# Weerbaarheid: bereid je voor op verstoring

*Engels: Planning for Disruption*

De digitale weerbaarheid van een organisatie is een belangrijke factor in de bedrijfszekerheid. Die weerbaarheid bereik je enerzijds door je te beschermen tegen dreigingen, en anderzijds door de capaciteiten te bouwen waarmee je adequaat kunt reageren op incidenten en kunt herstellen van een aanval of storing. Goed beleid voor digitale weerbaarheid is een verplichting vanuit onder andere de NIS 2 en de ISO 27001 / NEN 7510.

Dit document richt zich op het plannen voor, en het herstellen van, incidenten en verstoringen. Het beschrijft de vier bouwstenen om het opbouwen van weerbaarheid planmatig aan te pakken.  Dit zijn:

- Business Impact Analyse
- Bedrijfscontinuïteitsplan
- Incident Response Plan (IRP)
- Herstelplan

Met de **Business Impact Analyse** (BIA) worden de kritische bedrijfsprocessen en hun kwetsbaarheid voor verstoringen in kaart gebracht. Hiermee wordt het belang van de verschillende systemen verduidelijkt voor de bedrijfsvoering, en kan de vertaalslag gemaakt worden naar prioriteiten voor het treffen van preventieve maatregelen (zoals noodvoorzieningen en alternatieve werkwijzen) en het uitvoeren van herstelwerkzaamheden. De BIA helpt ook om technische afdelingen en leveranciers hiervoor kaders te geven. 
De BIA is daarmee een ijkpunt voor de andere componenten (het BCP, het IRP en het HP).

Het **Bedrijfscontinuïteitsplan** (BCP) richt zich op de continuïteit van essentiële processen tijdens verstoringen. Het beschrijft hoe de bedrijfsvoering doorgang kan vinden door de inzet van mensen, middelen en techniek, inclusief de toeleveringsketen. Een BCP beschrijft bijvoorbeeld de inzet van alternatieve locaties, tijdelijk personeel, noodapparatuur en alternatieve werkwijzen.

Het **Incident Response Plan** (IRP) adresseert de directe reacties op veiligheidsincidenten en dreigingen. Het bevat een stappenplan voor het detecteren, analyseren, beheersen en elimineren van gevaren en verstoringen

De focus van het **Herstelplan** (HP) is op werkzaamheden die de normale gang van zaken weer moeten herstellen. Het gaat dan om IT systemen en technische infrastructuur (servers, databases, netwerken en software), maar ook om het weer in gang zetten van de normale bedrijfsprocessen met de normale voorzieningen.

De verschillende plannen hoeven niet noodzakelijkerwijs als separate documenten met deze titels te bestaan – zo worden de verschillende onderdelen vaak gecombineerd in een 'Uitwijk- en herstelplan' of een 'Calamiteitenplan' 

---
**Engelse termen**
 Business Impact Analyse (BIA)
 Business Continuity Plan (BCP)
 Incident Response Plan (IRP)
 Disaster Recovery Plan (DRP)


**Metrics**
Kwantificeren hoe lang systemen uit de lucht mogen zijn, voordat de impact op de bedrijfsvoering onacceptabel wordt.
- Maximum tolerable period of disruption (MTPD) – of business process
- Maximum Downtime (MTD) – of assets
- Recovery Time Objectives (RTO) – of processes; time for back to normal
- Recovery Point Objectives (RPO)  – of assets; acceptable data loss; the point in time that you wish to recover to


The BIA provides the business context and impact metrics that guide the creation of the BCP, IRP and DRP. It answers fundamental questions like "What happens to revenue if this system is down for 4 hours?" or "Which departments cannot function without this application?" This quantitative foundation ensures that technical recovery efforts align with business needs and that resources are allocated based on actual business impact rather than assumptions.
The BIA serves as a bridge between business stakeholders and technical teams, translating business requirements into actionable technical specifications across all three planning domains.