Kantyra Kantyra

← Alle artikelen

Algemeen

Een BCM-proces inrichten: van continuïteitsbeleid tot werkend beheer

Alain Rees · 11-07-2026 · 10 min leestijd

Bedrijfscontinuïteitsmanagement (BCM) is het managementproces waarmee je organisatie haar kritieke producten en diensten blijft leveren, ook wanneer er iets ernstig misgaat. Een goed BCM-proces inrichten betekent dat je niet alleen een plan op de plank hebt liggen, maar dat continuïteit een levend onderdeel wordt van je dagelijkse sturing. In dit artikel lees je hoe je dat stap voor stap opbouwt, welke producten en registers erbij horen, en hoe je het geheel aantoonbaar maakt onder de Cyberbeveiligingswet (Cbw).

In het kort

  • BCM zorgt dat je kritieke dienstverlening op een afgesproken minimumniveau doorloopt tijdens een verstoring.
  • De internationale norm is ISO 22301, opgebouwd rond een cyclus van plannen, uitvoeren, controleren en verbeteren.
  • Je stuurt op drie niveaus: strategisch (richten), tactisch (inrichten) en operationeel (verrichten).
  • De kern is de bedrijfsimpactanalyse (BIA), die per proces de hersteltijden RTO, RPO en MTPD oplevert, plus het minimumniveau van dienstverlening (MBCO) dat je overeind wilt houden.
  • Continuïteit wordt pas aantoonbaar als je de uitkomsten beheert in registers die je actueel houdt, en niet in losse documenten.

Wat is bedrijfscontinuïteitsmanagement (BCM)?

BCM is het samenhangende geheel van beleid, analyses, plannen, voorzieningen en oefeningen dat ervoor zorgt dat je organisatie een verstoring kan opvangen. Het doel is drieledig: een verstoring opvangen, tijdens de verstoring op een aanvaardbaar minimumniveau blijven functioneren, en daarna gecontroleerd terugkeren naar de normale situatie.

De internationale norm hiervoor is ISO 22301. Die beschrijft BCM als een doorlopend proces en niet als een eenmalig project. Belangrijk om te weten is dat BCM breder is dan alleen ICT. Een verstoring kan net zo goed komen door uitval van personeel, het wegvallen van een leverancier of een onbruikbaar gebouw als door een cyberaanval.

Waarom een BCM-proces nu urgent is: de zorgplicht uit de Cbw

Continuïteit is niet langer vrijblijvend. In Nederland geldt de Cyberbeveiligingswet (Cbw), de nationale uitwerking van de Europese NIS2-richtlijn. NIS2 zelf richt zich tot de lidstaten en geldt niet rechtstreeks voor Nederlandse organisaties. De verplichtingen lopen via de Cbw.

De Cbw legt een zorgplicht op: je moet passende maatregelen treffen voor de continuïteit van je dienstverlening en voor het beheersen van je risico's. De eindverantwoordelijkheid ligt bij het bestuur, met persoonlijke aansprakelijkheid als sluitstuk. Een werkend BCM-proces is precies het bewijsmateriaal dat een toezichthouder wil zien. Het laat zien dat je de continuïteit niet alleen op papier hebt geregeld, maar ook beproefd en actueel houdt.

De drie niveaus van BCM: strategisch, tactisch en operationeel

Een goed BCM-proces is op drie niveaus belegd. Deze indeling geldt zowel voor het beheer in rustige tijden als voor de crisisorganisatie die je activeert tijdens een verstoring.

Op het strategische niveau ligt het eigenaarschap. Het bestuur stelt het continuïteitsbeleid vast, bepaalt de risicobereidheid en wijst de kritieke producten en diensten aan. Deze verantwoordelijkheid is niet overdraagbaar. Tijdens een crisis vormt dit niveau het beleidsteam, dat de koers, de reputatie en de juridische positie bewaakt.

Op het tactische niveau vindt het meeste vakwerk plaats. Hier voer je de analyses uit, kies je de continuïteitsstrategieën en ontwerp je de plannen en oefeningen. Tijdens een crisis stuurt dit niveau het feitelijke herstel aan en vormt het de schakel tussen bestuur en uitvoering.

Op het operationele niveau vindt de uitvoering onder druk plaats. Hier staan de concrete herstelprocedures, de bel- en escalatieschema's en de technische uitwijk. Op dit niveau leeft ook het ICT-uitwijkplan, dat de technische invulling vormt van de hersteltijden die tactisch zijn vastgesteld.

Het BCM-proces als doorlopende cyclus

ISO 22301 bouwt BCM op als een cyclus van plannen, uitvoeren, controleren en verbeteren. Je stelt eerst de context, het beleid en de doelstellingen vast en voert de analyses uit. Vervolgens kies je strategieën, tref je voorzieningen en stel je de plannen op. Daarna beproef je die plannen met oefeningen en toets je de werking. Ten slotte verwerk je de leerpunten uit oefeningen, incidenten en evaluaties, en koppel je terug aan het bestuur.

Die laatste stap maakt het verschil tussen een dossier dat veroudert en een proces dat blijft werken. Plannen die je niet oefent, gelden als onbeproefd.

