Toezicht op zorg- en meldplicht continuïteit. De 0-meting

Maat: px
Weergave met pagina beginnen:

Download "Toezicht op zorg- en meldplicht continuïteit. De 0-meting"

Transcriptie

1 Toezicht op zorg- en meldplicht continuïteit De 0-meting

2 Toezicht zorg- en meldplicht continuïteit De 0-meting Colofon Definitief Copyright Agentschap Telecom 2013 Pagina 2 van 67

3 Samenvatting Missie Agentschap Telecom Elektronische communicatie is voor burgers en bedrijven steeds belangrijker geworden. In het dagelijks leven zijn wij in hoge mate afhankelijk geworden van elektronische communicatiediensten. Deze afhankelijkheid is groter dan men doorgaans beseft en wordt ook wel telekwetsbaarheid genoemd. De missie van Agentschap Telecom is: Wij waarborgen de beschikbaarheid van moderne en betrouwbare telecommunicatie in en voor Nederland. Maatschappelijk belang centraal Agentschap Telecom stelt, bij het uitvoeren van haar missie, het maatschappelijk belang centraal. Incidenten in de telecomsector kunnen economisch en maatschappelijk veel schade aanrichten. Met het oog op het maatschappelijk belang is het vanzelfsprekend dat men de continuïteit van netwerken en/of diensten verbetert en de maatschappelijke en economische impact van incidenten en calamiteiten tot het minimum worden beperkt. Het onderzoek De doelstelling van de 0-meting is om inzicht te krijgen in hoeverre aanbieders van openbare elektronische communicatienetwerken en/of openbare elektronische communicatiediensten (hierna aanbieders) voldoen aan de wet- en regelgeving. Het gaat hier om het moment vlak na inwerkingtreding van hoofdstuk 11a van de Telecommunicatiewet (hierna: zorg- en meldplicht continuïteit) en vlak voor de inwerkingtreding van het Besluit continuïteit openbare elektronische communicatienetwerken en diensten (hierna Besluit continuïteit). Ook wordt het verkregen inzicht gebruikt als input voor het opstellen van de risicoanalyse van de doelgroep om het toezicht selectief en slagvaardig uit te kunnen voeren. Het uitvoeren van de 0-meting en de hierop volgende metingen is ook een middel om te bepalen wat het effect is geweest van de inspanningen van Agentschap Telecom betreffende haar toezichtsactiviteiten. Door de resultaten van de 0-meting te vergelijken met de bijbehorende resultaten van een vervolgmeting kan het verschil in de mate van naleving worden bepaald. Dit zal te zijner tijd in een separaat onderzoek worden uitgevoerd. Daarmee ontstaat input voor de evaluatie van de effectiviteit van de gehanteerde interventiemix en gekozen aanpak. De onderzoeksvraag De centrale vraag van het onderzoek is: In welke mate verwachten de aanbieders te voldoen aan de verplichtingen ten aanzien van de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de wet- en regelgeving? Om de benodigde informatie te verkrijgen is gekozen voor het verzenden van een enquête aan de aanbieders. 1 Om de betrouwbaarheid te verhogen zijn de vragen in de enquête gesloten gesteld. De aanbieders zijn wettelijk verplicht mee te werken aan deze enquête. Vooraf was al bekend dat niet alle aanbieders op basis van de door hun aangeboden diensten relevant zijn voor de eisen van de zorg- en meldplicht continuïteit. Bijvoorbeeld aanbieders van netwerken of diensten waarover uitsluitend programma s (TV en radio) worden verspreid. Deze zijn niet meegenomen in het onderzoek. Om te bepalen welke omvang een aanbieder heeft, wordt een klasse naar grootte gehanteerd op basis van de omzet. Deze zijn: 1. Klein: 0-2 miljoen euro; 2. Middel: 2 20 miljoen euro; 1 Er is voor gekozen om de gehele bekende populatie, de bij OPTA ingeschreven aanbieders, aan te schrijven. Pagina 3 van 67

4 3. Groot: 20 miljoen euro of meer. Op 2 oktober 2012 is een brief verstuurd naar de aanbieders met als bijlage de enquête (zie bijlage I), bestaande uit 29 vragen en twee aanvullende verzoeken en een toelichting op de wet- en regelgeving. In deze brief worden de aanbieders verzocht de vragen te beantwoorden en de ingevulde enquête te retourneren binnen de gestelde termijn van drie weken. De aanvullende verzoeken betreffen het toezenden van een actuele versie van het continuïteitsplan en een lijst met klanten welke binnen de vitale infrastructuur 2 vallen. In totaal zijn 632 aanbieders aangeschreven en hebben 563 (89%) de vragenlijst ingevuld geretourneerd binnen de daarvoor gestelde termijnen. De overige 69 aanbieders (11%) zijn om diverse redenen niet bij dit onderzoek meegenomen. Uiteindelijk hebben 500 aanbieders een valide set antwoorden aangeleverd die zijn meegenomen in dit onderzoek. De doorlooptijd van het onderzoek (inclusief voorbereiding) heeft circa vijf maanden in beslag genomen. In welke mate verwachten aanbieders te voldoen aan hun verplichtingen? Onderzoeksvraag: In welke mate verwachten de aanbieders te voldoen aan de verplichtingen ten aanzien van de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de wet- en regelgeving? Van de aanbieders verwacht 26% tijdig te voldoen aan de belangrijkste verplichting ten aanzien van de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de regelgeving (1 januari 2013). Dit houdt in het in het bezit hebben van een vastgesteld continuïteitsplan. Figuur 1. Verwachten aanbieders te voldoen aan wet- en regelgeving continuïteit door tijdig te beschikken over een vastgesteld continuïteitsplan? Grote dienst- en netwerkaanbieders Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat 74% van de aanbieders geen continuïteitsplan heeft, hebben wij onderzocht waar wij de grotere aanbieders, 13% van het totaal, kunnen plaatsen. De meerderheid (77%) van de grote dienst- en netwerkaanbieders beschikt op het moment van de enquête over een vastgesteld continuïteitsplan. Bij 16% van de grote aanbieders is het continuïteitsplan in voorbereiding en 7% beschikt niet over een vastgesteld continuïteitsplan. 2 Vitale infrastructuren zijn ketens van vergelijkbare partijen waarvan het vanuit maatschappelijk oogpunt cruciaal is dat zij blijven functioneren. Daarom wordt ook wel gesproken van vitale sectoren. Pagina 4 van 67

