda binnen de
meeste organisaties. In hoofdstuk 6 is beschreven
hoe de respondenten in dit onderzoek hun kennis
van risico’s beoordelen en hoe ze aan deze kennis
komen.
Risico’s in een ‘hyperconnected’ samenleving
Zoals ook al in het Siemens rapport uit 2012 beschreven zijn personen, organisaties en overheden in toenemende mate met elkaar verbonden en van elkaar
afhankelijk. Deze ontwikkeling zet zich versneld voort.
Naast vele voordelen van deze ‘hyperconnectiviteit’
levert dat ook risico’s op:
“Vitale processen en systemen raken steeds meer
verknoopt, zowel onderling als met niet-vitale
processen en systemen. De systeemsamenhang
wordt complex. Eén kleine verstoring kan verstrekkende – van te voren onbekende – consequenties
hebben, die in vele andere systemen doorwerken.”
(Technologieverkenning Nationale Veiligheid,
RIVM, 2014)
Het World Economic Forum noemt deze ontwikkeling ‘digital hyperconnectivity’. Waar digitalisering
van processen oorspronkelijk is gestart om de
efficiency van bestaande processen te verhogen
zijn we er inmiddels totaal afhankelijk van geworden
(WEF 2014a).
9
De status van Business Continuity Management in Nederland
Een voorbeeld van deze afhankelijkheid is bij
voorbeeld een fysieke ‘supply chain’. Zonder de
bijbehorende ‘data flow chain’ stopt deze fysieke
keten (Mensah, Merkuryev 2014, Wildring 2014).
In dit onderzoek hebben we de respondenten
gevraagd naar de afhankelijkheid van hun organisatie van anderen. In hoeverre is het voortbestaan
van organisaties, de continuïteit, afhankelijk van
anderen? De antwoorden op deze vraag zijn
opgenomen in hoofdstuk 6.
Het Siemens onderzoek
Siemens Building Technologies is wereldwijd een
van de grootste leveranciers op het gebied van
systemen, oplossingen en diensten op het gebied
van fysieke veiligheid, comfort en energiemanagement. Het beheersen van risico’s bij haar relaties
door het juist inzetten van technologie en diensten
ziet Siemens Building Technologies als haar kerntaak.
Door de vele veranderingen in de maatschappij
en de invloeden daarvan op organisaties wordt
10
de portfolio van Siemens continu aangepast en
ontwikkeld. Siemens richt zich daarbij op lang
durige relaties met haar afnemers en stelt zich
meer en meer op als ‘trusted partner’ in plaats van
leverancier. Binnen deze rol neemt het informeren,
adviseren en prikkelen een belangrijke positie in.
Naast het leveren, implementeren en langdurig
in stand houden van brandbeveiligingssystemen,
security oplossingen, incident & crisismanagement
systemen, klimaatregelingen en energiemanagement levert Siemens een belangrijke bijdrage in
maatschappelijke ontwikkelingen en debat. In dit
kader heeft Siemens het onderzoek naar business
continuity herhaald.
Siemens hoopt dat de inhoud van dit rapport
kan bijdragen in het verhogen van kennis en
bewustzijn en het daadwerkelijk beheersen van
(continuïteits)risico’s. Siemens staat open voor
discussie, vragen en commentaar. Daarnaast
kan Siemens assisteren bij het invullen van continuïteitsmanagement binnen organisaties door het
bieden van advies, (crisismanagement)trainingen
en het implementeren van business continuity
oplossingen.
november 2014
De status van Business Continuity Management in Nederland
4
Het belang van continuïteitsmanagement
De uitkomsten van het onderzoek uit 2012 lieten een duidelijke relatie zien tussen de
omvang van een organisatie (in aantal medewerkers) en de aandacht voor continuïteits
management. Dit jaar zijn de verschillen kleiner, de aandacht binnen kleinere organisaties
is duidelijk gestegen.
Continuïteitsmanagement staat duidelijk in de belangstelling van het topmanagement. Voor vrijwel
alle organisaties is het voortbestaan gedurende
langere tijd een van de hoofddoelen. Het is daarom geen verrassing dat continuïteitsmanagement,
aandacht voor risico’s die de continuïteit mogelijk
in gevaar brengen, de aandacht heeft. Slechts
bij één op de zes organisaties is dit niet het geval
(figuur 2).
Kijkend naar de totaalresultaten lijkt het erop
dat deze aandacht zich direct vertaalt in de aan
wezigheid van een business continuity plan. Hier
is echter een duidelijk onderscheid tussen kleinere
en grotere organisaties. Circa 50% van de kleinere
organisaties heeft een business continuity plan
(30% niet) tegen 70% van de grotere organisaties
(slechts 8% niet). Dit is overigens een vergelijkbaar
resultaat met het onderzoek uit 2012.
Naast de aandacht van het topmanagement en het
hebben van een plan, vinden organisaties dan dat
ze genoeg aan business continuity doen? Het antwoord uit dit onderzoek geeft een bijna 50/50%
verdeling te zien. Circa 50% van de respondenten
vindt dat er genoeg gedaan wordt, en de andere
50% dat ze meer zouden moeten doen.
Hier is nauwelijks verschil zichtbaar tussen grote
en kleine organisaties. Wel zijn er duidelijke verschillen tussen verschillende branches zichtbaar. De
branches die structureel bezig zijn met business
Vraag
Bij 70% van de organisaties
staat business continuity
structureel op de agenda van
het hoogste management.
continuity zoals luchthavens, farmaceutische
industrie, (petro)chemie, industriële productie en
openbare orde en veiligheid vinden dat ze niet meer
hoeven doen dan ze al doen.
