'Niet of, maar wanneer.' Dat was dé slogan van Black-out, een fictief maar levensechte nieuwsuitzending van de EO over een cyberaanval die de stroomvoorziening van grote delen van Nederland ontregelt. In de aflevering zagen kijkers hoe het dagelijks leven – van elektriciteit tot water, van internet tot medicijnen – in één klap stilvalt. Kijkers zijn er dan ook flink van geschrokken en er wordt meteen gekeken naar bedrijven zoals netwerkbeheerders. Kan zo'n black-out gewoon gebeuren? Het antwoord is natuurlijk: 'Ja, maar niet zomaar.' Wat moet jij als bedrijf doen om een dergelijke crisis te voorkomen en wat moet je doen als het wel gebeurt?
Bedrijfsverantwoordelijkheid
Als bedrijf ben je verantwoordelijk voor het kennisnemen en beheren van je eigen risico's. Dit begint met het in kaart brengen van alle bedrijfsprocessen, van inkoop tot levering van producten en diensten. Het lijkt vanzelfsprekend: je kent je eigen processen, toch? De praktijk leert echter dat het soms lastig is de meest bedrijfskritische processen te benoemen, wat direct een correcte inschatting van de risico's in de weg staat. Een gedetailleerd overzicht van deze processen en de hele keten die betrokken is, bied je als organisatie de kans om risicofactoren die je vaak voor lief neemt kritisch te bekijken. Zo krijg je zicht op hoe verschillende processen elkaar beïnvloeden, waar ze afhankelijk van zijn en welke impact ze hebben op de uiteindelijke bedrijfsvoering.
BLACK-OUT Via deze link van NPO Start kun je het 'nieuwsprogramma' Black-Out terugkijken.
Risico's kunnen zowel strategisch, operationeel als relationeel zijn. Denk aan kwetsbaarheden binnen je eigen organisatie, zoals verouderde software, of afhankelijkheden in de bedrijfsvoering, zoals leveranciers of partners. Vooral dat laatste vereist aandacht: je hebt geen controle over andere organisaties in je keten. Een softwarebedrijf is bijvoorbeeld afhankelijk van zijn cloudprovider, die op zijn beurt afhankelijk is van datacenters en stroomleveranciers. Eén probleem in de schakel kan een domino-effect veroorzaken. Dit benadrukt het belang van duidelijke afspraken en transparantie met leveranciers.
BLACK-OUT Het AD sprak vooraf met eindredacteur Hans de Kleine (Tuvalu Media) over het waarom van de 'nieuwsuitzending'. Lees mee via deze link.
Als er bijvoorbeeld een storing is bij het datacenter, na hoeveel uur mag de cloudprovider dan verwachten dat dat opgelost is? En als het om een stroomstoring gaat, na hoeveel uur mag het datacenter van zijn stroomleverancier verwachten dat het is opgelost? Maak dit expliciet en weet wat je van elkaar kan verwachten en in hoeverre je risico's dus gemitigeerd of geaccepteerd zijn. Dit betekent niet dat er nooit iets mis zal gaan, maar het garandeert wel dat je weet hoe jouw leverancier reageert als er iets gebeurt.
Overheid en wetgeving
Ook de overheid heeft haar verantwoordelijkheid als het gaat om risicoanalyse en maatschappijbrede schade. Bepaalde sectoren, zoals de gezondheidszorg en de energiesector, zijn van vitaal belang. Als deze wegvallen, kan dat verstrekkende gevolgen hebben voor de samenleving. De overheid heeft dan ook expliciete afspraken en wetgeving ontwikkeld om de continuïteit van deze sectoren te waarborgen.
Zo zijn er in de gezondheidszorg de Wet Veiligheidsregio's en de Wet Publieke Gezondheid. In de energiesector is er bijvoorbeeld de Energiewet 2000. Daarnaast is er wet- en regelgeving in de ontwerp- of consultatiefase, waaronder wetten met betrekking tot cyberveiligheid binnen kritieke infrastructuren, zoals NIS2 en de Cyberbeveiligingswet (Cbw). Via dergelijke wetgeving neemt de overheid verantwoordelijkheid voor het waarborgen van de veiligheid van onze vitale infrastructuren. Daarnaast heeft de overheid expliciete verantwoordelijkheden voor het handelen tijdens een crisis.
Sommige kijkers zagen de boodschap als angst zaaien, vergelijkbaar met de paniek rond de millenniumbug in 1999
De rol van burgers
Eén van de belangrijkste boodschappen van 'Black-out' was een afspraak die de overheid met haar burgers heeft gemaakt: een burger moet in tijden van crisis 48 uur zelfredzaam zijn. Dit betekent dat je als burger voorbereid moet zijn op mogelijke verstoringen, zoals het verlies van stroom of internet. De aflevering was een wake-up call, niet alleen voor bedrijven, maar ook voor de samenleving.
Toch werd de uitzending niet door iedereen positief ontvangen. Sommige kijkers zagen de boodschap als angst zaaien, vergelijkbaar met de paniek rond de millenniumbug in 1999. Toen vreesden velen voor het uitvallen van computersystemen bij de overgang naar het jaar 2000. Ook toen waren veel mensen druk bezig met het voorbereiden op een periode van gedwongen zelfredzaamheid die nooit kwam. Dat betekent echter niet dat de angst volledig ongegrond was. Echter, er is een reden dat de millenniumbug niet uitgekomen is: voorbereiding van kritieke infrastructuren, het herstructureren van kritieke systemen en de keiharde inzet van 'onzichtbare' cyberprofessionals en IT-experts. Zij werken ook vandaag de dag keihard om ervoor te blijven zorgen dat we voorbereid zijn op een black-out.
Schouder aan schouder
De aflevering van 'Black-out' was een belangrijke herinnering aan de kwetsbaarheid van onze samenleving, maar ook aan de collectieve verantwoordelijkheid van bedrijven, overheden en burgers. Voor bedrijven betekent dit dat je niet alleen je eigen processen kent, maar ook de risico's en afhankelijkheden in je bredere netwerk. Transparantie, duidelijke afspraken en een goed risicomanagement zijn essentieel om voorbereid te zijn op onverwachte verstoringen. Als we allemaal onze verantwoordelijkheden nemen, zijn we vandaag klaar voor de crisis van morgen.
Meer expertblogs? BusinessWise Weekly!
In onze wekelijkse nieuwsbrief vind je het beste van BusinessWise die week, ook de expertblogs. Abonneer je gratis en blijf altijd op de hoogte,
