3. november 2014
Inhoud
1 Voorwoord 5
2 Managementsamenvatting 6
3 Inleiding 8
4 Het belang van continuïteitsmanagement 12
5 Hoe wordt continuïteitsmanagement in organisaties vormgegeven? 13
6 Business continuity: risico’s, maatregelen en kansen 14
7 Welke rol speelt de overheid bij continuïteitsmanagement? 19
8 Onderzoeksverantwoording 21
9 Literatuuroverzicht 23
3
De status van Business Continuity Management in Nederland
4. 4 november 2014
De status van Business Continuity Management in Nederland
5. november 2014
Voorwoord
Beste Lezers,
Onze wereld verandert in een rap tempo. Megatrends zoals
demografische verandering, urbanisatie, globalisering en
klimaatverandering spelen daarbij een stuwende rol. Zowel
de groeiende wereldbevolking als de stijgende welvaart ervan
leiden tot een toenemende vraag naar grondstoffen en
energie.
Technologie speelt een zeer belangrijke rol bij het vormgeven
van een duurzame en leefbare wereld. Siemens levert al ruim
160 jaar vooruitstrevende en innovatieve technologie.
Al sinds haar ontstaan staan de uitdagingen van de toekomst
bij deze ontwikkelingen centraal.
Duurzaamheid en continuïteit zijn leidende principes binnen
de hedendaagse maatschappij en de organisaties die daarin
functioneren. Dit leidt tot een groeiende aandacht voor
continuïteitsmanagement in het algemeen en daarbinnen
voor de rol die Safety- en Security oplossingen daarbij kunnen
spelen.
Voor u ligt het rapport dat is opgesteld naar aanleiding van
het tweede onderzoek dat Siemens heeft gedaan naar de
status van Business Continuity Management in Nederland.
Het onderzoek is uitgevoerd onder het management van
gebruikers van gebouwen- en infratechnologie.
De steeds verdergaande automatisering en digitalisering van
de (ondersteuning) van het primaire proces, biedt nieuwe
mogelijkheden én creëert nieuwe kwetsbaarheden.
De aandacht voor business continuity management helpt om
de voorwaarden te scheppen waaronder uw organisatie haar
doelstellingen kan blijven realiseren, of het nu ten faveure
van de eigen stakeholders is of, zoals bij de vitale infrastructuur,
ook voor de continuïteit van de BV Nederland.
Ik wens u veel leesplezier en ga graag met u in gesprek over
de rol van technologie bij het borgen van de continuïteit van
uw faciliteiten.
Met vriendelijke groet,
Roel Aldenkamp
Manager Enterprise Security
1
5
De status van Business Continuity Management in Nederland
6. november 2014
Managementsamenvatting
De tegenwoordige maatschappij kenmerkt zich door een toenemende (technische)
verbondenheid van systemen en organisaties. Het World Economic Forum heeft het over
‘digital hyperconnectivity’. Naast vele voordelen leidt deze verbondenheid ook tot nieuwe
risico’s. Niet alleen zijn organisaties steeds afhankelijker geworden van technische
infrastructuur, het herkennen en beheersen van hun risico’s is daardoor steeds complexer
geworden. In de Technologieverkenning
Nationale Veiligheid wordt hiervoor door het RIVM
gewaarschuwd. Verstoringen kunnen door de verregaande samenhang leiden tot ‘van te
voren onbekende’ consequenties.
2
Een van de belangrijkste maatregelen voor organi-saties
om risico’s te beperken is het voeren van
continuïteitsmanagement of business continuity
management. Siemens Building Technologies
helpt haar relaties door oplossingen en diensten
te leveren die incidenten voorkomen
en beheersen
op het gebied van branddetectie, blussing en ont-ruiming,
security, klimaat- en energiebeheersing
en incident- en crisismanagement. Vanuit deze
positie doet Siemens regelmatig onderzoek naar
de behoeften van haar relaties. Dit onderzoek
naar de status van business continuity in
Nederland is daar een voorbeeld van. Met dit
onderzoek wil Siemens haar relaties informeren
en inspireren en de mogelijkheid geven om
zichzelf te vergelijken met andere organisaties.
Dit onderzoek is eerder uitgevoerd in 2012. De
resultaten van dit onderzoek worden vergeleken
met het eerder uitgevoerde onderzoek.
Continuïteitsmanagement staat nog steeds hoog
op de agenda binnen organisaties. Maar liefst 70%
van de respondenten geeft aan dat het structureel
op de agenda staat bij het hoogste management.
Dit resulteert bij 70% van de grotere organisaties
ook in de aanwezigheid van een business
continuity plan. Kleinere organisaties (minder
dan 1000 werknemers) hebben in 50% van de
gevallen een plan en blijven daarmee duidelijk
achter.
Uit de resultaten van dit jaar blijkt dat de verant-woordelijkheden
voor continuïteitsmanagement
duidelijk zijn belegd. Bij 93% van de respondenten
is dit namelijk het geval. Dit is een forse stijging
ten opzichte van het onderzoek uit 2012 waar het
percentage 79% was. De verantwoordelijkheid
voor de continuïteit wordt voornamelijk geacht
in de ‘lijn’ te liggen. De directie (63%) en het
operationele management (32%) worden door de
respondenten het meest genoemd. Ook safety en
security managers worden veel genoemd als
(mede)verantwoordelijk (29%). In tweederde van
de gevallen is de verantwoordelijkheid over meer
dan één functie verdeeld.
De beantwoording van de vraag waarop de focus
van continuïteitsmanagement ligt is wezenlijk
anders in vergelijking met de resultaten uit 2012.
In 2012 werd aangegeven dat de focus voorname-lijk
ligt op het beschermen van het productiepro-ces
en werd het beschermen van informatie en
informatiesystemen nauwelijks genoemd. Dit jaar
ligt de focus overduidelijk op het beschermen van
informatie en informatiesystemen. Deze focus
wordt door 72% van de respondenten genoemd.
Tweederde van de respondenten geeft aan dat de
continuïteit van hun organisatie afhankelijk is van
andere organisaties. 70% van de respondenten
vindt dat het beschermen van de continuïteit van
hun organisatie (daardoor) complexer geworden is.
Met betrekking tot beschermingsmaatregelen zijn
de uitkomsten vergelijkbaar met de uitkomsten uit
2012. IT security wordt het meest als belangrijk
tot zeer belangrijk genoemd (89%). In dit onder-zoek
zijn proces control of SCADA systemen voor
het eerst als aparte categorie gevraagd. 62% van
de respondenten vindt de security van dergelijke
systemen belangrijk tot zeer belangrijk. De andere
maatregelen zoals brandbeveiliging, security en
klimaatregeling worden, net als twee jaar geleden,
voornamelijk als belangrijk tot zeer belangrijk
gezien.