De branches die vinden dat ze meer moeten doen
bestaan uit een aantal branches die al structureel
veel aan business continuity doen zoals: energie,
havens, transport & logistiek en defensie. Zij zullen
waarschijnlijk beseffen dat ze nooit genoeg doen.
Daarnaast is er een groep branches waar de aandacht voor business continuity laag is er waar
dus veel te winnen valt. De branches bouw-, en
installatiebedrijven, advies- en architectenbureaus
en onderwijs zijn hier voorbeelden van. Ondanks
het feit dat ze minder dan gemiddeld aandacht
hebben voor continuïteitsmanagement vinden
ze toch dat ze niet meer hoeven doen. Dit lijkt te
duiden op een lager bewustzijn van het belang
van continuïteitsmanagement in deze sectoren.
Antwoord opties
klein*
groot*
70%
65%
73%
17%
23%
12%
Weet niet
13%
12%
15%
Ja
62%
50%
71%
Nee
17%
29%
8%
Weet niet
21%
21%
21%
Ja
54%
50%
56%
Nee
46%
50%
44%
Staat business continuity in uw organisatie
Ja
structureel op de agenda bij overleg op het hoogste
Nee
managementniveau?
Beschikt uw organisatie over een business
continuity Plan?
Zou uw organisatie meer moeten doen om
business continuity te waarborgen?
%
Figuur 2: Aandacht voor business continuity.
* klein: organisaties < 1000 medewerkers; groot: organisaties > 1000 medewerkers.
november 2014
11
De status van Business Continuity Management in Nederland
5
Hoe wordt continuïteitsmanagement
in organisaties vormgegeven?
Het is interessant om te zien hoe de verantwoordelijkheden voor business continuity
binnen organisaties zijn belegd. Opvallend is dat er een groot aantal verschillende
functies en afdelingen verantwoordelijk zijn voor business continuity. Hieruit blijkt dat
continuïteitsmanagement een onderwerp is dat betrekking heeft op de hele organisatie.
Op de vraag of de verantwoordelijkheid voor
business continuity aanwijsbaar is belegd binnen
de organisatie geeft maar liefst 93% van de respondenten een positief antwoord (figuur 3). In
het onderzoek uit 2012 was dit percentage 79%.
Het lijkt erop dat het bewustzijn rond business
continuity is gestegen. Twee van de drie respondenten geeft aan dat de verantwoordelijkheid bij
meer dan één verantwoordelijke is belegd.
Gemiddeld worden hier bijna drie verantwoordelijke functies of afdelingen genoemd, het maximum
aantal genoemde verantwoordelijken is zes.
Er is een klein verschil zichtbaar tussen grote en
kleine organisaties. Kleinere organisaties hebben
de verantwoordelijkheid wat vaker bij slechts één
verantwoordelijke belegd dan grotere.
Opvallend is dat er bij 93% van de organisaties wel
een verantwoordelijke is aangewezen maar dat er
slechts in 62% van de organisaties een business
continuity plan aanwezig is. Dit zou betekenen
dat er veel verantwoordelijken zijn die zonder vastomlijnd plan hun verantwoordelijkheid vormgeven.
Mogelijk staat het onderwerp op de agenda en is
de verantwoordelijkheid belegd maar is de aanpak
niet concreet gemaakt.
De verantwoordelijkheid voor de continuïteit ligt
voornamelijk bij de directie volgens de respondenten. Daarna worden de operationeel managers het
vaakst genoemd. Hiermee ligt de verantwoordelijkheid voornamelijk in de ‘lijn’. Dit lijkt de juiste
plaats voor de verantwoordelijkheid voor risico’s in
het algemeen, zo ook voor risico’s gerelateerd aan
de continuïteit van de organisaties.
Binnen de branches telecom/datacenters/ICT,
farmacie, (petro)chemie, energie, industriële
productie en transport & logistiek, traditioneel
In 62% van de organisaties
wordt de directie verant
woordelijk geacht voor
business continuity.
In 2012 was dit 41%.
branches waar veel aandacht is voor continuïteitsmanagement, wordt een specifieke business
continuity manager net zo vaak genoemd als
de eindverantwoordelijke directie. Binnen deze
branches wordt business continuity vaker gezien
als een belangrijke functie met specifieke expertise.
Opvallend is verder dat binnen de gezondheidszorg, onderwijs en industriële productie de
facilitair manager meer dan gemiddeld wordt genoemd. Dit lijkt te duiden op het feit dat in deze
branches de fysieke locatie en faciliteiten een meer
dan gemiddelde rol spelen bij de continuïteit van
de organisatie.
Security en safety managers worden in alle branches
genoemd als medeverantwoordelijk voor
continuïteitsmanagement. Zij spelen daarin blijkbaar
een belangrijke rol. Een meer algemene risico
manager wordt maar in één op de zes gevallen
genoemd. Dit sluit aan op eerder onderzoek van
Accenture waarin de opkomst van een Corporate
Risk Officer (CRO) wordt voorspeld. Uit dit onderzoek bleek dat een vergelijkbaar percentage van de,
voornamelijk grotere, organisaties een dergelijke
functie heeft gecreëerd (Accenture 2011).
Vraag
Antwoord opties
%
Is er binnen uw organisatie iemand aanwijsbaar
verantwoordelijk voor business continuity?
Ja, meerdere verantwoordelijken
67%
Ja, één verantwoordelijke
26%
Nee
7%
Figuur 3: Aantal verantwoordelijken voor business continuity.
