Een kleine technische storing bij Defensie zorgde in 2024 voor uitval bij de GGD, DigiD, gemeentelijke diensten en Eindhoven Airport. Al deze organisaties zijn aangesloten op het NAFIN-netwerk, een zwaarbeveiligd glasvezelnetwerk voor veeleisende gebruikers. Stuk voor stuk zijn het dan ook organisaties waar IT-storingen al snel grote gevolgen kunnen hebben. Binnen dat glasvezelnetwerk ging er iets mis met één enkele firewall. Toch hadden alle organisaties direct grote problemen.
POTENTIËLE OORZAKEN BLACK-OUT
Strict vroeg 329 strategische en tactische managers met IT-beslissingsbevoegdheid naar hun ervaringen met black-outs en de risico's van ketenafhankelijkheid. Dit zijn volgens hen de belangrijkste potentiële oorzaken voor een black-out:
- Stroomonderbreking/uitval energievoorziening: 36%
- Menselijke fouten bij beheer infrastructuur: 34%
- Onvoldoende beveiliging tegen cyberaanvallen: 33%
- Verouderde IT-systemen & softwarebugs: 26% (beide)
Dit onderzoek werd uitgevoerd van 31 maart tot 15 april 2025.
Duizenden ongeruste Nederlanders bij IT-storing
„Zo konden mensen in principe nog gewoon inloggen met DigiD, maar was alle begeleidende informatie op de pagina onzichtbaar," vertelt Kor Gerritsma, de expert die oorzaak en gevolgen van de storing namens IT-bedrijf Strict onderzocht. „Dan heb je dus direct te maken met duizenden ongeruste Nederlanders, die allemaal als de dood zijn dat er iets mis gaat met hun gevoelige gegevens. Naast de directe consequenties loop je dan ook direct de kans op enorme reputatie- en vertrouwensschade."
De functionaliteit van de DigiD-website zelf werkte nog, maar de informatie die andere partijen moesten leveren vanuit hun eigen beveiligde omgeving kon niet worden geleverd. Een klassiek 'ketenprobleem', aldus Gerritsma. „Je ziet dan dat IT-mensen de omvang van het probleem missen, omdat het buiten hun eigen IT-omgeving valt. Maar als jij een schakel bent in de keten, moet je niet alleen kunnen herstellen binnen je eigen bedrijf, maar ook snel kunnen schakelen met toeleveranciers én afnemers. Helaas zijn veel organisaties daar niet of onvoldoende op voorbereid."
Lees ook: Van code schrijven naar AI-agents aansturen: de nieuwe rol van IT
BEZORGDHEID & BEWUSTZIJN
Strict vroeg 329 strategische en tactische managers met IT-beslissingsbevoegdheid naar hun ervaringen met black-outs en de risico's van ketenafhankelijkheid:
- 62% is zich het afgelopen jaar meer bewust geworden van mogelijke black-out/cyber hack
- 79% maakt zich weleens zorgen over gevolgen van uitvallende technologie (was 63% in 2024)
- 21% maakt zich NOOIT zorgen over uitval van organisatietechnologie (was 13% in 2024)
- 31% weet wat te doen bij voorbereiding op black-out/cyber hack (was 49% in 2024)
Paradoxaal gebruiksgemak
Belangrijke reden is volgens Gerritsma paradoxaal genoeg dat IT-systemen steeds gebruiksvriendelijker worden, en dat het makkelijker wordt om ze op andere systemen aan te sluiten. „We zijn eigenlijk zo ontzorgd dat we geen idee meer hebben van wat er precies gebeurt als het product uitvalt. Alles draait met de push of a button, net als een iPad. Achter al dat gebruiksgemak zit een hele wereld achter van stappen die ervoor moeten zorgen dat dat klikje het doet. En we zijn met zijn allen steeds meer het zicht op die complexe wereld achter het schermpje aan het verliezen."
Om de werkelijke omvang van dit probleem te kunnen begrijpen deden Gerritsma en Strict uitgebreid onderzoek onder ruim 300 Nederlandse IT-managers. Wat bleek: liefst zes op de tien organisaties ondervindt minimaal eens per maand hinder door dit soort IT-storingen. Gerritsma: „En één op de vier organisaties heeft al een keer te maken gehad met een gedeeltelijke of complete black-out. Daaronder verstaan we een verstoring van digitale of essentiële voorzieningen waarbij cruciale systemen gedeeltelijk of volledig uitvallen. Dat is dus echt reden om je zorgen te maken."
Lees ook: Hoe voorkomen we een black-out in ons stroomnetwerk?
Moeilijk te controleren consequenties
Belangrijke oorzaak is volgens Gerritsma dat de meeste organisaties alleen kijken naar hun 'eerste lijn': de eigen IT-systemen. „Zij negeren daarmee echter volledig de moeilijk te controleren, maar snel toenemende consequenties die een storing bij jouw toeleverancier en hun toeleveranciers kan veroorzaken. Je tweede en derde lijn dus. Net als bij de storing in het NAFIN-netwerk hoeft daar maar een kleine schakel verstoord te worden om een echt domino-effect te starten. De gevolgen zijn zeer onvoorspelbaar, maar kunnen dus al snel grote materiele en immateriële schade veroorzaken."