Een zeer belangrijk onderdeel van business
continuity is het vaststellen van de consequenties
van een mogelijke verstoring. Dit wordt Business
Impact Analyse (BIA) genoemd. In eerdere publica-ties
is vastgesteld dat als er geen inzicht is in de
impact van een verstoring er ook veelal geen
maatregelen worden genomen. Dit jaar geven
6
De status van Business Continuity Management in Nederland
7. november 2014
minder respondenten aan niet te weten wat
de impact van een dag downtime is (35%). Dit
percentage is nog steeds relatief hoog maar in
2012 was het 52%. Er lijkt zich op dit punt een
duidelijke verbetering af te tekenen.
Dit jaar heeft het onderzoek een speciale focus
gehad op de rol van de overheid bij business
continuity. De overheid wordt gezien als een
van de belangrijkste bronnen van informatie
met betrekking tot risico’s die organisaties lopen.
Er wordt daarnaast meer verwacht van de over-heid.
Maar liefst 73% van de respondenten geeft
aan dat de overheid door middel van het stellen
van normen de continuïteit van (vitale) infrastruc-tuur
dient af te dwingen. Ook respondenten uit
deze vitale sectoren zijn hier in ruime meerder-heid
voorstander van. 62% van de respondenten
vindt zelfs dat de overheid verantwoordelijk zou
moeten zijn voor de continuïteit van deze infra-structuur.
Op de vraag of de overheid voldoende toezicht
houdt, vindt slechts 21% van de respondenten
het toezicht van de overheid onvoldoende.
Wellicht is dat typisch Nederlands, de responden-ten
verwachten meer sturing door normen van de
overheid maar willen vervolgens niet te veel op de
naleving ervan worden aangesproken.
In de volgende hoofdstukken van dit rapport
worden de resultaten uitgebreid beschreven en
verbonden met maatschappelijke ontwikkelingen.
Siemens nodigt u van harte uit om dit rapport
verder te lezen en hoopt dat het een bijdrage
mag leveren aan het vergroten van uw inzicht in
continuïteitsmanagement.
Wat is BCM?
Business Continuity Management is een proces
waarmee getracht wordt de continuïteit van een
organisatie te waarborgen. Dit betekent het in
stand houden van de belangrijkste, primaire of
kritische processen.
Allereerst betekent dit dat een organisatie zich-zelf
goed moet kennen: wat zijn de belangrijkste
en/of kritische processen? Wat is de relatie met
andere interne of externe processen? Waarvan
zijn ze afhankelijk? Vervolgens kan worden be-paald
wat er gebeurt als deze verstoord worden:
Wat voor verstoringen kunnen er optreden? Hoe
groot is de kans op een verstoring? Wat kunnen
de gevolgen zijn van een verstoring?
Voordat er maatregelen en beleid kunnen worden
geformuleerd dient er een dergelijke grondige
‘Business Impact Analyse’ (BIA) plaats te vinden.
Op basis van de uitkomsten van een BIA kunnen
maatregelen worden geformuleerd op het gebied
van preventie (beperking van de kans dat een
verstoring optreedt), detectie (het tijdig detecte-ren
van een verstoring), mitigatie (het beperken
van schade) en herstel (het zo snel mogelijk her-stellen
van de processen).
Risico’s kenmerken zich door een mate van
onzekerheid, immers als iets zeker is, is het
geen risico. Wat wel zeker is aan risico’s, is dat
ze continu veranderen onder invloed van vele in-en
externe factoren en omstandigheden. Het
eenmalig vaststellen van risico’s en maatregelen
biedt daarmee maar een tijdelijke bescherming.
Business Continuity Management (BCM) is
een continu proces van het inventariseren van
bedreigingen en risico’s en het vaststellen,
implementeren en evalueren van maatregelen.
Sinds jaren geldt de British Standard 25999
als veruit meest gebruikte methodiek hiervoor
(BCI 2012, Taylor 2012). Het biedt zowel een
solide raamwerk als concrete ‘best practices’.
Sinds begin 2012 is de ISO 22301 uitgebracht
die deel 2 van de BS 25999 zal vervangen.
7
De status van Business Continuity Management in Nederland
8. november 2014
Inleiding
Risicomanagement vs Business continuity
Business continuity en risicomanagement zijn
onlosmakelijk met elkaar verbonden. Binnen een
risicomanagementproces, zoals beschreven in de
NEN 31000 (NEN_ISO 2009) zie figuur 1, worden
risico’s geïdentificeerd, geanalyseerd en gewogen.
Daarna worden maatregelen gedefinieerd om
onaanvaardbare risico’s te beperken.
Figuur 1: Risicomanagementproces conform NEN-ISO
31000 Risicomanagement – principes en richtlijnen
Business Continuity Management (BCM) is een
proces dat als een van de maatregelen wordt inge-zet
om risico’s te beperken. BCM richt zich daarbij
met name op het beperken van de gevolgen van
Het beheersen van risico’s is voor organisaties van levensbelang. Huidige maatschappelijke
ontwikkelingen maken het beheersen van risico’s enerzijds belangrijker dan ooit en ander-zijds
ook steeds complexer. Eén van de maatregelen voor het beheersen van risico’s is het
voeren van continuïteitsbeleid of business continuity Management. In 2012 heeft Siemens
hier voor het eerst een onderzoek naar gedaan (Siemens 2012). Dit rapport beschrijft de
resultaten van het tweede onderzoek en vergelijkt deze met de eerdere resultaten. Siemens
hoopt haar relaties een beeld te geven van de status van business continuity in Nederland.
De informatie uit dit rapport is bedoeld om organisaties te informeren en te inspireren en
kan gebruikt worden om het eigen organisatiebeleid te vergelijken met dat van anderen.
Vaststellen van de context
Communicatie en overleg
Monitoring en beoordeling
RISICOBEOORDELING
Risico-identificatie
Risicoanalyse
Risico-evaluatie
Risicobehandeling
3
verstoringen. Om de gevolgen van een verstoring
te kunnen beperken is het evident dat deze gevol-gen
allereerst goed in kaart gebracht moeten zijn.
Een zogenaamde Business Impact Analyse (BIA)
is daarom een belangrijk onderdeel van business
continuity. Hier ligt een direct verband met het
risicomanagement proces. Tijdens de risico
identificatie fase worden de gevolgen, de conse-quenties,
van de verschillende risico’s eveneens in
kaart gebracht.
In de hoofdstukken 4 en 5 worden de resultaten van
dit onderzoek met betrekking tot respectievelijk het
belang van continuïteitsmanagement en de wijze
waarop dit vormgegeven wordt beschreven. Hierbij
kunnen relaties worden gelegd tussen continuïteits-management
en andere organisatorische functies
die bepaalde risico’s voor organisaties behandelen.
Door de steeds veranderende omstandigheden
waarin organisaties opereren zijn zowel risicomanagement
als business continuity management
geen eenmalige acties maar doorlopende processen.
In de huidige samenleving, waarin geopolitieke,
technologische, sociologische en klimatologische
veranderingen elkaar steeds sneller opvolgen,
beïnvloeden en versterken, worden deze doorlopen-de
risicoprocessen des te belangrijker.