12
november 2014
De status van Business Continuity Management in Nederland
Vraag
Antwoord opties
%
Welke van de onderstaande afdeling(en) is
verantwoordelijk voor de Business Continuïty
van uw organisatie?
Directie
63%
Operationeel Manager
32%
Security/Safety Manager
29%
Facilitair Manager
27%
Informatie (beveiliging)/ICT Manager
26%
Business Continuïty Managers
21%
Gebouwbeheerder
18%
Risico Manager
15%
Hoofd bedrijfshulpverlening
15%
QA/QC, KAM of Kwaliteits Manager
15%
Controller
11%
Hoofd Communicatie
7%
Anders, namelijk
4%
Figuur 4: B
ij welke functie of afdeling is de verantwoordelijkheid voor business continuity binnen
organisaties belegd?
november 2014
13
De status van Business Continuity Management in Nederland
6
Business continuity:
risico’s, maatregelen en kansen
Ten opzichte van het onderzoek uit 2012 heeft er met betrekking tot de focus van business
continuity activiteiten een aardverschuiving plaatsgevonden. Het beschermen van informatie en informatiesystemen wordt nu veruit als belangrijkste focus gezien. Met betrekking
tot informatie over risico’s worden experts en de overheid nog steeds als belangrijkste
bronnen van informatie gezien. Meer organisaties dan in 2012 hebben inzicht in mogelijke
schade van verstoringen.
Risico’s
Business continuity is het proces dat de gevolgen
van verstoringen zo veel mogelijk tracht te beperken. De vraag waar de aandacht van organisaties
zich met betrekking tot continuïteitsmanagement
op richt geeft daarmee aan waar de grootste risico’s voor organisaties zich bevinden. Ten opzichte
van het onderzoek uit 2012 hebben zich hier enorme verschuivingen voor gedaan. In 2012 werd het
beschermen van het productieproces het meeste
genoemd. Dit jaar is dat het beschermen van informatie en informatiesystemen (72%, figuur 5). In
2012 werd het beschermen van informatie en
informatiesystemen slechts door 2% van de respondenten genoemd. Informatiebeveiliging neemt
een steeds belangrijker plaats in binnen organisaties. Onderzoeksbureau Gartner ziet de opkomst
van een ‘Digital Risk Officer’ die op ‘C’ niveau gaat
opereren (Gartner 2014).
De volgorde van de overige doelen is gelijk aan de
uitkomsten van het vorige onderzoek. Er is geen
noemenswaardig verschil in de beantwoording tussen grotere en kleinere organisaties.
Dit jaar is de antwoordmogelijkheid ‘het voorkomen van compliance/juridische verstoringen’ voor
Vraag
Als focus van de business
continuity activiteiten
wordt het beschermen van
informatie en informatiesystemen veruit het meeste
genoemd.
het eerst opgenomen. Dit wordt door éénderde
van de respondenten genoemd als mogelijk focus
gebied. Vanwege incidenten zoals de brand bij
Chemie Pack is het toezicht van de overheid niet
alleen verscherpt maar wordt er ook eerder opgetreden bij onvolkomenheden. Het stilleggen van de
werkzaamheden bij de tankterminal van Odfjell is
hier een direct gevolg van. Het ligt in de verwachting dat zich vaker dit soort maatregelen van controlerende instanties zullen voordoen. Uit de global risk management study van Accenture blijkt
dat het topmanagement de juridische risico’s in de
komende jaren het meest ziet stijgen (Accenture
2013).
Antwoord opties
Waarop ligt binnen uw organisatie
Beschermen van informatie/informatiesystemen
de focus van de business continuity
Beschermen productie/operationeel proces
activiteiten?
%
72%
60%
Beschermen van imago
50%
Het voorkomen van compliance/juridische verstoringen
37%
Het beschermen van asssets
34%
Figuur 5: Focus van de business continuity activiteiten.
14
november 2014
De status van Business Continuity Management in Nederland
Stelling
Antwoord opties
%
De continuïteit van mijn organisatie is afhankelijk van
prestaties, diensten en/of voorzieningen van andere
organisaties
Helemaal eens
15%
Eens
52%
Niet eens / niet oneens
21%
Oneens
11%
Helemaal oneens
1%
Figuur 6: Afhankelijkheid van andere organisaties.
Zijn organisaties goed op de hoogte van de risico’s
die ze lopen? 70% van de organisaties vindt van
wel (dit was 65% in 2012). Van de overige respondenten vindt 12% van niet en 18% weet het niet.
Hoewel de maatschappij steeds complexer wordt
en de afhankelijkheden toenemen, denken de respondenten nog steeds in een grote meerderheid
dat ze goed op de hoogte zijn van de risico’s die ze
lopen. Dit is opmerkelijk, in de
Technologieverkenning Nationale Veiligheid wordt
juist gewaarschuwd voor ‘van te voren onbekende’
consequenties (Technologieverkenning Nationale
Veiligheid, RIVM, 2014).
67% van de organisaties is voor hun continuïteit
afhankelijk van andere organisaties (zie figuur 6).
Hoewel dit een ruime meerderheid is lijkt dit percentage in het licht van de eerder beschreven
maatschappelijke ontwikkelingen toch aan de lage
kant.
De afhankelijkheden van andere organisaties verhogen de complexiteit en verlagen het inzicht in risico’s. Toch vindt, zoals eerder gemeld, 70% van de
respondenten dat ze goed op de hoogte is van de
risico’s die ze lopen. Dit is een verrassende en verontrustende uitkomst, immers niet beseffen dat je
risico’s niet kent, de zogenaamde ‘unknown unknowns’ (Rumsfeld 2002) kan leiden tot een vals
gevoel van veiligheid.