De kernproducten van een BCM-proces

Als je een BCM-proces inricht, produceer je een aantal samenhangende documenten. Elk product beantwoordt een eigen vraag.

Het continuïteitsbeleid is het bestuurlijk vastgestelde kader. Het legt de doelstelling, de reikwijdte, de uitgangspunten en de verantwoordelijkheden vast.

De bedrijfsimpactanalyse (BIA) is de analytische kern. Per kritiek proces bepaal je hoe de impact van uitval oploopt naarmate die langer duurt, en daaruit leid je de kerngetallen af. Die kerngetallen zijn het fundament onder alle plannen:

  • De RTO (Recovery Time Objective) is de tijd waarbinnen een proces weer moet draaien.
  • De RPO (Recovery Point Objective) is de hoeveelheid gegevensverlies die aanvaardbaar is.
  • De MTPD (Maximum Tolerable Period of Disruption) is de uiterste grens waarna de schade onomkeerbaar wordt. De RTO valt hier altijd binnen.
  • De MBCO (Minimum Business Continuity Objective) is het minimumniveau van dienstverlening dat je tijdens een verstoring overeind houdt.

De dreigingsanalyse vult de BIA aan. Waar de BIA naar de gevolgen van uitval kijkt, kijkt de dreigingsanalyse naar de oorzaken. Je beoordeelt scenario's zoals een gijzelingsaanval, uitval van een datacenter of het wegvallen van een kritieke leverancier op kans en impact, en bepaalt welke maatregelen nodig zijn.

De continuïteitsstrategie verbindt de analyses met de praktijk. Per proces kies je hoe je een verstoring opvangt: met redundantie, met uitwijk naar een alternatieve omgeving, met een handmatige noodprocedure, met een achtervangleverancier, of door een restrisico bewust te aanvaarden.

De continuïteitsplannen ten slotte zetten die keuzes om in concrete draaiboeken die je tijdens een verstoring volgt.

Van analyse naar levend beheer: de BCM-registers

Hier zit de stap die veel organisaties overslaan. De BIA en de dreigingsanalyse zijn een momentopname. Een register is de levende tegenhanger: het houdt de actuele stand bij en vormt het bewijsmateriaal voor je zorgplicht. Een volwassen BCM-proces houdt daarom de volgende zaken doorlopend bij.

De continuïteitsrisico's zijn de doorlopende opvolger van de dreigingsanalyse. Elk verstoringsscenario staat vast met kans, impact, risicoscore, eigenaar en de status van de maatregelen. Je hoeft daarvoor geen apart register op te tuigen: in Kantyra beheer je deze risico's in het gedeelde risicoregister, herkenbaar aan de categorie Continuïteit.

De kritieke producten en diensten leg je vast met hun hersteltijden. Dit is de levende uitkomst van je BIA: welke processen kritiek zijn en binnen welke tijd ze weer moeten draaien.

De plannen en oefeningen houd je bij als twee samenhangende onderdelen: welke continuïteitsplannen er zijn en welke versie geldt, en wanneer ze voor het laatst zijn beproefd. Zo maak je aantoonbaar dat plannen niet alleen bestaan, maar ook werken.

De verbeteracties verzamel je met een eigenaar en een einddatum. Alles wat uit oefeningen, incidenten en evaluaties voortkomt, beheer je als taken die je afwikkelt.

De leveranciers leg je vast met hun beschikbaarheid en de afspraken over achtervang. Een leverancier zonder achtervang is meteen een zichtbaar continuïteitsrisico dat direct onder je zorgplicht uit de Cbw valt.

De incidenten registreer je met de werkelijke hersteltijd en de vraag of de meldplicht uit de Cbw van toepassing was.

Deze onderdelen vormen samen een kringloop. Een incident levert een verbeteractie op, een verbeteractie past een plan aan, een plan wordt getest in een oefening, en een tegenvallende oefening of een leverancier zonder achtervang verhoogt weer een risico in het risicoregister.

Continuïteitsrisico of enterpriserisico?

Een veelgestelde vraag is hoe de continuïteitsrisico's zich verhouden tot het centrale risicoregister van de organisatie. Ze lijken op elkaar, maar beantwoorden een andere vraag.

Het enterpriserisicoregister, in de traditie van ISO 31000, bevat álle risico's voor de organisatiedoelen: strategisch, financieel, personeel en meer. De vraag is: wijken we af van onze doelen, en past dat binnen onze risicobereidheid?

Een continuïteitsrisico is daarvan een gespecialiseerde deelverzameling. Het gaat uitsluitend over verstoringen van je kritieke diensten, en de vraag is: kunnen we blijven leveren, en hoe snel herstellen we? De bijbehorende hersteltijden en herstelstrategie leg je vast in de BIA en het continuïteitsplan, terwijl je het risico zelf in het risicoregister herkent aan de categorie Continuïteit.

Het belangrijkst is om de samenhang goed te beleggen. In Kantyra houd je daarom niet twee losse registers naast elkaar, maar beheer je alle risico's in één register en label je de continuïteitsrisico's met de categorie Continuïteit. Zo houd je één bestuurlijk overzicht zonder dubbeltellingen. Dat samenhangende risicomanagement is precies wat de Cbw van je vraagt.