Verantwoording in een risicomaatschappij
De socioloog Ulrich Beck heeft in 1986 de term risico-samenleving
geïntroduceerd (Beck 1992). Hij bedoel-de
daarmee niet dat de (westerse) samenleving
onveiliger zou zijn geworden of dat we in een derge-lijke
samenleving meer risico’s lopen. Het tegendeel
8
De status van Business Continuity Management in Nederland
9. november 2014
is waar, we leven langer, gezonder, veiliger en welvarender
dan ooit. Deze levenswijze betekent echter
dat we ons veel bewuster zijn geworden van de
risico’s die we lopen. Een voorbeeld daarvan is de
vaststelling dat de Nederlandse bevolking zich onveiliger
voelt terwijl het aantal incidenten afneemt.
Dit risicobewustzijn in de samenleving leidt tot
andere verhoudingen tussen overheid, burgers
en organisaties. De veiligheidsrelatie tussen deze
partijen dient (opnieuw) gedefinieerd te worden
(Siemens 2013, Van Vollenhoven 2014). Binnen
dit onderzoek is dan ook de rol van de overheid
rond business continuity onderzocht. In hoofdstuk 7
worden de resultaten van het onderzoek met betrek-king
tot de rol van de overheid beschreven.
Daarnaast zijn we onze wereld steeds meer als
‘maakbaar’ gaan beschouwen. Vrijwel alle oorzaken
van incidenten zijn bekend of worden achteraf
bekend. ‘Domme pech’ bestaat daarmee niet meer.
Alles is een risico geworden en risico’s kunnen
worden vermeden of beheerst. Daarmee wordt
verantwoordelijkheid geïntroduceerd. Immers als
alles een risico is dat door middel van management
kan worden vermeden of beheerst is er altijd een
natuurlijk of juridisch persoon verantwoordelijk voor.
Binnen organisaties leidt dit tot steeds meer aan-dacht
voor risicomanagement (Accenture 2013).
Risicomanagement verandert van een ‘showstopper’
in een ‘business enabler’. Moderne professionals
die
zich met risicomanagement bezig houden, zoals
safety & security managers, business continuity
managers, corporate risk officers e.d., staan steeds
meer midden in de organisatie en beslissen mee
over strategische bedrijfsprocessen.
Het kennen van risico’s en risicomanagement ver-sterkt
de mogelijkheden van organisaties en biedt
kansen. Duidelijkheid en transparantie over risico’s
en de behandeling ervan is steeds meer een
vereiste in onze samenleving. Het afleggen van
verantwoordelijkheid en compliancy nemen aan
belang toe en staan hoog op de agenda binnen de
meeste organisaties. In hoofdstuk 6 is beschreven
hoe de respondenten in dit onderzoek hun kennis
van risico’s beoordelen en hoe ze aan deze kennis
komen.
Risico’s in een ‘hyperconnected’ samenleving
Zoals ook al in het Siemens rapport uit 2012 beschre-ven
zijn personen, organisaties en overheden
in toe-nemende
mate met elkaar verbonden en van elkaar
afhankelijk. Deze ontwikkeling zet zich versneld voort.
Naast vele voordelen van deze ‘hyperconnectiviteit’
levert dat ook risico’s op:
“Vitale processen en systemen raken steeds meer
verknoopt, zowel onderling als met niet-vitale
processen en systemen. De systeemsamenhang
wordt complex. Eén kleine verstoring kan verstrek-kende
– van te voren onbekende – consequenties
hebben, die in vele andere systemen doorwerken.”
(Technologieverkenning Nationale Veiligheid,
RIVM, 2014)
Het World Economic Forum noemt deze ontwikke-ling
‘digital hyperconnectivity’. Waar digitalisering
van processen oorspronkelijk is gestart om de
efficiency van bestaande processen te verhogen
zijn we er inmiddels totaal afhankelijk van geworden
(WEF 2014a).
9
De status van Business Continuity Management in Nederland
10. november 2014
Een voorbeeld van deze afhankelijkheid is bijvoorbeeld
een fysieke ‘supply chain’. Zonder de
bijbehorende ‘data flow chain’ stopt deze fysieke
keten (Mensah, Merkuryev 2014, Wildring 2014).
In dit onderzoek hebben we de respondenten
gevraagd naar de afhankelijkheid van hun organi-satie
van anderen. In hoeverre is het voortbestaan
van organisaties, de continuïteit, afhankelijk van
anderen? De antwoorden op deze vraag zijn
opgenomen in hoofdstuk 6.
Het Siemens onderzoek
Siemens Building Technologies is wereldwijd een
van de grootste leveranciers op het gebied van
systemen, oplossingen en diensten op het gebied
van fysieke veiligheid, comfort en energiemanage-ment.
Het beheersen van risico’s bij haar relaties
door het juist inzetten van technologie en diensten
ziet Siemens Building Technologies als haar kern-taak.
Door de vele veranderingen in de maatschappij
en de invloeden daarvan op organisaties wordt
de portfolio van Siemens continu aangepast en
ontwikkeld. Siemens richt zich daarbij op langdurige
relaties met haar afnemers en stelt zich
meer en meer op als ‘trusted partner’ in plaats van
leverancier. Binnen deze rol neemt het informeren,
adviseren en prikkelen een belangrijke positie in.
Naast het leveren, implementeren en langdurig
in stand houden van brandbeveiligingssystemen,
security oplossingen, incident & crisismanagement
systemen, klimaatregelingen en energiemanage-ment
levert Siemens een belangrijke bijdrage in
maatschappelijke ontwikkelingen
en debat. In dit
kader heeft Siemens het onderzoek naar business
continuity herhaald.
Siemens hoopt dat de inhoud van dit rapport
kan bijdragen in het verhogen van kennis en
bewustzijn en het daadwerkelijk beheersen van
(continuïteits)risico’s. Siemens staat open voor
discussie, vragen en commentaar. Daarnaast
kan Siemens assisteren bij het invullen van conti-nuïteitsmanagement
binnen organisaties door het
bieden van advies, (crisismanagement)
trainingen
en het implementeren van business continuity
oplossingen.
10
De status van Business Continuity Management in Nederland
11. november 2014
Het belang van continuïteitsmanagement
De uitkomsten van het onderzoek uit 2012 lieten een duidelijke relatie zien tussen de
omvang van een organisatie (in aantal medewerkers) en de aandacht voor continuïteitsmanagement.
Dit jaar zijn de verschillen kleiner, de aandacht binnen kleinere organisaties
is duidelijk gestegen.
Continuïteitsmanagement staat duidelijk in de be-langstelling
van het topmanagement. Voor vrijwel
alle organisaties is het voortbestaan gedurende
langere tijd een van de hoofddoelen. Het is daar-om
geen verrassing dat continuïteitsmanagement,
aandacht voor risico’s die de continuïteit mogelijk
in gevaar brengen, de aandacht heeft. Slechts
bij één op de zes organisaties is dit niet het geval
(figuur 2).