Door de eerder beschreven veranderingen in de
maatschappij, toenemende connectiviteit en afhankelijkheden worden risico´s lastiger te herken-
nen en te beheersen. Maken deze ontwikkelingen
het beschermen van de continuïteit van organisaties complexer? Een ruime meerderheid van de respondenten denkt van wel. Hierbij valt op dat grotere organisaties deze complexiteit meer zien dan
kleinere organisaties. Het percentage respondenten dat denkt dat het beschermen van de continuïteit eenvoudiger wordt is bij kleinere organisaties
zelfs twee maal zo hoog als bij van grotere organisaties (figuur 7).
De respondenten noemen voor de informatie over
hun risico’s als belangrijkste informatiebronnen
wederom (externe) experts en de overheid.
Brancheverenigingen staan deze keer op de derde
plaats en worden als informatiebron aanmerkelijk
belangrijker gevonden dan twee jaar geleden.
Tussen grotere en kleinere organisaties zijn duidelijke verschillen zichtbaar bij de informatiebronnen
leveranciers en vakmedia (figuur 8).
Maatregelen
Met betrekking tot de meer gebouwgebonden
technische beschermingsmaatregelen hebben we
de respondenten wederom gevraagd het belang
van de verschillende maatregelen aan te geven.
Niet onverwacht wordt IT security weer gezien als
belangrijkste technische beschermingsmaatregel.
89% van de respondenten geeft aan dat dit belangrijk tot heel erg belangrijk is (figuur 9). Dit was
in 2012 nog 92%.
Stelling
Antwoord opties
Ontwikkelingen in de hedendaagse
maatschappij maken het beschermen
van de continuïteit van mijn
organisatie:
totaal
klein*
groot*
Eenvoudiger
12%
18%
8%
Complexer
70%
62%
75%
Niet eenvoudiger, niet complexer
18%
20%
17%
Figuur 7: Invloed van de ontwikkelingen in de maatschappij op business continuity.
* klein: organisaties < 1000 medewerkers; groot: organisaties > 1000 medewerkers.
november 2014
15
De status van Business Continuity Management in Nederland
Vraag
Antwoord opties
Klein
Groot
2012
Waar moet volgens u de benodigde
informatie vandaan komen om de
veranderende risico‘s in uw branche in
te kunnen schatten?
Experts
62%
65%
65%
Overheid
44%
56%
53%
Branchevereniging
47%
46%
5%
Training
32%
42%
31%
Leveranciers
26%
44%
51%
Vakmedia
44%
23%
–
Eigen (interne) kennis
12%
8%
7%
3%
25%
3%
Anders
Figuur 8: Informatiebronnen voor veranderende risico’s in de branche.
In dit onderzoek is IT security gesplitst in IT in kantooromgeving en IT in de vorm van proces control
systemen (SCADA). De laatste jaren zien we een
toenemend bewustzijn voor de kwetsbaarheid van
proces control systemen. Proces control systemen
bestaan in vele vormen, toepassingen en omvang.
Van de besturing van bijvoorbeeld automatische
deuren tot aan complete procesbesturingen van
productieprocessen. Vele organisaties verkeren in
de veronderstelling dat ze geen proces control systemen binnen hun organisatie hebben. Dit is echter een misvatting. Als voorbeeld kan de klimaaten temperatuurregeling van dataruimtes worden
aangehaald. Dit is een vorm van een proces control
systeem dat binnen vrijwel iedere organisatie aanwezig is. Het is tevens een goed voorbeeld van een
systeem dat, als het uitvalt, al na enige minuten
zal leiden tot de uitval van IT systemen. Juist de
onbekendheid van de aanwezigheid van dergelijke
16
systemen, de impact als ze uitvallen en de mate
waarin ze met het internet zijn verbonden leidt tot
ongemerkte onveiligheid. Uit de uitkomsten bij dit
onderzoek blijkt een lager bewustzijn met betrekking tot deze systemen ten opzichte van IT in kantooromgevingen. 62% van de respondenten vindt
het beschermen van proces control systemen belangrijk tot heel erg belangrijk. Er is wel een verschil zichtbaar tussen de verschillende branches.
Binnen de sectoren luchthavens, gezondheidszorg,
(petro)chemie, energie en industriële productie is
het bewustzijn voor de kwetsbaarheid en afhankelijkheid van dergelijke systemen beduidend hoger
dan het gemiddelde.
Er wordt door het Nationaal Cyber Security Centre
geconstateerd dat de aandacht van hackers en onderzoekers voor dit soort systemen toeneemt
(NCSC 2012).