Uit het eerdere voorbeeld van Gerritsma blijkt bijvoorbeeld dat zelfs het zeer hoogwaardige NAFIN-netwerk zomaar kan wegvallen. „Dat zou dus een waarschuwing moeten zijn voor de vele andere bedrijven die tegenwoordig van vaste lijnen overstappen over naar draadloze oplossingen", stelt hij. „De zakelijke 5G-zuiltjes van KPN of Odido bijvoorbeeld. Heel handig, want dan heb je meteen je wifi-netwerk. Maar er hoeft maar één zendmast uit te vallen en je hele organisatie zit in grote problemen. Ik vind het toch altijd weer opmerkelijk hoe weinig mensen daar stil bij staan."
PREVENTIE & VOORBEREIDING
Strict vroeg 329 strategische en tactische managers met IT-beslissingsbevoegdheid naar hun ervaringen met black-outs en de risico's van ketenafhankelijkheid.
Organisatorische maatregelen:
- 52% heeft preventiebeleid voor digitale uitval aangescherpt t.o.v. vorig jaar
- 59% geeft aan dat organisatie beschermd is tegen calamiteiten
- 42% maakt DAGELIJKS back-ups van belangrijke gegevens
- 23% maakt MEERDERE KEREN PER DAG back-ups
- 17% is bang alle gegevens kwijt te zijn bij grootschalige IT-storing
Grip krijgen op ketenrisico's
Om goed voorbereid te zijn op een leveranciersprobleem dat direct grote impact kan hebben op je eigen IT-prestaties moeten organisaties volgens Gerritsma een aantal stappen nemen. „Allereerst moet je precies weten welke leveranciers verantwoordelijk zijn voor welke data en diensten", vertelt hij. „Dat lijkt logisch, maar door de enorme verwevenheid van het grote aantal digitale diensten dat veel bedrijven tegenwoordig afnemen wordt dat overzicht al snel heel complex. Stel dat helder en duidelijk samen, en zorg ook dat je het zwart-op-wit op papier hebt, zodat je er ook bij kan als het verkeerde systeem uitvalt. Je lacht, maar ik geef voorbeelden uit onze bedrijfspraktijk."
Zorg ook dat je het zwart-op-wit op papier hebt, zodat je er ook bij kan als het verkeerde systeem uitvalt
In dit overzicht legt de organisatie helder en duidelijk vast wat er per leverancier zou kunnen gebeuren, wat er dan moet gebeuren en wie hiervoor in dat geval het vaste aanspreekpunt is.
„Organisaties gaan er vaak ten onrechte van uit dat dit soort zaken in je Service Level Agreement, oftewel de SLA-overeenkomsten is geregeld," weet Gerritsma. „Vraag je leveranciers daarom specifiek: hoe zorgen jullie ervoor dat alles goed gaat, en hoe reageren jullie naar ons toe als er onverhoopt toch iets fout gaat? Je hoeft dan niet zelf te gaan puzzelen wat er fout is gegaan. "
Digitaal veerkrachtige organisaties
Organisaties die mogelijke problemen en reacties vooraf nauwkeurig in kaar brengen worden volgens Gerritsma digitaal veerkrachtig: ook bij een grote crisis zijn ze in staat om hun klanten te blijven bedienen, of in ieder geval goed op de hoogte te houden van actuele problemen, oorzaak en de oplossing waar al aan wordt gewerkt. „Dat gaat dus veel verder dan het beheersen van alleen het IT-onderdeel van het probleem", stel hij. „De verantwoordelijke managers spelen hierbij uiteraard een cruciale rol. Idealiter overzien die zowel de IT-situatie als de gevolgen voor klanten en gebruikers."
Als moderne manager moet je jezelf volgens Gerritsma afvragen: ben jij de manager van het proces, ben jij de inhoudelijke manager, of kun je beide? „Zorg sowieso dat je een emergency response team met inhoudelijke experts hebt klaarstaan om in noodsituaties mee te kunnen overleggen. Dat maakt het mogelijk om verder te denken dan alleen het managen van de directe gevolgen, en na te denken over business continuity management: het zorgen dat je bedrijf altijd kan doordraaien, wat de uitdaging ook is. Met die instelling ontwikkel je je tot een digitaal veerkrachtige organisatie."
Lees ook: 'Cyberdreiging groeit snel nu AI ook onze psychologische zwakheden leert herkennen'
Kor Gerritsma
Kor Gerritsma is Strategie Consultant bij Strict, waar hij organisaties adviseert over digitale transformatie, business continuïteit en black-out preventie. Met zijn specialisatie in kritische infrastructuur en bedrijfskritische IT-systemen helpt hij organisaties hun digitale weerbaarheid te versterken. Gerritsma werkt met name voor organisaties in vitale sectoren zoals waterschappen, ziekenhuizen en overheidsinstanties, waarbij hij zich richt op het in kaart brengen van ketenrisico's en het ontwikkelen van effectieve herstelstrategieën. Voor Strict leidde hij het onderzoek naar black-out paraatheid onder 329 Nederlandse managers, waarvan de resultaten zijn gebundeld in de Black-out Preventie Gids 2025.
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