Kijkend naar de totaalresultaten lijkt het erop
dat deze aandacht zich direct vertaalt in de aanwezigheid
van een business continuity plan. Hier
is echter een duidelijk onderscheid tussen kleinere
en grotere organisaties. Circa 50% van de kleinere
organisaties heeft een business continuity plan
(30% niet) tegen 70% van de grotere organisaties
(slechts 8% niet). Dit is overigens een vergelijkbaar
resultaat met het onderzoek uit 2012.
Naast de aandacht van het topmanagement en het
hebben van een plan, vinden organisaties dan dat
ze genoeg aan business continuity doen? Het ant-woord
uit dit onderzoek geeft een bijna 50/50%
verdeling te zien. Circa 50% van de respondenten
vindt dat er genoeg gedaan wordt, en de andere
50% dat ze meer zouden moeten doen.
Hier is nauwelijks verschil zichtbaar tussen grote
en kleine organisaties. Wel zijn er duidelijke verschil-len
tussen verschillende branches zichtbaar. De
branches die structureel bezig zijn met business
4
continuity zoals luchthavens, farmaceutische
industrie, (petro)chemie, industriële productie en
openbare orde en veiligheid vinden dat ze niet meer
hoeven doen dan ze al doen.
De branches die vinden dat ze meer moeten doen
bestaan uit een aantal branches die al structureel
veel aan business continuity doen zoals: energie,
havens, transport & logistiek en defensie. Zij zullen
waarschijnlijk beseffen dat ze nooit genoeg doen.
Daarnaast is er een groep branches waar de aan-dacht
voor business continuity laag is er waar
dus veel te winnen valt. De branches bouw-, en
installatiebedrijven, advies- en architectenbureaus
en onderwijs zijn hier voorbeelden van. Ondanks
het feit dat ze minder dan gemiddeld aandacht
hebben voor continuïteitsmanagement vinden
ze toch dat ze niet meer hoeven doen. Dit lijkt te
duiden op een lager bewustzijn van het belang
van continuïteitsmanagement in deze sectoren.
11
De status van Business Continuity Management in Nederland
Bij 70% van de organisaties
staat business continuity
structureel op de agenda van
het hoogste management.
Vraag Antwoord opties % klein* groot*
Staat business continuity in uw organisatie
structureel op de agenda bij overleg op het hoogste
managementniveau?
Ja 70% 65% 73%
Nee 17% 23% 12%
Weet niet 13% 12% 15%
Beschikt uw organisatie over een business
continuity Plan?
Ja 62% 50% 71%
Nee 17% 29% 8%
Weet niet 21% 21% 21%
Zou uw organisatie meer moeten doen om
business continuity te waarborgen?
Ja 54% 50% 56%
Nee 46% 50% 44%
Figuur 2: Aandacht voor business continuity.
* klein: organisaties < 1000 medewerkers; groot: organisaties > 1000 medewerkers.
12. november 2014
Hoe wordt continuïteitsmanagement
in organisaties vormgegeven?
Het is interessant om te zien hoe de verantwoordelijkheden voor business continuity
binnen organisaties zijn belegd. Opvallend is dat er een groot aantal verschillende
functies en afdelingen verantwoordelijk zijn voor business continuity. Hieruit blijkt dat
continuïteitsmanagement een onderwerp is dat betrekking heeft op de hele organisatie.
Op de vraag of de verantwoordelijkheid voor
business continuity aanwijsbaar is belegd binnen
de organisatie geeft maar liefst 93% van de res-pondenten
een positief antwoord (figuur 3). In
het onderzoek uit 2012 was dit percentage 79%.
Het lijkt erop dat het bewustzijn rond business
continuity is gestegen. Twee van de drie respon-denten
geeft aan dat de verantwoordelijkheid bij
meer dan één verantwoordelijke is belegd.
Gemiddeld worden hier bijna drie verantwoordelij-ke
functies of afdelingen genoemd, het maximum
aantal genoemde verantwoordelijken is zes.
Er is een klein verschil zichtbaar tussen grote en
kleine organisaties. Kleinere organisaties hebben
de verantwoordelijkheid wat vaker bij slechts één
verantwoordelijke belegd dan grotere.
Opvallend is dat er bij 93% van de organisaties wel
een verantwoordelijke is aangewezen maar dat er
slechts in 62% van de organisaties een business
continuity plan aanwezig is. Dit zou betekenen
dat er veel verantwoordelijken zijn die zonder vast-omlijnd
plan hun verantwoordelijkheid vormgeven.
Mogelijk staat het onderwerp op de agenda en is
de verantwoordelijkheid belegd maar is de aanpak
niet concreet gemaakt.
De verantwoordelijkheid voor de continuïteit ligt
voornamelijk bij de directie volgens de responden-ten.
Daarna worden de operationeel managers het
vaakst genoemd. Hiermee ligt de verantwoordelijk-heid
voornamelijk in de ‘lijn’. Dit lijkt de juiste
plaats voor de verantwoordelijkheid voor risico’s in
het algemeen, zo ook voor risico’s gerelateerd aan
de continuïteit van de organisaties.
Binnen de branches telecom/datacenters/ICT,
farmacie, (petro)chemie, energie, industriële
productie en transport & logistiek, traditioneel
Vraag Antwoord opties %
Is er binnen uw organisatie iemand aanwijsbaar
verantwoordelijk voor business continuity?
Ja, meerdere verantwoordelijken 67%
Ja, één verantwoordelijke 26%
Nee 7%
Figuur 3: Aantal verantwoordelijken voor business continuity.
5
branches waar veel aandacht is voor continuïteits-management,
wordt een specifieke business
continuity manager net zo vaak genoemd als
de eindverantwoordelijke directie. Binnen deze
branches wordt business continuity vaker gezien
als een belangrijke functie met specifieke expertise.
Opvallend is verder dat binnen de gezondheids-zorg,
onderwijs en industriële productie de
facilitair manager meer dan gemiddeld wordt ge-noemd.
Dit lijkt te duiden op het feit dat in deze
branches de fysieke locatie en faciliteiten een meer
dan gemiddelde rol spelen bij de continuïteit van
de organisatie.
Security en safety managers worden in alle branches
genoemd als medeverantwoordelijk voor
continuïteitsmanagement.
Zij spelen daarin blijkbaar
een belangrijke rol. Een meer algemene risicomanager
wordt maar in één op de zes gevallen
genoemd. Dit sluit aan op eerder onderzoek van
Accenture waarin de opkomst van een Corporate
Risk Officer (CRO) wordt voorspeld. Uit dit onder-zoek
bleek dat een vergelijkbaar percentage van de,
voornamelijk grotere, organisaties een dergelijke
functie heeft gecreëerd (Accenture 2011).
12
De status van Business Continuity Management in Nederland
In 62% van de organisaties
wordt de directie verantwoordelijk
geacht voor
business continuity.
In 2012 was dit 41%.
13. november 2014
Figuur 4: Bij welke functie of afdeling is de verantwoordelijkheid voor business continuity binnen
organisaties belegd?
Vraag Antwoord opties %
Welke van de onderstaande afdeling(en) is
verantwoordelijk voor de Business Continuïty
van uw organisatie?