november 2014
ng
eni
k
erl
tie
Zak
e l ij
ke
d
Bo
14%
20%
–
50%
25%
33%
50%
43%
22%
57%
–
–
14%
–
50%
50%
25%
33%
–
28%
33%
–
–
–
–
–
20%
50%
–
–
–
–
29%
34%
–
–
16%
–
–
20%
–
–
25%
–
–
–
11%
–
72%
60%
–
50%
50%
67% 100%
29%
34%
27%
–
Onbelangrijk
12%
5%
–
–
–
Ge
Niet belangrijk/niet onbelangrijk
–
Pha
100%
On
–
Tel
e
28%
uw
Tra
n
spo
rt e
ien
n lo
stv
gis
nv
ee
o rd
Op
enb
a re
le p
trië
67% 100%
Belangrijk
ust
Ind
e
–
rg i
Ene
–
–
Pet
50%
17%
zon
De
fen
s
ie
em
eili
ie
uct
rod
hem
ie/c
szo
dh
roc
h
e
34%
43%
–
rm
25%
der
–
28% 100%
Luc
aci
w ij
s
/da
com
s
–
Ha
ve n
40%
Heel erg belangrijk
Heel erg onbelangrijk
eid
t ac
s
ave
n
h th
al
72%
Klimaatbeheersing
Tot
a
Antwoord per onderdeel
rg
ent
ie
ers
/IC
T
gh
eid
De status van Business Continuity Management in Nederland
Brandbeveiliging
Heel erg belangrijk
50% 100% 100%
71%
17%
Belangrijk
34%
–
–
29%
67% 100%
14%
20% 100%
50%
25%
–
–
57%
22%
Niet belangrijk/niet onbelangrijk
10%
–
–
–
–
–
14%
–
–
–
25%
33%
–
14%
22%
Onbelangrijk
4%
–
–
–
–
–
–
–
–
–
–
–
–
–
22%
Heel erg onbelangrijk
2%
–
–
–
16%
–
–
20%
–
–
–
–
–
–
–
100%
29%
22%
Toegangsbeveiliging/security
Heel erg belangrijk
31% 100% 100%
57%
17% 100%
22%
40% 100%
25%
50%
–
Belangrijk
51%
–
–
43%
67%
–
64%
60%
–
75%
–
67%
–
43%
45%
Niet belangrijk/niet onbelangrijk
12%
–
–
–
–
–
14%
–
–
–
–
33%
–
28%
–
Onbelangrijk
5%
–
–
–
–
–
–
–
–
–
50%
–
–
–
33%
Heel erg onbelangrijk
1%
–
–
–
16%
–
–
–
–
–
–
–
–
–
–
–
25%
33% 100%
57%
33%
IT in kantooromgeving
Heel erg belangrijk
37% 100% 100%
29%
33% 100%
36%
40%
–
Belangrijk
52%
–
–
71%
33%
–
50%
60%
50% 100%
50%
67%
–
43%
67%
Niet belangrijk/niet onbelangrijk
9%
–
–
–
17%
–
14%
–
50%
–
25%
–
–
–
–
Onbelangrijk
1%
–
–
–
–
–
–
–
–
–
–
–
–
–
–
Heel erg onbelangrijk
1%
–
–
–
17%
–
–
–
–
–
–
–
–
–
–
–
36%
80%
–
–
25%
33% 100%
57%
33%
50%
–
50% 100%
50%
67%
–
43%
67%
Process control systemen (SCADA)
Heel erg belangrijk
38% 100% 100%
57%
17%
Belangrijk
24%
–
–
14%
50% 100%
Niet belangrijk/niet onbelangrijk
17%
–
–
14%
17%
–
7%
–
50%
–
25%
–
–
–
–
Onbelangrijk
10%
–
–
–
–
–
7%
–
–
–
–
–
–
–
–
Heel erg onbelangrijk
11%
–
–
15%
16%
–
20%
–
–
–
–
–
–
–
–
Figuur 9: Het belang van klimaatbeheersing, brandbeveiliging, toegangsbeveiliging/security, IT in kantooromgeving
en process control systemen (SCADA) voor continuïteit per sector.
november 2014
17
De status van Business Continuity Management in Nederland
Zoals eerder aangegeven is de kennis van de mogelijke gevolgen van een verstoring essentieel voor
het nemen van maatregelen en de aandacht voor
continuïteitsmanagement (CA Technologies 2011,
CMI 2011). Vergeleken met de uitkomsten van
vorig onderzoek weten meer organisaties wat de
financiële gevolgen van een dag downtime zijn
(zie figuur 10).
Het vaststellen van de gevolgen van een verstoring
kan lastig en tijdrovend zijn maar is echter een
essentieel onderdeel in de bewustwording van
Steeds meer organisaties
hebben inzicht in mogelijke
schade, bij 17% van de
organisaties is de schade van
een dag downtime meer dan
1 mln. euro!
Vraag
Antwoord opties
2014
2012
Wat is de mogelijke schade van een dag
downtime?
1 miljoen of meer
17%
10%
100.000 - 1 miljoen
21%
12%
1.000 - 100.000,–
22%
14%
5%
12%
35%
52%
Minder dan 1.000,–
Geen idee/kan ik niet zeggen
Figuur 10: Geschatte schade van een dag downtime.
risico’s. Deze bewustwording is de eerste stap in
de richting van het nemen van maatregelen
(Needham-Bennet 2014). Daarnaast kunnen
maatregelen meer ‘risk-based’ worden ingezet
(WEF 2014). Dit betekent dat de afweging in welke maatregelen het best geïnvesteerd kan worden
beter gefundeerd kan worden genomen en beter
is afgestemd op de mogelijke risico’s die organisaties lopen.
hebben. Ook deze keer lijken de meeste organisaties, 76%, zich hiervan bewust te zijn. Slechts 7%
denkt zich niet of helemaal niet te kunnen onderscheiden met business continuity. De uitkomsten
laten vooral bij de kleinere bedrijven een verschuiving zien ten opzichte van de resultaten van het
voorgaande onderzoek. Het aantal respondenten
dat het ‘helemaal eens’ is met de stelling is met
13% gestegen (figuur 11).
