BCP oefenen en testen (ISO 22301 clausule 8.5)
Oefenen en testen is een van de auditkritische eisen van ISO 22301 . Clausule 8.5 schrijft voor dat je regelmatig oefeningen uitvoert om te controleren of je continuïteitsplannen in de praktijk werken. Een ongetest bedrijfscontinuiteitsplan is voor een auditor onvoldoende bewijs. Praktische uitleg bij de norm staat in ISO 22313 , certificering verloopt via instellingen onder toezicht van de RvA .
De norm eist niet één specifieke oefenvorm. Wat telt, is dat je oefeningen uitvoert die passen bij je risico’s en dat je de uitkomsten gebruikt om je plannen te verbeteren.
Oefenvormen: van eenvoudig tot volledig
ISO 22301 kent geen vaste lijst van oefenvormen, maar in de praktijk worden vijf typen het meest gebruikt. Ze lopen op in complexiteit, kosten en realisme.
| Oefenvorm | Beschrijving | Wie doet mee? | Kosten/tijdsbeslag | Best voor |
|---|---|---|---|---|
| Document review | Doorlopen en beoordelen van plannen op volledigheid en actualiteit | BCM-team | Laag (uren) | Jaarlijkse basischeck |
| Tabletop-oefening | Scenariobespreking aan tafel, geen fysieke acties | Management + procesverantwoordelijken | Laag-middel (halve dag) | Rollen en besluitlijnen testen |
| Functionele oefening | Specifieke functies of systemen worden werkelijk ingezet | IT, facility of communicatieteam | Middel (dag) | DR-procedures, communicatieplan |
| Full-scale oefening | Realistische simulatie, vrijwel alle betrokken partijen | Alle betrokkenen + eventueel leveranciers | Hoog (dag tot meerdere dagen) | Periodieke grote test |
| Live failover-test | Werkelijk overschakelen naar uitwijksystemen of uitwijklocatie | IT + crisisteam | Hoog (technisch risico) | IT-continuïteitsplannen valideren |
Tabletop-oefening: meest gebruikt
Een tabletop-oefening is de meest toegankelijke vorm. Je bespreekt een scenario (ransomware, brand, leveranciersfaillissement) stap voor stap aan tafel. Niemand hoeft daadwerkelijk iets te doen, maar iedereen denkt hardop mee: wie neemt welke beslissing, wie communiceert wat, welke informatie hebben we nodig?
Een productiebedrijf van 80 medewerkers organiseert bijvoorbeeld een tabletop met dit scenario: “Het ERP-systeem is maandagochtend onbereikbaar door ransomware. Orderverwerking ligt stil.” De crisiscoördinator, IT-manager en twee productiemanagers zitten een halve dag aan tafel. Ze doorlopen het activatiepad, communicatiestappen en herstelprioriteiten. Uitkomst: drie gaten in het plan, die ze daarna oplossen.
Live failover-test: meest auditkritisch
Een live failover-test is de meest overtuigende bewijsvorm voor auditors. Je schakelt werkelijk over naar je uitwijkomgeving en meet de feitelijke hersteltijd. Dat is ook het risico: als het misgaat, heb je een echt incident.
Plan een live failover-test altijd buiten piekuren en met een expliciete go/no-go beslissing op basis van actuele risicoafweging. Documenteer de uitkomst én eventuele afwijkingen van je RTO.
Frequentie: hoe vaak moet je oefenen?
ISO 22301 schrijft geen vaste frequentie voor. De norm eist dat je oefeningen plant op basis van je risico’s en dat je de frequentie onderbouwt. In de praktijk hanteren de meeste organisaties deze richtlijnen:
| Oefenvorm | Minimale frequentie (indicatie) | Auditverwachting |
|---|---|---|
| Document review | Jaarlijks | Verplicht, laagste drempel |
| Tabletop-oefening | Minimaal 1x per jaar | Vrijwel altijd verwacht |
| Functionele oefening | 1-2x per jaar | Afhankelijk van scope |
| Full-scale oefening | Eens per 2-3 jaar | Voor grotere organisaties |
| Live failover-test | Minimaal 1x per jaar (IT-kritisch) | Auditkritisch bij IT-scope |
Voor NIS2-plichtige organisaties geldt dat regelmatige tests ook een expliciete NIS2-eis zijn. Meer over die koppeling lees je op ISO 22301 en NIS2.
Evaluatie: van oefening naar verbetering
Een oefening die niet leidt tot acties is een gemiste kans. ISO 22301 clausule 8.5 eist dat je oefeningen evalueert en verbeteracties aantoonbaar opvolgt. Zo werkt dat in de praktijk:
- Oefenverslag: documenteer scenario, deelnemers, tijdlijn en bevindingen.
- Bevindingen categoriseren: onderscheid tussen urgente tekortkomingen (plan werkt niet) en verbeterpunten (plan kan beter).
- Acties toewijzen: koppel elke bevinding aan een eigenaar en deadline.
- Vervolgcheck: controleer bij de volgende oefening of acties gesloten zijn.
- Management review: rapporteer oefenuitkomsten en verbeteracties aan het management.
Auditors willen het oefenverslag zien, de bevindingen, en bewijs dat acties zijn opgevolgd. Een plan dat nooit tot verbeteringen leidt, wekt weinig vertrouwen.
Veel gemaakte fouten bij het oefenen van een BCP
| Fout | Gevolg | Beter alternatief |
|---|---|---|
| Alleen papieren review, nooit scenario-oefening | Auditor accepteert het niet als volledig bewijs | Combineer document review met minimaal één tabletop per jaar |
| Oefening niet gedocumenteerd | Geen bewijs voor auditor of toezichthouder | Altijd een kort oefenverslag schrijven |
| Bevindingen niet opgelost | Dezelfde fouten keren terug | Actielijst met eigenaren en deadlines |
| Altijd hetzelfde scenario | Blinde vlekken blijven bestaan | Wissel scenario’s af: cyberincident, uitval datacentrum, personeelstekort |
| Leveranciers niet betrokken | Afhankelijkheden niet getest | Betrek kritieke leveranciers bij relevante oefeningen |
Oefeningen koppelen aan je audit
Het auditproces bij ISO 22301 toetst oefeningen als een van de kernpunten. Zorg dat je voor de audit beschikt over:
- minimaal één gedocumenteerde oefening per jaar;
- oefenverslagen met bevindingen en verbeteracties;
- bewijs dat verbeteracties zijn afgerond;
- een planning voor toekomstige oefeningen.
Meer over de auditverwachtingen lees je op de pagina het auditproces.