De coronapandemie, verstoringen in mondiale ketens, cyberaanvallen en de impact van klimaatverandering hebben aangetoond dat continuïteit van de organisatie onlosmakelijk verbonden is met die van haar omgeving. Maatschappelijke weerbaarheid en Business Continuity Management (BCM) zijn dan ook twee zijden van dezelfde medaille. Organisaties die hun eigen continuïteit willen vergroten, ontdekken dat hun weerbaarheid groeit wanneer het ecosysteem waarin ze opereren meegroeit. En omgekeerd: een bedrijf dat haar weerbaarheid op orde heeft, kan in crises bijdragen aan stabiliteit van de samenleving. Organisaties bewegen binnen hun ecosysteem: ze zijn afhankelijk van het netwerk en beïnvloeden het tegelijkertijd. Op dit moment lopen er meerdere initiatieven waarin bedrijfsleven en overheid dit verder uitwerken.

Wat bedoelen we met maatschappelijke weerbaarheid? Maatschappelijke weerbaarheid is het vermogen van een samenleving om schokken op te vangen, zich aan te passen en door te functioneren. Het gaat om het totale vermogen van een regio, sector of keten om gezamenlijke risico’s te kennen en inzicht te hebben in onderlinge afhankelijkheden, bijvoorbeeld hoe ketens zijn verweven en waar de kwetsbaarheden zitten. Daarnaast is het belangrijk voorbereid te zijn door gezamenlijk scenario’s te ontwikkelen en na te denken over redundantie, alternatieven en het delen van vaardigheden en snel te reageren bij incidenten door elkaar te waarschuwen en daar transparant in te zijn. Dit vraagt om samenwerking en vooral vertrouwen. BCM wordt daarmee een maatschappelijk instrument.

Nieuwe wetgeving

Dit jaar treden de Cyberbeveiligingswet (Cbw) en de Wet Weerbaarheid Kritieke Entiteiten (Wwke) in werking. Naar verwachting gaan ongeveer 10.000 Nederlandse bedrijven hiermee te maken krijgen. Beide wetten zijn de omzetting van EU-richtlijnen naar nationale wetgeving (NIS2 en CER), gericht op het versterken van de veiligheid, continuïteit en weerbaarheid van organisaties en de ketens waarin ze opereren.

Deze wetten gaan uit van een risicogestuurde aanpak waarin governance, informatiebeveiliging, bedrijfs- en IT-continuïteit en leveranciersmanagement belangrijke aandachtsgebieden zijn die integraal zorgdragen voor veiligheid, continuïteit en weerbaarheid. Onderdeel daarvan is incident- en crisismanagement voor een tijdige ontdekking en herkenning van mogelijke verstoringen en de impact daarvan. Deze opsomming is niet uitputtend: afhankelijk van de sector of bedrijfstak kunnen andere disciplines toegevoegd worden. In beide wetten wordt benadrukt de toeleveringsketen hierin mee te nemen, maar het blijft voor organisaties belangrijk om hun eigen rol als leverancier voor de rest van de keten niet te vergeten.

Vanuit deze wetten is het belangrijk de veiligheid, continuïteit en weerbaarheid te borgen, maar moet dit ook aangetoond kunnen worden voor die organisaties die onder de wetten gaan vallen. BCM wordt daarmee ook een compliance instrument.

Drie perspectieven die BCM ­breder inzetbaar maken

Van risicomanagement naar ­systeemdenken

Organisaties moeten risico’s niet langer zien als geïsoleerde gebeurtenissen, maar als onderdeel van de dynamiek binnen het ecosysteem. Een cyberincident kan niet alleen via de keten voor verstoring zorgen, maar ook een methode zijn om binnen te dringen. Een verstoring in de toeleveringsketen raakt de gehele keten, niet alleen het deel erna. BCM kan deze complexiteit beter inzichtelijk maken door een goede ketenanalyse: Wat gebeurt er als één leverancier uitvalt? Door gebruik te maken van netwerkmodellering: wie of wat zijn de cruciale schakels in het ecosysteem? Maar ook scenariodenken: combinaties van verstoringen in kaart brengen en deze met de ketenpartners uitwerken.

Van interne maatregelen naar ­gedeelde verantwoordelijkheid

Maatschappelijke weerbaarheid vraagt om sectorbrede samenwerking: met leveranciers, klanten, overheden, kennisinstituten en soms zelfs concurrenten. Denk aan gezamenlijke oefeningen, gedeelde crisiscommunicatieprotocollen of sectorale continuïteitsstandaarden. BCM-professionals worden daarmee ‘verbindingsofficieren’ tussen publieke en private domeinen.