Kansen
Voor een organisatie is het aantoonbaar maken
dat de continuïteit van de organisatie gewaarborgd wordt door het voeren van een actief
continuïteitsmanagement erg belangrijk. Een
organisatie kan daarmee aantrekkelijker zijn
voor (potentiële) klanten en andere stakeholders
dan organisaties die hun zaakjes minder op orde
Ruim 70% van de organisaties
denkt zich met business
continuity positief te kunnen
onderscheiden.
2014
Vraag
Antwoord opties
Business continuity is een onderwerp
waarmee mijn onderneming zich in de
beleving van onze klanten kan
onderscheiden.
2012
Klein
Groot
Klein
Groot
Helemaal eens
38%
40%
25%
37%
Eens
35%
38%
33%
37%
Eens/oneens
10%
22%
34%
21%
Oneens
9%
0%
5%
4%
Helemaal oneens
8%
0%
3%
0%
Figuur 11: Is business continuity een onderwerp waarmee een onderneming zich kan onderscheiden?
18
november 2014
De status van Business Continuity Management in Nederland
7
Welke rol speelt de overheid bij
continuïteitsmanagement?
Onze huidige maatschappij is steeds afhankelijker geworden van technologie. Deze
technologie is daarnaast steeds vaker met elkaar verbonden. Het optreden van domino
effecten, een beperkte verstoring kan een keten van verstoringen in gang zetten, wordt
daarmee een steeds realistischer reden voor zorg. Naast de vele voordelen van techno
logische ontwikkelingen zullen gevolgen van uitval van deze voorzieningen een grotere
maatschappelijke impact hebben. De overheid speelt een rol bij het voorkomen van een
maatschappelijke ontwrichting. Wat verwachten de respondenten van de overheid op het
gebied van continuïteitsmanagement?
De vraag rijst in hoeverre de overheid verantwoordelijk is voor het voortbestaan van organisaties. Over
het algemeen kan hierover gezegd worden dat de
overheid niet verantwoordelijk is voor de continuïteit
van private organisaties. De bankencrisis heeft ons
echter geleerd dat de overheid welk degelijk een verantwoordelijkheid heeft zodra continuïteitsproblemen van private organisaties kunnen leiden tot
systeemfalen en maatschappelijke ontwrichting. De
overheid heeft zich genoodzaakt gezien private banken verregaand te steunen. Als gevolg daarvan houden nationale en Europese overheden meer toezicht
op de continuïteit van de organisaties in deze sector.
Het uitvoeren van zogenaamde ‘stresstesten’ is daar
een voorbeeld van. De vraag rijst of de overheid dit
soort verregaand toezicht ook voor andere sectoren
zou moeten organiseren.
Hoe er tegen de rol en verantwoordelijkheden van
de overheid wordt aangekeken is getoetst door de
respondenten een vijftal stellingen voor te leggen.
Stelling 1:
De overheid zou via regelgeving alle organi
saties dienen te verplichten continuïteit te
waarborgen.
Over het algemeen vinden de respondenten niet dat
de overheid zich met de continuïteit van alle organisaties dient te bemoeien. Circa éénderde van de
respondenten is het met de stelling eens. Van de
overigen staat circa éénderde neutraal ten opzichte
van de stelling en éénderde is het oneens met deze
stelling. Er is geen verschil zichtbaar tussen grote en
kleinere organisaties. Voornamelijk eens met deze
stelling zijn de sectoren gezondheidszorg, (petro)
chemie, defensie en energie.
november 2014
Ruim 70% wil dat de overheid
organisaties uit segmenten
van de vitale infrastructuur
verplicht de continuïteit te
waarborgen.
Stelling 2:
De overheid zou alleen organisaties binnen
specifieke segmenten (zoals vitale infra
structuur) moeten verplichten om de
continuïteit te waarborgen.
De overheid heeft de vitale sectoren gedefinieerd
als sectoren waar bij uitval kan leiden tot maatschappelijke ontwrichting. Hierbij wordt gesproken
over potentieel veel slachtoffers en economische
schade. Door onder andere de in de afgelopen
decennia doorgevoerde liberalisering heeft de
overheid nog maar circa 20% van de vitale infrastructuur in handen. 80% is in handen van bedrijven. Het waarborgen van de nationale veiligheid
vergt dus een nauwe samenwerking tussen de
overheid en deze bedrijven (Ministerie van binnenlandse zaken en koninkrijksrelaties 2010).
Maar liefst 73% van de respondenten is het met
deze stelling eens. Men ziet hier een duidelijke rol
voor de overheid weggelegd. Ook de organisaties
uit de vitale sectoren zelf zijn het met deze stelling
eens. 16% van de respondenten staat neutraal
tegenover deze stelling en slechts 11% is er tegen.
19
De status van Business Continuity Management in Nederland
Stelling 3: De overheid zou verantwoorde
lijk moeten zijn voor het beschermen
van de continuïteit van organisaties in
de (vitale) infrastructuur, zoals energie
bedrijven.
Deze stelling gaat nog iets verder: de overheid
dient de continuïteit van de vitale sectoren niet
alleen door regels af te dwingen, de overheid zou
zelfs de verantwoordelijkheid moeten dragen. In
de neoliberale traditie van de afgelopen decennia
zijn juist vele organisaties geprivatiseerd met het
idee dat de markt in staat is de dienstverlening
efficiënter en effectiever uit te voeren. De verantwoordelijkheid voor de continuïteit van deze
organisaties en daarmee de continuïteit van
(vitale)dienstverlening is daarmee verlegd naar
de private sector.