Werk je met Excel of met een GRC-platform?

Je kunt deze registers in Excel of in een gedeelde bibliotheek bijhouden, en als tussenstap is dat verdedigbaar zolang eigenaarschap, versiebeheer en een herzieningsritme geborgd zijn. Maar naarmate je BCM-proces volwassener wordt, loop je tegen de grenzen aan. Losse bestanden raken uit de pas, de risicoscore rekent zichzelf niet uit, en je mist de historie die je nodig hebt om je zorgplicht aan te tonen.

In een GRC-platform beheer je de registers als samenhangende overzichten binnen één omgeving. De risicoscore rekent zichzelf uit, de risicomatrix vult zich vanzelf, en elk register heeft een eigenaar, een status en een herzieningsdatum. Bovendien maken de koppelingen de kringloop zichtbaar: een oefening die niet volledig slaagt, zet Kantyra automatisch om in een verbetertaak, en een verlopen oefendatum valt meteen op.

Bij Kantyra is BCM een uitbreiding op het ISMS- en GRC-platform. Dat betekent dat je continuïteit niet los organiseert, maar bovenop de informatiebeveiliging die je al beheert. De crisisorganisatie leg je vast in de BCM-strategie en je continuïteitsrisico's beheer je in hetzelfde risicoregister als de rest van je ISMS, zodat je niet twee keer hetzelfde werk doet. Je BCM-onderdelen en je Cbw-verplichtingen komen zo samen in één omgeving.

Het GRC-model van Kantyra: de pijlers governance, risk en compliance met hun registers, een gedeelde basis, en de BCM-add-on die daarbovenop de registers uit de drie pijlers gebruikt en deelt

In zes stappen een BCM-proces inrichten

  1. Stel het continuïteitsbeleid vast. Laat het bestuur de doelstelling, de reikwijdte en de risicobereidheid bepalen.
  2. Wijs de kritieke producten en diensten aan. Bepaal wat onder alle omstandigheden overeind moet blijven.
  3. Voer de BIA uit. Bepaal per kritiek proces de RTO, RPO en MTPD, en het minimumniveau van dienstverlening (MBCO).
  4. Maak een dreigingsanalyse en kies je strategie. Beoordeel de scenario's en bepaal per proces hoe je een verstoring opvangt.
  5. Stel de plannen op en oefen ze. Vertaal de strategie naar draaiboeken en beproef die periodiek.
  6. Beheer alles in registers. Houd de risico's, diensten, plannen, verbeteracties, leveranciers en incidenten actueel, en koppel ze aan elkaar.

Veelgestelde vragen over BCM

Wat is het verschil tussen BCM en een continuïteitsplan? BCM is het managementproces als geheel, van beleid tot oefeningen. Een continuïteitsplan is één product daarbinnen: het draaiboek dat je tijdens een verstoring volgt. Je hebt beide nodig.

Wat is het verschil tussen een BCP en een DRP? Een bedrijfscontinuïteitsplan (BCP) houdt een bedrijfsproces draaiende, desnoods zonder de gebruikelijke systemen. Een ICT-uitwijkplan (DRP, Disaster Recovery Plan) herstelt de techniek. Het DRP is dus een technische invulling onder het bredere BCP.

Moet mijn organisatie voldoen aan NIS2 of aan de Cbw? In Nederland geldt uitsluitend de Cbw. NIS2 is de Europese richtlijn waarop de Cbw is gebaseerd, maar die geldt niet rechtstreeks voor Nederlandse organisaties. Je voldoet dus aan de Cbw en niet aan NIS2, en zeker niet aan allebei tegelijk.

Wat betekenen RTO en RPO? De RTO is de tijd waarbinnen een proces na een verstoring weer moet draaien. De RPO is de hoeveelheid gegevensverlies die je kunt verdragen, oftewel hoe ver je mag terugvallen op een back-up. Beide bepaal je per kritiek proces in de BIA.

Kan ik BCM met Excel doen? Voor een eenvoudige start kan dat, zolang je eigenaarschap, versiebeheer en een herzieningsritme borgt. Naarmate je proces volwassener wordt en je het aantoonbaar wilt maken onder de Cbw, is een GRC-platform met een BCM-module praktischer en betrouwbaarder.

Aan de slag met BCM in Kantyra

Wil je je BCM-proces niet in losse bestanden beheren, maar in één omgeving die aansluit op je informatiebeveiliging en je Cbw-verplichtingen? Met de BCM-module van Kantyra houd je je continuïteitsplannen en oefeningen bij, reken je risicoscores automatisch uit en maak je je continuïteit aantoonbaar. Vraag een demo aan en ontdek hoe je continuïteit bovenop je bestaande ISMS inricht.


Kantyra is een Nederlands ISMS- en GRC-platform waarmee organisaties hun informatiebeveiliging, risicomanagement en continuïteit aantoonbaar beheren, in lijn met ISO 27001, ISO 22301 en de Cyberbeveiligingswet.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen