Alain Rees · 11-07-2026 · 10 min leestijd
Bedrijfscontinuïteitsmanagement (BCM) is het managementproces waarmee je organisatie haar kritieke producten en diensten blijft leveren, ook wanneer er iets ernstig misgaat. Een goed BCM-proces inrichten betekent dat je niet alleen een plan op de plank hebt liggen, maar dat continuïteit een levend onderdeel wordt van je dagelijkse sturing. In dit artikel lees je hoe je dat stap voor stap opbouwt, welke producten en registers erbij horen, en hoe je het geheel aantoonbaar maakt onder de Cyberbeveiligingswet (Cbw).
In het kort
- BCM zorgt dat je kritieke dienstverlening op een afgesproken minimumniveau doorloopt tijdens een verstoring.
- De internationale norm is ISO 22301, opgebouwd rond een cyclus van plannen, uitvoeren, controleren en verbeteren.
- Je stuurt op drie niveaus: strategisch (richten), tactisch (inrichten) en operationeel (verrichten).
- De kern is de bedrijfsimpactanalyse (BIA), die per proces de hersteltijden RTO, RPO en MTPD oplevert, plus het minimumniveau van dienstverlening (MBCO) dat je overeind wilt houden.
- Continuïteit wordt pas aantoonbaar als je de uitkomsten beheert in registers die je actueel houdt, en niet in losse documenten.
BCM is het samenhangende geheel van beleid, analyses, plannen, voorzieningen en oefeningen dat ervoor zorgt dat je organisatie een verstoring kan opvangen. Het doel is drieledig: een verstoring opvangen, tijdens de verstoring op een aanvaardbaar minimumniveau blijven functioneren, en daarna gecontroleerd terugkeren naar de normale situatie.
De internationale norm hiervoor is ISO 22301. Die beschrijft BCM als een doorlopend proces en niet als een eenmalig project. Belangrijk om te weten is dat BCM breder is dan alleen ICT. Een verstoring kan net zo goed komen door uitval van personeel, het wegvallen van een leverancier of een onbruikbaar gebouw als door een cyberaanval.
Continuïteit is niet langer vrijblijvend. In Nederland geldt de Cyberbeveiligingswet (Cbw), de nationale uitwerking van de Europese NIS2-richtlijn. NIS2 zelf richt zich tot de lidstaten en geldt niet rechtstreeks voor Nederlandse organisaties. De verplichtingen lopen via de Cbw.
De Cbw legt een zorgplicht op: je moet passende maatregelen treffen voor de continuïteit van je dienstverlening en voor het beheersen van je risico's. De eindverantwoordelijkheid ligt bij het bestuur, met persoonlijke aansprakelijkheid als sluitstuk. Een werkend BCM-proces is precies het bewijsmateriaal dat een toezichthouder wil zien. Het laat zien dat je de continuïteit niet alleen op papier hebt geregeld, maar ook beproefd en actueel houdt.
Een goed BCM-proces is op drie niveaus belegd. Deze indeling geldt zowel voor het beheer in rustige tijden als voor de crisisorganisatie die je activeert tijdens een verstoring.
Op het strategische niveau ligt het eigenaarschap. Het bestuur stelt het continuïteitsbeleid vast, bepaalt de risicobereidheid en wijst de kritieke producten en diensten aan. Deze verantwoordelijkheid is niet overdraagbaar. Tijdens een crisis vormt dit niveau het beleidsteam, dat de koers, de reputatie en de juridische positie bewaakt.
Op het tactische niveau vindt het meeste vakwerk plaats. Hier voer je de analyses uit, kies je de continuïteitsstrategieën en ontwerp je de plannen en oefeningen. Tijdens een crisis stuurt dit niveau het feitelijke herstel aan en vormt het de schakel tussen bestuur en uitvoering.
Op het operationele niveau vindt de uitvoering onder druk plaats. Hier staan de concrete herstelprocedures, de bel- en escalatieschema's en de technische uitwijk. Op dit niveau leeft ook het ICT-uitwijkplan, dat de technische invulling vormt van de hersteltijden die tactisch zijn vastgesteld.
ISO 22301 bouwt BCM op als een cyclus van plannen, uitvoeren, controleren en verbeteren. Je stelt eerst de context, het beleid en de doelstellingen vast en voert de analyses uit. Vervolgens kies je strategieën, tref je voorzieningen en stel je de plannen op. Daarna beproef je die plannen met oefeningen en toets je de werking. Ten slotte verwerk je de leerpunten uit oefeningen, incidenten en evaluaties, en koppel je terug aan het bestuur.
Die laatste stap maakt het verschil tussen een dossier dat veroudert en een proces dat blijft werken. Plannen die je niet oefent, gelden als onbeproefd.
Als je een BCM-proces inricht, produceer je een aantal samenhangende documenten. Elk product beantwoordt een eigen vraag.
Het continuïteitsbeleid is het bestuurlijk vastgestelde kader. Het legt de doelstelling, de reikwijdte, de uitgangspunten en de verantwoordelijkheden vast.
De bedrijfsimpactanalyse (BIA) is de analytische kern. Per kritiek proces bepaal je hoe de impact van uitval oploopt naarmate die langer duurt, en daaruit leid je de kerngetallen af. Die kerngetallen zijn het fundament onder alle plannen:
De dreigingsanalyse vult de BIA aan. Waar de BIA naar de gevolgen van uitval kijkt, kijkt de dreigingsanalyse naar de oorzaken. Je beoordeelt scenario's zoals een gijzelingsaanval, uitval van een datacenter of het wegvallen van een kritieke leverancier op kans en impact, en bepaalt welke maatregelen nodig zijn.
De continuïteitsstrategie verbindt de analyses met de praktijk. Per proces kies je hoe je een verstoring opvangt: met redundantie, met uitwijk naar een alternatieve omgeving, met een handmatige noodprocedure, met een achtervangleverancier, of door een restrisico bewust te aanvaarden.
De continuïteitsplannen ten slotte zetten die keuzes om in concrete draaiboeken die je tijdens een verstoring volgt.
Hier zit de stap die veel organisaties overslaan. De BIA en de dreigingsanalyse zijn een momentopname. Een register is de levende tegenhanger: het houdt de actuele stand bij en vormt het bewijsmateriaal voor je zorgplicht. Een volwassen BCM-proces houdt daarom de volgende zaken doorlopend bij.
De continuïteitsrisico's zijn de doorlopende opvolger van de dreigingsanalyse. Elk verstoringsscenario staat vast met kans, impact, risicoscore, eigenaar en de status van de maatregelen. Je hoeft daarvoor geen apart register op te tuigen: in Kantyra beheer je deze risico's in het gedeelde risicoregister, herkenbaar aan de categorie Continuïteit.
De kritieke producten en diensten leg je vast met hun hersteltijden. Dit is de levende uitkomst van je BIA: welke processen kritiek zijn en binnen welke tijd ze weer moeten draaien.
De plannen en oefeningen houd je bij als twee samenhangende onderdelen: welke continuïteitsplannen er zijn en welke versie geldt, en wanneer ze voor het laatst zijn beproefd. Zo maak je aantoonbaar dat plannen niet alleen bestaan, maar ook werken.
De verbeteracties verzamel je met een eigenaar en een einddatum. Alles wat uit oefeningen, incidenten en evaluaties voortkomt, beheer je als taken die je afwikkelt.
De leveranciers leg je vast met hun beschikbaarheid en de afspraken over achtervang. Een leverancier zonder achtervang is meteen een zichtbaar continuïteitsrisico dat direct onder je zorgplicht uit de Cbw valt.
De incidenten registreer je met de werkelijke hersteltijd en de vraag of de meldplicht uit de Cbw van toepassing was.
Deze onderdelen vormen samen een kringloop. Een incident levert een verbeteractie op, een verbeteractie past een plan aan, een plan wordt getest in een oefening, en een tegenvallende oefening of een leverancier zonder achtervang verhoogt weer een risico in het risicoregister.
Een veelgestelde vraag is hoe de continuïteitsrisico's zich verhouden tot het centrale risicoregister van de organisatie. Ze lijken op elkaar, maar beantwoorden een andere vraag.
Het enterpriserisicoregister, in de traditie van ISO 31000, bevat álle risico's voor de organisatiedoelen: strategisch, financieel, personeel en meer. De vraag is: wijken we af van onze doelen, en past dat binnen onze risicobereidheid?
Een continuïteitsrisico is daarvan een gespecialiseerde deelverzameling. Het gaat uitsluitend over verstoringen van je kritieke diensten, en de vraag is: kunnen we blijven leveren, en hoe snel herstellen we? De bijbehorende hersteltijden en herstelstrategie leg je vast in de BIA en het continuïteitsplan, terwijl je het risico zelf in het risicoregister herkent aan de categorie Continuïteit.
Het belangrijkst is om de samenhang goed te beleggen. In Kantyra houd je daarom niet twee losse registers naast elkaar, maar beheer je alle risico's in één register en label je de continuïteitsrisico's met de categorie Continuïteit. Zo houd je één bestuurlijk overzicht zonder dubbeltellingen. Dat samenhangende risicomanagement is precies wat de Cbw van je vraagt.
Je kunt deze registers in Excel of in een gedeelde bibliotheek bijhouden, en als tussenstap is dat verdedigbaar zolang eigenaarschap, versiebeheer en een herzieningsritme geborgd zijn. Maar naarmate je BCM-proces volwassener wordt, loop je tegen de grenzen aan. Losse bestanden raken uit de pas, de risicoscore rekent zichzelf niet uit, en je mist de historie die je nodig hebt om je zorgplicht aan te tonen.
In een GRC-platform beheer je de registers als samenhangende overzichten binnen één omgeving. De risicoscore rekent zichzelf uit, de risicomatrix vult zich vanzelf, en elk register heeft een eigenaar, een status en een herzieningsdatum. Bovendien maken de koppelingen de kringloop zichtbaar: een oefening die niet volledig slaagt, zet Kantyra automatisch om in een verbetertaak, en een verlopen oefendatum valt meteen op.
Bij Kantyra is BCM een uitbreiding op het ISMS- en GRC-platform. Dat betekent dat je continuïteit niet los organiseert, maar bovenop de informatiebeveiliging die je al beheert. De crisisorganisatie leg je vast in de BCM-strategie en je continuïteitsrisico's beheer je in hetzelfde risicoregister als de rest van je ISMS, zodat je niet twee keer hetzelfde werk doet. Je BCM-onderdelen en je Cbw-verplichtingen komen zo samen in één omgeving.
Wat is het verschil tussen BCM en een continuïteitsplan? BCM is het managementproces als geheel, van beleid tot oefeningen. Een continuïteitsplan is één product daarbinnen: het draaiboek dat je tijdens een verstoring volgt. Je hebt beide nodig.
Wat is het verschil tussen een BCP en een DRP? Een bedrijfscontinuïteitsplan (BCP) houdt een bedrijfsproces draaiende, desnoods zonder de gebruikelijke systemen. Een ICT-uitwijkplan (DRP, Disaster Recovery Plan) herstelt de techniek. Het DRP is dus een technische invulling onder het bredere BCP.
Moet mijn organisatie voldoen aan NIS2 of aan de Cbw? In Nederland geldt uitsluitend de Cbw. NIS2 is de Europese richtlijn waarop de Cbw is gebaseerd, maar die geldt niet rechtstreeks voor Nederlandse organisaties. Je voldoet dus aan de Cbw en niet aan NIS2, en zeker niet aan allebei tegelijk.
Wat betekenen RTO en RPO? De RTO is de tijd waarbinnen een proces na een verstoring weer moet draaien. De RPO is de hoeveelheid gegevensverlies die je kunt verdragen, oftewel hoe ver je mag terugvallen op een back-up. Beide bepaal je per kritiek proces in de BIA.
Kan ik BCM met Excel doen? Voor een eenvoudige start kan dat, zolang je eigenaarschap, versiebeheer en een herzieningsritme borgt. Naarmate je proces volwassener wordt en je het aantoonbaar wilt maken onder de Cbw, is een GRC-platform met een BCM-module praktischer en betrouwbaarder.
Wil je je BCM-proces niet in losse bestanden beheren, maar in één omgeving die aansluit op je informatiebeveiliging en je Cbw-verplichtingen? Met de BCM-module van Kantyra houd je je continuïteitsplannen en oefeningen bij, reken je risicoscores automatisch uit en maak je je continuïteit aantoonbaar. Vraag een demo aan en ontdek hoe je continuïteit bovenop je bestaande ISMS inricht.
Kantyra is een Nederlands ISMS- en GRC-platform waarmee organisaties hun informatiebeveiliging, risicomanagement en continuïteit aantoonbaar beheren, in lijn met ISO 27001, ISO 22301 en de Cyberbeveiligingswet.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoRisicomanagement blijft in veel organisaties hangen in een jaarlijkse invuloefening. Dit artikel laat zien hoe strategisch, tactisch en operationeel risicomanagement samen één doorlopende besturing vormen, hoe de cyclus van ISO 27005 op het Kantyra-model past, en hoe je het register verbindt met de processen eromheen.
Michael Power noemde het moderne risicomanagement "the risk management of nothing". Wat is die kritiek precies, wat zegt het empirische onderzoek over de effectiviteit van risicomanagement, en waaraan herken je een stelsel dat alleen op papier bestaat?
Is het Kantyra-model, met Signaleren, Beoordelen, Oplossen en Aantonen, een handig adviseursmodel of staat er echt wetenschap achter? Een onderbouwde synthese van vier onderzoekslijnen: symbolische versus werkelijke beveiliging, de waarde van certificering, doorlopende controle en informatiebeveiliging in het mkb.