62% van de respondenten is het eens met de
stelling en is daarmee tegen de overdracht van
deze verantwoordelijkheden. Ze lijken zich daarmee te keren tegen de privatisering. Slechts 18%
is het oneens met de stelling en 20% staat er
neutraal tegen over.
Stelling 4: Toezicht van de overheid op de
continuïteit van organisaties is niet nodig
(is niet de verantwoordelijkheid van de
overheid).
“Toezicht is het verzamelen van informatie over
de vraag of een handeling of zaak voldoet aan
de daaraan gestelde eisen, het zich daarna
vormen van een oordeel daarover en het even
tueel naar aanleiding daarvan interveniëren.”
(Ministerie van Binnenlandse Zaken en
Koninkrijksrelaties 1998).
Deze definitie van het Ministerie van Binnenlandse
Zaken en Koninkrijksrelaties geeft aan dat voor
toezicht allereerst ‘gestelde eisen’ aanwezig
moeten zijn om te kunnen toetsen. Uit de beantwoording van de eerste twee stellingen is duidelijk
gebleken dat er over het algemeen geen, maar
voor specifieke (vitale) sectoren duidelijk wel
regelgeving gewenst is.
Stelling 5: Toezicht van de overheid op de
continuïteit van organisaties is voldoende.
Van de respondenten is 36% het eens met deze
stelling en vindt daarmee dat de overheid voldoende toezicht houdt. Met name de respondenten uit
de sectoren telecom/data/ICT, gezondheidszorg en
de (petro)chemie zijn het overwegend met deze
stelling eens. 43% staat neutraal tegenover deze
stelling en 21% is het oneens. Slechts één op
de vijf respondenten vindt het huidige toezicht
onvoldoende. Voornamelijk de respondenten uit
de energiesector zijn het oneens met de stelling en
vinden het huidige toezicht onvoldoende.
Waar bij de beantwoording van overige stellingen
geen significante verschillen tussen kleinere en
grotere organisaties is geconstateerd, is dat bij
deze stelling wel het geval. Vooral de kleinere
organisaties vinden het toezicht vaker onvoldoende
dan de grotere organisaties. 32% van de kleinere
organisaties is het oneens of helemaal oneens met
de stelling. Bij grotere organisaties bedraagt dit
percentage slechts 12%. Wellicht komt dit omdat
kleinere organisaties minder vaak geconfronteerd
worden met toezicht.
Over het algemeen kan geconcludeerd worden
dat een grote meerderheid van de respondenten
regelgeving voor specifieke, vitale, sectoren noodzakelijk vindt. Ook de vitale sectoren zelf vinden
dat. Opvallend is dat er geen behoefte is aan extra
toezicht. Het huidige toezicht wordt door een
minderheid als onvoldoende beschouwd. De overheid wordt ook gezien als een belangrijke bron van
informatie met betrekking tot risico’s. De respondenten lijken met deze uitkomsten te vragen om
een duidelijke richting en sturing door de overheid.
Extra controle door diezelfde overheid wordt echter
niet noodzakelijk geacht.
Enigszins verrassend geeft maar een beperkt deel
van de respondenten als reactie op deze stelling
aan toezicht nodig is. Vond 73% van de respondenten regelgeving voor vitale sectoren noodzakelijk,
slechts één derde vindt dat er ook toezicht op
gehouden dien te worden. Eénderde is het eens
met de stelling en vind dat toezicht van de overheid niet nodig is.
20
november 2014
De status van Business Continuity Management in Nederland
8
Onderzoeksverantwoording
Dit onderzoek is uitgevoerd door Siemens Building Technologies. Het is eerder
uitgevoerd in 2012. Het doel van dit onderzoek is om na te gaan hoe organisaties
omgaan met continuïteitsmanagement. Door het vergelijken van de resultaten
van de twee uitgevoerde onderzoeken kan een beeld worden gegeven van de
ontwikkelingen in deze periode.
Het onderzoek is uitgevoerd door middel van een
online enquête. Deze enquête bestond uit 21
vragen en stellingen waarvan 14 identiek waren
aan het onderzoek uit 2012. De online enquête
is uitgevoerd in samenwerking met het bureau
MWM2.
Uitnodigingen tot deelname aan dit onderzoek zijn
via e-mail aankondigingen verstuurd aan 1926
Siemens relaties. Daarnaast is de uitnodiging via
social media (Linkedin, Twitter, Facebook) gedeeld.
Dit heeft geleid tot 82 volledig ingevulde enquêtes
(616 personen hebben de link geopend). Deze
respons is te laag om wetenschappelijke pretenties
aan dit onderzoek te verbinden. Het is echter
wel een weergave van de huidige status van continuïteitsmanagement.
In figuur 12 is weergegeven in welke sector of
branche de respondenten werkzaam zijn. Figuur13
geeft weer hoe groot de organisaties zijn waarin
de respondenten werkzaam zijn. Door het aantal
volledig ingevulde enquêtes zijn de resultaten van
de respondenten gebundeld in grotere organisaties
(meer dan 1000 werknemers) en kleinere organisaties (minder dan 1000 werknemers). Ten slotte
zijn in figuur 14 de functies van de respondenten
weergegeven.
Vraag
Antwoord opties
%
In welke branche bent u werkzaam?
Luchthavens
1%
Havens
1%
Telecom/ datacenters/ ICT
9%
Onderwijs
7%
Pharmacie
1%
Gezondheidszorg
17%
Petrochemie/chemie
6%
Defensie
2%
Energie
5%
Industriële productie
5%
Openbare orde en veiligheid
4%
Transport en logistiek
2%
Bouw/installatie/architectuur
9%
Adviseurs/consulting
11%
Anders
20%
Figuur 12: Verdeling van de respondenten over maatschappelijke sectoren.
november 2014
21
De status van Business Continuity Management in Nederland
Vraag
Hoeveel werknemers heeft uw
organisatie in dienst?