Directie 63%
Operationeel Manager 32%
Security/Safety Manager 29%
Facilitair Manager 27%
Informatie (beveiliging)/ICT Manager 26%
Business Continuïty Managers 21%
Gebouwbeheerder 18%
Risico Manager 15%
Hoofd bedrijfshulpverlening 15%
QA/QC, KAM of Kwaliteits Manager 15%
Controller 11%
Hoofd Communicatie 7%
Anders, namelijk 4%
13
De status van Business Continuity Management in Nederland
14. 14 november 2014
De status van Business Continuity Management in Nederland
Business continuity:
risico’s, maatregelen en kansen
Ten opzichte van het onderzoek uit 2012 heeft er met betrekking tot de focus van business
continuity activiteiten een aardverschuiving plaatsgevonden. Het beschermen van informa-tie
en informatiesystemen wordt nu veruit als belangrijkste focus gezien. Met betrekking
tot informatie over risico’s worden experts en de overheid nog steeds als belangrijkste
bronnen van informatie gezien. Meer organisaties dan in 2012 hebben inzicht in mogelijke
schade van verstoringen.
Vraag Antwoord opties %
Waarop ligt binnen uw organisatie
de focus van de business continuity
activiteiten?
Beschermen van informatie/informatiesystemen 72%
Beschermen productie/operationeel proces 60%
Beschermen van imago 50%
Het voorkomen van compliance/juridische verstoringen 37%
Het beschermen van asssets 34%
Figuur 5: Focus van de business continuity activiteiten.
Als focus van de business
continuity activiteiten
wordt het beschermen van
informatie en informatie-systemen
veruit het meeste
genoemd.
6
Risico’s
Business continuity is het proces dat de gevolgen
van verstoringen zo veel mogelijk tracht te beper-ken.
De vraag waar de aandacht van organisaties
zich met betrekking tot continuïteitsmanagement
op richt geeft daarmee aan waar de grootste risi-co’s
voor organisaties zich bevinden. Ten opzichte
van het onderzoek uit 2012 hebben zich hier enor-me
verschuivingen voor gedaan. In 2012 werd het
beschermen van het productieproces het meeste
genoemd. Dit jaar is dat het beschermen van infor-matie
en informatiesystemen (72%, figuur 5). In
2012 werd het beschermen van informatie en
informatiesystemen
slechts door 2% van de res-pondenten
genoemd. Informatiebeveiliging neemt
een steeds belangrijker plaats in binnen organisa-ties.
Onderzoeksbureau Gartner ziet de opkomst
van een ‘Digital Risk Officer’ die op ‘C’ niveau gaat
opereren (Gartner 2014).
De volgorde van de overige doelen is gelijk aan de
uitkomsten van het vorige onderzoek. Er is geen
noemenswaardig verschil in de beantwoording tus-sen
grotere en kleinere organisaties.
Dit jaar is de antwoordmogelijkheid ‘het voorko-men
van compliance/juridische verstoringen’ voor
het eerst opgenomen. Dit wordt door éénderde
van de respondenten genoemd als mogelijk focus
gebied. Vanwege incidenten zoals de brand bij
Chemie Pack is het toezicht van de overheid niet
alleen verscherpt maar wordt er ook eerder opge-treden
bij onvolkomenheden. Het stilleggen van de
werkzaamheden bij de tankterminal van Odfjell is
hier een direct gevolg van. Het ligt in de verwach-ting
dat zich vaker dit soort maatregelen van con-trolerende
instanties zullen voordoen. Uit de glo-bal
risk management study van Accenture blijkt
dat het topmanagement de juridische risico’s in de
komende jaren het meest ziet stijgen (Accenture
2013).
15. november 2014 15
De status van Business Continuity Management in Nederland
Zijn organisaties goed op de hoogte van de risico’s
die ze lopen? 70% van de organisaties vindt van
wel (dit was 65% in 2012). Van de overige respon-denten
vindt 12% van niet en 18% weet het niet.
Hoewel de maatschappij steeds complexer wordt
en de afhankelijkheden toenemen, denken de res-pondenten
nog steeds in een grote meerderheid
dat ze goed op de hoogte zijn van de risico’s die ze
lopen. Dit is opmerkelijk, in de
Technologieverkenning Nationale Veiligheid wordt
juist gewaarschuwd voor ‘van te voren onbekende’
consequenties (Technologieverkenning Nationale
Veiligheid, RIVM, 2014).
67% van de organisaties is voor hun continuïteit
afhankelijk van andere organisaties (zie figuur 6).
Hoewel dit een ruime meerderheid is lijkt dit per-centage
in het licht van de eerder beschreven
maatschappelijke ontwikkelingen toch aan de lage
kant.
De afhankelijkheden van andere organisaties ver-hogen
de complexiteit en verlagen het inzicht in ri-sico’s.
Toch vindt, zoals eerder gemeld, 70% van de
respondenten dat ze goed op de hoogte is van de
risico’s die ze lopen. Dit is een verrassende en ver-ontrustende
uitkomst, immers niet beseffen dat je
risico’s niet kent, de zogenaamde ‘unknown un-knowns’
(Rumsfeld 2002) kan leiden tot een vals
gevoel van veiligheid.
Door de eerder beschreven veranderingen in de
maatschappij, toenemende connectiviteit en af-hankelijkheden
worden risico´s lastiger te herken-
Stelling Antwoord opties %
De continuïteit van mijn organisatie is afhankelijk van
prestaties, diensten en/of voorzieningen van andere
organisaties
Helemaal eens 15%
Eens 52%
Niet eens / niet oneens 21%
Oneens 11%
Helemaal oneens 1%
Figuur 6: Afhankelijkheid van andere organisaties.
Stelling Antwoord opties totaal klein* groot*
Ontwikkelingen in de hedendaagse
maatschappij maken het beschermen
van de continuïteit van mijn
organisatie:
Eenvoudiger 12% 18% 8%
Complexer 70% 62% 75%
Niet eenvoudiger, niet complexer 18% 20% 17%
Figuur 7: Invloed van de ontwikkelingen in de maatschappij op business continuity.
* klein: organisaties < 1000 medewerkers; groot: organisaties > 1000 medewerkers.
nen en te beheersen. Maken deze ontwikkelingen
het beschermen van de continuïteit van organisa-ties
complexer? Een ruime meerderheid van de res-pondenten
denkt van wel. Hierbij valt op dat grote-re
organisaties deze complexiteit meer zien dan
kleinere organisaties. Het percentage responden-ten
dat denkt dat het beschermen van de continuï-teit
eenvoudiger wordt is bij kleinere organisaties
zelfs twee maal zo hoog als bij van grotere organi-saties
(figuur 7).
De respondenten noemen voor de informatie over
hun risico’s als belangrijkste informatiebronnen
wederom (externe) experts en de overheid.
Brancheverenigingen staan deze keer op de derde
plaats en worden als informatiebron aanmerkelijk
belangrijker gevonden dan twee jaar geleden.
