Eindrapport nulmeting continuiteit.pdf - Agentschap Telecom
Eindrapport nulmeting continuiteit.pdf - Agentschap Telecom Eindrapport nulmeting continuiteit.pdf - Agentschap Telecom
Toezicht op zorg- en meldplicht continuïteit De 0-meting
- Page 2 and 3: Toezicht zorg- en meldplicht contin
- Page 4 and 5: Toezicht zorg- en meldplicht contin
- Page 6 and 7: Toezicht zorg- en meldplicht contin
- Page 8 and 9: Toezicht zorg- en meldplicht contin
- Page 10 and 11: Toezicht zorg- en meldplicht contin
- Page 12 and 13: Toezicht zorg- en meldplicht contin
- Page 14 and 15: Toezicht zorg- en meldplicht contin
- Page 16 and 17: Toezicht zorg- en meldplicht contin
- Page 18 and 19: Toezicht zorg- en meldplicht contin
- Page 20 and 21: Toezicht zorg- en meldplicht contin
- Page 22 and 23: Toezicht zorg- en meldplicht contin
- Page 24 and 25: Toezicht zorg- en meldplicht contin
- Page 26 and 27: Toezicht zorg- en meldplicht contin
- Page 28 and 29: Toezicht zorg- en meldplicht contin
- Page 30 and 31: Toezicht zorg- en meldplicht contin
- Page 32 and 33: Toezicht zorg- en meldplicht contin
- Page 34 and 35: Toezicht zorg- en meldplicht contin
- Page 36 and 37: Toezicht zorg- en meldplicht contin
- Page 38 and 39: Toezicht zorg- en meldplicht contin
- Page 40 and 41: Toezicht zorg- en meldplicht contin
- Page 42 and 43: Toezicht zorg- en meldplicht contin
- Page 44 and 45: Toezicht zorg- en meldplicht contin
- Page 46 and 47: Toezicht zorg- en meldplicht contin
- Page 48 and 49: Toezicht zorg- en meldplicht contin
- Page 50 and 51: Toezicht zorg- en meldplicht contin
Toezicht op zorg- en<br />
meldplicht continuïteit<br />
De 0-meting
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Toezicht zorg- en meldplicht continuïteit<br />
De 0-meting<br />
Colofon<br />
Definitief<br />
Copyright <strong>Agentschap</strong> <strong>Telecom</strong> ©2013<br />
Pagina 2 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Samenvatting<br />
Missie <strong>Agentschap</strong> <strong>Telecom</strong><br />
Elektronische communicatie is voor burgers en bedrijven steeds belangrijker geworden. In<br />
het dagelijks leven zijn wij in hoge mate afhankelijk geworden van elektronische<br />
communicatiediensten. Deze afhankelijkheid is groter dan men doorgaans beseft en wordt<br />
ook wel “telekwetsbaarheid” genoemd. De missie van <strong>Agentschap</strong> <strong>Telecom</strong> is: “Wij<br />
waarborgen de beschikbaarheid van moderne en betrouwbare telecommunicatie in en voor<br />
Nederland”.<br />
Maatschappelijk belang centraal<br />
<strong>Agentschap</strong> <strong>Telecom</strong> stelt, bij het uitvoeren van haar missie, het maatschappelijk belang<br />
centraal. Incidenten in de telecomsector kunnen economisch en maatschappelijk veel<br />
schade aanrichten. Met het oog op het maatschappelijk belang is het vanzelfsprekend dat<br />
men de continuïteit van netwerken en/of diensten verbetert en de maatschappelijke en<br />
economische impact van incidenten en calamiteiten tot het minimum worden beperkt.<br />
Het onderzoek<br />
De doelstelling van de 0-meting is om inzicht te krijgen in hoeverre aanbieders van<br />
openbare elektronische communicatienetwerken en/of openbare elektronische<br />
communicatiediensten (hierna aanbieders) voldoen aan de wet- en regelgeving. Het gaat<br />
hier om het moment vlak na inwerkingtreding van hoofdstuk 11a van de<br />
<strong>Telecom</strong>municatiewet (hierna: zorg- en meldplicht continuïteit) en vlak voor de<br />
inwerkingtreding van het Besluit continuïteit openbare elektronische<br />
communicatienetwerken en –diensten (hierna Besluit continuïteit). Ook wordt het verkregen<br />
inzicht gebruikt als input voor het opstellen van de risicoanalyse van de doelgroep om het<br />
toezicht selectief en slagvaardig uit te kunnen voeren.<br />
Het uitvoeren van de 0-meting en de hierop volgende metingen is ook een middel om te<br />
bepalen wat het effect is geweest van de inspanningen van <strong>Agentschap</strong> <strong>Telecom</strong><br />
betreffende haar toezichtsactiviteiten. Door de resultaten van de 0-meting te vergelijken<br />
met de bijbehorende resultaten van een vervolgmeting kan het verschil in de mate van<br />
naleving worden bepaald. Dit zal te zijner tijd in een separaat onderzoek worden uitgevoerd.<br />
Daarmee ontstaat input voor de evaluatie van de effectiviteit van de gehanteerde<br />
interventiemix en gekozen aanpak.<br />
De onderzoeksvraag<br />
De centrale vraag van het onderzoek is:<br />
In welke mate verwachten de aanbieders te voldoen aan de verplichtingen ten aanzien van<br />
de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de wet- en<br />
regelgeving?<br />
Om de benodigde informatie te verkrijgen is gekozen voor het verzenden van een enquête<br />
aan de aanbieders. 1 Om de betrouwbaarheid te verhogen zijn de vragen in de enquête<br />
gesloten gesteld. De aanbieders zijn wettelijk verplicht mee te werken aan deze enquête.<br />
Vooraf was al bekend dat niet alle aanbieders op basis van de door hun aangeboden<br />
diensten relevant zijn voor de eisen van de zorg- en meldplicht continuïteit. Bijvoorbeeld<br />
aanbieders van netwerken of diensten waarover uitsluitend programma´s (TV en radio)<br />
worden verspreid. Deze zijn niet meegenomen in het onderzoek.<br />
Om te bepalen welke omvang een aanbieder heeft, wordt een klasse naar grootte<br />
gehanteerd op basis van de omzet. Deze zijn:<br />
1. Klein: 0 - 2 miljoen euro;<br />
2. Middel: 2 – 20 miljoen euro;<br />
1 Er is voor gekozen om de gehele bekende populatie, de bij OPTA ingeschreven aanbieders, aan te schrijven.<br />
Pagina 3 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
3. Groot: 20 miljoen euro of meer.<br />
Op 2 oktober 2012 is een brief verstuurd naar de aanbieders met als bijlage de enquête (zie<br />
bijlage I), bestaande uit 29 vragen en twee aanvullende verzoeken en een toelichting op de<br />
wet- en regelgeving. In deze brief worden de aanbieders verzocht de vragen te<br />
beantwoorden en de ingevulde enquête te retourneren binnen de gestelde termijn van drie<br />
weken. De aanvullende verzoeken betreffen het toezenden van een actuele versie van het<br />
continuïteitsplan en een lijst met klanten welke binnen de vitale infrastructuur 2 vallen.<br />
In totaal zijn 632 aanbieders aangeschreven en hebben 563 (89%) de vragenlijst ingevuld<br />
geretourneerd binnen de daarvoor gestelde termijnen. De overige 69 aanbieders (11%) zijn<br />
om diverse redenen niet bij dit onderzoek meegenomen. Uiteindelijk hebben 500<br />
aanbieders een valide set antwoorden aangeleverd die zijn meegenomen in dit onderzoek.<br />
De doorlooptijd van het onderzoek (inclusief voorbereiding) heeft circa vijf maanden in<br />
beslag genomen.<br />
In welke mate verwachten aanbieders te voldoen aan hun verplichtingen?<br />
Onderzoeksvraag: In welke mate verwachten de aanbieders te voldoen aan de<br />
verplichtingen ten aanzien van de zorg- en meldplicht continuïteit op het moment van<br />
inwerkingtreding van de wet- en regelgeving?<br />
Van de aanbieders verwacht 26% tijdig te voldoen aan de belangrijkste verplichting ten<br />
aanzien van de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de<br />
regelgeving (1 januari 2013). Dit houdt in het in het bezit hebben van een vastgesteld<br />
continuïteitsplan.<br />
Figuur 1. Verwachten aanbieders te voldoen aan wet- en regelgeving continuïteit door tijdig te<br />
beschikken over een vastgesteld continuïteitsplan?<br />
Grote dienst- en netwerkaanbieders<br />
Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat 74% van de<br />
aanbieders geen continuïteitsplan heeft, hebben wij onderzocht waar wij de grotere<br />
aanbieders, 13% van het totaal, kunnen plaatsen. De meerderheid (77%) van de grote<br />
dienst- en netwerkaanbieders beschikt op het moment van de enquête over een vastgesteld<br />
continuïteitsplan. Bij 16% van de grote aanbieders is het continuïteitsplan in voorbereiding<br />
en 7% beschikt niet over een vastgesteld continuïteitsplan.<br />
2 Vitale infrastructuren zijn ketens van vergelijkbare partijen waarvan het vanuit maatschappelijk oogpunt cruciaal is dat zij<br />
blijven functioneren. Daarom wordt ook wel gesproken van vitale sectoren.<br />
Pagina 4 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Wat is de kwaliteit van het continuïteitsplan?<br />
Bij de uitvoering van dit onderzoek hebben de onderzoekers een beoordeling gegeven over<br />
de kwaliteit van het continuïteitsplan. Let wel, hierbij geven de onderzoekers geen oordeel<br />
over een adequate inrichting van de continuïteitsprocessen.<br />
In dit onderzoek doen de onderzoekers alleen een uitspraak over de kwaliteit van het<br />
continuïteitsplan. Deze uitspraak is gebaseerd op het al dan niet aanwezig zijn van een<br />
beschrijving van de relevante continuïteitsprocessen in het continuïteitsplan. Verhoging van<br />
de bewustwording van alle relevante afhankelijkheden, risico’s en kwetsbaarheden op alle<br />
niveaus (niet alleen operationeel) en een goed continuïteitsbeleid bij aanbieders is van<br />
evident belang. Dit moet uiteindelijk leiden tot een verbetering van de continuïteit van<br />
netwerken en/of diensten.<br />
Samenvattend kan worden geconcludeerd dat bij meer dan een derde en op sommige<br />
punten bij meer dan de helft van de aanbieders de kwaliteit van het continuïteitsplan in<br />
relatie met het beschrijven van de meest relevante continuïteitsprocessen nog onder het<br />
gewenste kwaliteitsniveau ligt.<br />
Uit de enquête blijkt dat 18 tot 23% van de aanbieders weinig tot geen bestuurlijke<br />
aandacht heeft voor de continuïteit van netwerken en/of diensten.<br />
Hier wordt gedoeld op tenminste twee van de drie bestuurlijke hoofdtaken, te weten:<br />
Het besturen; door middel van het geven van richtlijnen en het opstellen van<br />
beleid;<br />
Het bewaken van de eigen prestatie of die van derden (leveranciers etc.).<br />
Verder behoren directies vanuit een maatschappelijke en economische verantwoordelijkheid<br />
op adequate wijze zorg te dragen voor de continuïteit van netwerken en/of diensten en te<br />
voldoen aan wet- en regelgeving. Opvallend is dat driekwart van de aanbieders (74%)<br />
verwacht niet tijdig te beschikken over een vastgesteld continuïteitsplan op het moment<br />
van inwerkingtreding van de zorg- en meldplicht continuïteit en het Besluit continuïteit (1<br />
januari 2013).<br />
Vitale infrastructuur<br />
Wij kunnen concluderen dat 36% van de aanbieders zich er bewust van is dat men<br />
openbare elektronische communicatienetwerken en openbare elektronische<br />
communicatiediensten (hierna: netwerken en/of diensten) levert aan bedrijven en/of<br />
instellingen die vallen binnen de definitie vitale infrastructuur en de directie hiervan op de<br />
hoogte is. Het betreft hier in totaal 180 aanbieders van verschillende omvang.<br />
Van deze 180 aanbieders heeft 38% beschreven welke additionele maatregelen er zijn<br />
genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat<br />
betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die<br />
binnen de definitie vitale infrastructuur vallen. Van deze groep van 180 aanbieders beschikt<br />
26% over een actueel overzicht van deze zakelijke klanten die binnen de definitie vitale<br />
infrastructuur vallen. Aan hen levert men netwerken en/of diensten en heeft men dit<br />
overzicht eveneens opgenomen in het continuïteitsplan. Er is echter bij 52% van de<br />
aanbieders sprake van het prioriteren van incidenten met maatschappelijke en/of<br />
economische impact.<br />
Bij het leveren van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de<br />
definitie vitale infrastructuur vallen is sprake van gedeelde verantwoordelijkheden.<br />
Vanzelfsprekend hebben deze vitale bedrijven en instellingen een eigen<br />
verantwoordelijkheid teneinde zich te vergewissen van het feit dat men beschikt over een<br />
optimale ICT verbinding. Dit ontslaat de aanbieder niet van de maatschappelijke<br />
verantwoordelijkheid alert te zijn op het leveren van passende netwerken en/of diensten<br />
aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en<br />
navraag te doen of de verbinding een vitaal karakter heeft.<br />
Pagina 5 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Integrale aanpak continuïteit<br />
De continuïteit van netwerken en/of diensten kent vele invalshoeken. Er is sprake van<br />
diverse afhankelijkheden die in sterke mate de totale continuïteitsketen (figuur 2)<br />
beïnvloeden. “De keten is zo sterk als de zwakste schakel”.<br />
Met de inwerkingtreding van de zorg- en meldplicht continuïteit is het van belang dat men<br />
de continuïteit van netwerken en/of diensten verbetert en de maatschappelijke en<br />
economische impact van incidenten en calamiteiten tot het minimum beperkt.<br />
Daar waar aanbieders zich richten op de financiële gevolgen en/of de gevolgen in relatie<br />
met mogelijke imagoschade naar aanleiding van incidenten en calamiteiten is het van<br />
belang dat men ook oog heeft voor de economische en/of maatschappelijke schade die<br />
wordt aangericht.<br />
Juist incidenten en calamiteiten die leiden tot uitval van netwerken en/of diensten met<br />
impact op bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen,<br />
kunnen leiden tot ernstige maatschappelijke en/of economische impact en zelfs<br />
maatschappelijke ontwrichting.<br />
Om de continuïteit van netwerken en/of diensten te verbeteren en de impact van incidenten<br />
en calamiteiten te verminderen is een integrale aanpak van de continuïteit van netwerken<br />
en/of diensten op bestuurlijk niveau wenselijk. Dit vraagt om een holistische aanpak<br />
waarbij men bestuurt, evalueert en bewaakt en oog heeft voor de diverse afhankelijkheden<br />
die binnen de continuïteitsketen bestaan. Hoe groter de omzet van de aanbieder hoe groter<br />
ook de noodzaak wordt om alle processen die de continuïteit van netwerken en/of diensten<br />
raken te integreren en te beschrijven in één vastgesteld continuïteitssysteem met een<br />
vastgesteld continuïteitsplan.<br />
Met dit uitgangspunt kan men werken aan de volgende stappen, te weten:<br />
1. Voortdurende proportionele verbetering van het continuïteitssysteem;<br />
2. Voortdurende proportionele verbetering van het beperken van de impact van incidenten<br />
en majeure calamiteiten.<br />
Naar aanleiding van de enquête kunnen wij echter concluderen dat op dit punt verdere<br />
ontwikkeling en verbetering noodzakelijk is.<br />
Figuur 2. Het continuïteitssysteem: oog hebben voor de maatschappelijke en economische impact van<br />
incidenten.<br />
Pagina 6 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Inhoudsopgave<br />
INLEIDING 9<br />
1 ONDERZOEKSVRAGEN EN METHODIEK 13<br />
1.1 Onderzoeksvragen 13<br />
1.2 Methode van onderzoek 14<br />
2 DOEL VAN DIT RAPPORT 15<br />
3 VERLOOP VAN HET ONDERZOEK 16<br />
4 BEVINDINGEN NALEVING ZORG- EN MELDPLICHT CONTINUÏTEIT 17<br />
4.1 Inleiding 17<br />
4.2 Naleving zorgplicht continuïteit 17<br />
4.3 Gebruik loket meldplicht 20<br />
5 BEVINDINGEN KWALITEIT VAN HET CONTINUÏTEITSPLAN 21<br />
5.1 Inleiding 21<br />
5.2 Continuïteitsplan 23<br />
5.3 Governance 23<br />
5.4 Service management 24<br />
5.5 BCM/ ICT Readiness: inclusief crisis- en herstelplannen 26<br />
5.6 Integraal risico management 26<br />
6 OVERIGE BEVINDINGEN 28<br />
6.1 Vitale infrastructuur 28<br />
7 CONCLUSIE 29<br />
7.1 Stand van zaken naleving zorg- en meldplicht 29<br />
7.2 Kwaliteit van het continuïteitsplan 31<br />
7.3 Overige conclusies 34<br />
BIJLAGE I AANBIEDINGSBRIEF EN ENQUÊTE 37<br />
Pagina 7 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
BIJLAGE II RESULTATEN ENQUÊTE 0-METING ZORG- EN MELDPLICHT<br />
CONTINUÏTEIT 48<br />
Continuïteitsplan 48<br />
Goed bestuur inzake continuïteit van netwerken en/of diensten (Governance) 49<br />
Management van de dienstverlening (Service management) 51<br />
Integraal risicobeheer continuïteit 56<br />
Vitale infrastructuur 59<br />
Meldplicht continuïteit 61<br />
BIJLAGE III BESLUIT CONTINUÏTEIT 62<br />
BIJLAGE IV AFKORTINGEN EN VERKLARENDE WOORDENLIJST 64<br />
Pagina 8 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Inleiding<br />
Elektronische communicatie is voor burgers en bedrijven steeds belangrijker geworden. In<br />
het dagelijks leven zijn wij in hoge mate afhankelijk geworden van elektronische<br />
communicatiediensten. Deze afhankelijkheid is groter dan men doorgaans beseft en wordt<br />
ook wel “telekwetsbaarheid” genoemd. Incidenten op dit terrein kunnen economisch en<br />
maatschappelijk veel schade aanrichten. De Europese Commissie heeft lidstaten<br />
voorgeschreven om maatregelen te nemen die de betrouwbaarheid van openbare<br />
elektronische communicatienetwerken en openbare elektronische communicatiediensten<br />
(hierna: netwerken en/of diensten) moet vergroten.<br />
Hoofdstuk 11a ‘continuïteit’<br />
Om het vertrouwen van bedrijfsleven en maatschappij in elektronische communicatie te<br />
stimuleren, heeft de Europese Commissie twee nieuwe verplichtingen opgesteld, die in de<br />
<strong>Telecom</strong>municatiewet (hierna: Tw) zijn opgenomen: de zorg- en meldplicht continuïteit.<br />
Zorgplicht continuïteit<br />
Aanbieders van openbare elektronische communicatienetwerken en openbare elektronische<br />