Klein: tot 1000 medewerkers 42%
Aantal werknemers in dienst
%
1-10
10%
11-50
9%
51-250
12%
251-500
5%
Groot: meer dan 1000 medewerkers 58% 501-1000
Meer dan 1000
6%
58%
Figuur 13: Organisatieomvang in aantal werknemers van de respondenten.
Vraag
Wat is uw functie?
Antwoord opties
%
Directie
13%
business continuity Managers
2%
Gebouwbeheerder
12%
Facilitair Manager
6%
Operationeel Manager
7%
Controller
0%
Security/ Safety Manager
12%
Risico Manager
6%
Informatie (beveiliging)/ ICT Manager
4%
Hoofd Communicatie
0%
Hoofd Bedrijfshulpverlening
1%
QA/QC, KAM of Kwaliteits Manager
3%
Anders
34%
Figuur 14: Functie van de respondenten.
Dit onderzoek is uitgevoerd door Siemens Building Technologies. Het
rapport is opgesteld door J.J. de Wit, Solution Manager Enterprise
Security.
Voor vragen, opmerkingen en discussie kunt u zich tot hem wenden via
[email protected].
Dit rapport is te downloaden via: www.siemens.nl/bcmonderzoek
Siemens Building Technologies en de onderzoekers willen alle
respondenten hartelijk danken voor de geleverde bijdrage aan dit
onderzoek. Voor iedere volledig ingevulde reactie heeft Siemens een
bedrag overgemaakt aan de stichting kinderen kankervrij (KIKA).
22
november 2014
De status van Business Continuity Management in Nederland
9
Literatuuroverzicht
Accenture (2011) Report on the Accenture 2011 Global Risk Management Study, /www.accenture.com/
sitecollectiondocuments/pdf/accenture-global-risk-management-study-2011.pdf
Accenture (2013) Accenture 2013 global risk management study, www.accenture.com/Microsites/riskmanagement-research/2013/Pages/home.aspx
Beck, U. (1992) Risk Society, Towards a new modernity, Thousand Oaks: Sage publications Ltd
CA Technologies (2011) IT downtime costs $26.5 billion in lost revenue, Information week, www.
informationweek.com
CMI (Chartered Management Institute) in association with The cabinet office, AON, BCI, BSI (2011)
Managing Threats in a dangerous world, London
Gartner (2014) ‘2015 will see emergence of digital risk’, Continuity, Q3 2014
Mensah, P., Merkuryev, Y. (2014) ‘The flow of information’, Continuity, Q3 2014
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BiZa), Commissie Holtslag (1998) De ministeriële
verantwoordelijkheid ondersteund, Den Haag
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BiZa) (2010) Informatie vitale sectoren, Den Haag
Nationaal Cyber Security Centrum, NCSC (2012) Beveiligingsrisico’s van on-line SCADA systemen, Den Haag
Needham-Bennet, C. (2014) ‘BIA-To survey or not to survey?’, Continuity, Q2 2014
NEN-ISO (2009) NEN/ISO 31000 (nl) Risicomanagement – principes en richtlijnen (ISO 31000:2009, IDT),
Delft
RIVM (2014) Technologieverkenning nationale Veiligheid, Bilthoven
Rumsfeld (2002) US Department of Defense news briefing, en.wikipedia.org/wiki/There_are_known_
knowns
Siemens (2012) Aandacht voor Business Continuity, Den Haag, www.siemens.nl/bcmonderzoek
Siemens (2013) ‘Verfrissend debat rond Veiligheid’, Dimensions, 12/2013,
www.onlinepublisher.nl/Siemens/2013/Dimensions_December.php
Vollenhoven, van, P. (2014) Duidelijkheid over de verantwoordelijkheid voor veiligheid en het functioneren
van het interne en externe toezicht, Stichting Maatschappij en Veiligheid, Den Haag
Vries, de, G. (2006) ‘Politiek, expertise en individuele verantwoordelijkheid in een risicosamenleving’, in:
Drayer, E., Gude, R., Leven in een risicosamenleving, Amsterdam: Salome
Wildring, R. (2014) ‘All pulling together’, Continuity, Q3 2014
World Economic Forum, WEF (2014a) Risk and responsibility in a hyperconnected world, Geneva
World Economic Forum, WEF (2014b) Global Risks 2014, Geneva
november 2014
23
Siemens Nederland N.V.
Building Technologies
Postbus 16068
2500 BB Den Haag
Tel. (070) 333 1236
© Siemens Nederland N.V., 2014 SBT146/112014/200/TG
Siemens Building Technologies
De wereld om ons heen verandert. Deze veranderingen
dwingen ons anders te denken: demografische veranderingen, de verstedelijking, de opwarming van de aarde,
hulpbronnen die opraken. We streven naar maximale
efficiëntie op alle fronten, dit gaat verder dan energie
alleen. Tegelijkertijd neemt de behoefte aan meer
comfort in een veilige en betrouwbare omgeving voort-
www.siemens.nl/sbt
durend toe. De uitdaging hierbij is het vinden van een
optimale balans. Dit bepaalt het succes van onze klanten.
Siemens heeft de antwoorden.
“Wij zijn uw partner, als het gaat om energieefficiënte, veilige en betrouwbare gebouwen en
infrastructuur.”

Download Report