Tussen grotere en kleinere organisaties zijn duide-lijke
verschillen zichtbaar bij de informatiebronnen
leveranciers en vakmedia (figuur 8).
Maatregelen
Met betrekking tot de meer gebouwgebonden
technische beschermingsmaatregelen hebben we
de respondenten wederom gevraagd het belang
van de verschillende maatregelen aan te geven.
Niet onverwacht wordt IT security weer gezien als
belangrijkste technische beschermingsmaatregel.
89% van de respondenten geeft aan dat dit be-langrijk
tot heel erg belangrijk is (figuur 9). Dit was
in 2012 nog 92%.
16. 16 november 2014
De status van Business Continuity Management in Nederland
Vraag Antwoord opties Klein Groot 2012
Waar moet volgens u de benodigde
informatie vandaan komen om de
veranderende risico‘s in uw branche in
te kunnen schatten?
Experts 62% 65% 65%
Overheid 44% 56% 53%
Branchevereniging 47% 46% 5%
Training 32% 42% 31%
Leveranciers 26% 44% 51%
Vakmedia 44% 23% –
Eigen (interne) kennis 12% 8% 7%
Anders 3% 25% 3%
Figuur 8: Informatiebronnen voor veranderende risico’s in de branche.
In dit onderzoek is IT security gesplitst in IT in kan-tooromgeving
en IT in de vorm van proces control
systemen (SCADA). De laatste jaren zien we een
toenemend bewustzijn voor de kwetsbaarheid van
proces control systemen. Proces control systemen
bestaan in vele vormen, toepassingen en omvang.
Van de besturing van bijvoorbeeld automatische
deuren tot aan complete procesbesturingen van
productieprocessen. Vele organisaties verkeren in
de veronderstelling
dat ze geen proces control sys-temen
binnen hun organisatie hebben. Dit is ech-ter
een misvatting. Als voorbeeld kan de klimaat-en
temperatuurregeling van dataruimtes worden
aangehaald. Dit is een vorm van een proces control
systeem dat binnen vrijwel iedere organisatie aan-wezig
is. Het is tevens een goed voorbeeld van een
systeem dat, als het uitvalt, al na enige minuten
zal leiden tot de uitval van IT systemen. Juist de
onbekendheid van de aanwezigheid van dergelijke
systemen, de impact als ze uitvallen en de mate
waarin ze met het internet zijn verbonden leidt tot
ongemerkte onveiligheid. Uit de uitkomsten bij dit
onderzoek blijkt een lager bewustzijn met betrek-king
tot deze systemen ten opzichte van IT in kan-tooromgevingen.
62% van de respondenten vindt
het beschermen van proces control systemen be-langrijk
tot heel erg belangrijk. Er is wel een ver-schil
zichtbaar tussen de verschillende branches.
Binnen de sectoren luchthavens, gezondheidszorg,
(petro)chemie, energie en industriële productie is
het bewustzijn voor de kwetsbaarheid en afhanke-lijkheid
van dergelijke systemen beduidend hoger
dan het gemiddelde.
Er wordt door het Nationaal Cyber Security Centre
geconstateerd dat de aandacht van hackers en on-derzoekers
voor dit soort systemen toeneemt
(NCSC 2012).
18. 18 november 2014
De status van Business Continuity Management in Nederland
Zoals eerder aangegeven is de kennis van de mo-gelijke
gevolgen van een verstoring essentieel voor
het nemen van maatregelen en de aandacht voor
continuïteitsmanagement (CA Technologies 2011,
CMI 2011). Vergeleken met de uitkomsten van
vorig onderzoek weten meer organisaties wat de
financiële gevolgen van een dag downtime zijn
(zie figuur 10).
Het vaststellen van de gevolgen van een verstoring
kan lastig en tijdrovend
zijn maar is echter een
essentieel onderdeel in de bewustwording
van
Vraag Antwoord opties 2014 2012
Wat is de mogelijke schade van een dag
downtime?
1 miljoen of meer 17% 10%
100.000 - 1 miljoen 21% 12%
1.000 - 100.000,– 22% 14%
Minder dan 1.000,– 5% 12%
Geen idee/kan ik niet zeggen 35% 52%
Figuur 10: Geschatte schade van een dag downtime.
2014 2012
Vraag Antwoord opties Klein Groot Klein Groot
Business continuity is een onderwerp
waarmee mijn onderneming zich in de
beleving van onze klanten kan
onderscheiden.
Helemaal eens 38% 40% 25% 37%
Eens 35% 38% 33% 37%
Eens/oneens 10% 22% 34% 21%
Oneens 9% 0% 5% 4%
Helemaal oneens 8% 0% 3% 0%
Figuur 11: Is business continuity een onderwerp waarmee een onderneming zich kan onderscheiden?
Steeds meer organisaties
hebben inzicht in mogelijke
schade, bij 17% van de
organisaties is de schade van
een dag downtime meer dan
1 mln. euro!
Ruim 70% van de organisaties
denkt zich met business
continuity positief te kunnen
onderscheiden.
hebben. Ook deze keer lijken de meeste organisa-ties,
76%, zich hiervan bewust te zijn. Slechts 7%
denkt zich niet of helemaal niet te kunnen onder-scheiden
met business continuity. De uitkomsten
laten vooral bij de kleinere bedrijven een verschui-ving
zien ten opzichte van de resultaten van het
voorgaande onderzoek. Het aantal respondenten
dat het ‘helemaal eens’ is met de stelling is met
13% gestegen (figuur 11).
risico’s. Deze bewustwording is de eerste stap in
de richting van het nemen van maatregelen
(Needham-Bennet 2014). Daarnaast kunnen
maatregelen meer ‘risk-based’ worden ingezet
(WEF 2014). Dit betekent dat de afweging in wel-ke
maatregelen het best geïnvesteerd kan worden
beter gefundeerd kan worden genomen en beter
is afgestemd op de mogelijke risico’s die organisa-ties
lopen.
Kansen
Voor een organisatie is het aantoonbaar maken
dat de continuïteit van de organisatie gewaar-borgd
wordt door het voeren van een actief
continuïteitsmanagement erg belangrijk. Een
organisatie kan daarmee aantrekkelijker zijn
voor (potentiële) klanten en andere stakeholders
dan organisaties die hun zaakjes minder op orde
19. november 2014 19
De status van Business Continuity Management in Nederland
Welke rol speelt de overheid bij
continuïteitsmanagement?
Onze huidige maatschappij is steeds afhankelijker geworden van technologie. Deze
technologie is daarnaast steeds vaker met elkaar verbonden. Het optreden van domino
effecten, een beperkte verstoring kan een keten van verstoringen in gang zetten, wordt
daarmee een steeds realistischer reden voor zorg. Naast de vele voordelen van technologische
ontwikkelingen zullen gevolgen van uitval van deze voorzieningen een grotere
maatschappelijke impact hebben. De overheid speelt een rol bij het voorkomen van een
maatschappelijke ontwrichting. Wat verwachten de respondenten van de overheid op het
gebied van continuïteitsmanagement?