communicatiediensten (hierna: aanbieders) zijn verplicht passende technische en<br />
organisatorische maatregelen te nemen om de risico’s voor de veiligheid en integriteit van<br />
netwerken en/of diensten te beheersen. Voor aanbieders van openbare telefoniediensten<br />
geldt, bij verstoringen of uitval van elektriciteit, zelfs de verplichting om alle noodzakelijke<br />
maatregelen te treffen. Het doel hiervan is de continuïteit en beschikbaarheid van<br />
netwerken en/of diensten zoveel als mogelijk te waarborgen. Het gaat hierbij om inbreuken<br />
op de veiligheid en een verlies aan integriteit van het netwerk en/of de dienst. Het gaat<br />
hierbij nadrukkelijk niet om inbreuken op de persoonsgegevens (privacy).<br />
Meldplicht continuïteit<br />
Aanbieders zijn verplicht om bij inbreuken op de veiligheid en/of een (gedeeltelijk) verlies<br />
aan integriteit melding te maken van dit incident bij <strong>Agentschap</strong> <strong>Telecom</strong>.<br />
Sinds 5 juni 2012 is hoofdstuk 11a “continuïteit” van de Tw (hierna: zorg- en meldplicht<br />
continuïteit) van kracht geworden. Het Besluit continuïteit openbare elektronische<br />
communicatienetwerken en -diensten (hierna: Besluit continuïteit) is per 1 januari 2013 van<br />
kracht.<br />
Besluit continuïteit 3<br />
Het Besluit continuïteit bevat regelgeving met betrekking tot de technische en<br />
organisatorische maatregelen om de risico’s te beperken die de veiligheid en de integriteit<br />
van netwerken en/of diensten bedreigen. Daarnaast bevat de regelgeving over de<br />
meldplicht bij inbreuken op de veiligheid en verliezen van integriteit, de verstrekking van<br />
informatie voor de beoordeling van de veiligheid en de integriteit en de aanwijzing van<br />
inbreuken op de veiligheid en verliezen van integriteit van netwerken en/of diensten. 4<br />
Aanbieders<br />
De zorg- en meldplicht continuïteit geldt voor alle aanbieders in Nederland. Uit de<br />
doelgroepanalyse van <strong>Agentschap</strong> <strong>Telecom</strong> komen drie doelgroepen naar voren:<br />
1. Netwerkaanbieders;<br />
2. Dienstenaanbieders met eigen netwerk;<br />
3. Dienstenaanbieders zonder eigen netwerk.<br />
3 Stb. 2012, 514. Besluit van 19 oktober 2012, houdende nadere regels met betrekking tot technische en organisatorische<br />
eisen ter beperking van risico's voor de veiligheid en de integriteit, de meldplicht van inbreuken op de veiligheid en verliezen<br />
van integriteit, de verstrekking van informatie voor de beoordeling van de veiligheid en de integriteit en de aanwijzing van<br />
inbreuken op de veiligheid en verliezen van integriteit van openbare elektronische communicatienetwerken en -diensten<br />
(Besluit continuïteit openbare elektronische communicatienetwerken en -diensten).<br />
4 Deze regelgeving is vastgelegd in het document minimale eisen continuïteitsplan.<br />
Pagina 9 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Aanbieders zijn verplicht zich op te laten nemen in het register. 5 Ook aanbieders die dit<br />
hebben nagelaten, vallen echter binnen het bereik van de zorg- en meldplicht continuïteit.<br />
Missie <strong>Agentschap</strong> <strong>Telecom</strong><br />
De missie van <strong>Agentschap</strong> <strong>Telecom</strong> is: “Wij waarborgen de beschikbaarheid van moderne<br />
en betrouwbare telecommunicatie in en voor Nederland”. <strong>Agentschap</strong> <strong>Telecom</strong> houdt<br />
toezicht op zowel de zorg- als meldplicht continuïteit.<br />
Maatschappelijk belang centraal<br />
Bij het uitvoeren van de missie van <strong>Agentschap</strong> <strong>Telecom</strong> staat het maatschappelijk belang<br />
centraal, zo ook bij het toezicht op de zorg- en meldplicht continuïteit. Met het oog op het<br />
maatschappelijk belang is het vanzelfsprekend dat men de continuïteit van netwerken en/of<br />
diensten verbetert en de maatschappelijke en economische impact van incidenten en<br />
calamiteiten tot het minimum beperkt.<br />
Juist incidenten en calamiteiten die leiden tot uitval van netwerken en/of diensten met<br />
impact op bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen<br />
kunnen leiden tot ernstige maatschappelijke en/of economische impact en zelfs<br />
maatschappelijke ontwrichting. Derhalve heeft het leveren van diensten en netwerken aan<br />
de bedrijven en/of instellingen die binnen de vitale infrastructuur vallen bij de uitvoering<br />
van dit onderzoek de bijzondere aandacht van de onderzoekers.<br />
<strong>Agentschap</strong> <strong>Telecom</strong> als toezichthouder<br />
<strong>Agentschap</strong> <strong>Telecom</strong> streeft naar betrouwbare netwerken en/of diensten. In haar rol als<br />
toezichthouder op de continuïteit van netwerken en/of diensten vormt zowel<br />
regelconformiteit als beleidsconformiteit een belangrijk middel. Regelconformiteit is onder<br />
meer het toezien op de naleving van de gestelde regels en het eventueel sanctioneren van<br />
de overtreder. Concreet betekent dit dat <strong>Agentschap</strong> <strong>Telecom</strong> erop toeziet of er<br />
daadwerkelijk passende technische en organisatorische maatregelen zijn getroffen en of<br />
deze zijn vastgelegd in een continuïteitsplan.<br />
Beleidsconformiteit betekent dat <strong>Agentschap</strong> <strong>Telecom</strong> een signalerende en adviserende<br />
functie vervult bij het realiseren van beleidsdoelstellingen. Hierbij wordt gekeken of de<br />
praktijk bij de aanbieder ook daadwerkelijk bijdraagt aan een zo goed mogelijk geborgde<br />
continuïteit voor de klanten van de aanbieders, met als doel het voorkomen van<br />
maatschappelijke en economische impact als gevolg van uitval. Het agentschap doet dit<br />
door middel van audits waarbij niet alleen gekeken wordt naar de strikte naleving van de<br />
regels. Met name wordt gekeken naar de praktijk van de aanbieder. Daarmee wordt<br />
getoetst of de aanbieders daadwerkelijk gestalte hebben gegeven aan de in de<br />
continuïteitsplannen beschreven maatregelen. Relevante bevindingen in algemene zin<br />
kunnen onderwerp van gesprek zijn met de beleidskern van het ministerie van Economische<br />
Zaken.<br />
Sturingsfilosofie<br />
Toezicht sluit aan op de laatste ontwikkelingen in het werkveld en op de beleidsprioriteiten<br />
van de minister van Economische Zaken.<br />
Daarom houden wij toezicht vanuit de volgende sturingsfilosofie:<br />
Toezicht is verantwoordelijk voor het inspectietoezicht en draagt daarmee bij aan<br />
het stelsel;<br />
Toezicht heeft aandacht voor lastendrukvermindering en draagt hieraan bij door<br />
selectief en slagvaardig te zijn;<br />
Toezicht heeft vertrouwen in zelfregulering;<br />
Toezicht is toegankelijk;<br />
Toezicht is expliciet voor risicoaanvaarding;<br />
Er is aandacht voor scheiding toezicht/uitvoering en toezicht/sanctionering;<br />
De nationale en supranationale dimensie worden gelijkgeschakeld.<br />
5 De OPTA houdt dit register bij.<br />
Pagina 10 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
De ontwikkelingen in het werkveld van <strong>Agentschap</strong> <strong>Telecom</strong> leiden tot een veranderende rol<br />
van toezicht. Toezicht verschuift van “iron hand”, de handhavende toezichthouder, naar<br />
“invisible hand”, een toezichthouder die op afstand door middel van informatievergaring en<br />
monitoring het toezichtveld observeert, analyseert en reguleert door het toepassen van<br />
passende interventies. Reden voor deze verschuiving is het loslaten van de specifieke eisen<br />
binnen vergunningen (flexibilisering) en de toename van vergunningsvrije banden. Tevens<br />
moet Toezicht steeds vaker een groter toezichtveld overzien.<br />
Onafhankelijke positie<br />
Als toezichthouder verzamelt <strong>Agentschap</strong> <strong>Telecom</strong> informatie en brengt hiermee zijn<br />
oordeel tot stand, onafhankelijk van andere partijen. Op deze wijze levert het agentschap<br />
een bijdrage aan de doelstellingen van de zorg- en meldplicht continuïteit. <strong>Agentschap</strong><br />
<strong>Telecom</strong> stelt zelfstandig haar prioriteiten in het toezicht vast en acht dit van groot belang<br />
om onafhankelijk te zijn bij het interveniëren en bij publicatie van onderzoeksresultaten<br />
over de naleving van de zorg- en meldplicht continuïteit.<br />
Toezicht in de praktijk<br />
<strong>Agentschap</strong> <strong>Telecom</strong> kan bij het toezicht de volgende instrumenten inzetten:<br />
Voorlichting;<br />
Onderzoek;<br />
Administratieve controles;<br />
Inspecties;<br />
Audits.<br />
Hieronder volgt een toelichting. Voorkomen is beter dan genezen. Dit is een belangrijk<br />
uitgangspunt van <strong>Agentschap</strong> <strong>Telecom</strong>. Daarom steekt het agentschap veel energie in<br />
voorlichting en ondersteuning. Om inzicht te krijgen in de praktijksituatie bij de aanbieders,<br />
vraagt <strong>Agentschap</strong> <strong>Telecom</strong> de continuïteitsplannen van de relevante aanbieders op. Het<br />
continuïteitsplan van aanbieders moet voldoen aan wet- en regelgeving. Daarnaast is het<br />
van belang dat relevante processen zijn ingericht, die leiden tot het voortdurend monitoren<br />
en verbeteren van de continuïteit van netwerken en/of diensten. Het agentschap controleert<br />
zowel het continuïteitsplan als de onderhavige processen. <strong>Agentschap</strong> <strong>Telecom</strong> zet<br />
systeemtoezicht in om tot een optimale verbetering te komen van de<br />
continuïteitsbeheersing door de aanbieder. Dit leidt tot kwaliteitsverhoging bij de aanbieder.<br />
Systeemtoezicht ziet toe op datgene wat een organisatie doet om te verzekeren dat de<br />
regels worden nageleefd en de risico’s worden beheerst.<br />
Werken de processen, strategieën en procedures gericht op het borgen van<br />
maatschappelijke belangen afdoende? Beheerst het bedrijf zijn processen zodanig dat de<br />
risico’s op maatschappelijke en economische schade aanvaardbaar zijn? De hierbij<br />
verzamelde informatie wordt niet getoetst aan een wettelijke eis maar aan systeemeisen,<br />
neergelegd in een normenkader wat tijdens invoering van de zorg- en meldplicht<br />
continuïteit is getoetst bij de grootste aanbieders.<br />
Leidraad voor kwaliteitsverbetering<br />
<strong>Agentschap</strong> <strong>Telecom</strong> hanteert bij het uitoefenen van het toezicht op de zorg- en meldplicht<br />
continuïteit een normenkader. Dit kader is gebaseerd op verschillende internationale<br />
kwaliteitsstandaarden met als doel:<br />
1. het verbeteren van de bedrijfscontinuïteit bij aanbieders;<br />
2. het borgen van de continuïteit van netwerken en/of diensten;<br />
3. een betere voorbereiding op calamiteiten en incidenten bij aanbieders.<br />
Ook willen we hiermee bereiken dat men oog heeft voor beheersing van de risico’s die<br />
eventueel afbreuk kunnen doen aan de continuïteit van netwerken en/of diensten bij<br />
aanbieders. Dit normenkader bevat die processen die de continuïteit van netwerken en/of<br />
diensten raken.<br />
Tot slot verwachten wij dat aanbieders zorg dragen voor continue verbetering van het<br />
beheer en de beheersfunctie in relatie tot zowel de netwerken en/of diensten. In dit licht<br />
Pagina 11 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
kunnen aanbieders achtereenvolgens de volgende internationale kwaliteitstandaarden, de<br />
NEN-ISO normen, als leidraad voor kwaliteit hanteren:<br />
1. Corporate Governance of Information Technology (CGIT);<br />
2. Business Continuity Management Systems (BCMS);<br />
3. Risk Management (RM);<br />
4. ICT readiness for Business Continuity (IRBC);<br />
5. ICT Service Management System (SMS).<br />
Hierbij geeft:<br />
1. de NEN-ISO 38500 norm (CGIT): concrete aanbevelingen voor goed bestuur van ICT;<br />
2. de NEN-ISO 22301 norm (BCMS): concrete aanbevelingen om de bedrijfscontinuïteit in<br />
algemene zin te beheren, te beheersen en steeds verder te verbeteren;<br />
3. de NEN-ISO 31000 norm (RM): concrete aanbevelingen met betrekking tot het beheren<br />
van risico´s welke eventueel afbreuk kunnen doen aan de continuïteit van het<br />
communicatienetwerk en/of -dienst en het beheer steeds verder te verbeteren;<br />
4. de NEN-ISO 27031 norm (IRBC): concrete aanbevelingen om het ICT kapitaal in<br />
gereedheid te brengen en weerbaar te maken zodat de continuïteit van uw<br />
communicatienetwerk en –dienst steeds beter voorbereid is waar het incidenten en<br />
calamiteiten betreft;<br />
5. en de NEN-ISO 20000 norm (SMS): concrete aanbevelingen voor de inrichting van<br />
kwalitatief goed beheer van ICT dienstverlening, inclusief incident– en problem<br />
management zodat de continuïteit van het netwerk en/of dienst steeds verder verbetert.<br />
Met de bovenstaande leidraad wordt gedoeld op die processen die gericht zijn op het nemen<br />
van “passende technische en organisatorische maatregelen” om de risico’s voor de<br />
veiligheid en integriteit van netwerken en/of diensten te beheren en te beheersen, inclusief<br />
het systeem wat zorg draagt voor voortdurende verbetering.<br />
Het staat aanbieders uiteraard vrij om gebruik te maken van alternatieve kaders, normen<br />
en/of best practices zoals bijvoorbeeld COBIT, ITIL etc. om de bovengenoemde processen<br />
die de continuïteit van netwerken en/of diensten raken te adresseren en in te richten.<br />
Leeswijzer<br />
In dit rapport worden de resultaten weergegeven uit de 0-meting. In hoofdstuk 1 worden<br />
de onderzoeksvragen en de methodiek van onderzoek toegelicht. Vervolgens beschrijft<br />
hoofdstuk 2 het doel van het rapport. Het verloop van het onderzoek wordt in hoofdstuk 3<br />
toegelicht. Hoofdstuk 4 bevat de bevindingen bij de aanbieders in het licht van de naleving<br />
van de zorg- en meldplicht continuïteit. In hoofdstuk 5 worden de bevindingen bij<br />
aanbieders op gebied van de kwaliteit van het continuïteitsplan toegelicht. De overige<br />
bevindingen worden in hoofdstuk 6 weergegeven. De conclusies staan in hoofdstuk 7, waar<br />
ook de onderzoeksvraag wordt beantwoord. De resultaten van de enquête worden in bijlage<br />
II weergegeven.<br />
Pagina 12 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
1 Onderzoeksvragen en methodiek<br />
De aanleiding tot het uitvoeren van een 0-meting is aangegeven in het<br />
“Toezichtarrangement Continuïteit”. De doelstelling van de 0-meting is om inzicht te krijgen<br />
in hoeverre aanbieders voldoen aan de wet- en regelgeving vlak na het moment van<br />
inwerkingtreding van de zorg- en meldplicht continuïteit en vlak voor de inwerkingtreding<br />
van het Besluit continuïteit. Het verkregen inzicht wordt gebruikt als input voor het<br />
opstellen van de risicoanalyse van de doelgroep om het toezicht selectief en slagvaardig uit<br />
te kunnen voeren.<br />
Het uitvoeren van de 0-meting en de hierop volgende meting is een middel om inzicht te<br />
krijgen wat het effect is geweest van de inspanningen van <strong>Agentschap</strong> <strong>Telecom</strong> betreffende<br />
haar toezichtactiviteiten. Door de resultaten van de 0-meting te vergelijken met de<br />
bijbehorende resultaten van een vervolgmeting kan het verschil in de mate van naleving<br />
worden bepaald. Dit zal overigens te zijner tijd in een separaat onderzoek worden<br />
uitgevoerd. Daarmee ontstaat input voor de evaluatie van de effectiviteit van de<br />
gehanteerde interventiemix en gekozen aanpak.<br />
1.1 Onderzoeksvragen<br />
De centrale onderzoeksvraag is:<br />
In welke mate verwachten de aanbieders te voldoen aan de verplichtingen ten aanzien van<br />
de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de wet- en<br />
regelgeving?<br />
De deelvragen zijn:<br />
1. Wat is de stand van zaken ten aanzien van de zorg- en meldplicht continuïteit op het<br />
moment van inwerkingtreding van de wet- en regelgeving; in welke mate verwachten de<br />
aanbieders te voldoen aan hun verplichtingen? Zijn aanbieders in het bezit van een<br />
continuïteitsplan? Indien men nog geen continuïteitsplan heeft, wanneer denkt men<br />
hierover te beschikken?<br />
2. Wat is de kwaliteit van het continuïteitsplan?<br />
Beschrijven de aanbieders de risico’s inclusief de maatregelen die men heeft<br />
genomen om deze risico’s te adresseren? Hebben aanbieders, bij het beschrijven van<br />
de risico’s in het continuïteitsplan, rekening gehouden met majeure calamiteiten zoals<br />
grootschalige uitval van elektriciteit en/of ICT?<br />
Zijn in ieder geval de meest relevante processen door de aanbieders ingericht en<br />
beschreven in het continuïteitsplan? Gedoeld wordt op die processen die gericht zijn<br />
op het nemen van “passende technische en organisatorische maatregelen” om de<br />
risico’s voor de veiligheid en integriteit van netwerken en/of diensten te beheren en<br />
te beheersen inclusief het systeem dat zorg draagt voor voortdurende verbetering.<br />
Onder de meest relevante processen welke gericht zijn op het beheren en beheersen van de<br />
continuïteit van netwerken en/of diensten wordt verstaan:<br />
1. Corporate Governance of Information Technology (CGIT);<br />
2. Business Continuity Management System (BCMS);<br />
3. Risk Management System (RMS);<br />
4. ICT readiness for Business Continuity (IRBC);<br />
5. ICT Service Management System (SMS).<br />
Deze processen zijn de leidraad voor kwaliteitsverbetering van het beheer en het beheersen<br />
van de continuïteit van netwerken en/of diensten.<br />
Om inzicht te krijgen in de bovenstaande onderzoeksvragen zijn de enquêtevragen<br />
opgesteld.<br />
Pagina 13 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
1.2 Methode van onderzoek<br />
Bepalen van de doelgroep<br />
Om de benodigde informatie te verkrijgen is gekozen voor het verzenden van een enquête<br />
aan de aanbieders. 6 Om de betrouwbaarheid te verhogen zijn de vragen in de enquête<br />
gesloten gesteld. De aanbieders zijn wettelijk verplicht mee te werken aan de enquête.<br />
Vooraf was al bekend dat niet alle aanbieders op basis van de door hun aangeboden<br />
netwerken en/of diensten relevant zijn voor de eisen van de zorg- en meldplicht continuïteit.<br />
Bijvoorbeeld aanbieders van netwerken of diensten waarover uitsluitend programma´s (TV<br />
en Radio) worden verspreid. Deze zijn niet meegenomen in het onderzoek.<br />
Om te bepalen welke omvang een aanbieder heeft, wordt een klasse naar grootte<br />
gehanteerd op basis van de omzet. Deze zijn:<br />
1. Klein: 0 - 2 miljoen euro;<br />
2. Middel: 2 – 20 miljoen euro;<br />
3. Groot: 20 miljoen euro of meer.<br />
Mailing<br />
Op 2 oktober 2012 is een brief verstuurd naar de aanbieders met als bijlage de enquête,<br />
bestaande uit 29 vragen en twee aanvullende verzoeken. In deze brief is de aanbieders<br />
verzocht de vragen te beantwoorden en de ingevulde enquête te retourneren binnen de<br />
gestelde termijn van drie weken. De aanvullende vragen betreffen het toezenden van een<br />
actuele versie van het continuïteitsplan en een lijst met klanten welke binnen de vitale<br />
infrastructuur 7 vallen.<br />
De wettelijke verplichtingen zijn toegelicht in de aanbiedingsbrief. Deze brief vindt u samen<br />
met de enquêtevragen terug in bijlage I van dit rapport.<br />
De doorlooptijd van het onderzoek (inclusief voorbereiding) heeft circa vijf maanden in<br />
beslag genomen.<br />
6 Er is voor gekozen om de gehele bekende populatie, de bij OPTA ingeschreven aanbieders aan te schrijven.<br />
7 Vitale infrastructuren zijn ketens van vergelijkbare partijen waarvan het vanuit maatschappelijk oogpunt cruciaal is dat zij<br />
blijven functioneren. Daarom wordt ook wel gesproken van vitale sectoren.<br />
Pagina 14 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
2 Doel van dit rapport<br />
<strong>Agentschap</strong> <strong>Telecom</strong> brengt met de uitvoering van dit onderzoek in beeld wat het niveau<br />
van naleving is van de zorg- en meldplicht continuïteit. 8<br />
Ten eerste dient de 0-meting om het huidige niveau van naleving zichtbaar te maken. Door<br />
de 0- en (de op een later tijdstip uit te voeren) 1-meting te vergelijken kunnen de<br />
verbeteringen in de naleving zichtbaar worden gemaakt. Dit zal in een separaat traject<br />
gebeuren. Daarnaast dient de uitkomst van dit onderzoek als input voor de risicoanalyse<br />
(op doelgroep, niet op individueel niveau) die de basis vormt voor de verder te houden<br />
inspecties en audits. Er wordt voor de uitvoering van het toezicht door het agentschap<br />
bepaald welke verbeterpunten er opgepakt moeten worden om de markt in beweging te<br />
krijgen en te houden richting betere naleving.<br />
Voor de beleidskern van het ministerie van Economische Zaken geeft deze rapportage<br />
inzicht in het halen van de beleidsdoelen van de zorg- en meldplicht continuïteit op het<br />
moment van inwerkingtreding van de wet- en regelgeving. Deze regelgeving is nieuw,<br />
waardoor het van belang is dat aan de beleidsmakers wordt teruggekoppeld wat het<br />
nalevingsniveau is. Met dit rapport worden mogelijke aandachtspunten in de uitvoering van<br />
de zorg- en meldplicht continuïteit inzichtelijk gemaakt.<br />
Tot slot, maar niet minder belangrijk <strong>Agentschap</strong> <strong>Telecom</strong> koppelt het resultaat van de 0meting<br />
terug aan de markt. De aanbieders hebben meegewerkt aan de enquête. Het is dan<br />
zorgvuldig hen ook te laten delen in het resultaat. Aanbieders kunnen aan de hand van dit<br />
geanonimiseerde rapport zien in welke mate de markt voldoet aan de huidige wet- en<br />
regelgeving, en waar zij zelf mogelijk verbeterpunten hebben. Ook wordt hiermee duidelijk<br />
voor de markt waar accenten komen te liggen in het toezicht.<br />
8 In de inleiding wordt verder ingegaan op de algemene doelstelling van het onderzoek.<br />
Pagina 15 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
3 Verloop van het onderzoek<br />
In totaal zijn 632 aanbieders aangeschreven. De eerste reactie hierop was beperkt,<br />
waardoor het noodzakelijk was om na drie weken aan 358 aanbieders een eerste rappel te<br />
verzenden. De 198 aanbieders die hier nog niet op reageerden zijn na twee weken<br />
aangeschreven met een laatste, aangetekend, rappel. De aanbieders die vervolgens nog<br />
geen reactie hebben gegeven zijn, voor zover mogelijk, gebeld om te vragen om<br />
opheldering.<br />
Van de 632 aangeschreven aanbieders hebben 563 (89%) de vragenlijst ingevuld<br />
geretourneerd binnen de daarvoor gestelde termijnen.<br />
De overige 69 aanbieders (11%) zijn niet bij de uitvoering van dit onderzoek betrokken. Dit<br />
omdat de aanbieders niet binnen de daartoe gestelde termijn hebben aangeleverd. De<br />
redenen hiervoor zijn onder andere aanbieders die zijn afgevallen in verband met mogelijk<br />
faillissement, mogelijke overname en het vermoedelijk staken van de activiteiten.<br />
Uiteindelijk is er in vier gevallen een rapport van bevindingen opgemaakt wegens het niet<br />
reageren op de vordering tot het leveren van informatie. Hiervoor is een sanctietraject<br />
opgestart met als doel de aanbieders te bewegen alsnog te reageren.<br />
In totaal hebben 63 van de 563 respondenten aangegeven:<br />
Een netwerk of dienst aan te bieden waarover uitsluitend programma´s (TV en<br />
radio) worden verspreid;<br />
Een besloten netwerk aan te bieden;<br />
Dat sprake is van een faillissement, een overname of het staken van de<br />
activiteiten.<br />
Deze aanbieders worden in 2013 nader onderzocht om een beeld te vormen in hoeverre<br />
deze aanbieders vallen onder de zorg- en meldplicht.<br />
Uiteindelijk hebben 500 aanbieders een valide set antwoorden aangeleverd die is<br />
meegenomen in dit onderzoek.<br />
Pagina 16 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
4 Bevindingen naleving zorg- en meldplicht continuïteit<br />
4.1 Inleiding<br />
Sinds 5 juni 2012 is de zorg- en meldplicht continuïteit van kracht. Deze wet is een<br />
onderdeel geworden van hoofdstuk 11a van de Tw. Vanaf 1 januari 2013 is het Besluit<br />
continuïteit van kracht.<br />
Besluit continuïteit<br />
Het Besluit continuïteit bevat regelgeving met betrekking tot de technische- en<br />
organisatorische maatregelen om de risico’s te beperken die de veiligheid en de integriteit<br />
van netwerken en/of diensten bedreigen. Eveneens bevat de regelgeving over de meldplicht<br />
van inbreuken op de veiligheid en verliezen van integriteit, de verstrekking van informatie<br />
voor de beoordeling van de veiligheid en de integriteit en de aanwijzing van inbreuken op<br />
de veiligheid en verliezen van integriteit van netwerken en/of diensten.<br />
4.2 Naleving zorgplicht continuïteit<br />
In de enquête is een aantal vragen gesteld die een directe relatie heeft met de artikelen die<br />
zijn opgenomen in hoofdstuk 11a van de Tw en/of in het Besluit continuïteit dat vanaf 1<br />
januari 2013, dus enkele weken na het inleveren van de antwoorden op de enquête, van<br />
kracht is geworden.<br />
Deze vragen zijn:<br />
1. Beschikt u over een vastgesteld continuïteitsplan?<br />
2. Wanneer verwacht u wel te beschikken over een vastgesteld continuïteitsplan?<br />
3. Bij uitbesteding bent u er ook verantwoordelijk voor dat derden de verplichtingen als<br />
bedoeld in de zorgplicht continuïteit naleven. Heeft u deze verplichtingen in een<br />
schriftelijke overeenkomst vastgelegd en verwijst u in uw continuïteitsplan naar deze<br />
overeenkomst?<br />
4. Heeft u in het continuïteitsplan die risico’s beschreven die de continuïteit, van uw<br />
netwerken en/of diensten, bedreigen?<br />
5. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze<br />
risico’s te adresseren?<br />
6. Heeft u in het continuïteitsplan, bij het beschrijven van de risico’s, ook rekening<br />
gehouden met grootschalige uitval van elektriciteit en/of ICT?<br />
Op de volgende pagina’s worden de bevindingen in het licht van de naleving van de zorg-<br />
en meldplicht continuïteit naar aanleiding van de resultaten van deze enquêtevragen<br />
volgordelijk behandeld.<br />
Pagina 17 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Ad Vraag 1.<br />
Beschikt u over een vastgesteld continuïteitsplan?<br />
Figuur 3. Meer dan driekwart van de aanbieders geeft aan niet te beschikken over een continuïteitsplan<br />
op het moment van de enquête.<br />
Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête,<br />
vlak voor de inwerkingtreding van het Besluit continuïteit (dat inwerking treedt op 1 januari<br />
2013), niet te beschikken over een vastgesteld continuïteitsplan. Op dat moment was het<br />
overigens nog niet verplicht om te beschikken over een vastgesteld continuïteitsplan.<br />
Ad Vraag 2.<br />
Wanneer verwacht u wel te beschikken een vastgesteld continuïteitsplan?<br />
Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld<br />
continuïteitsplan (in onderstaande tekst staat deze groep voor 100%) geeft 41% aan het<br />
continuïteitsplan, binnen één tot zes maanden af te ronden en vast te stellen. Van de<br />
aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld<br />
continuïteitsplan geeft 3% aan om binnen één maand, 6% aan om binnen drie maanden,<br />
32 % binnen zes maanden en 59% over meer dan zes maanden, het continuïteitsplan af te<br />
gaan ronden en vast te gaan stellen.<br />
Ad Vraag 3.<br />
Heeft u deze verplichtingen in een schriftelijke overeenkomst vastgelegd en verwijst u in<br />
uw continuïteitsplan naar deze overeenkomst?<br />
Bij 65% van de aanbieders zijn deze verplichtingen niet of gedeeltelijk in een schriftelijke<br />
overeenkomst vastgelegd en wordt hiernaar verwezen in het continuïteitsplan. Bij<br />
uitbesteding aan derden blijft de aanbieder verantwoordelijk voor het naleven van de zorg-<br />
en meldplicht continuïteit.<br />
Ad Vraag 4.<br />
Heeft u in het continuïteitsplan die risico’s beschreven die de continuïteit, van uw netwerken<br />
en/of diensten, bedreigen?<br />
Bij 26% van de aanbieders zijn die risico’s in het continuïteitsplan beschreven die de<br />
continuïteit, van de eigen netwerken en/of diensten, bedreigen en 21% van de aanbieders<br />
voldoet hier gedeeltelijk aan.<br />
Pagina 18 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Figuur 4. Iets minder dan driekwart van de aanbieders heeft in het continuïteitsplan niet of gedeeltelijk<br />
die risico’s beschreven die de continuïteit van de eigen aangeboden netwerken en/of diensten<br />
bedreigen.<br />
Bij 74% van de aanbieders zijn de risico’s niet of gedeeltelijk in het continuïteitsplan<br />
beschreven en voldoen ze niet aan de verplichtingen welke in het Besluit continuïteit zijn<br />
vastgelegd.<br />
Ad Vraag 5.<br />
Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico’s<br />
te adresseren?<br />
Figuur 5. Iets minder dan driekwart van de aanbieders heeft in het continuïteitsplan niet of gedeeltelijk<br />
die maatregelen beschreven die men neemt om de risico’s te adresseren.<br />
Bij 71% van de aanbieders zijn de maatregelen die men neemt om de risico’s te adresseren<br />
niet of gedeeltelijk in het continuïteitsplan beschreven en voldoen ze niet aan de<br />
verplichtingen welke in het Besluit continuïteit zijn vastgelegd.<br />
Ad Vraag 6.<br />
Heeft u in het continuïteitsplan, bij het beschrijven van de risico’s, ook rekening gehouden<br />
met grootschalige uitval van elektriciteit en/of ICT?<br />
Meer dan de helft van de aanbieders (52%) geeft aan dat men bij het beschrijven van de<br />
risico’s, geen rekening heeft gehouden met grootschalige uitval van elektriciteit en/of ICT<br />
beschreven in het continuïteitsplan. Hierdoor voldoen ze niet aan de verplichtingen welke in<br />
de regelgeving zijn vastgelegd.<br />
Pagina 19 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Figuur 6. Meer dan de helft van de aanbieders heeft in het continuïteitsplan bij het beschrijven van de<br />
risico’s, geen rekening gehouden met grootschalige uitval van elektriciteit en/of ICT.<br />
4.3 Gebruik loket meldplicht<br />
Heeft u uw inloggegevens aangevraagd en ontvangen? Het betreft hier de inloggegevens<br />
die u nodig heeft om incidenten, met (mogelijke) maatschappelijke en/of economische<br />
impact, bij het loket Meldplicht te melden?<br />
Een totaal van 31% van de aanbieders heeft bij inwerkingtreding van de zorg- en<br />
meldplicht continuïteit de inloggegevens aangevraagd en ontvangen. Het betreft hier de<br />
inloggegevens die men nodig heeft om incidenten, met (mogelijke) maatschappelijke en/of<br />
economische impact, bij het loket Meldplicht elektronisch te melden.<br />
Een totaal van 69% van de aanbieders heeft bij inwerkingtreding van de zorg- en<br />
meldplicht continuïteit de inloggegevens (nog) niet aangevraagd en/of ontvangen.<br />
Aanbieders zijn verplicht om bij inbreuken op de veiligheid en/of een (gedeeltelijk) verlies<br />
aan integriteit melding te maken van dit incident bij <strong>Agentschap</strong> <strong>Telecom</strong>.<br />
Figuur 7. Een totaal van 31% van de aanbieders heeft bij inwerkingtreding van de zorg- en meldplicht<br />
continuïteit de inloggegevens aangevraagd en ontvangen.<br />
Pagina 20 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
5 Bevindingen kwaliteit van het continuïteitsplan<br />
5.1 Inleiding<br />
Waar het gaat om de continuïteit van netwerken en/of diensten zijn de belangen groot.<br />
De onderhavige materie is complex en kent vele invalshoeken. Een kleine toelichting is hier<br />
op zijn plaats.<br />
Vier basale processen<br />
Er zijn vier processen die de continuïteit van netwerken en/of diensten, elk op een eigen<br />
wijze, adresseren. Het proces “Business Continuity Management” (het beheer van de<br />
bedrijfscontinuïteit) en het proces “Integraal Risk Management” (het integraal risicobeheer)<br />
zijn processen die vanuit de optiek van de bedrijfsvoering de continuïteit van netwerken<br />
en/of diensten adresseren. Het proces “ICT Service Management” (het management van de<br />
dienstverlening) en het proces “ICT Readiness” (ICT weerbaarheid) zijn processen die veel<br />
meer vanuit de optiek van de ICT de continuïteit van netwerken en/of diensten benaderen.<br />
Samenvattend kijkt men dus en/of vanuit het oogpunt van de bedrijfsvoering en/of vanuit<br />
het oogpunt van de ICT functie naar de continuïteit van netwerken en/of diensten.<br />
Het belang van integrale aansturing<br />
Het is van het belang de inzichten vanuit beide segmenten, dus vanuit deze vier processen,<br />
niet alleen met elkaar te delen maar ook te combineren. Voor een juiste aansturing en om<br />
de verschillende belangen op juiste wijze te adresseren is het noodzakelijk om het thema<br />
continuïteit van netwerken en/of diensten integraal en holistisch op bestuurlijk niveau te<br />
beheren en te beheersen. Die belangen die zich vanuit de hoek van de bedrijfsvoering<br />
manifesteren dienen waar mogelijk zoveel mogelijk op lijn te worden gebracht met de<br />
belangen vanuit de ICT functie en andersom.<br />
1. Bestuurlijke invalshoek<br />
Naast het op lijn brengen van de verschillende belangen zal men invulling moeten geven<br />
aan de drie hoofdtaken; besturen, evalueren en bewaken van het strategische thema;<br />
continuïteit van netwerken en/of diensten. Hierbij spelen vragen zoals: Is er voldoende<br />
budget vrijgemaakt? Wordt het budget gebruikt om de juiste dingen te doen, op het juiste<br />
moment en op de juiste plek? Zijn wij voldoende voorbereid op grote calamiteiten? Zijn de<br />
verantwoordelijkheden op de juiste manier belegd? Zakelijke belangen staan vaak loodrecht<br />
tegenover de kwaliteitsbelangen, waar trekt men de grens? Kortom de betrokkenheid van<br />
de directie is van groot belang om richting te geven aan dit strategische thema.<br />
2. ICT Technische invalshoek<br />
De bestuurlijke intentie zal vervolgens op de juiste wijze moeten worden vertaald. Hier is<br />
sprake van de ICT technische invalshoek. Hoe geeft men invulling aan de weerbaarheid en<br />
robuustheid van de netwerken en/of diensten? Hierbij speelt de levenscyclus en de<br />
inrichting van de diensten en de gerelateerde ICT (componenten) een rol. Het service<br />
management proces, oftewel het management van de dienstverlening, adresseert de<br />
levenscyclus van dienst en/of netwerk (of elementen hiervan); de levenscyclus van<br />
strategie naar ontwerp, van ontwerp naar transitie, van transitie naar operatie en van<br />
operatie naar uitfasering. Bij het opstellen van de servicestrategie is kwalitatief financieel<br />
management een vereiste. Bij het opstellen van een goede dienst- en/of netwerkontwerp<br />
zijn onder andere elementen als de kwaliteit van de dienstverlening, het beheer van de<br />
beschikbaarheid, de capaciteit en de continuïteit en de informatiebeveiliging zaken die men<br />
in een vroeg stadium al dient te adresseren. Tijdens de implementatie, transitie of<br />
verandering bedreigen weer andere kwetsbaarheden de continuïteit van netwerken en/of<br />
diensten. Uiteindelijk spelen in de operatie processen zoals incident management,<br />
proble(e)m management, change management en de continue verbetering van de service<br />
prestatie bij het beheren en beheersen van de continuïteit van netwerken en/of diensten<br />
een sleutelrol.<br />
Pagina 21 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
3. Crisismanagement<br />
Het is van belang dat bedrijven en instellingen zich zo goed mogelijk voorbereiden op een<br />
mogelijke crisissituatie. Hiertoe worden de meest kritieke- en waardevolle processen,<br />
diensten, elementen etc. in kaart gebracht en worden mogelijke crisisscenario’s voorbereid,<br />
uitgedacht en geadresseerd. Met name in de <strong>Telecom</strong>municatiesector is men hierbij in<br />
toenemende mate afhankelijk van ICT. De continuïteit van netwerken en/of diensten kent<br />
dus ook vanuit deze invalshoek een invulling die op bestuurlijk niveau wordt ingezet en op<br />
de juiste wijze naar de operatie moet worden vertaald. Bij de beschrijving van hoe te<br />
handelen tijdens majeure calamiteiten en/of een crisissituatie is het crisismanagement<br />
proces belangrijk, inclusief crisismanagement team, de continuïteit – en herstelplannen, de<br />
crisisoefeningen en ook de inventarisatie van mogelijke crisisscenario’s. Ook hier is er<br />
sprake van een directe relatie, juist in de <strong>Telecom</strong>municatiesector, met de continuïteit van<br />
netwerken en/of diensten. Op welke crisisscenario’s bereid men zich voor? Is er sprake van<br />
een centraal punt waar men werkt tijdens crisis en heeft men de beschikking over die<br />
informatie die op dat moment relevant is? Wat is de maximaal toelaatbare hersteltijd voor<br />
uitval van specifieke kritieke elementen en/of processen? Welke maatregelen kunnen op<br />
voorhand worden genomen om de impact te verminderen?<br />
4. Integraal Risico Management<br />
De continuïteit van netwerken en/of diensten wordt binnen verschillende processen en<br />
vanuit verschillende invalshoeken bezien. Een adequate aansturing vereist dan ook een<br />
integrale holistische benadering en aanpak, juist daar waar het gaat om het in kaart<br />
brengen van de bestaande- en toekomstige risico’s. Er is sprake van een complexe keten<br />
van afhankelijkheden waar het de continuïteit van netwerken en/of diensten betreft. De<br />
continuïteitsketen is afhankelijk van een groot aantal complexe fysieke en virtuele schakels.<br />
Op elk van de afzonderlijke schakels kunnen volledig andere bedreigingen de totale keten<br />
op negatieve wijze beïnvloeden.<br />
Het zorg dragen voor continuïteit gaat vanzelfsprekend verder dan alleen het opstellen van<br />
een continuïteitsplan.<br />
Figuur 8. Continuïteit van netwerken en/of diensten: de meest relevante processen<br />
Voor alle duidelijkheid worden met de in figuur 8 genoemde processen die processen<br />
bedoeld die de continuïteit van netwerken en/of diensten raken en die gericht zijn op het<br />
nemen van “passende technische en organisatorische maatregelen” om de risico’s voor de<br />
veiligheid en integriteit van netwerken en/of diensten te beheren en te beheersen. Samen<br />
vormen deze processen (hierna te noemen de continuïteitsprocessen) het<br />
continuïteitssysteem dat zorg draagt voor voortdurende verbetering.<br />
Kwaliteit van het continuïteitsplan<br />
Het adequaat inrichten en continu verbeteren van deze processen die de continuïteit van<br />
netwerken en/of diensten direct raken en het integraal aansturen van continuïteit op<br />
bestuurs- en/of directieniveau zijn uiteindelijk bepalend voor de kwaliteit van het<br />
continuïteitssysteem van een onderneming of instelling. Een adequate inrichting van alle<br />
continuïteitsprocessen zal uiteindelijk de kwaliteit en effectiviteit van het totale<br />
continuïteitssysteem bepalen.<br />
Pagina 22 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Bij de uitvoering van dit onderzoek hebben de onderzoekers een beoordeling gegeven over<br />
de kwaliteit van het continuïteitsplan. Let wel, hierbij geven de onderzoekers geen oordeel<br />
over een adequate inrichting van deze continuïteitsprocessen.<br />
In dit onderzoek beperken de onderzoekers zich tot het doen van een uitspraak die<br />
betrekking heeft op de kwaliteit van het continuïteitsplan puur op basis van het al dan niet<br />
aanwezig zijn van een beschrijving van de continuïteitsprocessen (zie figuur 8) in het<br />
continuïteitsplan.<br />
5.2 Continuïteitsplan<br />
Van de aanbieders geeft 24% aan dat zij beschikken over een vastgesteld continuïteitsplan.<br />
De overigen geven aan niet (46%) te beschikken over een vastgesteld continuïteitsplan of<br />
bezig te zijn met de voorbereiding van het continuïteitsplan (30%).<br />
Figuur 9. Beschikt u over een vastgesteld continuïteitsplan?<br />
Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête,<br />
niet te beschikken over een vastgesteld continuïteitsplan.<br />
Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld<br />
continuïteitsplan (in onderstaande tekst staat deze groep voor 100%) geeft 41% aan het<br />
continuïteitsplan, binnen één tot zes maanden af te ronden en vast te stellen. Van de<br />
aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld<br />
continuïteitsplan geeft 3% aan om binnen één maand, 6% aan om binnen drie maanden,<br />
32 % binnen drie maanden en 59% over meer dan drie maanden, het continuïteitsplan af<br />
te gaan ronden en vast te gaan stellen.<br />
5.3 Governance<br />
Specifieke richtlijnen en beleid<br />
Wanneer specifiek wordt gekeken naar goed bestuur van continuïteit, komt het volgende<br />
beeld naar voren. Ten tijde van deze nalevingsmeting zijn er vanuit bestuurlijk oogpunt<br />
duidelijke richtlijnen en doelstellingen afgegeven met betrekking tot de continuïteit en de<br />
beschikbaarheid bij 53% van de aanbieders. Bij 18% van de aanbieders is er geen sprake<br />
van specifiek beleid met betrekking tot de continuïteit en de beschikbaarheid, bij 16% van<br />
de aanbieders is dit in voorbereiding en bij 13% van de aanbieders is er (nog) niet specifiek<br />
maar wel gedeeltelijk beleid opgesteld op dit punt.<br />
Specifieke rapportage met betrekking tot de eigen prestatie<br />
Bij 61% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar<br />
waar het de geleverde prestatie van de organisatie betreft met betrekking tot de<br />
continuïteit en de beschikbaarheid. Bij 11% van de aanbieders gebeurt dit gedeeltelijk. Bij<br />
Pagina 23 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
10% van de aanbieders is een dergelijke rapportage in voorbereiding en bij 18% van de<br />
aanbieders wordt er (nog) niet gerapporteerd.<br />
Specifieke rapportage met betrekking tot prestatie van leveranciers<br />
Bij 44% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar<br />
waar het de geleverde prestatie van de organisatie betreft met betrekking tot de<br />
continuïteit en de beschikbaarheid. Bij 23% van de aanbieders gebeurt dit gedeeltelijk. Bij<br />
10% van de aanbieders is een dergelijke rapportage in voorbereiding en bij 23% van de<br />
aanbieders wordt er (nog) niet gerapporteerd.<br />
Uit de bovenstaande resultaten uit de enquête blijkt dat 18 tot 23% van de aanbieders<br />
weinig tot geen bestuurlijke aandacht heeft waar het gaat om de continuïteit van netwerken<br />
en/of diensten. Hier wordt gedoeld op tenminste twee van de drie bestuurlijke hoofdtaken,<br />
te weten:<br />
Het besturen met name het geven van richtlijnen en beleid;<br />
Het bewaken van de eigen prestatie of die van derden (leveranciers etc.).<br />
5.4 Service management<br />
Beschrijving van vitale service management processen<br />
Bij 21% van de aanbieders is het proces incident management beschreven in het<br />
continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 37%<br />
van de aanbieders is het proces incident management niet beschreven in het<br />
continuïteitsplan en 36% van de aanbieders werkt aan de voorbereiding hiervan.<br />
Bij 17% van de aanbieders is het proces proble(e)m management beschreven in het<br />
continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 42%<br />
van de aanbieders is het proces proble(e)m management niet beschreven in het<br />
continuïteitsplan en 35% van de aanbieders werkt aan de voorbereiding hiervan.<br />
Bij 19% van de aanbieders is het proces change management beschreven in het<br />
continuïteitsplan en bij 4% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 43%<br />
van de aanbieders is het proces change management niet beschreven in het<br />
continuïteitsplan en 34% van de aanbieders werkt aan de voorbereiding hiervan.<br />
Bij 37 tot 43% van de aanbieders zijn de meest relevante processen met betrekking tot het<br />
management van de dienstverlening in het licht van de continuïteit van netwerken en/of<br />
diensten vooralsnog niet beschreven in het continuïteitsplan.<br />
Maximum toelaatbare hersteltijd na storing<br />
Bij 31% van de aanbieders is de maximum toelaatbare hersteltijd na storing<br />
vastgesteld en beschreven in het continuïteitsplan, bij 29% van de aanbieders niet, bij 33%<br />
van de aanbieders is men bezig met de voorbereiding hiervan. Bij 7% van de aanbieders is<br />
de maximum toelaatbare hersteltijd na storing gedeeltelijk vastgesteld en beschreven in<br />
het continuïteitsplan.<br />
Bij 29% van de aanbieders is de maximum toelaatbare hersteltijd na storing niet<br />
vastgesteld en beschreven in het continuïteitsplan. Deze bevinding heeft ook een relatie<br />
met BCM/ICT Readiness namelijk bij het opstellen van de herstelplannen geeft men aan wat<br />
de maximaal toelaatbare hersteltijd is bij storing van kritieke processen en onderdelen.<br />
Registratie incidenten<br />
Bij 57% van de aanbieders worden incidenten op eenduidige wijze geregistreerd waarbij de<br />
mogelijke impact, urgentie en de verwachte hersteltijd eveneens is aangegeven. Bij 14%<br />
van de aanbieders gebeurt dit niet, bij 16% van de aanbieders is men bezig met de<br />
voorbereiding hiervan en bij 13% van de aanbieders worden incidenten gedeeltelijk volgens<br />
de bovenstaande voorwaarden geregistreerd.<br />
Pagina 24 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Ondanks het feit dat 37% van de aanbieders het proces incident management vooralsnog<br />
niet heeft beschreven in het continuïteitsplan, registreert een groep (14%) van de<br />
aanbieders hun incidenten niet op eenduidige wijze, waarbij de mogelijke impact, urgentie<br />
en de verwachte hersteltijd eveneens is aangegeven.<br />
Prioriteren van incidenten met maatschappelijke en/of economische impact<br />
Bij 52% van de aanbieders is er sprake van het prioriteren van incidenten met<br />
maatschappelijke en/of economische impact. Bij 27% van de aanbieders niet, bij 14% van<br />
de aanbieders is men bezig met de voorbereiding hiervan en bij 7% van de aanbieders<br />
worden incidenten met maatschappelijke en/of economische impact gedeeltelijk<br />
geprioriteerd.<br />
Bij 27% van de aanbieders is er geen sprake van het prioriteren van incidenten met<br />
maatschappelijke en/of economische impact.<br />
Verouderde onderdelen van de infrastructuur<br />
Bij 13% van de aanbieders is in het continuïteitsplan omschreven welk deel van de<br />
infrastructuur op korte termijn aan vervanging toe is. Bij 54% van de aanbieders niet, bij<br />
29% van de aanbieders is men bezig met de voorbereiding hiervan en bij 4% van de<br />
aanbieders is in het continuïteitsplan gedeeltelijk omschreven welk deel van de<br />
infrastructuur op korte termijn aan vervanging toe is.<br />
Bij 37% van de aanbieders zijn er met betrekking tot verouderde onderdelen van de<br />
infrastructuur, naast spare part management, additionele passende technische en<br />
organisatorische maatregelen genomen teneinde de continuïteit over dit verouderde<br />
gedeelte te kunnen garanderen. Bij 41% van de aanbieders niet en bij 22% van de<br />
aanbieders is men bezig met de voorbereiding hiervan.<br />
Bij 47% van de aanbieders is er met betrekking tot verouderde onderdelen van de<br />
infrastructuur, een verhoogde paraatheid/ alertheid, bijvoorbeeld in de vorm van<br />
monitoring, ingesteld. Bij 42% van de aanbieders niet en bij 11% van de aanbieders<br />
voldoet hier gedeeltelijk aan.<br />
Bij 54% van de aanbieders is in het continuïteitsplan niet omschreven, welk deel van de<br />
infrastructuur op korte termijn aan vervanging toe is. Bij 41% van de aanbieders zijn er<br />
met betrekking tot verouderde onderdelen van de infrastructuur, naast spare part<br />
management, geen additionele passende technische en organisatorische maatregelen<br />
genomen en bij 42% is er geen sprake van een verhoogde paraatheid/ alertheid, teneinde<br />
de continuïteit over dit verouderde gedeelte te kunnen garanderen.<br />
Actueel overzicht van de huidige leveranciers<br />
Bij 47% van de aanbieders is een actueel overzicht van de huidige leveranciers en/of<br />
service partners op het gebied van ICT en Technische Infrastructuur (hierna TI), welke een<br />
relatie hebben met de continuïteit van uw netwerken en/of diensten, opgenomen in het<br />
continuïteitsplan. Bij 39% van de aanbieders is dit niet het geval en 14% van de aanbieders<br />
voldoet hier gedeeltelijk aan.<br />
Bij 39% van de aanbieders is een actueel overzicht van de huidige leveranciers en/of<br />
service partners op het gebied van ICT en TI, niet opgenomen in het continuïteitsplan.<br />
Pagina 25 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
5.5 BCM/ ICT Readiness: inclusief crisis- en herstelplannen<br />
Figuur 10. Heeft u in het continuïteitsplan, bij het beschrijven van de risico’s, ook rekening gehouden<br />
met grootschalige uitval van elektriciteit en/of ICT?<br />
Bij 52% van de aanbieders heeft men, bij het beschrijven van de risico’s in het<br />
continuïteitsplan, geen rekening gehouden met grootschalige uitval van elektriciteit en/of<br />
ICT.<br />
Bij 46% van de aanbieders heeft men, in geval van grootschalige uitval van elektriciteit<br />
en/of ICT, de dan in werking tredende kritieke processen en activiteiten niet in het<br />
continuïteitsplan beschreven.<br />
5.6 Integraal risico management<br />
Risico’s beschreven, inclusief kans en impact<br />
Bij 26% van de aanbieders zijn die risico’s in het continuïteitsplan beschreven die de<br />
continuïteit, van de eigen netwerken en/of diensten, bedreigen. Bij 53% van de aanbieders<br />
is dit niet het geval en 21% van de aanbieders voldoet hier gedeeltelijk aan.<br />
Bij 24% van de aanbieders zijn de risico’s in het continuïteitsplan beschreven waarbij<br />
eveneens de kans van het optreden van het risico en de impact bij het optreden van het<br />
risico wordt vermeld. Bij 58% van de aanbieders is dit niet het geval en 24% van de<br />
aanbieders voldoet hier gedeeltelijk aan.<br />
Bij 53% van de aanbieders zijn de risico’s die de continuïteit, van de eigen netwerken en/of<br />
diensten bedreigen, niet beschreven in het continuïteitsplan. Bij 58% van de aanbieders<br />
zijn de risico´s niet zodanig beschreven dat ook de kans op het optreden van het risico en<br />
de mogelijke impact bij optreden van het risico is beschreven in het continuïteitsplan.<br />
Pagina 26 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Passende maatregelen om risico’s te adresseren<br />
Bij 52% van de aanbieders heeft men de maatregelen welke men neemt om deze risico’s te<br />
adresseren niet in het continuïteitsplan beschreven.<br />
Figuur 11. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico’s<br />
te adresseren?<br />
Pagina 27 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
6 Overige bevindingen<br />
6.1 Vitale infrastructuur<br />
Wij kunnen concluderen dat 36% van de aanbieders zich er bewust van is dat men<br />
netwerken en/of diensten levert aan bedrijven en/of instellingen die binnen de definitie<br />
vitale infrastructuur vallen en dat de directie hiervan op de hoogte is. Het betreft hier in<br />
totaal 180 aanbieders van verschillende omvang.<br />
Van deze 180 aanbieders heeft 38% beschreven welke additionele maatregelen zijn<br />
genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat<br />
betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die<br />
binnen de definitie vitale infrastructuur vallen.<br />
Figuur 12. Heeft u een actueel overzicht van die zakelijke klanten (bedrijven en/of instellingen), die<br />
binnen de definitie “vitale infrastructuur” vallen en die u netwerken en/of diensten levert, opgenomen<br />
in het continuïteitsplan?<br />
Van deze groep van 180 aanbieders beschikt 26% over een actueel overzicht van deze<br />
zakelijke klanten die binnen de definitie vitale infrastructuur vallen. Aan hen levert men<br />
netwerken en/of diensten en heeft men dit overzicht opgenomen in het continuïteitsplan. Er<br />
is echter wel bij 52% van de aanbieders sprake van het prioriteren van incidenten met<br />
maatschappelijke en/of economische impact.<br />
Pagina 28 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
7 Conclusie<br />
In dit hoofdstuk staat de beantwoording van de onderzoeksvraag, inclusief de afgeleide<br />
onderzoeksvragen centraal: In welke mate verwachten de aanbieders te voldoen aan de<br />
verplichtingen ten aanzien van de zorg- en meldplicht continuïteit op het moment van<br />
inwerkingtreding van de wet- en regelgeving?<br />
De deelvragen zijn:<br />
1. Wat is de stand van zaken ten aanzien van de zorg- en meldplicht continuïteit op het<br />
moment van inwerkingtreding van de wet- en regelgeving; in welke mate verwachten de<br />
aanbieders te voldoen aan hun verplichtingen? Zijn aanbieders in het bezit van een<br />
continuïteitsplan? Indien men nog geen continuïteitsplan heeft, wanneer denkt men<br />
hierover te beschikken?<br />
2. Wat is de kwaliteit van het continuïteitsplan?<br />
Beschrijven de aanbieders de risico’s inclusief de maatregelen die men heeft<br />
genomen om deze risico’s te adresseren? Hebben aanbieders, bij het beschrijven van<br />
de risico’s in het continuïteitsplan, rekening gehouden met majeure calamiteiten zoals<br />
grootschalige uitval van elektriciteit en/of ICT?<br />
Zijn in ieder geval de meest relevante processen door de aanbieders ingericht en<br />
beschreven in het continuïteitsplan? Gedoeld wordt op die processen die gericht zijn<br />
op het nemen van “passende technische en organisatorische maatregelen” om de<br />
risico’s voor de veiligheid en integriteit van netwerken en/of diensten te beheren en<br />
te beheersen inclusief het systeem dat zorg draagt voor voortdurende verbetering.<br />
Verder leiden de bevindingen uit de voorgaande hoofdstukken tot een aantal conclusies. De<br />
belangrijkste conclusies worden eveneens in dit hoofdstuk weergegeven.<br />
7.1 Stand van zaken naleving zorg- en meldplicht<br />
Continuïteitsplan<br />
Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête,<br />
dus enkele weken voor de inwerkingtreding van het Besluit continuïteit, niet te beschikken<br />
over een vastgesteld continuïteitsplan.<br />
Om te bepalen welke omvang een aanbieder heeft, wordt een klasse naar grootte<br />
gehanteerd op basis van de omzet. Deze zijn:<br />
1. Klein: 0 - 2 miljoen euro;<br />
2. Middel: 2 – 20 miljoen euro;<br />
3. Groot: 20 miljoen euro of meer.<br />
Van de aanbieders die aangeven nog niet te beschikken over een vastgesteld<br />
continuïteitsplan, kan, na analyse, het merendeel gekenmerkt worden als “middelgroot” of<br />
“klein”. De grotere netwerkaanbieders bevinden zich niet in deze categorie.<br />
Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat meer dan<br />
driekwart van de aanbieders geen continuïteitsplan heeft, hebben wij onderzocht waar wij<br />
de grotere aanbieders, 13% van het totaal, kunnen plaatsen. De meerderheid (77%) van<br />
de grote netwerkaanbieders beschikt op het moment van de enquête over een vastgesteld<br />
continuïteitsplan. Bij 16% van de grote aanbieders is het continuïteitsplan in voorbereiding<br />
en 7% beschikt niet over een vastgesteld continuïteitsplan (en is ook niet in voorbereiding).<br />
Wanneer beschikt men wel over een vastgesteld continuïteitsplan?<br />
Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld<br />
continuïteitsplan 9 geeft 41% aan het continuïteitsplan, binnen één tot zes maanden af te<br />
9 Deze groep staat voor 100%.<br />
Pagina 29 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
ronden en vast te stellen. Van de aanbieders die aangeven nog niet of bijna te beschikken<br />
over een vastgesteld continuïteitsplan geeft 3% aan om binnen één maand (tijdig), 6% aan<br />
om binnen drie maanden, 32 % binnen zes maanden en 59% over meer dan zes maanden,<br />
het continuïteitsplan af te gaan ronden en vast te gaan stellen. Bij het nader doorrekenen<br />
van deze resultaten kan worden geconcludeerd dat bij de inwerkingtreding van het Besluit<br />
continuïteit (1 januari 2013) 74% niet tijdig voldoet aan de wet- en regelgeving door niet<br />
tijdig te beschikken over een vastgesteld continuïteitsplan. 10 Hiermee is de hoofdvraag van<br />
het onderzoek beantwoord.<br />
Naleving van de wetgeving bij uitbesteding aan derden<br />
Bij 65% van de aanbieders zijn deze verplichtingen niet of slechts gedeeltelijk in een<br />
schriftelijke overeenkomst vastgelegd en wordt hiernaar verwezen in het continuïteitsplan.<br />
Deze groep loopt een verhoogt risico aangaande het niet naleven van de zorg- en<br />
meldplicht continuïteit door derden. Bij uitbesteding is de aanbieder verantwoordelijk voor<br />
het naleven van zorg- en meldplicht continuïteit bij uitbesteding aan derden.<br />
Beschrijven van de risico’s inclusief passende maatregelen<br />
Iets minder dan driekwart van de aanbieders (71%) geeft aan dat de maatregelen die men<br />
neemt om de risico’s te adresseren niet of slechts gedeeltelijk heeft beschreven in het<br />
continuïteitsplan.<br />
Beschrijven risicoscenario: grootschalige uitval van elektriciteit<br />
Meer dan de helft van de aanbieders (52%) geeft aan dat bij het beschrijven van de<br />
risico’s, in het continuïteitsplan geen rekening is gehouden met grootschalige uitval van<br />
elektriciteit en/of ICT.<br />
Eindconclusie: in welke mate verwachten aanbieders te voldoen aan de<br />
verplichtingen?<br />
Van de aanbieders verwacht 26% aan de belangrijkste verplichting te voldoen ten aanzien<br />
van de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de wet- en<br />
regelgeving, namelijk het tijdig in het bezit zijn van een vastgesteld continuïteitsplan.<br />
Figuur 13. Verwachten aanbieders tijdig te voldoen aan wet- en regelgeving door tijdig te beschikken<br />
over een vastgesteld continuïteitsplan?<br />
10 Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête, vlak voor de inwerkingtreding van<br />
het Besluit continuïteit op 1 januari 2013, niet te beschikken over een vastgesteld continuïteitsplan. Op dat moment was het<br />
nog niet verplicht om te beschikken over een vastgesteld continuïteitsplan. Deze verplichting is enkele weken later ingegaan<br />
namelijk op 1 januari 2013. Van de aanbieders die tijdens de enquête aangaven niet of nog niet te voldoen geeft 3% aan<br />
binnen 1 maand te beschikken over een continuïteitsplan. Afgerond correspondeert deze 3% van 76% van de aanbieders die<br />
aangaven niet te beschikken over een continuïteitsplan tijdens de enquête, met 2% van het totale aantal aanbieders (100%).<br />
Deze 2% is opgeteld bij aanbieders die tijdens de enquête aangaven al te beschikken over een vastgesteld continuïteitsplan.<br />
Dit betekent dat 24% + 2% = 26% verwacht te beschikken over een vastgesteld continuïteitsplan op 1 januari 2013.<br />
Pagina 30 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Grote diensten- en netwerkaanbieders<br />
Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat 74% van de<br />
aanbieders geen continuïteitsplan heeft, hebben wij onderzocht waar wij de grotere<br />
aanbieders, 13% van het totaal, kunnen plaatsen.<br />
De meerderheid (77%) van de grote dienst- en netwerkaanbieders beschikt op het moment<br />
van de enquête over een vastgesteld continuïteitsplan. Bij 16% van de grote aanbieders is<br />
het continuïteitsplan in voorbereiding en 7% beschikt niet over een vastgesteld<br />
continuïteitsplan.<br />
Figuur 14. De meerderheid van de grote aanbieders beschikt over een vastgesteld continuïteitsplan ten<br />
tijde van de enquête.<br />
7.2 Kwaliteit van het continuïteitsplan<br />
Inleiding<br />
Bij de uitvoering van dit onderzoek hebben de onderzoekers een beoordeling gegeven over<br />
de kwaliteit van het continuïteitsplan. Let wel, hierbij geven de onderzoekers geen oordeel<br />
over een adequate inrichting van de continuïteitsprocessen.<br />
In dit onderzoek beperken de onderzoekers zich tot het doen van een uitspraak die<br />
betrekking heeft op de kwaliteit van het continuïteitsplan puur op basis van het al dan niet<br />
aanwezig zijn van een beschrijving van de continuïteitsprocessen in het continuïteitsplan.<br />
Verhoging van de bewustwording van alle relevante afhankelijkheden, risico’s en<br />
kwetsbaarheden op alle niveaus (niet alleen operationeel) en een goed continuïteitsbeleid<br />
bij aanbieders is van evident belang. Dit moet uiteindelijk leiden tot een verbetering van de<br />
continuïteit van netwerken en/of diensten.<br />
Om eerste indruk te krijgen van de maatregelen en de wijze waarop aanbieders om gaan<br />
met de continuïteit van netwerken en/of diensten zijn er in de enquête verschillende vragen<br />
gesteld. Die moeten duidelijkheid verschaffen over de mate van het continuïteitsbewustzijn<br />
bij de aanbieders en een indruk geven van de kwaliteit van het continuïteitsplan.<br />
Continuïteitsplan<br />
Door het ontbreken van het continuïteitsplan, ontbreekt niet alleen een vastgestelde<br />
eenduidige integrale aanpak van het strategische thema continuïteit, ook ontbreekt een<br />
eenduidige integrale aanpak van de continuïteitsrisico´s, inclusief mitigerende maatregelen.<br />
Mogelijke crisisscenario´s en herstelplannen worden ook niet eenduidig en integraal in het<br />
kader van de continuïteit van netwerken en/of diensten geadresseerd. Dit heeft tot gevolg<br />
dat er onnodige kwetsbaarheden blijven bestaan waar het de continuïteit van netwerken<br />
en/of diensten betreft.<br />
Pagina 31 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Governance proces<br />
Uit de enquête blijkt dat 18 tot 23% van de aanbieders weinig bestuurlijke aandacht heeft<br />
waar het gaat om de continuïteit van netwerken en/of diensten. Hier wordt gedoeld op<br />
tenminste twee van de drie bestuurlijke hoofdtaken, te weten:<br />
Het besturen: door middel van het geven van richtlijnen en het opstellen van<br />
beleid;<br />
Het bewaken van de eigen prestatie of die van derden (leveranciers etc.).<br />
Klanten mogen van aanbieders verwachten dat ze, vanuit een vanzelfsprekende<br />
maatschappelijke en economische verantwoordelijkheid, op adequate wijze zorg dragen<br />
voor de continuïteit van netwerken en/of diensten. Het is opmerkelijk dat zo weinig<br />
aanbieders (26%) vooralsnog verwachten tijdig te beschikken over een continuïteitsplan.<br />
Service management proces<br />
Beschrijving van vitale service management processen<br />
Bij 37 tot 43% van de aanbieders zijn de meest relevante service management processen,<br />
te weten; incident-, proble(e)m en change management processen vooralsnog niet<br />
beschreven in het continuïteitsplan.<br />
Wij kunnen hieruit concluderen dat de kwaliteit van het continuïteitsplan op dit punt bij<br />
meer dan een derde van de aanbieders (37 tot 43%) nog onder het gewenste niveau ligt.<br />
Registratie incidenten<br />
Echter ondanks het feit dat 37% van de aanbieders het proces incident management<br />
vooralsnog niet heeft beschreven in het continuïteitsplan, registreert slechts een kleine<br />
groep (14%) van de aanbieders hun incidenten niet op eenduidige wijze, waarbij de<br />
mogelijke impact, urgentie en de verwachte hersteltijd eveneens is aangegeven.<br />
Wij kunnen derhalve concluderen dat het proces incident management of delen daarvan,<br />
ondanks dat het proces zelf niet in het continuïteitsplan is beschreven, bij het overgrote<br />
gedeelte (86%) van de aanbieders wel of gedeeltelijk is geïmplementeerd.<br />
Actueel overzicht van de huidige leveranciers<br />
Bij slechts 39% van de aanbieders is een actueel overzicht van de huidige leveranciers<br />
en/of service partners op het gebied van ICT en TI, niet opgenomen in het continuïteitsplan.<br />
Het beheren en beheersen van de (prestatie) van de leveranciers is vaak een belangrijke<br />
schakel/afhankelijkheid in de continuïteitsketen. Bij het integraal adresseren van<br />
continuïteit is tenminste het invoegen van een actueel overzicht van de huidige leveranciers<br />
en/of service partners op het gebied van ICT en TI in het continuïteitsplan van belang. We<br />
kunnen uit de resultaten van de enquête concluderen dat op dit punt de kwaliteit van het<br />
continuïteitsplan bij meer dan een derde van de aanbieders (39%) nog onder het gewenste<br />
kwaliteitsniveau ligt.<br />
Samenvattend kan worden geconcludeerd dat bij meer dan een derde van de aanbieders de<br />
kwaliteit van het continuïteitsplan op het gebied van service management nog onder het<br />
gewenste kwaliteitsniveau ligt.<br />
BCM/ ICT Readiness proces<br />
Maximum toelaatbare hersteltijd na storing<br />
Bij 29% van de aanbieders is de maximum toelaatbare hersteltijd na storing niet<br />
vastgesteld en beschreven in het continuïteitsplan. Deze bevinding heeft ook een relatie<br />
met BCM/ICT Readiness namelijk bij het opstellen van de herstelplannen geeft men aan wat<br />
de maximaal toelaatbare hersteltijd is bij storing van kritieke processen en onderdelen<br />
bijvoorbeeld in de ICT infrastructuur.<br />
Dit is met name van belang om een duidelijk beeld te krijgen van de prioriteiten tijdens het<br />
crisismanagement proces dat wordt gestart als gevolg majeure bedrijfskritieke storingen.<br />
Pagina 32 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Grootschalige uitval van elektriciteit en/of ICT<br />
Bij 52% van de aanbieders heeft men, bij het beschrijven van de risico’s in het<br />
continuïteitsplan, geen rekening gehouden met grootschalige uitval van elektriciteit en/of<br />
ICT.<br />
Figuur 15. Heeft u in het continuïteitsplan, bij het beschrijven van de risico’s, ook rekening gehouden<br />
met grootschalige uitval van elektriciteit en/of ICT?<br />
Grote diensten- en netwerkaanbieders<br />
Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat 52% van de<br />
aanbieders geen rekening heeft gehouden met grootschalige uitval van elektriciteit en/of<br />
ICT, hebben wij onderzocht waar wij de grotere aanbieders, 13% van het totaal, kunnen<br />
plaatsen.<br />
De meerderheid (85%) van de grote dienst- en netwerkaanbieders heeft, bij het<br />
beschrijven van de risico’s, rekening gehouden met grootschalige uitval van elektriciteit<br />
en/of ICT, 15% heeft hier geen rekening mee gehouden.<br />
Figuur 16. De meerderheid (85%) van de grote netwerkaanbieders heeft, bij het beschrijven van de<br />
risico’s, rekening gehouden met grootschalige uitval van elektriciteit en/of ICT.<br />
Bij 46% van de aanbieders heeft men, in geval van grootschalige uitval van elektriciteit<br />
en/of ICT, de dan in werking tredende kritieke processen en activiteiten niet in het<br />
continuïteitsplan beschreven.<br />
Samenvattend kan worden geconcludeerd dat bij meer dan een derde van de aanbieders de<br />
kwaliteit van het continuïteitsplan op het gebied van BCM/ ICT Readiness proces nog onder<br />
het gewenste kwaliteitsniveau ligt.<br />
Pagina 33 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Risico management proces<br />
Risico’s beschreven, inclusief kans en impact<br />
Bij 53% van de aanbieders zijn de risico’s die de continuïteit, van de eigen netwerken en/of<br />
diensten bedreigen, niet in het continuïteitsplan. Bij 58% van de aanbieders zijn de risico´s<br />
niet zodanig beschreven dat ook de kans op het optreden van het risico en de mogelijke<br />
impact bij optreden van het risico is beschreven in het continuïteitsplan.<br />
Passende maatregelen om risico’s te adresseren<br />
Bij 52% van de aanbieders heeft men de maatregelen om deze risico’s te adresseren niet in<br />
het continuïteitsplan beschreven.<br />
Figuur 17. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico’s<br />
te adresseren?<br />
Samenvattend kan worden geconcludeerd dat bij meer dan de helft van de aanbieders de<br />
kwaliteit van het continuïteitsplan op het gebied van het beschrijven van zowel de risico’s<br />
als de maatregelen onder het gewenste kwaliteitsniveau ligt.<br />
Eindconclusie: wat is de kwaliteit van het continuïteitsplan?<br />
Samenvattend kan worden geconcludeerd dat bij meer dan een derde en op sommige<br />
punten bij meer dan de helft van de aanbieders de kwaliteit van het continuïteitsplan in<br />
relatie met de meest relevante continuïteitsprocessen nog onder het gewenste<br />
kwaliteitsniveau ligt.<br />
Uit de enquête blijkt dat 18 tot 23% van de aanbieders weinig bestuurlijke aandacht heeft<br />
waar het gaat om de continuïteit van netwerken en/of diensten. Hier wordt gedoeld op<br />
tenminste twee van de drie bestuurlijke hoofdtaken, te weten:<br />
Het besturen: door middel van het geven van richtlijnen en het opstellen van<br />
beleid;<br />
Het bewaken van de eigen prestatie of die van derden (leveranciers etc.).<br />
Het is opmerkelijk dat meer dan driekwart van de aanbieders (74%) verwacht niet tijdig te<br />
beschikken over een vastgesteld continuïteitsplan op het moment van inwerkingtreding van<br />
de zorg- en meldplicht continuïteit en het Besluit continuïteit.<br />
7.3 Overige conclusies<br />
Vitale infrastructuur<br />
Wij kunnen concluderen dat 36% van de aanbieders zich er bewust van is dat men<br />
netwerken en/of diensten levert aan bedrijven en/of instellingen die binnen de definitie<br />
vitale infrastructuur vallen en dat de directie hiervan op de hoogte is. Het betreft hier in<br />
totaal 180 aanbieders van verschillende omvang.<br />
Pagina 34 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Van deze 180 aanbieders heeft 38% beschreven welke additionele maatregelen er zijn<br />
genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat<br />
betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die<br />
binnen de definitie vitale infrastructuur vallen. Van deze groep van 180 aanbieders beschikt<br />
26% over een actueel overzicht van deze zakelijke klanten die binnen de definitie vitale<br />
infrastructuur vallen. Aan hen levert men netwerken en/of diensten en heeft men dit<br />
overzicht eveneens opgenomen in het continuïteitsplan. Er is echter wel bij 52% van de<br />
aanbieders sprake van het prioriteren van incidenten met maatschappelijke en/of<br />
economische impact.<br />
Bij het leveren van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de<br />
definitie “vitale infrastructuur” vallen is er sprake van gedeelde verantwoordelijkheden.<br />
Vanzelfsprekend is het zo dat deze vitale bedrijven en instellingen een eigen<br />
verantwoordelijkheid hebben teneinde zich te vergewissen van het feit dat men beschikt<br />
over een optimale ICT verbinding.<br />
Echter ontslaat dit de aanbieder niet van de maatschappelijke verantwoordelijkheid alert te<br />
zijn op het leveren van passende netwerken en/of diensten aan bedrijven en/of instellingen<br />
die binnen de definitie vitale infrastructuur vallen en navraag te doen of de verbinding een<br />
vitaal karakter heeft.<br />
Integrale aanpak continuïteit<br />
De continuïteit van netwerken en/of diensten kent vele invalshoeken. Er is sprake van<br />
diverse afhankelijkheden die in sterke mate de totale continuïteitsketen (figuur 18)<br />
beïnvloeden. “De keten is zo sterk als de zwakste schakel”.<br />
Met de inwerkingtreding van de zorg- en meldplicht continuïteit is het van belang dat men<br />
de continuïteit van netwerken en/of diensten verbetert en de maatschappelijke en<br />
economische impact van incidenten en calamiteiten tot het minimum weet te beperken.<br />
Daar waar aanbieders zich met name richten op de financiële gevolgen en/of de gevolgen in<br />
relatie met mogelijke imagoschade naar aanleiding van incidenten en calamiteiten is het<br />
van belang dat men ook oog heeft voor de economische en/of maatschappelijke schade die<br />
wordt aangericht.<br />
Juist incidenten en calamiteiten die leiden tot uitval van netwerken en/of diensten met<br />
impact op bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen<br />
kunnen leiden tot ernstige maatschappelijke en/ of economische impact en zelfs<br />
maatschappelijke ontwrichting.<br />
Om de continuïteit van netwerken en/of diensten te verbeteren en de impact van incidenten<br />
en calamiteiten te verminderen is een integrale aanpak van de continuïteit van netwerken<br />
en/of diensten op bestuurlijk niveau wenselijk. De continuïteit van netwerken en/of<br />
diensten vraagt om een integrale en holistische aanpak waarbij men bestuurt, evalueert en<br />
bewaakt en oog heeft voor de diverse afhankelijkheden die binnen de continuïteitsketen<br />
bestaan. Hoe groter de omzet van de aanbieder hoe groter ook de noodzaak wordt om alle<br />
processen die de continuïteit van netwerken en/of diensten raken te integreren en te<br />
beschrijven in één vastgesteld continuïteitssysteem met een vastgesteld continuïteitsplan.<br />
Vanuit dit uitgangspunt kan men werken aan de volgende stappen, te weten:<br />
1. Voortdurende proportionele verbetering van het continuïteitssysteem;<br />
2. Voortdurende proportionele verbetering van het beperken van de impact van incidenten<br />
en majeure calamiteiten.<br />
Pagina 35 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Naar aanleiding van de enquête kunnen wij echter concluderen dat op dit punt verdere<br />
ontwikkeling en verbetering noodzakelijk is.<br />
Figuur 18. Het continuïteitssysteem: oog hebben voor de maatschappelijke en economische impact van<br />
incidenten.<br />
Pagina 36 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Bijlage I Aanbiedingsbrief en enquête<br />
Retouradres Postbus 450 9700 AL Groningen<br />
Datum 2 oktober 2012<br />
Betreft Verzoek om informatie ten behoeve van de <strong>nulmeting</strong> <strong>continuiteit</strong><br />
Geachte heer, mevrouw,<br />
Per 5 juni 2012 is de gewijzigde <strong>Telecom</strong>municatiewet in werking getreden 11 die ook van<br />
toepassing is of kan zijn op uw organisatie. De wijzigingen betreffen onder andere de zorg-<br />
en meldplicht continuïteit. 12 <strong>Agentschap</strong> <strong>Telecom</strong> is belast met het toezicht op naleving van<br />
de <strong>Telecom</strong>municatiewet, onder meer wat betreft de zorg- en meldplicht continuïteit. Ik<br />
vraag uw medewerking aan de <strong>nulmeting</strong> die <strong>Agentschap</strong> <strong>Telecom</strong> als toezichthouder<br />
uitvoert.<br />
Niet vrijblijvend<br />
De beantwoording van deze vragenlijst is niet vrijblijvend. <strong>Agentschap</strong> <strong>Telecom</strong> is<br />
gerechtigd namens de Minister deze inlichtingen te vorderen voor haar toezichtactiviteiten.<br />
Tijdens inspecties en audits kan de feitelijke situatie worden vergeleken met de door u<br />
ingevulde antwoorden.<br />
Nulmeting en toezicht<br />
Het doel van deze <strong>nulmeting</strong> is te inventariseren wat de beginsituatie is bij de aanbieders<br />
ten aanzien van de zorgplicht. Na een bepaalde periode gaat het agentschap met een<br />
volgende meting na of er verschuivingen optreden in de mate waarin de aanbieders de<br />
verplichtingen uit de <strong>Telecom</strong>municatiewet naleven.<br />
Op grond van het register van openbare telecommunicatie aanbieders (OPTA) blijkt dat uw<br />
organisatie binnen de reikwijdte van deze wetgeving valt. 13 Ik verzoek u daarom<br />
onderstaande vragen te beantwoorden. De gegevens die u verstrekt zullen vertrouwelijk<br />
worden behandeld. De geanonimiseerde uitkomst van deze <strong>nulmeting</strong> kan worden gebruikt<br />
om het parlement op hoofdlijnen te informeren over de huidige stand van zaken.<br />
11<br />
Wijziging van de <strong>Telecom</strong>municatiewet ter implementatie van de herziene telecommunicatierichtlijnen<br />
12<br />
Hoofdstuk 11a <strong>Telecom</strong>municatiewet<br />
13<br />
NB Aanbieders dienen zich verplicht op te laten nemen in het register van OPTA. Ook als een aanbieder dit heeft nagelaten,<br />
valt hij alsnog binnen de scope van de wet.<br />
Pagina 37 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Vragenlijst<br />
In bijlage II treft u de vragen aan. Ik verzoek u de ingevulde vragenlijst, binnen drie weken<br />
na dagtekening van deze brief te retourneren naar:<br />
<strong>Agentschap</strong> <strong>Telecom</strong><br />
t.a.v. Afdeling veiligheid<br />
antwoordnummer 7234<br />
3800 TE Amersfoort<br />
of via het e-mail adres informatieveiligheid@agentschaptelecom.nl<br />
Wetgeving<br />
In bijlage I vindt u de toelichting op zorg- en meldplicht continuïteit. Voor meer informatie<br />
betreffende de wettelijke eisen waaraan aanbieders moeten voldoen verwijs ik u graag naar<br />
de website van <strong>Agentschap</strong> <strong>Telecom</strong>, thema veiligheid, zorg- en meldplicht continuïteit.<br />
Mocht u naar aanleiding van deze brief vragen hebben of zijn er zaken niet duidelijk dan<br />
kunt u contact opnemen met de heer M.T. Beemer.<br />
Hoogachtend,<br />
De Minister van Economische Zaken,<br />
Landbouw en Innovatie, namens deze,<br />
A.C. van Emous<br />
Hoofd afdeling Veiligheid<br />
<strong>Agentschap</strong> <strong>Telecom</strong><br />
Pagina 38 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
BIJLAGE I (Aanbiedingsbrief)<br />
Zorg- en meldplicht continuïteit 14<br />
Het nieuw Europees regelgevend kader 15 is omgezet in nationale wetgeving, in de<br />
gewijzigde <strong>Telecom</strong>municatiewet. Het nieuwe artikel 13bis van de Kaderrichtlijn<br />
introduceert een aantal verplichtingen vanuit de optiek van de continuïteit van netwerken<br />
en dienstverlening met behulp van deze netwerken.<br />
De eerste nieuwe verplichting betreft de veiligheid van openbare elektronische<br />
communicatienetwerken en openbare elektronische communicatiediensten. Ten aanzien van<br />
die veiligheid was vanuit de optiek van de privacy reeds in de bijzondere privacyrichtlijn de<br />
verplichting opgenomen voor aanbieders van openbare elektronische communicatiediensten<br />
om passende technische en organisatorische maatregelen te treffen om de veiligheid van de<br />
geboden diensten te garanderen. In de wet is deze verplichting te vinden in artikel 11.3. De<br />
Kaderrichtlijn voegt hier vanuit het perspectief van de continuïteit een verplichting ten<br />
aanzien van lidstaten aan toe om ervoor te zorgen dat ondernemingen die openbare<br />
elektronische communicatienetwerken of openbare elektronische communicatiediensten<br />
aanbieden, passende technische en organisatorische maatregelen nemen om risico’s die de<br />
veiligheid bedreigen goed te beheersen. De te nemen maatregelen moeten er toe leiden dat<br />
de gevolgen van de incidenten voor de onderling verbonden netwerken en daarover<br />
plaatsvindende dienstverlening zo beperkt mogelijk zijn.<br />
De tweede nieuwe verplichting die artikel 13bis in het leven roept ziet toe op de integriteit<br />
van openbare elektronische communicatienetwerken netwerken. Lidstaten moeten ervoor<br />
zorgen dat ondernemingen die openbare elektronische communicatienetwerken aanbieden<br />
alle nodige maatregelen nemen om te zorgen voor de integriteit van hun netwerken zodat<br />
men zorg draagt voor de continuïteit van de via de netwerken geleverde diensten. Om aan<br />
de genoemde verplichtingen te voldoen worden aanbieders van openbare elektronische<br />
communicatienetwerken en openbare elektronische communicatiediensten verplicht<br />
passende technische- en organisatorische maatregelen te treffen om de risico’s die de<br />
veiligheid, integriteit, continuïteit en beschikbaarheid van deze diensten en netwerken<br />
bedreigen te beheersen. Bij verstoring van de elektriciteitsvoorziening of technische storing<br />
moeten zelfs alle noodzakelijke maatregelen worden genomen om de uitval te repareren.<br />
Dat gaat duidelijk verder dan ‘passende maatregelen’.<br />
14 Onderstaand stuk is gebaseerd op Kamerstukken II, vergaderjaar 2010–2011, 32 549, nr. 3 (Memorie van Toelichting (MvT).<br />
15 Het Europese kader op het terrein van elektronische communicatie bestaat uit een vijftal richtlijnen: richtlijn 2002/21/EG<br />
(de zogenoemde Kaderrichtlijn), richtlijn 2002/22/EG (de Universele dienstrichtlijn), richtlijn 2002/58/EG (de Bijzondere<br />
privacyrichtlijn), richtlijn 2002/19/EG (de Toegangsrichtlijn) en richtlijn 2002/20/EG (de Machtigingsrichtlijn). Deze<br />
richtlijnen zijn in het Nederlands recht voornamelijk omgezet in de <strong>Telecom</strong>municatiewet en de daarop gebaseerde<br />
regelgeving.<br />
Pagina 39 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Meldplicht<br />
Een derde uit artikel 13bis van de Kaderrichtlijn voorvloeiende nieuwe verplichting is de<br />
meldplicht voor veiligheidsinbreuken en het verlies van integriteit in het geval deze een<br />
belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde<br />
diensten. Er is voor gekozen de meldingen te laten plaatsvinden bij de Minister van<br />
Economische Zaken, Landbouw en Innovatie. Ernstige verstoringen van de continuïteit van<br />
de netwerken en de daarover plaatsvindende dienstverlening zijn immers ook van belang in<br />
het kader van buitengewone omstandigheden. De meldingsplichten in het kader van<br />
continuïteit sluiten dan ook goed aan bij de reeds in het kader van hoofdstuk 14<br />
plaatsvindende meldplicht van verstoringen van de continuïteit van de dienstverlening. De<br />
meldplichten voor aanbieders van openbare elektronische communicatienetwerken en<br />
openbare elektronische communicatiediensten in verband met integriteit en veiligheid staan<br />
in beginsel naast de nieuw in te voeren meldplicht voor aanbieders van openbare<br />
elektronische communicatiediensten ten aanzien van veiligheidsinbreuken die leiden tot het<br />
ongewenst vrijkomen van persoonsgegevens. Dat wil echter niet zeggen dat er in de<br />
praktijk geen overlap kan zijn. Een veiligheidsinbreuk kan immers tegelijkertijd leiden tot<br />
een belangrijk effect op de continuïteit en het ongewild vrijkomen van persoonsgegevens.<br />
Om administratieve lasten zo veel mogelijk te beperken is ervoor gezorgd dat beide<br />
meldingen praktisch gezien bij eenzelfde meldpunt kunnen worden gedaan; Loket<br />
meldplicht <strong>Telecom</strong>wet van het <strong>Agentschap</strong> <strong>Telecom</strong>. De meldingen van privacy inbreuken<br />
worden direct doorgestuurd naar OPTA.<br />
Pagina 40 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
BIJLAGE II (Aanbiedingsbrief)<br />
Verzoek om informatie<br />
Verzoek om informatie in verband met de <strong>nulmeting</strong> inzake de mate van naleving van de<br />
<strong>Telecom</strong>municatiewet, wat betreft de zorg- en meldplicht continuïteit.<br />
De beantwoording van de vragen is niet vrijblijvend. Tijdens onze inspecties en audits kan<br />
<strong>Agentschap</strong> <strong>Telecom</strong> de feitelijke situatie vergelijken met de door u ingevulde antwoorden.<br />
Vestiging- & contactgegevens:<br />
Bedrijfsnaam:<br />
Straat:<br />
Postcode:<br />
Plaats:<br />
Postadres:<br />
Postbus:<br />
Postcode:<br />
Plaats:<br />
Algemeen telefoonnummer vestiging:<br />
Continuïteitsfunctionaris:<br />
Naam:<br />
Telefoon:<br />
E-mail:<br />
Registratienummer Kamer van Koophandel:<br />
Staat uw onderneming ingeschreven bij de OPTA?<br />
□ Ja<br />
□ Nee<br />
NB Graag aankruisen wat van toepassing is.<br />
OPTA registratienummers:<br />
1.<br />
2.<br />
NB. Aan het eind van deze vragenlijst vindt u de verklarende woordenlijst.<br />
Pagina 41 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Omvang van uw onderneming naar omzetgegevens:<br />
1. In welke categorie valt uw onderneming wanneer u de totale omzet uit<br />
telecommunicatiediensten van uw onderneming beschouwt?<br />
□ 0 - 2 miljoen euro<br />
□ 2 - 20 miljoen euro<br />
□ 20 miljoen euro of meer<br />
2. Uw organisatie biedt een netwerk of dienst aan waarover uitsluitend programma´s (TV<br />
en Radio) worden verspreid.<br />
□ Ja (Wanneer u deze optie aankruist behoeft u de navolgende vragen NIET te<br />
beantwoorden, u kunt het formulier retourneren naar <strong>Agentschap</strong> <strong>Telecom</strong>.)<br />
□ Nee (Wanneer u deze optie aankruist vragen wij u de navolgende vragen te<br />
beantwoorden. Na het beantwoorden van ALLE vragen kunt u het formulier retourneren<br />
naar <strong>Agentschap</strong> <strong>Telecom</strong>.)<br />
Continuïteitsplan<br />
NB Wij verzoeken u een actuele versie van uw huidige continuïteitsplan toe te zenden.<br />
3. Beschikt uw organisatie over een vastgesteld continuïteitsplan?<br />
□ Ja (Wanneer u deze optie aankruist gaat u verder naar vraag 5.)<br />
□ Nee (Wanneer u deze optie aankruist gaat u verder naar vraag 4.)<br />
□ Het plan is in de maak (Wanneer u deze optie aankruist gaat u verder naar vraag 4.)<br />
4. Geef hieronder aan wanneer u verwacht wel over een vastgesteld continuïteitsplan te<br />
beschikken, is dat<br />
□ Binnen 1 maand<br />
□ Binnen 3 maanden<br />
□ Binnen 3-6 maanden<br />
□ Over meer dan 6 maanden<br />
5. Zijn er vanuit de directie duidelijke richtlijnen en doelstellingen afgegeven m.b.t. de<br />
continuïteit en de beschikbaarheid van uw telecommunicatie diensten en/of netwerken?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
Pagina 42 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
6. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van<br />
de organisatie betreft m.b.t. de continuïteit en de beschikbaarheid van uw<br />
telecommunicatie diensten en/of netwerken?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
7. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van<br />
“leveranciers” van ICT als TI betreft m.b.t. de continuïteit en de beschikbaarheid van uw<br />
diensten?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
8. Heeft u de majeure incidenten welke zich hebben voorgedaan vanaf juni 2012<br />
opgenomen in de bijlage van uw continuïteitsplan incl. oorzaak en verbetermaatregelen ter<br />
voorkoming van herhaling en is uw directie van deze incidenten incl. oorzaak en<br />
verbetermaatregelen op de hoogte gebracht?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
9. Op welk niveau wordt of is het continuïteitsplan vastgesteld?<br />
□ Bestuur, Directie<br />
□ Management Team<br />
□ Afdelingsmanager<br />
□ Anders<br />
10. Heeft u in uw continuïteitsplan beschreven hoe u het proces “incident management”<br />
heeft ingericht?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
Pagina 43 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
11. Heeft u bij het mogelijk optreden van een majeure calamiteit de maximum toelaatbare<br />
hersteltijd na een onderbreking van ICT diensten (incl. telefonie) vastgelegd en beschreven<br />
in het continuïteitsplan?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
12. Worden binnen uw onderneming incidenten op eenduidige wijze geregistreerd en wordt<br />
hierbij de mogelijke impact, urgentie en de verwachte hersteltijd aangegeven?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
13. Is er sprake van het prioriteren van het oplossen van incidenten op basis van de<br />
maatschappelijke en/of economische impact in de samenleving van het incident?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
14. Heeft u in uw continuïteitsplan beschreven hoe u het proces “proble(e)m management”<br />
heeft ingericht?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
15. Heeft u in uw continuïteitsplan beschreven hoe u het proces “change management<br />
(wijzigingsbeheer)” incl. het evaluatieproces heeft ingericht?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
Pagina 44 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
16. Heeft u in het continuïteitsplan omschreven welk deel van uw infrastructuur op korte<br />
termijn aan vervanging toe is?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
17. Heeft u m.b.t. de in vraag 16 bedoelde onderdelen van de infrastructuur, naast spare<br />
part management, additionele passende technische en organisatorische maatregelen<br />
genomen ten einde de continuïteit over dit verouderde gedeelte te kunnen garanderen?<br />
□ Ja<br />
□ Nee<br />
□ Er wordt momenteel gewerkt aan de voorbereiding hiervan<br />
18. Heeft u m.b.t. de in vraag 16 bedoelde onderdelen van de infrastructuur een verhoogde<br />
paraatheid/ alertheid, bijvoorbeeld in de vorm van monitoring, ingesteld?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
19. Bij uitbesteding bent u er ook verantwoordelijk voor dat derden de verplichtingen als<br />
bedoeld in de zorgplicht continuïteit naleven. Heeft u deze verplichtingen in een schriftelijke<br />
overeenkomst vastgelegd en verwijst u in uw continuïteitsplan naar deze overeenkomst?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
20. Heeft u een actueel overzicht van uw huidige “leveranciers” en/of service partners op<br />
het gebied van ICT en TI, welke een relatie hebben met de continuïteit van uw diensten<br />
en/of netwerken, opgenomen in het continuïteitsplan?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
Pagina 45 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
21. Heeft u in het continuïteitsplan die risico’s beschreven die de continuïteit, van uw<br />
openbare elektronische communicatienetwerken en uw openbare elektronische<br />
communicatiediensten, bedreigen?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
22. Heeft u in het continuïteitsplan, bij het beschrijven van de risico’s, ook de kans van het<br />
optreden van het risico en de impact bij het optreden van het risico omschreven?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
23. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze<br />
risico’s te adresseren?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
24. Heeft u in het continuïteitsplan, bij het beschrijven van de risico’s, ook rekening<br />
gehouden met grootschalige uitval van elektriciteit en/of ICT?<br />
□ Ja<br />
□ Nee<br />
25. Heeft u in geval van grootschalige uitval van elektriciteit en/of ICT de dan in werking<br />
tredende kritieke processen en activiteiten in het continuïteitsplan, beschreven m.b.t. het<br />
waarborgen van de continuïteit van uw telecommunicatie diensten en netwerken?<br />
□ Ja<br />
□ Nee<br />
□ Gedeeltelijk<br />
26. Levert u telecommunicatie diensten en/of netwerken aan bedrijven en/of instellingen<br />
die binnen de definitie “vitale infrastructuur” vallen en is uw directie hiervan op de hoogte?<br />
□ Ja<br />
□ Nee<br />
Pagina 46 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
27. Heeft u beschreven welke additionele maatregelen zijn genomen, ten einde de<br />
continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van<br />
telecommunicatie diensten en/of netwerken aan bedrijven en/of instellingen die binnen de<br />
definitie “vitale infrastructuur” vallen?<br />
□ Ja<br />
□ Nee<br />
28. Heeft u een actueel overzicht van die zakelijke klanten (bedrijven en/of instellingen),<br />
die binnen de definitie “vitale infrastructuur” vallen en die u telecommunicatie diensten<br />
en/of netwerken levert, opgenomen in het continuïteitsplan.<br />
NB Indien van toepassing vragen wij een overzicht van de zakelijke klanten die binnen de<br />
vitale infrastructuur vallen.<br />
□ Ja<br />
□ Nee<br />
29. Heeft u uw inloggegevens aangevraagd en ontvangen? Het betreft hier de<br />
inloggegevens die u nodig heeft om incidenten, met (mogelijke) maatschappelijke en/of<br />
economische impact, bij het loket Meldplicht te melden.<br />
□ Ja<br />
□ Nee<br />
NB Voor informatie omtrent het loket Meldplicht verwijzen wij u graag onze website<br />
http://www.meldplichttelecomwet.nl<br />
Pagina 47 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Bijlage II Resultaten enquête 0-meting zorg- en meldplicht<br />
continuïteit<br />
De antwoorden en de geanonimiseerde resultaten op de enquête vragen worden in dit<br />
hoofdstuk weergegeven.<br />
Continuïteitsplan<br />
Van de aanbieders geeft 24% aan dat zij beschikken over een vastgesteld continuïteitsplan.<br />
De overige geven aan nog niet (46%) beschikken over een vastgesteld continuïteitsplan of<br />
bezig te zijn met de voorbereiding van een continuïteitsplan (30%).<br />
Figuur 1. Beschikt u over een vastgesteld continuïteitsplan?<br />
Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld<br />
continuïteitsplan (in onderstaande grafiek staat deze groep voor 100%) geeft 41% aan het<br />
continuïteitsplan, binnen één tot zes maanden af te ronden en vast te stellen. Van de<br />
aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld<br />
continuïteitsplan geeft 3% aan om binnen één maand, 6% aan om binnen drie maanden,<br />
32 % binnen zes maanden en 59% over meer dan zes maanden, het continuïteitsplan af te<br />
gaan ronden en vast te gaan stellen.<br />
Figuur 2. Wanneer verwacht u wel te beschikken een vastgesteld continuïteitsplan?<br />
Pagina 48 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Goed bestuur inzake continuïteit van netwerken en/of diensten (Governance)<br />
Specifieke bestuurlijke richtlijnen en beleid<br />
Wanneer specifiek wordt gekeken naar goed bestuur van continuïteit, komt het volgende<br />
beeld naar voren. Ten tijde van deze nalevingsmeting zijn er vanuit bestuurlijk oogpunt<br />
duidelijke richtlijnen en doelstellingen afgegeven met betrekking tot de continuïteit en de<br />
beschikbaarheid bij 53% van de aanbieders. Bij 18% van de aanbieders is er geen sprake<br />
van specifiek beleid met betrekking tot de continuïteit en de beschikbaarheid, bij 16% van<br />
de aanbieders is dit in voorbereiding en bij 13% van de aanbieders is er (nog) niet specifiek<br />
echter wel gedeeltelijk beleid opgesteld op dit punt.<br />
Figuur 3. Zijn er vanuit de directie duidelijke richtlijnen en doelstellingen afgegeven met betrekking<br />
tot de continuïteit en de beschikbaarheid?<br />
Specifieke bestuurlijke rapportage met betrekking tot de eigen prestatie<br />
Bij 61% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar<br />
waar het de geleverde prestatie van de organisatie betreft met betrekking tot de<br />
continuïteit en de beschikbaarheid. Bij 11% van de aanbieders gebeurt dit wel echter niet<br />
specifiek maar gedeeltelijk. Bij 10% van de aanbieders is een dergelijke rapportage in<br />
voorbereiding en bij 18% van de aanbieders wordt er (nog) niet gerapporteerd.<br />
Figuur 4. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van de<br />
organisatie betreft met betrekking tot de continuïteit en de beschikbaarheid?<br />
Specifieke bestuurlijke rapportage met betrekking tot de prestatie van leveranciers<br />
Bij 44% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar<br />
waar het de geleverde prestatie van leveranciers betreft met betrekking tot de continuïteit<br />
en de beschikbaarheid. Bij 23% van de aanbieders gebeurt dit wel echter niet specifiek<br />
Pagina 49 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
maar gedeeltelijk. Bij 10% van de aanbieders is een dergelijke rapportage in voorbereiding<br />
en bij 23% van de aanbieders wordt er (nog) niet gerapporteerd.<br />
Figuur 5. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van<br />
“leveranciers” van ICT als TI betreft?<br />
Rapportage en betrokkenheid directie bij majeure incidenten<br />
Bij 14% van de aanbieders wordt de directie van recente majeure incidenten inclusief<br />
oorzaak en verbetermaatregelen op de hoogte gebracht en bij 6% van de aanbieders wordt<br />
de directie gedeeltelijk voorgelicht. Bij 23% van de aanbieders is de directie wel op de<br />
hoogte echter gedeeltelijk en bij 57% van de aanbieders wordt er (nog) niet op dergelijke<br />
wijze gerapporteerd bij majeure incidenten.<br />
Figuur 6. Is uw directie van recente majeure incidenten inclusief oorzaak en verbetermaatregelen op de<br />
hoogte?<br />
Vaststellen continuïteitsplan<br />
Bij 65% van de aanbieders wordt het continuïteitsplan vastgesteld door het bestuur of de<br />
directie. Bij 6% van de aanbieders wordt het continuïteitsplan vastgesteld door de<br />
afdelingsmanager en bij 19% wordt het continuïteitsplan vastgesteld door het Management<br />
Team. Bij 10% van de aanbieders wordt het continuïteitsplan anders vastgesteld.<br />
Pagina 50 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Figuur 7. Op welk niveau wordt of is het continuïteitsplan vastgesteld?<br />
Management van de dienstverlening (Service management)<br />
Beschrijving proces incident management in het continuïteitsplan<br />
Bij 21% van de aanbieders is het proces incident management beschreven in het<br />
continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 37%<br />
van de aanbieders is het proces incident management niet beschreven in het<br />
continuïteitsplan en 36% van de aanbieders werkt aan de voorbereiding hiervan.<br />
Figuur 8. Heeft u in uw continuïteitsplan beschreven hoe u het proces incident management heeft<br />
ingericht?<br />
Maximum toelaatbare hersteltijd na storing<br />
Bij 31% van de aanbieders is de maximum toelaatbare hersteltijd na storing<br />
vastgesteld en beschreven in het continuïteitsplan, bij 29% van de aanbieders niet. Bij 33%<br />
van de aanbieders is men bezig met de voorbereiding hiervan en bij 7% van de aanbieders<br />
is de maximum toelaatbare hersteltijd na storing gedeeltelijk vastgesteld en beschreven in<br />
het continuïteitsplan.<br />
Pagina 51 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Figuur 9. Heeft u bij het mogelijk optreden van een majeure calamiteit de maximum toelaatbare<br />
hersteltijd na een onderbreking van ICT diensten (inclusief telefonie) vastgelegd en beschreven in het<br />
continuïteitsplan?<br />
Registratie incidenten<br />
Bij 57% van de aanbieders wordt binnen de onderneming incidenten op eenduidige wijze<br />
geregistreerd waarbij de mogelijke impact, urgentie en de verwachte hersteltijd eveneens is<br />
aangegeven, bij 14% van de aanbieders niet. Bij 16% van de aanbieders is men bezig met<br />
de voorbereiding hiervan en bij 13% van de aanbieders worden incidenten gedeeltelijk<br />
volgens de bovenstaande randvoorwaarden geregistreerd.<br />
Figuur 10. Worden binnen uw onderneming incidenten op eenduidige wijze geregistreerd en wordt<br />
hierbij de mogelijke impact, urgentie en de verwachte hersteltijd aangegeven?<br />
Prioriteren van incidenten met maatschappelijke en/of economische impact<br />
Bij 52% van de aanbieders is er sprake van het prioriteren van incidenten met<br />
maatschappelijke en/of economische impact, bij 27% van de aanbieders niet. Bij 14% van<br />
de aanbieders is men bezig met de voorbereiding hiervan en bij 7% van de aanbieders<br />
worden incidenten met maatschappelijke en/of economische impact gedeeltelijk<br />
geprioriteerd.<br />
Pagina 52 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Figuur 11. Is er sprake van het prioriteren van het oplossen van incidenten op basis van de<br />
maatschappelijke en/of economische impact in de samenleving van het incident?<br />
Beschrijving proces proble(e)m management in het continuïteitsplan<br />
Bij 17% van de aanbieders is het proces proble(e)m management beschreven in het<br />
continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 42%<br />
van de aanbieders is het proces proble(e)m management niet beschreven in het<br />
continuïteitsplan en 35% van de aanbieders werkt aan de voorbereiding hiervan.<br />
Figuur 12. Heeft u in uw continuïteitsplan beschreven hoe u het proces proble(e)m management heeft<br />
ingericht?<br />
Beschrijving proces change management in het continuïteitsplan<br />
Bij 19% van de aanbieders is het proces change management beschreven in het<br />
continuïteitsplan en bij 4% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 43%<br />
van de aanbieders is het proces change management niet beschreven in het<br />
continuïteitsplan en 34% van de aanbieders werkt aan de voorbereiding hiervan.<br />
Pagina 53 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Figuur 13. Heeft u in uw continuïteitsplan beschreven hoe u het proces change management inclusief<br />
evaluatieproces heeft ingericht?<br />
Vervanging gedateerde infrastructuur<br />
Bij 13% van de aanbieders is in het continuïteitsplan omschreven welk deel van de<br />
infrastructuur op korte termijn aan vervanging toe is, bij 54% van de aanbieders niet. Bij<br />
29% van de aanbieders is men bezig met de voorbereiding hiervan en bij 4% van de<br />
aanbieders is in het continuïteitsplan gedeeltelijk omschreven welk deel van de<br />
infrastructuur op korte termijn aan vervanging toe is.<br />
Figuur 14. Heeft u in het continuïteitsplan omschreven welk deel van uw infrastructuur op korte termijn<br />
aan vervanging toe is?<br />
Additionele maatregelen ten behoeve van gedateerde infrastructuur<br />
Bij 37% van de aanbieders zijn er met betrekking tot verouderde onderdelen van de<br />
infrastructuur, naast spare part management, additionele passende technische en<br />
organisatorische maatregelen genomen teneinde de continuïteit over dit verouderde<br />
gedeelte te kunnen garanderen. Bij 41% van de aanbieders is dit niet het geval en bij 22%<br />
van de aanbieders is men bezig met de voorbereiding hiervan.<br />
Pagina 54 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Figuur 15. Heeft u met betrekking tot verouderde onderdelen van de infrastructuur, naast spare part<br />
management, additionele passende technische en organisatorische maatregelen genomen teneinde de<br />
continuïteit over dit verouderde gedeelte te kunnen garanderen?<br />
Verhoogde alertheid bij gedateerde infrastructuur<br />
Bij 47% van de aanbieders is er met betrekking tot verouderde onderdelen van de<br />
infrastructuur, een verhoogde paraatheid/ alertheid, bijvoorbeeld in de vorm van<br />
monitoring, ingesteld. Bij 42% van de aanbieders is dit niet het geval en 11% van de<br />
aanbieders voldoet hier gedeeltelijk aan.<br />
Figuur 16. Heeft u met betrekking tot de in vraag 16 bedoelde onderdelen van de infrastructuur een<br />
verhoogde paraatheid/ alertheid, bijvoorbeeld in de vorm van monitoring, ingesteld?<br />
Naleving regelgeving continuïteit bij uitbesteding aan derden<br />
Bij uitbesteding zijn aanbieders er ook verantwoordelijk voor dat derden de verplichtingen<br />
als bedoeld in de wet- en regelgeving met betrekking tot continuïteit naleven. Bij 35% van<br />
de aanbieders zijn deze verplichtingen in een schriftelijke overeenkomst vastgelegd en<br />
wordt hiernaar verwezen in het continuïteitsplan. Bij 40% van de aanbieders is dit niet het<br />
geval en 25% van de aanbieders voldoet hier gedeeltelijk aan.<br />
Pagina 55 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Figuur 17. Bij uitbesteding bent u er ook verantwoordelijk voor dat derden de verplichtingen als<br />
bedoeld in de zorgplicht continuïteit naleven. Heeft u deze verplichtingen in een schriftelijke<br />
overeenkomst vastgelegd en verwijst u in uw continuïteitsplan naar deze overeenkomst?<br />
Actueel overzicht leveranciers/ service partners in het continuïteitsplan<br />
Bij 47% van de aanbieders is een actueel overzicht van de huidige leveranciers en/of<br />
service partners op het gebied van ICT en TI, welke een relatie hebben met de continuïteit<br />
van netwerken en/of diensten, opgenomen in het continuïteitsplan.<br />
Bij 39% van de aanbieders is dit niet het geval en 14% van de aanbieders voldoet hier<br />
gedeeltelijk aan.<br />
Figuur 18. Heeft u een actueel overzicht van uw huidige leveranciers en/of service partners op het<br />
gebied van ICT en TI, welke een relatie hebben met de continuïteit van uw netwerken en/of diensten,<br />
opgenomen in het continuïteitsplan?<br />
Integraal risicobeheer continuïteit<br />
Continuïteitsrisico’s beschreven in het continuïteitsplan<br />
Bij 26% van de aanbieders zijn die risico’s in het continuïteitsplan beschreven die de<br />
continuïteit, van de eigen netwerken en/of diensten, bedreigen.<br />
Bij 53% van de aanbieders is dit niet het geval en 21% van de aanbieders voldoet hier<br />
gedeeltelijk aan.<br />
Pagina 56 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Figuur 19. Heeft u in het continuïteitsplan die risico’s beschreven die de continuïteit, van uw netwerken<br />
en/of diensten, bedreigen?<br />
Beschrijving risico’s inclusief kans en impact<br />
Bij 24% van de aanbieders zijn de risico’s in het continuïteitsplan beschreven waarbij<br />
eveneens de kans van het optreden van het risico en de impact bij het optreden van het<br />
risico worden vermeld. Bij 58% van de aanbieders is dit niet het geval en 18% van de<br />
aanbieders voldoet hier gedeeltelijk aan.<br />
Figuur 20. Heeft u in het continuïteitsplan, bij het beschrijven van de risico’s, ook de kans van het<br />
optreden van het risico en de impact bij het optreden van het risico omschreven?<br />
Risico’s adresseren: passende maatregelen<br />
Bij 29% van de aanbieders zijn de maatregelen welke men neemt om deze risico’s te<br />
adresseren in het continuïteitsplan beschreven. Bij 52% van de aanbieders is dit niet het<br />
geval en 19% van de aanbieders voldoet hier gedeeltelijk aan.<br />
Pagina 57 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Figuur 21. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico’s<br />
te adresseren?<br />
Rekening houden met grootschalige uitval van elektriciteit en/of ICT<br />
Bij 48% van de aanbieders heeft men, bij het beschrijven van de risico’s in het<br />
continuïteitsplan, rekening gehouden met grootschalige uitval van elektriciteit en/of ICT. Bij<br />
52% van de aanbieders is dit niet het geval.<br />
Figuur 22. Heeft u in het continuïteitsplan, bij het beschrijven van de risico’s, ook rekening gehouden<br />
met grootschalige uitval van elektriciteit en/of ICT?<br />
Beschrijving van de in werking tredende kritieke processen bij grootschalige uitval van<br />
elektriciteit en/of ICT (crisisplan)<br />
Bij 35% van de aanbieders heeft men, in geval van grootschalige uitval van elektriciteit<br />
en/of ICT, de dan in werking tredende kritieke processen en activiteiten in het<br />
continuïteitsplan beschreven in het licht van het waarborgen van de continuïteit van de<br />
eigen netwerken en/of diensten, 19% van de aanbieders voldoet hier gedeeltelijk aan. Bij<br />
46% van de aanbieders is dit niet het geval.<br />
Pagina 58 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Figuur 23. Heeft u in geval van grootschalige uitval van elektriciteit en/of ICT de dan in werking<br />
tredende kritieke processen en activiteiten in het continuïteitsplan, beschreven met betrekking tot<br />
het waarborgen van de continuïteit van uw netwerken en/of diensten?<br />
Vitale infrastructuur<br />
Bewustwording van levering van netwerken en/of diensten aan bedrijven en/of instellingen<br />
binnen de vitale infrastructuur<br />
Figuur 24. Levert u netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie<br />
vitale infrastructuur vallen en is uw directie hiervan op de hoogte?<br />
Tijdens de inwerkingtreding van de zorg- en meldplicht continuïteit levert 36% van de<br />
aanbieders, naar eigen waarneming, netwerken en/of diensten aan bedrijven en/of<br />
instellingen die binnen de definitie vitale infrastructuur vallen en is de directie hiervan op de<br />
hoogte. Het betreft hier in totaal 180 aanbieders van verschillende omvang. Naar eigen<br />
waarneming zegt 64% van de aanbieders geen netwerken en/of diensten aan bedrijven<br />
en/of instellingen te leveren die binnen de definitie vitale infrastructuur vallen of wanneer<br />
dit wel het geval is, is de directie hiervan niet op de hoogte.<br />
Pagina 59 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Additionele maatregelen ten behoeve van de continuïteit van levering van netwerken en/of<br />
diensten aan bedrijven en/of instellingen binnen de vitale infrastructuur<br />
Figuur 25. Heeft u beschreven welke additionele maatregelen zijn genomen, teneinde de continuïteit en<br />
de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken en/of diensten<br />
aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen?<br />
Van deze 180 aanbieders die netwerken en/of diensten leveren aan vitale klanten heeft<br />
38% beschreven welke additionele maatregelen zijn genomen, teneinde de continuïteit en<br />
de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken<br />
en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur<br />
vallen. Bij 62% van de aanbieders zijn geen additionele maatregelen getroffen.<br />
Actueel overzicht van klanten binnen vitale infrastructuur in continuïteitsplan<br />
Van deze 180 aanbieders die netwerken en/of diensten leveren aan vitale klanten beschikt<br />
26% over een actueel overzicht van die klanten (bedrijven en/of instellingen), die binnen<br />
de definitie vitale infrastructuur vallen en waaraan men netwerken en/of diensten levert en<br />
heeft men dit overzicht opgenomen in het continuïteitsplan. Bij 74% van de aanbieders is<br />
er geen actueel overzicht opgenomen in het continuïteitsplan.<br />
Figuur 26. Heeft u een actueel overzicht van die zakelijke klanten (bedrijven en/of instellingen), die<br />
binnen de definitie vitale infrastructuur vallen en die u netwerken en/of diensten levert, opgenomen in<br />
het continuïteitsplan?<br />
Pagina 60 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Meldplicht continuïteit<br />
Loket meldplicht; inloggegevens aangevraagd en ontvangen<br />
Figuur 27. Heeft u uw inloggegevens aangevraagd en ontvangen? Het betreft hier de inloggegevens die<br />
u nodig heeft om incidenten, met (mogelijke) maatschappelijke- en/of economische impact, bij het<br />
loket Meldplicht te melden?<br />
Een totaal van 31% van de aanbieders heeft bij inwerkingtreding van de regelgeving de<br />
inloggegevens aangevraagd en ontvangen. Het betreft hier de inloggegevens die men nodig<br />
heeft om incidenten, met (mogelijke) maatschappelijke- en/of economische impact, bij het<br />
loket Meldplicht te melden.<br />
Een totaal van 69% van de aanbieders heeft bij inwerkingtreding van de zorg- en<br />
meldplicht continuïteit de inloggegevens (nog) niet aangevraagd en/of ontvangen.<br />
Pagina 61 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Bijlage III Besluit continuïteit<br />
Het Besluit continuïteit openbare elektronische communicatienetwerken en -diensten bevat<br />
de volgende onderdelen, te weten; begripsbepalingen, technische en organisatorische<br />
maatregelen, meldplicht en informatieplicht en de slotbepalingen<br />
§ 1. Begripsbepalingen<br />
Artikel 1<br />
In dit besluit en de daarop berustende bepalingen wordt verstaan onder:<br />
a. wet: <strong>Telecom</strong>municatiewet;<br />
b. aanbieder: aanbieder van een openbaar elektronisch communicatie netwerk of van een<br />
openbare elektronische communicatiedienst;<br />
c. melding: kennisgeving als bedoeld in artikel 11a.2, eerste lid, van de wet;<br />
d. meldpunt: door Onze Minister aangewezen instantie waar de aanbieder een melding<br />
doet.<br />
§ 2. Technische en organisatorische maatregelen<br />
Artikel 2<br />
1. De aanbieder beschikt over een continuïteitsplan dat in ieder geval de volgende<br />
onderdelen bevat:<br />
a. de maatregelen, bedoeld in artikel 11a.1, eerste lid, van de wet, alsmede, voor zover<br />
van toepassing, de maatregelen, bedoeld in artikel 11a.1, tweede lid, van de wet;<br />
b. de aanwijzing van een ter zake kundige functionaris die binnen zijn organisatie<br />
verantwoordelijk en beschikbaar is voor het nemen en uitvoeren van de maatregelen,<br />
bedoeld onder a;<br />
c. de aanwijzing van de functionaris, bedoeld in artikel 9, eerste lid.<br />
2. De aanbieder verstrekt de contactgegevens van de in het eerste lid, onder b, bedoelde<br />
functionaris en wijzigingen daarvan onverwijld aan Onze Minister. 3. Bij ministeriële<br />
regeling kunnen, ter uitvoering van bindende EU-rechtshandelingen, nadere regels<br />
worden gesteld omtrent de maatregelen, bedoeld in artikel 11a.1, eerste en tweede lid,<br />
van de wet.<br />
Artikel 3<br />
De aanbieder inventariseert, beoordeelt en evalueert regelmatig, mede aan de hand van de<br />
in artikel 11a.2, eerste lid, van de wet bedoelde meldingen, de risico’s voor de veiligheid en<br />
voor de integriteit van zijn netwerken en diensten. Hij verwerkt de resultaten hiervan in het<br />
continuïteitsplan, bedoeld in artikel 2.<br />
Artikel 4<br />
De aanbieder zorgt ervoor dat bij hem werkzame personen die betrokken zijn bij de voor de<br />
veiligheid en de integriteit van zijn netwerk relevante processen op de hoogte zijn van de<br />
inhoud van het continuïteitsplan, bedoeld in artikel 2, en zorgt ervoor dat die personen te<br />
allen tijde over dit continuïteitsplan kunnen beschikken.<br />
Artikel 5<br />
1. De aanbieder zorgt voor een deugdelijke beveiliging van zijn netwerk of dienst door:<br />
a. de fysieke toegang tot gebouwen of faciliteiten en<br />
b. de elektronische toegang tot informatie en informatie verwerkende systemen die van<br />
belang zijn voor de veiligheid of integriteit van zijn netwerk of dienst uitsluitend toe<br />
te staan aan daartoe gemachtigde personen.<br />
2. De aanbieder legt de voor hem werkzame personen die betrokken zijn bij de voor de<br />
veiligheid en integriteit van zijn netwerk relevante processen een<br />
geheimhoudingsverplichting op.<br />
Pagina 62 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
§ 3. Meldplicht en informatieplicht<br />
Artikel 6<br />
1. Bij ministeriële regeling kunnen inbreuken op de veiligheid of verliezen van integriteit als<br />
bedoeld in artikel 11a.2, eerste lid, van de wet, worden aangewezen waarvan Onze<br />
Minister in ieder geval onverwijld in kennis gesteld moet worden.<br />
2. Bij deze aanwijzing neemt Onze Minister de aard en de omvang van de inbreuk of het<br />
verlies en de mogelijke gevolgen ervan in aanmerking, daarbij uitgaand van:<br />
a. de bereikbaarheid van alarmnummers;<br />
b. de aard en het aantal van de getroffen gebruikers;<br />
c. de omvang van het getroffen gebied;<br />
d. de verwachte duur van de inbreuk of het verlies.<br />
Artikel 7<br />
1. De aanbieder doet de in artikel 11a.2, eerste lid, van de wet bedoelde melding bij het<br />
meldpunt.<br />
2. De melding bevat in ieder geval:<br />
a. het tijdstip van aanvang van de inbreuk of het verlies;<br />
b. de aard en de omvang van de inbreuk of het verlies;<br />
c. op welk netwerk of bij welke dienst de inbreuk of het verlies heeft plaatsgevonden;<br />
d. een prognose van de hersteltijd.<br />
3. Bij ministeriële regeling kunnen nadere regels worden gesteld omtrent de wijze waarop<br />
de melding plaatsvindt.<br />
Artikel 8<br />
1. Indien de aanbieder melding heeft gedaan van een inbreuk op de veiligheid of een<br />
verlies van integriteit als bedoeld in artikel 11a.2, eerste lid, van de wet, verstrekt hij<br />
Onze Minister zo spoedig mogelijk doch in ieder geval binnen vier weken na beëindiging<br />
van de inbreuk of van het verlies van integriteit alle informatie omtrent:<br />
a. wanneer de inbreuk of het verlies is beëindigd;<br />
b. welke maatregelen zijn genomen om de inbreuk of het verlies te beëindigen;<br />
c. welke maatregelen zijn genomen om herhaling van de inbreuk of het verlies te<br />
voorkomen.<br />
2. Bij ministeriële regeling kunnen nadere regels worden gesteld omtrent de wijze waarop<br />
de in het eerste lid bedoelde verstrekking plaatsvindt.<br />
Artikel 9<br />
1. De aanbieder wijst een in Nederland gevestigde functionaris aan die verantwoordelijk is<br />
voor het doen van de in artikel 7 bedoelde melding en die tevens optreedt als eerste<br />
aanspreekpunt van de aanbieder voor het meldpunt in geval van een inbreuk op de<br />
veiligheid of een verlies van integriteit als bedoeld in artikel 11a.2, eerste lid, van de wet.<br />
2. De in het eerste lid bedoelde functionaris is te allen tijde voor het meldpunt bereikbaar<br />
door middel van elektronische communicatie.<br />
3. De aanbieder verstrekt de contactgegevens van de in het eerste lid bedoelde<br />
functionaris en wijzigingen daarvan onverwijld aan het meldpunt.<br />
§ 4. Slotbepalingen<br />
Artikel 10<br />
Dit besluit treedt in werking met ingang van 1 januari 2013.<br />
Pagina 63 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Bijlage IV Afkortingen en verklarende woordenlijst<br />
Verklaring van afkortingen<br />
BCM Business Continuity Management<br />
BCMS Business Continuity Management System<br />
CGIT Corporate governance of information technology<br />
ICT Informatie Communicatie Technologie<br />
IRBC ICT readiness for Business Continuity<br />
ISO International Organization for Standardization<br />
ISP Internet Service Provider<br />
RM Integraal Risk Management<br />
RMS Risk Management System<br />
SMS ICT Service Management System<br />
TI Technische Infrastructuur<br />
Tw <strong>Telecom</strong>municatiewet<br />
Pagina 64 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Verklarende woordenlijst<br />
Change management (wijzigingsbeheer)<br />
Het proces dat verantwoordelijk is voor het beheersen van de levenscyclus van alle<br />
wijzigingen, om verbeteringen met minimale verstoring van de IT-diensten uit te voeren.<br />
Continuïteit<br />
De mate waarin abonnees/gebruikers daadwerkelijk ononderbroken gebruik kunnen maken<br />
van het netwerk/de dienst wanneer zij dat wensen.<br />
Continuïteit en beschikbaarheid<br />
De mate waarin abonnees/gebruikers daadwerkelijk ononderbroken gebruik kunnen maken<br />
van de door hen gewenste volledige capaciteit van het netwerk/de dienst wanneer zij dat<br />
wensen.<br />
Evaluatieproces van een change<br />
Het proces dat verantwoordelijk is voor de formele beoordeling van een nieuwe of<br />
gewijzigde IT-dienst om te garanderen dat de risico’s onder controle zijn en om te helpen<br />
bepalen of de wijziging geautoriseerd wordt.<br />
Governance (goed bestuur) van ICT<br />
Garandeert daadwerkelijke implementatie van richtlijnen en strategie en dat vereiste<br />
processen op de juiste manier worden gevolgd. Governance bevat het<br />
definiëren van rollen en verantwoordelijkheden, meten en rapporteren, nemen van acties<br />
om elke geïdentificeerde kwestie op te lossen en op de juiste manier te besturen.<br />
Herstel tijd (recovery time)<br />
De maximum hersteltijd van een telecommunicatiedienst en/of ICT dienst na een<br />
onderbreking. Voor elke telecommunicatie en/of ICT dienst is een beoogde hersteltijd<br />
afgesproken en vastgelegd.<br />
Incident management<br />
Het proces dat verantwoordelijk is voor het beheer van de levenscyclus van alle incidenten.<br />
Incidentbeheer garandeert dat de normale service productie zo snel<br />
mogelijk is hersteld en dat de impact op de bedrijfsvoering minimaal is.<br />
Proble(e)m management<br />
Het proces dat verantwoordelijk is voor het beheren van de levenscyclus van alle<br />
problemen. Probleembeheer voorkomt incidenten op pro-actieve wijze en beperkt de impact<br />
van incidenten die niet kunnen worden voorkomen. Het probleem management proces<br />
identificeert de onbekende onderliggende, wortel van het probleem dat het incident heft<br />
veroorzaakt en stelt een permanente oplossing voor teneinde het incident in de toekomst te<br />
voorkomen.<br />
Risico (risk) management<br />
Het proces dat verantwoordelijk is voor het identificeren, beoordelen en beheersen van<br />
risico's.<br />
Systeemtoezicht<br />
Toezicht dat toeziet op datgene wat een organisatie doet om te borgen dat de regels<br />
worden nageleefd en de risico’s worden beheerst.<br />
Pagina 65 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Veiligheid en integriteit<br />
De mate waarin het netwerk/de dienst in staat is weerstand te bieden aan opzettelijk<br />
menselijk handelen, niet-opzettelijk menselijk handelen en natuurlijke invloeden, die<br />
mogelijk leiden tot verminderde beschikbaarheid & continuïteit.<br />
Vitale infrastructuur<br />
Vitale infrastructuren zijn ketens van vergelijkbare partijen waarvan het vanuit<br />
maatschappelijk oogpunt cruciaal is dat zij blijven functioneren. Daarom wordt ook wel<br />
gesproken van vitale sectoren.<br />
Momenteel zijn dat de volgende:<br />
1. Chemische en nucleaire industrie<br />
2. Drinkwatersector (drinkwatervoorziening)<br />
3. Energiesector (elektriciteit, aardgas en olie)<br />
4. Financiële sector (betalingsdiensten, financiële overdracht overheid)<br />
5. Gezondheid (spoedeisende hulp, geneesmiddelen, vaccins, nucleaire geneeskunde)<br />
6. Waterbeheer (beheren waterkwaliteit, keren en beheren waterkwantiteit)<br />
7. Openbaar bestuur (diplomatieke communicatie, informatieverstrekking overheid,<br />
krijgsmacht, besluitvorming)<br />
8. Openbare Orde en Veiligheid (opsporing, handhaving, fysieke veiligheid)<br />
9. Rechtsorde (rechtspraak, gevangeniswezen)<br />
10.<strong>Telecom</strong>municatie (telefonie, radio, satelliet, omroep, internet, post)<br />
11.Transport (hoofdwegen, vaarwegen, spoor, Mainport Schiphol, Mainport Rotterdam)<br />
12.Voedsel(keten)<br />
Omdat het om infrastructuren gaat, is de aandacht met name gericht op het ketenaspect,<br />
dus de continuïteit van het stromen van producten, diensten en informatie door de<br />
onderliggende processen. Wat betreft fysieke veiligheid hebben de hulpdiensten met name<br />
te maken met de vitale sectoren “Energie”, “Gezondheid”, “Waterbeheer”, “Openbare Orde<br />
en Veiligheid”, “Rechtsorde”, “<strong>Telecom</strong>municatie” en “Transport”.<br />
Pagina 66 van 67
Toezicht zorg- en meldplicht continuïteit, de 0-meting<br />
Pagina 67<br />
van 67