Ruim 70% wil dat de overheid
organisaties uit segmenten
van de vitale infrastructuur
verplicht de continuïteit te
waarborgen.
7
De vraag rijst in hoeverre de overheid verantwoorde-lijk
is voor het voortbestaan van organisaties. Over
het algemeen kan hierover gezegd worden dat de
overheid niet verantwoordelijk is voor de continuïteit
van private organisaties. De bankencrisis
heeft ons
echter geleerd dat de overheid welk degelijk een ver-antwoordelijkheid
heeft zodra continuïteitsproble-men
van private organisaties kunnen leiden tot
systeemfalen
en maatschappelijke
ontwrichting. De
overheid heeft zich genoodzaakt gezien private ban-ken
verregaand te steunen. Als gevolg daarvan hou-den
nationale en Europese overheden meer toezicht
op de continuïteit van de organisaties in deze sector.
Het uitvoeren van zogenaamde ‘stresstesten’ is daar
een voorbeeld van. De vraag rijst of de overheid dit
soort verregaand toezicht ook voor andere sectoren
zou moeten organiseren.
Hoe er tegen de rol en verantwoordelijkheden van
de overheid wordt aangekeken is getoetst door de
respondenten een vijftal stellingen voor te leggen.
Stelling 1:
De overheid zou via regelgeving alle organisaties
dienen te verplichten continuïteit te
waarborgen.
Over het algemeen vinden de respondenten niet dat
de overheid zich met de continuïteit van alle organi-saties
dient te bemoeien. Circa éénderde van de
respondenten is het met de stelling eens. Van de
overigen staat circa éénderde neutraal ten opzichte
van de stelling en éénderde is het oneens met deze
stelling. Er is geen verschil zichtbaar tussen grote en
kleinere organisaties. Voornamelijk eens met deze
stelling zijn de sectoren gezondheidszorg, (petro)
chemie, defensie en energie.
Stelling 2:
De overheid zou alleen organisaties binnen
specifieke segmenten (zoals vitale infrastructuur)
moeten verplichten om de
continuïteit te waarborgen.
De overheid heeft de vitale sectoren gedefinieerd
als sectoren waar bij uitval kan leiden tot maat-schappelijke
ontwrichting. Hierbij wordt gesproken
over potentieel veel slachtoffers en economische
schade. Door onder andere de in de afgelopen
decennia doorgevoerde liberalisering heeft de
overheid nog maar circa 20% van de vitale infra-structuur
in handen. 80% is in handen van bedrij-ven.
Het waarborgen van de nationale veiligheid
vergt dus een nauwe samenwerking tussen de
overheid en deze bedrijven (Ministerie van binnen-landse
zaken en koninkrijksrelaties 2010).
Maar liefst 73% van de respondenten is het met
deze stelling eens. Men ziet hier een duidelijke rol
voor de overheid weggelegd. Ook de organisaties
uit de vitale sectoren zelf zijn het met deze stelling
eens. 16% van de respondenten staat neutraal
tegenover deze stelling en slechts 11% is er tegen.
20. 20 november 2014
De status van Business Continuity Management in Nederland
Stelling 3: De overheid zou verantwoordelijk
moeten zijn voor het beschermen
van de continuïteit van organisaties in
de (vitale) infrastructuur, zoals energiebedrijven.
Deze stelling gaat nog iets verder: de overheid
dient de continuïteit van de vitale sectoren niet
alleen door regels af te dwingen, de overheid zou
zelfs de verantwoordelijkheid moeten dragen. In
de neoliberale traditie van de afgelopen decennia
zijn juist vele organisaties geprivatiseerd met het
idee dat de markt in staat is de dienstverlening
efficiënter en effectiever uit te voeren. De verant-woordelijkheid
voor de continuïteit van deze
organisaties en daarmee de continuïteit van
(vitale)dienstverlening is daarmee verlegd naar
de private sector.
62% van de respondenten is het eens met de
stelling en is daarmee tegen de overdracht van
deze verantwoordelijkheden. Ze lijken zich daar-mee
te keren tegen de privatisering. Slechts 18%
is het oneens met de stelling en 20% staat er
neutraal tegen over.
Stelling 4: Toezicht van de overheid op de
continuïteit van organisaties is niet nodig
(is niet de verantwoordelijkheid van de
overheid).
“Toezicht is het verzamelen van informatie over
de vraag of een handeling of zaak voldoet aan
de daaraan gestelde eisen, het zich daarna
vormen van een oordeel daarover en het eventueel
naar aanleiding daarvan interveniëren.”
(Ministerie van Binnenlandse Zaken en
Koninkrijksrelaties
1998).
Deze definitie van het Ministerie van Binnenlandse
Zaken en Koninkrijksrelaties geeft aan dat voor
toezicht allereerst ‘gestelde eisen’ aanwezig
moeten zijn om te kunnen toetsen. Uit de beant-woording
van de eerste twee stellingen is duidelijk
gebleken dat er over het algemeen geen, maar
voor specifieke (vitale) sectoren duidelijk wel
regelgeving gewenst is.
Enigszins verrassend geeft maar een beperkt deel
van de respondenten als reactie op deze stelling
aan toezicht nodig is. Vond 73% van de responden-ten
regelgeving voor vitale sectoren noodzakelijk,
slechts één derde vindt dat er ook toezicht op
gehouden dien te worden. Eénderde is het eens
met de stelling en vind dat toezicht van de over-heid
niet nodig is.
Stelling 5: Toezicht van de overheid op de
continuïteit van organisaties is voldoende.
Van de respondenten is 36% het eens met deze
stelling en vindt daarmee dat de overheid voldoen-de
toezicht houdt. Met name de respondenten uit
de sectoren telecom/data/ICT, gezondheidszorg en
de (petro)chemie zijn het overwegend met deze
stelling eens. 43% staat neutraal tegenover deze
stelling en 21% is het oneens. Slechts één op
de vijf respondenten vindt het huidige toezicht
onvoldoende. Voornamelijk de respondenten uit
de energiesector zijn het oneens met de stelling en
vinden het huidige toezicht onvoldoende.
Waar bij de beantwoording van overige stellingen
geen significante verschillen tussen kleinere en
grotere organisaties is geconstateerd, is dat bij
deze stelling wel het geval. Vooral de kleinere
organisaties vinden het toezicht vaker onvoldoende
dan de grotere organisaties. 32% van de kleinere
organisaties is het oneens of helemaal oneens met
de stelling. Bij grotere organisaties bedraagt dit
percentage slechts 12%. Wellicht komt dit omdat
kleinere organisaties minder vaak geconfronteerd
worden met toezicht.
Over het algemeen kan geconcludeerd worden
dat een grote meerderheid van de respondenten
regelgeving voor specifieke, vitale, sectoren nood-zakelijk
vindt. Ook de vitale sectoren zelf vinden
dat. Opvallend is dat er geen behoefte is aan extra
toezicht. Het huidige toezicht wordt door een
minderheid als onvoldoende beschouwd. De over-heid
wordt ook gezien als een belangrijke bron van
informatie met betrekking tot risico’s. De respon-denten
lijken met deze uitkomsten te vragen om
een duidelijke richting en sturing door de overheid.
Extra controle door diezelfde overheid wordt echter
niet noodzakelijk geacht.
21. november 2014
Vraag Antwoord opties %
In welke branche bent u werkzaam? Luchthavens 1%
Havens 1%
Telecom/ datacenters/ ICT 9%
Onderwijs 7%
Pharmacie 1%
Gezondheidszorg 17%
Petrochemie/chemie 6%
Defensie 2%
Energie 5%
Industriële productie 5%
Openbare orde en veiligheid 4%
Transport en logistiek 2%
Bouw/installatie/architectuur 9%
Adviseurs/consulting 11%
Anders 20%
Figuur 12: Verdeling van de respondenten over maatschappelijke sectoren.
21
De status van Business Continuity Management in Nederland
Onderzoeksverantwoording
Dit onderzoek is uitgevoerd door Siemens Building Technologies. Het is eerder
uitgevoerd in 2012. Het doel van dit onderzoek is om na te gaan hoe organisaties
omgaan met continuïteitsmanagement. Door het vergelijken van de resultaten
van de twee uitgevoerde onderzoeken kan een beeld worden gegeven van de
ontwikkelingen in deze periode.
8
Het onderzoek is uitgevoerd door middel van een
online enquête. Deze enquête bestond uit 21
vragen en stellingen waarvan 14 identiek waren
aan het onderzoek uit 2012. De online enquête
is uitgevoerd in samenwerking met het bureau
MWM2.
Uitnodigingen tot deelname aan dit onderzoek zijn
via e-mail aankondigingen verstuurd aan 1926
Siemens relaties. Daarnaast is de uitnodiging via
social media (Linkedin, Twitter, Facebook) gedeeld.
Dit heeft geleid tot 82 volledig ingevulde enquêtes
(616 personen hebben de link geopend). Deze
respons is te laag om wetenschappelijke pretenties
aan dit onderzoek te verbinden. Het is echter
wel een weergave van de huidige status van conti-nuïteitsmanagement.
In figuur 12 is weergegeven in welke sector of
branche de respondenten werkzaam zijn. Figuur13
geeft weer hoe groot de organisaties zijn waarin
de respondenten werkzaam zijn. Door het aantal
volledig ingevulde enquêtes zijn de resultaten van
de respondenten gebundeld in grotere organisaties
(meer dan 1000 werknemers) en kleinere organi-saties
(minder dan 1000 werknemers). Ten slotte
zijn in figuur 14 de functies van de respondenten
weergegeven.
22. november 2014
Dit onderzoek is uitgevoerd door Siemens Building Technologies. Het
rapport is opgesteld door J.J. de Wit, Solution Manager Enterprise
Security.
Voor vragen, opmerkingen en discussie kunt u zich tot hem wenden via
johan.de.wit@siemens.com.
Dit rapport is te downloaden via: www.siemens.nl/bcmonderzoek
Siemens Building Technologies en de onderzoekers willen alle
respondenten hartelijk danken voor de geleverde bijdrage aan dit
onderzoek. Voor iedere volledig ingevulde reactie heeft Siemens een
bedrag overgemaakt aan de stichting kinderen kankervrij (KIKA).
Vraag Antwoord opties %
Wat is uw functie?
Directie 13%
business continuity Managers 2%
Gebouwbeheerder 12%
Facilitair Manager 6%
Operationeel Manager 7%
Controller 0%
Security/ Safety Manager 12%
Risico Manager 6%
Informatie (beveiliging)/ ICT Manager 4%
Hoofd Communicatie 0%
Hoofd Bedrijfshulpverlening 1%
QA/QC, KAM of Kwaliteits Manager 3%
Anders 34%
Figuur 14: Functie van de respondenten.
22
De status van Business Continuity Management in Nederland
Vraag Aantal werknemers in dienst %
Hoeveel werknemers heeft uw
organisatie in dienst?
Klein: tot 1000 medewerkers 42%
Groot: meer dan 1000 medewerkers 58%
1-10 10%
11-50 9%
51-250 12%
251-500 5%
501-1000 6%
Meer dan 1000 58%
Figuur 13: Organisatieomvang in aantal werknemers van de respondenten.
23. november 2014
Literatuuroverzicht
Accenture (2011) Report on the Accenture 2011 Global Risk Management Study, /www.accenture.com/
sitecollectiondocuments/pdf/accenture-global-risk-management-study-2011.pdf
Accenture (2013) Accenture 2013 global risk management study, www.accenture.com/Microsites/risk-management-
research/2013/Pages/home.aspx
Beck, U. (1992) Risk Society, Towards a new modernity, Thousand Oaks: Sage publications Ltd
CA Technologies (2011) IT downtime costs $26.5 billion in lost revenue, Information week, www.
informationweek.com
CMI (Chartered Management Institute) in association with The cabinet office, AON, BCI, BSI (2011)
Managing Threats in a dangerous world, London
Gartner (2014) ‘2015 will see emergence of digital risk’, Continuity, Q3 2014
Mensah, P., Merkuryev, Y. (2014) ‘The flow of information’, Continuity, Q3 2014
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BiZa), Commissie Holtslag (1998) De ministeriële
verantwoordelijkheid ondersteund, Den Haag
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BiZa) (2010) Informatie vitale sectoren, Den Haag
Nationaal Cyber Security Centrum, NCSC (2012) Beveiligingsrisico’s van on-line SCADA systemen, Den Haag
Needham-Bennet, C. (2014) ‘BIA-To survey or not to survey?’, Continuity, Q2 2014
NEN-ISO (2009) NEN/ISO 31000 (nl) Risicomanagement – principes en richtlijnen (ISO 31000:2009, IDT),
Delft
RIVM (2014) Technologieverkenning nationale Veiligheid, Bilthoven
Rumsfeld (2002) US Department of Defense news briefing, en.wikipedia.org/wiki/There_are_known_
knowns
Siemens (2012) Aandacht voor Business Continuity, Den Haag, www.siemens.nl/bcmonderzoek
Siemens (2013) ‘Verfrissend debat rond Veiligheid’, Dimensions, 12/2013,
www.onlinepublisher.nl/Siemens/2013/Dimensions_December.php
Vollenhoven, van, P. (2014) Duidelijkheid over de verantwoordelijkheid voor veiligheid en het functioneren
van het interne en externe toezicht, Stichting Maatschappij en Veiligheid, Den Haag
Vries, de, G. (2006) ‘Politiek, expertise en individuele verantwoordelijkheid in een risicosamenleving’, in:
Drayer, E., Gude, R., Leven in een risicosamenleving, Amsterdam: Salome
Wildring, R. (2014) ‘All pulling together’, Continuity, Q3 2014
World Economic Forum, WEF (2014a) Risk and responsibility in a hyperconnected world, Geneva
World Economic Forum, WEF (2014b) Global Risks 2014, Geneva
9
23
De status van Business Continuity Management in Nederland