5 Wat is de kwaliteit van het continuïteitsplan? Bij de uitvoering van dit onderzoek hebben de onderzoekers een beoordeling gegeven over de kwaliteit van het continuïteitsplan. Let wel, hierbij geven de onderzoekers geen oordeel over een adequate inrichting van de continuïteitsprocessen. In dit onderzoek doen de onderzoekers alleen een uitspraak over de kwaliteit van het continuïteitsplan. Deze uitspraak is gebaseerd op het al dan niet aanwezig zijn van een beschrijving van de relevante continuïteitsprocessen in het continuïteitsplan. Verhoging van de bewustwording van alle relevante afhankelijkheden, risico s en kwetsbaarheden op alle niveaus (niet alleen operationeel) en een goed continuïteitsbeleid bij aanbieders is van evident belang. Dit moet uiteindelijk leiden tot een verbetering van de continuïteit van netwerken en/of diensten. Samenvattend kan worden geconcludeerd dat bij meer dan een derde en op sommige punten bij meer dan de helft van de aanbieders de kwaliteit van het continuïteitsplan in relatie met het beschrijven van de meest relevante continuïteitsprocessen nog onder het gewenste kwaliteitsniveau ligt. Uit de enquête blijkt dat 18 tot 23% van de aanbieders weinig tot geen bestuurlijke aandacht heeft voor de continuïteit van netwerken en/of diensten. Hier wordt gedoeld op tenminste twee van de drie bestuurlijke hoofdtaken, te weten: Het besturen; door middel van het geven van richtlijnen en het opstellen van beleid; Het bewaken van de eigen prestatie of die van derden (leveranciers etc.). Verder behoren directies vanuit een maatschappelijke en economische verantwoordelijkheid op adequate wijze zorg te dragen voor de continuïteit van netwerken en/of diensten en te voldoen aan wet- en regelgeving. Opvallend is dat driekwart van de aanbieders (74%) verwacht niet tijdig te beschikken over een vastgesteld continuïteitsplan op het moment van inwerkingtreding van de zorg- en meldplicht continuïteit en het Besluit continuïteit (1 januari 2013). Vitale infrastructuur Wij kunnen concluderen dat 36% van de aanbieders zich er bewust van is dat men openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten (hierna: netwerken en/of diensten) levert aan bedrijven en/of instellingen die vallen binnen de definitie vitale infrastructuur en de directie hiervan op de hoogte is. Het betreft hier in totaal 180 aanbieders van verschillende omvang. Van deze 180 aanbieders heeft 38% beschreven welke additionele maatregelen er zijn genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen. Van deze groep van 180 aanbieders beschikt 26% over een actueel overzicht van deze zakelijke klanten die binnen de definitie vitale infrastructuur vallen. Aan hen levert men netwerken en/of diensten en heeft men dit overzicht eveneens opgenomen in het continuïteitsplan. Er is echter bij 52% van de aanbieders sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact. Bij het leveren van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen is sprake van gedeelde verantwoordelijkheden. Vanzelfsprekend hebben deze vitale bedrijven en instellingen een eigen verantwoordelijkheid teneinde zich te vergewissen van het feit dat men beschikt over een optimale ICT verbinding. Dit ontslaat de aanbieder niet van de maatschappelijke verantwoordelijkheid alert te zijn op het leveren van passende netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en navraag te doen of de verbinding een vitaal karakter heeft. Pagina 5 van 67

6 Integrale aanpak continuïteit De continuïteit van netwerken en/of diensten kent vele invalshoeken. Er is sprake van diverse afhankelijkheden die in sterke mate de totale continuïteitsketen (figuur 2) beïnvloeden. De keten is zo sterk als de zwakste schakel. Met de inwerkingtreding van de zorg- en meldplicht continuïteit is het van belang dat men de continuïteit van netwerken en/of diensten verbetert en de maatschappelijke en economische impact van incidenten en calamiteiten tot het minimum beperkt. Daar waar aanbieders zich richten op de financiële gevolgen en/of de gevolgen in relatie met mogelijke imagoschade naar aanleiding van incidenten en calamiteiten is het van belang dat men ook oog heeft voor de economische en/of maatschappelijke schade die wordt aangericht. Juist incidenten en calamiteiten die leiden tot uitval van netwerken en/of diensten met impact op bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen, kunnen leiden tot ernstige maatschappelijke en/of economische impact en zelfs maatschappelijke ontwrichting. Om de continuïteit van netwerken en/of diensten te verbeteren en de impact van incidenten en calamiteiten te verminderen is een integrale aanpak van de continuïteit van netwerken en/of diensten op bestuurlijk niveau wenselijk. Dit vraagt om een holistische aanpak waarbij men bestuurt, evalueert en bewaakt en oog heeft voor de diverse afhankelijkheden die binnen de continuïteitsketen bestaan. Hoe groter de omzet van de aanbieder hoe groter ook de noodzaak wordt om alle processen die de continuïteit van netwerken en/of diensten raken te integreren en te beschrijven in één vastgesteld continuïteitssysteem met een vastgesteld continuïteitsplan. Met dit uitgangspunt kan men werken aan de volgende stappen, te weten: 1. Voortdurende proportionele verbetering van het continuïteitssysteem; 2. Voortdurende proportionele verbetering van het beperken van de impact van incidenten en majeure calamiteiten. Naar aanleiding van de enquête kunnen wij echter concluderen dat op dit punt verdere ontwikkeling en verbetering noodzakelijk is. Figuur 2. Het continuïteitssysteem: oog hebben voor de maatschappelijke en economische impact van incidenten. Pagina 6 van 67

7 Inhoudsopgave INLEIDING 9 1 ONDERZOEKSVRAGEN EN METHODIEK Onderzoeksvragen Methode van onderzoek 14 2 DOEL VAN DIT RAPPORT 15 3 VERLOOP VAN HET ONDERZOEK 16 4 BEVINDINGEN NALEVING ZORG- EN MELDPLICHT CONTINUÏTEIT Inleiding Naleving zorgplicht continuïteit Gebruik loket meldplicht 20 5 BEVINDINGEN KWALITEIT VAN HET CONTINUÏTEITSPLAN Inleiding Continuïteitsplan Governance Service management BCM/ ICT Readiness: inclusief crisis- en herstelplannen Integraal risico management 26 6 OVERIGE BEVINDINGEN Vitale infrastructuur 28 7 CONCLUSIE Stand van zaken naleving zorg- en meldplicht Kwaliteit van het continuïteitsplan Overige conclusies 34 BIJLAGE I AANBIEDINGSBRIEF EN ENQUÊTE 37 Pagina 7 van 67

8 BIJLAGE II RESULTATEN ENQUÊTE 0-METING ZORG- EN MELDPLICHT CONTINUÏTEIT 48 Continuïteitsplan 48 Goed bestuur inzake continuïteit van netwerken en/of diensten (Governance) 49 Management van de dienstverlening (Service management) 51 Integraal risicobeheer continuïteit 56 Vitale infrastructuur 59 Meldplicht continuïteit 61 BIJLAGE III BESLUIT CONTINUÏTEIT 62 BIJLAGE IV AFKORTINGEN EN VERKLARENDE WOORDENLIJST 64 Pagina 8 van 67

9 Inleiding Elektronische communicatie is voor burgers en bedrijven steeds belangrijker geworden. In het dagelijks leven zijn wij in hoge mate afhankelijk geworden van elektronische communicatiediensten. Deze afhankelijkheid is groter dan men doorgaans beseft en wordt ook wel telekwetsbaarheid genoemd. Incidenten op dit terrein kunnen economisch en maatschappelijk veel schade aanrichten. De Europese Commissie heeft lidstaten voorgeschreven om maatregelen te nemen die de betrouwbaarheid van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten (hierna: netwerken en/of diensten) moet vergroten. Hoofdstuk 11a continuïteit Om het vertrouwen van bedrijfsleven en maatschappij in elektronische communicatie te stimuleren, heeft de Europese Commissie twee nieuwe verplichtingen opgesteld, die in de Telecommunicatiewet (hierna: Tw) zijn opgenomen: de zorg- en meldplicht continuïteit. Zorgplicht continuïteit Aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten (hierna: aanbieders) zijn verplicht passende technische en organisatorische maatregelen te nemen om de risico s voor de veiligheid en integriteit van netwerken en/of diensten te beheersen. Voor aanbieders van openbare telefoniediensten geldt, bij verstoringen of uitval van elektriciteit, zelfs de verplichting om alle noodzakelijke maatregelen te treffen. Het doel hiervan is de continuïteit en beschikbaarheid van netwerken en/of diensten zoveel als mogelijk te waarborgen. Het gaat hierbij om inbreuken op de veiligheid en een verlies aan integriteit van het netwerk en/of de dienst. Het gaat hierbij nadrukkelijk niet om inbreuken op de persoonsgegevens (privacy). Meldplicht continuïteit Aanbieders zijn verplicht om bij inbreuken op de veiligheid en/of een (gedeeltelijk) verlies aan integriteit melding te maken van dit incident bij Agentschap Telecom. Sinds 5 juni 2012 is hoofdstuk 11a continuïteit van de Tw (hierna: zorg- en meldplicht continuïteit) van kracht geworden. Het Besluit continuïteit openbare elektronische communicatienetwerken en -diensten (hierna: Besluit continuïteit) is per 1 januari 2013 van kracht. Besluit continuïteit 3 Het Besluit continuïteit bevat regelgeving met betrekking tot de technische en organisatorische maatregelen om de risico s te beperken die de veiligheid en de integriteit van netwerken en/of diensten bedreigen. Daarnaast bevat de regelgeving over de meldplicht bij inbreuken op de veiligheid en verliezen van integriteit, de verstrekking van informatie voor de beoordeling van de veiligheid en de integriteit en de aanwijzing van inbreuken op de veiligheid en verliezen van integriteit van netwerken en/of diensten. 4 Aanbieders De zorg- en meldplicht continuïteit geldt voor alle aanbieders in Nederland. Uit de doelgroepanalyse van Agentschap Telecom komen drie doelgroepen naar voren: 1. Netwerkaanbieders; 2. Dienstenaanbieders met eigen netwerk; 3. Dienstenaanbieders zonder eigen netwerk. 3 Stb. 2012, 514. Besluit van 19 oktober 2012, houdende nadere regels met betrekking tot technische en organisatorische eisen ter beperking van risico's voor de veiligheid en de integriteit, de meldplicht van inbreuken op de veiligheid en verliezen van integriteit, de verstrekking van informatie voor de beoordeling van de veiligheid en de integriteit en de aanwijzing van inbreuken op de veiligheid en verliezen van integriteit van openbare elektronische communicatienetwerken en -diensten (Besluit continuïteit openbare elektronische communicatienetwerken en -diensten). 4 Deze regelgeving is vastgelegd in het document minimale eisen continuïteitsplan. Pagina 9 van 67

10 Aanbieders zijn verplicht zich op te laten nemen in het register. 5 Ook aanbieders die dit hebben nagelaten, vallen echter binnen het bereik van de zorg- en meldplicht continuïteit. Missie Agentschap Telecom De missie van Agentschap Telecom is: Wij waarborgen de beschikbaarheid van moderne en betrouwbare telecommunicatie in en voor Nederland. Agentschap Telecom houdt toezicht op zowel de zorg- als meldplicht continuïteit. Maatschappelijk belang centraal Bij het uitvoeren van de missie van Agentschap Telecom staat het maatschappelijk belang centraal, zo ook bij het toezicht op de zorg- en meldplicht continuïteit. Met het oog op het maatschappelijk belang is het vanzelfsprekend dat men de continuïteit van netwerken en/of diensten verbetert en de maatschappelijke en economische impact van incidenten en calamiteiten tot het minimum beperkt. Juist incidenten en calamiteiten die leiden tot uitval van netwerken en/of diensten met impact op bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen kunnen leiden tot ernstige maatschappelijke en/of economische impact en zelfs maatschappelijke ontwrichting. Derhalve heeft het leveren van diensten en netwerken aan de bedrijven en/of instellingen die binnen de vitale infrastructuur vallen bij de uitvoering van dit onderzoek de bijzondere aandacht van de onderzoekers. Agentschap Telecom als toezichthouder Agentschap Telecom streeft naar betrouwbare netwerken en/of diensten. In haar rol als toezichthouder op de continuïteit van netwerken en/of diensten vormt zowel regelconformiteit als beleidsconformiteit een belangrijk middel. Regelconformiteit is onder meer het toezien op de naleving van de gestelde regels en het eventueel sanctioneren van de overtreder. Concreet betekent dit dat Agentschap Telecom erop toeziet of er daadwerkelijk passende technische en organisatorische maatregelen zijn getroffen en of deze zijn vastgelegd in een continuïteitsplan. Beleidsconformiteit betekent dat Agentschap Telecom een signalerende en adviserende functie vervult bij het realiseren van beleidsdoelstellingen. Hierbij wordt gekeken of de praktijk bij de aanbieder ook daadwerkelijk bijdraagt aan een zo goed mogelijk geborgde continuïteit voor de klanten van de aanbieders, met als doel het voorkomen van maatschappelijke en economische impact als gevolg van uitval. Het agentschap doet dit door middel van audits waarbij niet alleen gekeken wordt naar de strikte naleving van de regels. Met name wordt gekeken naar de praktijk van de aanbieder. Daarmee wordt getoetst of de aanbieders daadwerkelijk gestalte hebben gegeven aan de in de continuïteitsplannen beschreven maatregelen. Relevante bevindingen in algemene zin kunnen onderwerp van gesprek zijn met de beleidskern van het ministerie van Economische Zaken. Sturingsfilosofie Toezicht sluit aan op de laatste ontwikkelingen in het werkveld en op de beleidsprioriteiten van de minister van Economische Zaken. Daarom houden wij toezicht vanuit de volgende sturingsfilosofie: Toezicht is verantwoordelijk voor het inspectietoezicht en draagt daarmee bij aan het stelsel; Toezicht heeft aandacht voor lastendrukvermindering en draagt hieraan bij door selectief en slagvaardig te zijn; Toezicht heeft vertrouwen in zelfregulering; Toezicht is toegankelijk; Toezicht is expliciet voor risicoaanvaarding; Er is aandacht voor scheiding toezicht/uitvoering en toezicht/sanctionering; De nationale en supranationale dimensie worden gelijkgeschakeld. 5 De OPTA houdt dit register bij. Pagina 10 van 67

11 De ontwikkelingen in het werkveld van Agentschap Telecom leiden tot een veranderende rol van toezicht. Toezicht verschuift van iron hand, de handhavende toezichthouder, naar invisible hand, een toezichthouder die op afstand door middel van informatievergaring en monitoring het toezichtveld observeert, analyseert en reguleert door het toepassen van passende interventies. Reden voor deze verschuiving is het loslaten van de specifieke eisen binnen vergunningen (flexibilisering) en de toename van vergunningsvrije banden. Tevens moet Toezicht steeds vaker een groter toezichtveld overzien. Onafhankelijke positie Als toezichthouder verzamelt Agentschap Telecom informatie en brengt hiermee zijn oordeel tot stand, onafhankelijk van andere partijen. Op deze wijze levert het agentschap een bijdrage aan de doelstellingen van de zorg- en meldplicht continuïteit. Agentschap Telecom stelt zelfstandig haar prioriteiten in het toezicht vast en acht dit van groot belang om onafhankelijk te zijn bij het interveniëren en bij publicatie van onderzoeksresultaten over de naleving van de zorg- en meldplicht continuïteit. Toezicht in de praktijk Agentschap Telecom kan bij het toezicht de volgende instrumenten inzetten: Voorlichting; Onderzoek; Administratieve controles; Inspecties; Audits. Hieronder volgt een toelichting. Voorkomen is beter dan genezen. Dit is een belangrijk uitgangspunt van Agentschap Telecom. Daarom steekt het agentschap veel energie in voorlichting en ondersteuning. Om inzicht te krijgen in de praktijksituatie bij de aanbieders, vraagt Agentschap Telecom de continuïteitsplannen van de relevante aanbieders op. Het continuïteitsplan van aanbieders moet voldoen aan wet- en regelgeving. Daarnaast is het van belang dat relevante processen zijn ingericht, die leiden tot het voortdurend monitoren en verbeteren van de continuïteit van netwerken en/of diensten. Het agentschap controleert zowel het continuïteitsplan als de onderhavige processen. Agentschap Telecom zet systeemtoezicht in om tot een optimale verbetering te komen van de continuïteitsbeheersing door de aanbieder. Dit leidt tot kwaliteitsverhoging bij de aanbieder. Systeemtoezicht ziet toe op datgene wat een organisatie doet om te verzekeren dat de regels worden nageleefd en de risico s worden beheerst. Werken de processen, strategieën en procedures gericht op het borgen van maatschappelijke belangen afdoende? Beheerst het bedrijf zijn processen zodanig dat de risico s op maatschappelijke en economische schade aanvaardbaar zijn? De hierbij verzamelde informatie wordt niet getoetst aan een wettelijke eis maar aan systeemeisen, neergelegd in een normenkader wat tijdens invoering van de zorg- en meldplicht continuïteit is getoetst bij de grootste aanbieders. Leidraad voor kwaliteitsverbetering Agentschap Telecom hanteert bij het uitoefenen van het toezicht op de zorg- en meldplicht continuïteit een normenkader. Dit kader is gebaseerd op verschillende internationale kwaliteitsstandaarden met als doel: 1. het verbeteren van de bedrijfscontinuïteit bij aanbieders; 2. het borgen van de continuïteit van netwerken en/of diensten; 3. een betere voorbereiding op calamiteiten en incidenten bij aanbieders. Ook willen we hiermee bereiken dat men oog heeft voor beheersing van de risico s die eventueel afbreuk kunnen doen aan de continuïteit van netwerken en/of diensten bij aanbieders. Dit normenkader bevat die processen die de continuïteit van netwerken en/of diensten raken. Tot slot verwachten wij dat aanbieders zorg dragen voor continue verbetering van het beheer en de beheersfunctie in relatie tot zowel de netwerken en/of diensten. In dit licht Pagina 11 van 67

12 kunnen aanbieders achtereenvolgens de volgende internationale kwaliteitstandaarden, de NEN-ISO normen, als leidraad voor kwaliteit hanteren: 1. Corporate Governance of Information Technology (CGIT); 2. Business Continuity Management Systems (BCMS); 3. Risk Management (RM); 4. ICT readiness for Business Continuity (IRBC); 5. ICT Service Management System (SMS). Hierbij geeft: 1. de NEN-ISO norm (CGIT): concrete aanbevelingen voor goed bestuur van ICT; 2. de NEN-ISO norm (BCMS): concrete aanbevelingen om de bedrijfscontinuïteit in algemene zin te beheren, te beheersen en steeds verder te verbeteren; 3. de NEN-ISO norm (RM): concrete aanbevelingen met betrekking tot het beheren van risico s welke eventueel afbreuk kunnen doen aan de continuïteit van het communicatienetwerk en/of -dienst en het beheer steeds verder te verbeteren; 4. de NEN-ISO norm (IRBC): concrete aanbevelingen om het ICT kapitaal in gereedheid te brengen en weerbaar te maken zodat de continuïteit van uw communicatienetwerk en dienst steeds beter voorbereid is waar het incidenten en calamiteiten betreft; 5. en de NEN-ISO norm (SMS): concrete aanbevelingen voor de inrichting van kwalitatief goed beheer van ICT dienstverlening, inclusief incident en problem management zodat de continuïteit van het netwerk en/of dienst steeds verder verbetert. Met de bovenstaande leidraad wordt gedoeld op die processen die gericht zijn op het nemen van passende technische en organisatorische maatregelen om de risico s voor de veiligheid en integriteit van netwerken en/of diensten te beheren en te beheersen, inclusief het systeem wat zorg draagt voor voortdurende verbetering. Het staat aanbieders uiteraard vrij om gebruik te maken van alternatieve kaders, normen en/of best practices zoals bijvoorbeeld COBIT, ITIL etc. om de bovengenoemde processen die de continuïteit van netwerken en/of diensten raken te adresseren en in te richten. Leeswijzer In dit rapport worden de resultaten weergegeven uit de 0-meting. In hoofdstuk 1 worden de onderzoeksvragen en de methodiek van onderzoek toegelicht. Vervolgens beschrijft hoofdstuk 2 het doel van het rapport. Het verloop van het onderzoek wordt in hoofdstuk 3 toegelicht. Hoofdstuk 4 bevat de bevindingen bij de aanbieders in het licht van de naleving van de zorg- en meldplicht continuïteit. In hoofdstuk 5 worden de bevindingen bij aanbieders op gebied van de kwaliteit van het continuïteitsplan toegelicht. De overige bevindingen worden in hoofdstuk 6 weergegeven. De conclusies staan in hoofdstuk 7, waar ook de onderzoeksvraag wordt beantwoord. De resultaten van de enquête worden in bijlage II weergegeven. Pagina 12 van 67

13 1 Onderzoeksvragen en methodiek De aanleiding tot het uitvoeren van een 0-meting is aangegeven in het Toezichtarrangement Continuïteit. De doelstelling van de 0-meting is om inzicht te krijgen in hoeverre aanbieders voldoen aan de wet- en regelgeving vlak na het moment van inwerkingtreding van de zorg- en meldplicht continuïteit en vlak voor de inwerkingtreding van het Besluit continuïteit. Het verkregen inzicht wordt gebruikt als input voor het opstellen van de risicoanalyse van de doelgroep om het toezicht selectief en slagvaardig uit te kunnen voeren. Het uitvoeren van de 0-meting en de hierop volgende meting is een middel om inzicht te krijgen wat het effect is geweest van de inspanningen van Agentschap Telecom betreffende haar toezichtactiviteiten. Door de resultaten van de 0-meting te vergelijken met de bijbehorende resultaten van een vervolgmeting kan het verschil in de mate van naleving worden bepaald. Dit zal overigens te zijner tijd in een separaat onderzoek worden uitgevoerd. Daarmee ontstaat input voor de evaluatie van de effectiviteit van de gehanteerde interventiemix en gekozen aanpak. 1.1 Onderzoeksvragen De centrale onderzoeksvraag is: In welke mate verwachten de aanbieders te voldoen aan de verplichtingen ten aanzien van de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de wet- en regelgeving? De deelvragen zijn: 1. Wat is de stand van zaken ten aanzien van de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de wet- en regelgeving; in welke mate verwachten de aanbieders te voldoen aan hun verplichtingen? Zijn aanbieders in het bezit van een continuïteitsplan? Indien men nog geen continuïteitsplan heeft, wanneer denkt men hierover te beschikken? 2. Wat is de kwaliteit van het continuïteitsplan? Beschrijven de aanbieders de risico s inclusief de maatregelen die men heeft genomen om deze risico s te adresseren? Hebben aanbieders, bij het beschrijven van de risico s in het continuïteitsplan, rekening gehouden met majeure calamiteiten zoals grootschalige uitval van elektriciteit en/of ICT? Zijn in ieder geval de meest relevante processen door de aanbieders ingericht en beschreven in het continuïteitsplan? Gedoeld wordt op die processen die gericht zijn op het nemen van passende technische en organisatorische maatregelen om de risico s voor de veiligheid en integriteit van netwerken en/of diensten te beheren en te beheersen inclusief het systeem dat zorg draagt voor voortdurende verbetering. Onder de meest relevante processen welke gericht zijn op het beheren en beheersen van de continuïteit van netwerken en/of diensten wordt verstaan: 1. Corporate Governance of Information Technology (CGIT); 2. Business Continuity Management System (BCMS); 3. Risk Management System (RMS); 4. ICT readiness for Business Continuity (IRBC); 5. ICT Service Management System (SMS). Deze processen zijn de leidraad voor kwaliteitsverbetering van het beheer en het beheersen van de continuïteit van netwerken en/of diensten. Om inzicht te krijgen in de bovenstaande onderzoeksvragen zijn de enquêtevragen opgesteld. Pagina 13 van 67

14 1.2 Methode van onderzoek Bepalen van de doelgroep Om de benodigde informatie te verkrijgen is gekozen voor het verzenden van een enquête aan de aanbieders. 6 Om de betrouwbaarheid te verhogen zijn de vragen in de enquête gesloten gesteld. De aanbieders zijn wettelijk verplicht mee te werken aan de enquête. Vooraf was al bekend dat niet alle aanbieders op basis van de door hun aangeboden netwerken en/of diensten relevant zijn voor de eisen van de zorg- en meldplicht continuïteit. Bijvoorbeeld aanbieders van netwerken of diensten waarover uitsluitend programma s (TV en Radio) worden verspreid. Deze zijn niet meegenomen in het onderzoek. Om te bepalen welke omvang een aanbieder heeft, wordt een klasse naar grootte gehanteerd op basis van de omzet. Deze zijn: 1. Klein: 0-2 miljoen euro; 2. Middel: 2 20 miljoen euro; 3. Groot: 20 miljoen euro of meer. Mailing Op 2 oktober 2012 is een brief verstuurd naar de aanbieders met als bijlage de enquête, bestaande uit 29 vragen en twee aanvullende verzoeken. In deze brief is de aanbieders verzocht de vragen te beantwoorden en de ingevulde enquête te retourneren binnen de gestelde termijn van drie weken. De aanvullende vragen betreffen het toezenden van een actuele versie van het continuïteitsplan en een lijst met klanten welke binnen de vitale infrastructuur 7 vallen. De wettelijke verplichtingen zijn toegelicht in de aanbiedingsbrief. Deze brief vindt u samen met de enquêtevragen terug in bijlage I van dit rapport. De doorlooptijd van het onderzoek (inclusief voorbereiding) heeft circa vijf maanden in beslag genomen. 6 Er is voor gekozen om de gehele bekende populatie, de bij OPTA ingeschreven aanbieders aan te schrijven. 7 Vitale infrastructuren zijn ketens van vergelijkbare partijen waarvan het vanuit maatschappelijk oogpunt cruciaal is dat zij blijven functioneren. Daarom wordt ook wel gesproken van vitale sectoren. Pagina 14 van 67

15 2 Doel van dit rapport Agentschap Telecom brengt met de uitvoering van dit onderzoek in beeld wat het niveau van naleving is van de zorg- en meldplicht continuïteit. 8 Ten eerste dient de 0-meting om het huidige niveau van naleving zichtbaar te maken. Door de 0- en (de op een later tijdstip uit te voeren) 1-meting te vergelijken kunnen de verbeteringen in de naleving zichtbaar worden gemaakt. Dit zal in een separaat traject gebeuren. Daarnaast dient de uitkomst van dit onderzoek als input voor de risicoanalyse (op doelgroep, niet op individueel niveau) die de basis vormt voor de verder te houden inspecties en audits. Er wordt voor de uitvoering van het toezicht door het agentschap bepaald welke verbeterpunten er opgepakt moeten worden om de markt in beweging te krijgen en te houden richting betere naleving. Voor de beleidskern van het ministerie van Economische Zaken geeft deze rapportage inzicht in het halen van de beleidsdoelen van de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de wet- en regelgeving. Deze regelgeving is nieuw, waardoor het van belang is dat aan de beleidsmakers wordt teruggekoppeld wat het nalevingsniveau is. Met dit rapport worden mogelijke aandachtspunten in de uitvoering van de zorg- en meldplicht continuïteit inzichtelijk gemaakt. Tot slot, maar niet minder belangrijk Agentschap Telecom koppelt het resultaat van de 0- meting terug aan de markt. De aanbieders hebben meegewerkt aan de enquête. Het is dan zorgvuldig hen ook te laten delen in het resultaat. Aanbieders kunnen aan de hand van dit geanonimiseerde rapport zien in welke mate de markt voldoet aan de huidige wet- en regelgeving, en waar zij zelf mogelijk verbeterpunten hebben. Ook wordt hiermee duidelijk voor de markt waar accenten komen te liggen in het toezicht. 8 In de inleiding wordt verder ingegaan op de algemene doelstelling van het onderzoek. Pagina 15 van 67

16 3 Verloop van het onderzoek In totaal zijn 632 aanbieders aangeschreven. De eerste reactie hierop was beperkt, waardoor het noodzakelijk was om na drie weken aan 358 aanbieders een eerste rappel te verzenden. De 198 aanbieders die hier nog niet op reageerden zijn na twee weken aangeschreven met een laatste, aangetekend, rappel. De aanbieders die vervolgens nog geen reactie hebben gegeven zijn, voor zover mogelijk, gebeld om te vragen om opheldering. Van de 632 aangeschreven aanbieders hebben 563 (89%) de vragenlijst ingevuld geretourneerd binnen de daarvoor gestelde termijnen. De overige 69 aanbieders (11%) zijn niet bij de uitvoering van dit onderzoek betrokken. Dit omdat de aanbieders niet binnen de daartoe gestelde termijn hebben aangeleverd. De redenen hiervoor zijn onder andere aanbieders die zijn afgevallen in verband met mogelijk faillissement, mogelijke overname en het vermoedelijk staken van de activiteiten. Uiteindelijk is er in vier gevallen een rapport van bevindingen opgemaakt wegens het niet reageren op de vordering tot het leveren van informatie. Hiervoor is een sanctietraject opgestart met als doel de aanbieders te bewegen alsnog te reageren. In totaal hebben 63 van de 563 respondenten aangegeven: Een netwerk of dienst aan te bieden waarover uitsluitend programma s (TV en radio) worden verspreid; Een besloten netwerk aan te bieden; Dat sprake is van een faillissement, een overname of het staken van de activiteiten. Deze aanbieders worden in 2013 nader onderzocht om een beeld te vormen in hoeverre deze aanbieders vallen onder de zorg- en meldplicht. Uiteindelijk hebben 500 aanbieders een valide set antwoorden aangeleverd die is meegenomen in dit onderzoek. Pagina 16 van 67

17 4 Bevindingen naleving zorg- en meldplicht continuïteit 4.1 Inleiding Sinds 5 juni 2012 is de zorg- en meldplicht continuïteit van kracht. Deze wet is een onderdeel geworden van hoofdstuk 11a van de Tw. Vanaf 1 januari 2013 is het Besluit continuïteit van kracht. Besluit continuïteit Het Besluit continuïteit bevat regelgeving met betrekking tot de technische- en organisatorische maatregelen om de risico s te beperken die de veiligheid en de integriteit van netwerken en/of diensten bedreigen. Eveneens bevat de regelgeving over de meldplicht van inbreuken op de veiligheid en verliezen van integriteit, de verstrekking van informatie voor de beoordeling van de veiligheid en de integriteit en de aanwijzing van inbreuken op de veiligheid en verliezen van integriteit van netwerken en/of diensten. 4.2 Naleving zorgplicht continuïteit In de enquête is een aantal vragen gesteld die een directe relatie heeft met de artikelen die zijn opgenomen in hoofdstuk 11a van de Tw en/of in het Besluit continuïteit dat vanaf 1 januari 2013, dus enkele weken na het inleveren van de antwoorden op de enquête, van kracht is geworden. Deze vragen zijn: 1. Beschikt u over een vastgesteld continuïteitsplan? 2. Wanneer verwacht u wel te beschikken over een vastgesteld continuïteitsplan? 3. Bij uitbesteding bent u er ook verantwoordelijk voor dat derden de verplichtingen als bedoeld in de zorgplicht continuïteit naleven. Heeft u deze verplichtingen in een schriftelijke overeenkomst vastgelegd en verwijst u in uw continuïteitsplan naar deze overeenkomst? 4. Heeft u in het continuïteitsplan die risico s beschreven die de continuïteit, van uw netwerken en/of diensten, bedreigen? 5. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? 6. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Op de volgende pagina s worden de bevindingen in het licht van de naleving van de zorgen meldplicht continuïteit naar aanleiding van de resultaten van deze enquêtevragen volgordelijk behandeld. Pagina 17 van 67

18 Ad Vraag 1. Beschikt u over een vastgesteld continuïteitsplan? Figuur 3. Meer dan driekwart van de aanbieders geeft aan niet te beschikken over een continuïteitsplan op het moment van de enquête. Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête, vlak voor de inwerkingtreding van het Besluit continuïteit (dat inwerking treedt op 1 januari 2013), niet te beschikken over een vastgesteld continuïteitsplan. Op dat moment was het overigens nog niet verplicht om te beschikken over een vastgesteld continuïteitsplan. Ad Vraag 2. Wanneer verwacht u wel te beschikken een vastgesteld continuïteitsplan? Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan (in onderstaande tekst staat deze groep voor 100%) geeft 41% aan het continuïteitsplan, binnen één tot zes maanden af te ronden en vast te stellen. Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan geeft 3% aan om binnen één maand, 6% aan om binnen drie maanden, 32 % binnen zes maanden en 59% over meer dan zes maanden, het continuïteitsplan af te gaan ronden en vast te gaan stellen. Ad Vraag 3. Heeft u deze verplichtingen in een schriftelijke overeenkomst vastgelegd en verwijst u in uw continuïteitsplan naar deze overeenkomst? Bij 65% van de aanbieders zijn deze verplichtingen niet of gedeeltelijk in een schriftelijke overeenkomst vastgelegd en wordt hiernaar verwezen in het continuïteitsplan. Bij uitbesteding aan derden blijft de aanbieder verantwoordelijk voor het naleven van de zorgen meldplicht continuïteit. Ad Vraag 4. Heeft u in het continuïteitsplan die risico s beschreven die de continuïteit, van uw netwerken en/of diensten, bedreigen? Bij 26% van de aanbieders zijn die risico s in het continuïteitsplan beschreven die de continuïteit, van de eigen netwerken en/of diensten, bedreigen en 21% van de aanbieders voldoet hier gedeeltelijk aan. Pagina 18 van 67

19 Figuur 4. Iets minder dan driekwart van de aanbieders heeft in het continuïteitsplan niet of gedeeltelijk die risico s beschreven die de continuïteit van de eigen aangeboden netwerken en/of diensten bedreigen. Bij 74% van de aanbieders zijn de risico s niet of gedeeltelijk in het continuïteitsplan beschreven en voldoen ze niet aan de verplichtingen welke in het Besluit continuïteit zijn vastgelegd. Ad Vraag 5. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? Figuur 5. Iets minder dan driekwart van de aanbieders heeft in het continuïteitsplan niet of gedeeltelijk die maatregelen beschreven die men neemt om de risico s te adresseren. Bij 71% van de aanbieders zijn de maatregelen die men neemt om de risico s te adresseren niet of gedeeltelijk in het continuïteitsplan beschreven en voldoen ze niet aan de verplichtingen welke in het Besluit continuïteit zijn vastgelegd. Ad Vraag 6. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Meer dan de helft van de aanbieders (52%) geeft aan dat men bij het beschrijven van de risico s, geen rekening heeft gehouden met grootschalige uitval van elektriciteit en/of ICT beschreven in het continuïteitsplan. Hierdoor voldoen ze niet aan de verplichtingen welke in de regelgeving zijn vastgelegd. Pagina 19 van 67

20 Figuur 6. Meer dan de helft van de aanbieders heeft in het continuïteitsplan bij het beschrijven van de risico s, geen rekening gehouden met grootschalige uitval van elektriciteit en/of ICT. 4.3 Gebruik loket meldplicht Heeft u uw inloggegevens aangevraagd en ontvangen? Het betreft hier de inloggegevens die u nodig heeft om incidenten, met (mogelijke) maatschappelijke en/of economische impact, bij het loket Meldplicht te melden? Een totaal van 31% van de aanbieders heeft bij inwerkingtreding van de zorg- en meldplicht continuïteit de inloggegevens aangevraagd en ontvangen. Het betreft hier de inloggegevens die men nodig heeft om incidenten, met (mogelijke) maatschappelijke en/of economische impact, bij het loket Meldplicht elektronisch te melden. Een totaal van 69% van de aanbieders heeft bij inwerkingtreding van de zorg- en meldplicht continuïteit de inloggegevens (nog) niet aangevraagd en/of ontvangen. Aanbieders zijn verplicht om bij inbreuken op de veiligheid en/of een (gedeeltelijk) verlies aan integriteit melding te maken van dit incident bij Agentschap Telecom. Figuur 7. Een totaal van 31% van de aanbieders heeft bij inwerkingtreding van de zorg- en meldplicht continuïteit de inloggegevens aangevraagd en ontvangen. Pagina 20 van 67

21 5 Bevindingen kwaliteit van het continuïteitsplan 5.1 Inleiding Waar het gaat om de continuïteit van netwerken en/of diensten zijn de belangen groot. De onderhavige materie is complex en kent vele invalshoeken. Een kleine toelichting is hier op zijn plaats. Vier basale processen Er zijn vier processen die de continuïteit van netwerken en/of diensten, elk op een eigen wijze, adresseren. Het proces Business Continuity Management (het beheer van de bedrijfscontinuïteit) en het proces Integraal Risk Management (het integraal risicobeheer) zijn processen die vanuit de optiek van de bedrijfsvoering de continuïteit van netwerken en/of diensten adresseren. Het proces ICT Service Management (het management van de dienstverlening) en het proces ICT Readiness (ICT weerbaarheid) zijn processen die veel meer vanuit de optiek van de ICT de continuïteit van netwerken en/of diensten benaderen. Samenvattend kijkt men dus en/of vanuit het oogpunt van de bedrijfsvoering en/of vanuit het oogpunt van de ICT functie naar de continuïteit van netwerken en/of diensten. Het belang van integrale aansturing Het is van het belang de inzichten vanuit beide segmenten, dus vanuit deze vier processen, niet alleen met elkaar te delen maar ook te combineren. Voor een juiste aansturing en om de verschillende belangen op juiste wijze te adresseren is het noodzakelijk om het thema continuïteit van netwerken en/of diensten integraal en holistisch op bestuurlijk niveau te beheren en te beheersen. Die belangen die zich vanuit de hoek van de bedrijfsvoering manifesteren dienen waar mogelijk zoveel mogelijk op lijn te worden gebracht met de belangen vanuit de ICT functie en andersom. 1. Bestuurlijke invalshoek Naast het op lijn brengen van de verschillende belangen zal men invulling moeten geven aan de drie hoofdtaken; besturen, evalueren en bewaken van het strategische thema; continuïteit van netwerken en/of diensten. Hierbij spelen vragen zoals: Is er voldoende budget vrijgemaakt? Wordt het budget gebruikt om de juiste dingen te doen, op het juiste moment en op de juiste plek? Zijn wij voldoende voorbereid op grote calamiteiten? Zijn de verantwoordelijkheden op de juiste manier belegd? Zakelijke belangen staan vaak loodrecht tegenover de kwaliteitsbelangen, waar trekt men de grens? Kortom de betrokkenheid van de directie is van groot belang om richting te geven aan dit strategische thema. 2. ICT Technische invalshoek De bestuurlijke intentie zal vervolgens op de juiste wijze moeten worden vertaald. Hier is sprake van de ICT technische invalshoek. Hoe geeft men invulling aan de weerbaarheid en robuustheid van de netwerken en/of diensten? Hierbij speelt de levenscyclus en de inrichting van de diensten en de gerelateerde ICT (componenten) een rol. Het service management proces, oftewel het management van de dienstverlening, adresseert de levenscyclus van dienst en/of netwerk (of elementen hiervan); de levenscyclus van strategie naar ontwerp, van ontwerp naar transitie, van transitie naar operatie en van operatie naar uitfasering. Bij het opstellen van de servicestrategie is kwalitatief financieel management een vereiste. Bij het opstellen van een goede dienst- en/of netwerkontwerp zijn onder andere elementen als de kwaliteit van de dienstverlening, het beheer van de beschikbaarheid, de capaciteit en de continuïteit en de informatiebeveiliging zaken die men in een vroeg stadium al dient te adresseren. Tijdens de implementatie, transitie of verandering bedreigen weer andere kwetsbaarheden de continuïteit van netwerken en/of diensten. Uiteindelijk spelen in de operatie processen zoals incident management, proble(e)m management, change management en de continue verbetering van de service prestatie bij het beheren en beheersen van de continuïteit van netwerken en/of diensten een sleutelrol. Pagina 21 van 67

22 3. Crisismanagement Het is van belang dat bedrijven en instellingen zich zo goed mogelijk voorbereiden op een mogelijke crisissituatie. Hiertoe worden de meest kritieke- en waardevolle processen, diensten, elementen etc. in kaart gebracht en worden mogelijke crisisscenario s voorbereid, uitgedacht en geadresseerd. Met name in de Telecommunicatiesector is men hierbij in toenemende mate afhankelijk van ICT. De continuïteit van netwerken en/of diensten kent dus ook vanuit deze invalshoek een invulling die op bestuurlijk niveau wordt ingezet en op de juiste wijze naar de operatie moet worden vertaald. Bij de beschrijving van hoe te handelen tijdens majeure calamiteiten en/of een crisissituatie is het crisismanagement proces belangrijk, inclusief crisismanagement team, de continuïteit en herstelplannen, de crisisoefeningen en ook de inventarisatie van mogelijke crisisscenario s. Ook hier is er sprake van een directe relatie, juist in de Telecommunicatiesector, met de continuïteit van netwerken en/of diensten. Op welke crisisscenario s bereid men zich voor? Is er sprake van een centraal punt waar men werkt tijdens crisis en heeft men de beschikking over die informatie die op dat moment relevant is? Wat is de maximaal toelaatbare hersteltijd voor uitval van specifieke kritieke elementen en/of processen? Welke maatregelen kunnen op voorhand worden genomen om de impact te verminderen? 4. Integraal Risico Management De continuïteit van netwerken en/of diensten wordt binnen verschillende processen en vanuit verschillende invalshoeken bezien. Een adequate aansturing vereist dan ook een integrale holistische benadering en aanpak, juist daar waar het gaat om het in kaart brengen van de bestaande- en toekomstige risico s. Er is sprake van een complexe keten van afhankelijkheden waar het de continuïteit van netwerken en/of diensten betreft. De continuïteitsketen is afhankelijk van een groot aantal complexe fysieke en virtuele schakels. Op elk van de afzonderlijke schakels kunnen volledig andere bedreigingen de totale keten op negatieve wijze beïnvloeden. Het zorg dragen voor continuïteit gaat vanzelfsprekend verder dan alleen het opstellen van een continuïteitsplan. Figuur 8. Continuïteit van netwerken en/of diensten: de meest relevante processen Voor alle duidelijkheid worden met de in figuur 8 genoemde processen die processen bedoeld die de continuïteit van netwerken en/of diensten raken en die gericht zijn op het nemen van passende technische en organisatorische maatregelen om de risico s voor de veiligheid en integriteit van netwerken en/of diensten te beheren en te beheersen. Samen vormen deze processen (hierna te noemen de continuïteitsprocessen) het continuïteitssysteem dat zorg draagt voor voortdurende verbetering. Kwaliteit van het continuïteitsplan Het adequaat inrichten en continu verbeteren van deze processen die de continuïteit van netwerken en/of diensten direct raken en het integraal aansturen van continuïteit op bestuurs- en/of directieniveau zijn uiteindelijk bepalend voor de kwaliteit van het continuïteitssysteem van een onderneming of instelling. Een adequate inrichting van alle continuïteitsprocessen zal uiteindelijk de kwaliteit en effectiviteit van het totale continuïteitssysteem bepalen. Pagina 22 van 67

23 Bij de uitvoering van dit onderzoek hebben de onderzoekers een beoordeling gegeven over de kwaliteit van het continuïteitsplan. Let wel, hierbij geven de onderzoekers geen oordeel over een adequate inrichting van deze continuïteitsprocessen. In dit onderzoek beperken de onderzoekers zich tot het doen van een uitspraak die betrekking heeft op de kwaliteit van het continuïteitsplan puur op basis van het al dan niet aanwezig zijn van een beschrijving van de continuïteitsprocessen (zie figuur 8) in het continuïteitsplan. 5.2 Continuïteitsplan Van de aanbieders geeft 24% aan dat zij beschikken over een vastgesteld continuïteitsplan. De overigen geven aan niet (46%) te beschikken over een vastgesteld continuïteitsplan of bezig te zijn met de voorbereiding van het continuïteitsplan (30%). Figuur 9. Beschikt u over een vastgesteld continuïteitsplan? Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête, niet te beschikken over een vastgesteld continuïteitsplan. Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan (in onderstaande tekst staat deze groep voor 100%) geeft 41% aan het continuïteitsplan, binnen één tot zes maanden af te ronden en vast te stellen. Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan geeft 3% aan om binnen één maand, 6% aan om binnen drie maanden, 32 % binnen drie maanden en 59% over meer dan drie maanden, het continuïteitsplan af te gaan ronden en vast te gaan stellen. 5.3 Governance Specifieke richtlijnen en beleid Wanneer specifiek wordt gekeken naar goed bestuur van continuïteit, komt het volgende beeld naar voren. Ten tijde van deze nalevingsmeting zijn er vanuit bestuurlijk oogpunt duidelijke richtlijnen en doelstellingen afgegeven met betrekking tot de continuïteit en de beschikbaarheid bij 53% van de aanbieders. Bij 18% van de aanbieders is er geen sprake van specifiek beleid met betrekking tot de continuïteit en de beschikbaarheid, bij 16% van de aanbieders is dit in voorbereiding en bij 13% van de aanbieders is er (nog) niet specifiek maar wel gedeeltelijk beleid opgesteld op dit punt. Specifieke rapportage met betrekking tot de eigen prestatie Bij 61% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar waar het de geleverde prestatie van de organisatie betreft met betrekking tot de continuïteit en de beschikbaarheid. Bij 11% van de aanbieders gebeurt dit gedeeltelijk. Bij Pagina 23 van 67

24 10% van de aanbieders is een dergelijke rapportage in voorbereiding en bij 18% van de aanbieders wordt er (nog) niet gerapporteerd. Specifieke rapportage met betrekking tot prestatie van leveranciers Bij 44% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar waar het de geleverde prestatie van de organisatie betreft met betrekking tot de continuïteit en de beschikbaarheid. Bij 23% van de aanbieders gebeurt dit gedeeltelijk. Bij 10% van de aanbieders is een dergelijke rapportage in voorbereiding en bij 23% van de aanbieders wordt er (nog) niet gerapporteerd. Uit de bovenstaande resultaten uit de enquête blijkt dat 18 tot 23% van de aanbieders weinig tot geen bestuurlijke aandacht heeft waar het gaat om de continuïteit van netwerken en/of diensten. Hier wordt gedoeld op tenminste twee van de drie bestuurlijke hoofdtaken, te weten: Het besturen met name het geven van richtlijnen en beleid; Het bewaken van de eigen prestatie of die van derden (leveranciers etc.). 5.4 Service management Beschrijving van vitale service management processen Bij 21% van de aanbieders is het proces incident management beschreven in het continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 37% van de aanbieders is het proces incident management niet beschreven in het continuïteitsplan en 36% van de aanbieders werkt aan de voorbereiding hiervan. Bij 17% van de aanbieders is het proces proble(e)m management beschreven in het continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 42% van de aanbieders is het proces proble(e)m management niet beschreven in het continuïteitsplan en 35% van de aanbieders werkt aan de voorbereiding hiervan. Bij 19% van de aanbieders is het proces change management beschreven in het continuïteitsplan en bij 4% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 43% van de aanbieders is het proces change management niet beschreven in het continuïteitsplan en 34% van de aanbieders werkt aan de voorbereiding hiervan. Bij 37 tot 43% van de aanbieders zijn de meest relevante processen met betrekking tot het management van de dienstverlening in het licht van de continuïteit van netwerken en/of diensten vooralsnog niet beschreven in het continuïteitsplan. Maximum toelaatbare hersteltijd na storing Bij 31% van de aanbieders is de maximum toelaatbare hersteltijd na storing vastgesteld en beschreven in het continuïteitsplan, bij 29% van de aanbieders niet, bij 33% van de aanbieders is men bezig met de voorbereiding hiervan. Bij 7% van de aanbieders is de maximum toelaatbare hersteltijd na storing gedeeltelijk vastgesteld en beschreven in het continuïteitsplan. Bij 29% van de aanbieders is de maximum toelaatbare hersteltijd na storing niet vastgesteld en beschreven in het continuïteitsplan. Deze bevinding heeft ook een relatie met BCM/ICT Readiness namelijk bij het opstellen van de herstelplannen geeft men aan wat de maximaal toelaatbare hersteltijd is bij storing van kritieke processen en onderdelen. Registratie incidenten Bij 57% van de aanbieders worden incidenten op eenduidige wijze geregistreerd waarbij de mogelijke impact, urgentie en de verwachte hersteltijd eveneens is aangegeven. Bij 14% van de aanbieders gebeurt dit niet, bij 16% van de aanbieders is men bezig met de voorbereiding hiervan en bij 13% van de aanbieders worden incidenten gedeeltelijk volgens de bovenstaande voorwaarden geregistreerd. Pagina 24 van 67

25 Ondanks het feit dat 37% van de aanbieders het proces incident management vooralsnog niet heeft beschreven in het continuïteitsplan, registreert een groep (14%) van de aanbieders hun incidenten niet op eenduidige wijze, waarbij de mogelijke impact, urgentie en de verwachte hersteltijd eveneens is aangegeven. Prioriteren van incidenten met maatschappelijke en/of economische impact Bij 52% van de aanbieders is er sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact. Bij 27% van de aanbieders niet, bij 14% van de aanbieders is men bezig met de voorbereiding hiervan en bij 7% van de aanbieders worden incidenten met maatschappelijke en/of economische impact gedeeltelijk geprioriteerd. Bij 27% van de aanbieders is er geen sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact. Verouderde onderdelen van de infrastructuur Bij 13% van de aanbieders is in het continuïteitsplan omschreven welk deel van de infrastructuur op korte termijn aan vervanging toe is. Bij 54% van de aanbieders niet, bij 29% van de aanbieders is men bezig met de voorbereiding hiervan en bij 4% van de aanbieders is in het continuïteitsplan gedeeltelijk omschreven welk deel van de infrastructuur op korte termijn aan vervanging toe is. Bij 37% van de aanbieders zijn er met betrekking tot verouderde onderdelen van de infrastructuur, naast spare part management, additionele passende technische en organisatorische maatregelen genomen teneinde de continuïteit over dit verouderde gedeelte te kunnen garanderen. Bij 41% van de aanbieders niet en bij 22% van de aanbieders is men bezig met de voorbereiding hiervan. Bij 47% van de aanbieders is er met betrekking tot verouderde onderdelen van de infrastructuur, een verhoogde paraatheid/ alertheid, bijvoorbeeld in de vorm van monitoring, ingesteld. Bij 42% van de aanbieders niet en bij 11% van de aanbieders voldoet hier gedeeltelijk aan. Bij 54% van de aanbieders is in het continuïteitsplan niet omschreven, welk deel van de infrastructuur op korte termijn aan vervanging toe is. Bij 41% van de aanbieders zijn er met betrekking tot verouderde onderdelen van de infrastructuur, naast spare part management, geen additionele passende technische en organisatorische maatregelen genomen en bij 42% is er geen sprake van een verhoogde paraatheid/ alertheid, teneinde de continuïteit over dit verouderde gedeelte te kunnen garanderen. Actueel overzicht van de huidige leveranciers Bij 47% van de aanbieders is een actueel overzicht van de huidige leveranciers en/of service partners op het gebied van ICT en Technische Infrastructuur (hierna TI), welke een relatie hebben met de continuïteit van uw netwerken en/of diensten, opgenomen in het continuïteitsplan. Bij 39% van de aanbieders is dit niet het geval en 14% van de aanbieders voldoet hier gedeeltelijk aan. Bij 39% van de aanbieders is een actueel overzicht van de huidige leveranciers en/of service partners op het gebied van ICT en TI, niet opgenomen in het continuïteitsplan. Pagina 25 van 67

26 5.5 BCM/ ICT Readiness: inclusief crisis- en herstelplannen Figuur 10. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Bij 52% van de aanbieders heeft men, bij het beschrijven van de risico s in het continuïteitsplan, geen rekening gehouden met grootschalige uitval van elektriciteit en/of ICT. Bij 46% van de aanbieders heeft men, in geval van grootschalige uitval van elektriciteit en/of ICT, de dan in werking tredende kritieke processen en activiteiten niet in het continuïteitsplan beschreven. 5.6 Integraal risico management Risico s beschreven, inclusief kans en impact Bij 26% van de aanbieders zijn die risico s in het continuïteitsplan beschreven die de continuïteit, van de eigen netwerken en/of diensten, bedreigen. Bij 53% van de aanbieders is dit niet het geval en 21% van de aanbieders voldoet hier gedeeltelijk aan. Bij 24% van de aanbieders zijn de risico s in het continuïteitsplan beschreven waarbij eveneens de kans van het optreden van het risico en de impact bij het optreden van het risico wordt vermeld. Bij 58% van de aanbieders is dit niet het geval en 24% van de aanbieders voldoet hier gedeeltelijk aan. Bij 53% van de aanbieders zijn de risico s die de continuïteit, van de eigen netwerken en/of diensten bedreigen, niet beschreven in het continuïteitsplan. Bij 58% van de aanbieders zijn de risico s niet zodanig beschreven dat ook de kans op het optreden van het risico en de mogelijke impact bij optreden van het risico is beschreven in het continuïteitsplan. Pagina 26 van 67

27 Passende maatregelen om risico s te adresseren Bij 52% van de aanbieders heeft men de maatregelen welke men neemt om deze risico s te adresseren niet in het continuïteitsplan beschreven. Figuur 11. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? Pagina 27 van 67

28 6 Overige bevindingen 6.1 Vitale infrastructuur Wij kunnen concluderen dat 36% van de aanbieders zich er bewust van is dat men netwerken en/of diensten levert aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en dat de directie hiervan op de hoogte is. Het betreft hier in totaal 180 aanbieders van verschillende omvang. Van deze 180 aanbieders heeft 38% beschreven welke additionele maatregelen zijn genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen. Figuur 12. Heeft u een actueel overzicht van die zakelijke klanten (bedrijven en/of instellingen), die binnen de definitie vitale infrastructuur vallen en die u netwerken en/of diensten levert, opgenomen in het continuïteitsplan? Van deze groep van 180 aanbieders beschikt 26% over een actueel overzicht van deze zakelijke klanten die binnen de definitie vitale infrastructuur vallen. Aan hen levert men netwerken en/of diensten en heeft men dit overzicht opgenomen in het continuïteitsplan. Er is echter wel bij 52% van de aanbieders sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact. Pagina 28 van 67

29 7 Conclusie In dit hoofdstuk staat de beantwoording van de onderzoeksvraag, inclusief de afgeleide onderzoeksvragen centraal: In welke mate verwachten de aanbieders te voldoen aan de verplichtingen ten aanzien van de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de wet- en regelgeving? De deelvragen zijn: 1. Wat is de stand van zaken ten aanzien van de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de wet- en regelgeving; in welke mate verwachten de aanbieders te voldoen aan hun verplichtingen? Zijn aanbieders in het bezit van een continuïteitsplan? Indien men nog geen continuïteitsplan heeft, wanneer denkt men hierover te beschikken? 2. Wat is de kwaliteit van het continuïteitsplan? Beschrijven de aanbieders de risico s inclusief de maatregelen die men heeft genomen om deze risico s te adresseren? Hebben aanbieders, bij het beschrijven van de risico s in het continuïteitsplan, rekening gehouden met majeure calamiteiten zoals grootschalige uitval van elektriciteit en/of ICT? Zijn in ieder geval de meest relevante processen door de aanbieders ingericht en beschreven in het continuïteitsplan? Gedoeld wordt op die processen die gericht zijn op het nemen van passende technische en organisatorische maatregelen om de risico s voor de veiligheid en integriteit van netwerken en/of diensten te beheren en te beheersen inclusief het systeem dat zorg draagt voor voortdurende verbetering. Verder leiden de bevindingen uit de voorgaande hoofdstukken tot een aantal conclusies. De belangrijkste conclusies worden eveneens in dit hoofdstuk weergegeven. 7.1 Stand van zaken naleving zorg- en meldplicht Continuïteitsplan Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête, dus enkele weken voor de inwerkingtreding van het Besluit continuïteit, niet te beschikken over een vastgesteld continuïteitsplan. Om te bepalen welke omvang een aanbieder heeft, wordt een klasse naar grootte gehanteerd op basis van de omzet. Deze zijn: 1. Klein: 0-2 miljoen euro; 2. Middel: 2 20 miljoen euro; 3. Groot: 20 miljoen euro of meer. Van de aanbieders die aangeven nog niet te beschikken over een vastgesteld continuïteitsplan, kan, na analyse, het merendeel gekenmerkt worden als middelgroot of klein. De grotere netwerkaanbieders bevinden zich niet in deze categorie. Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat meer dan driekwart van de aanbieders geen continuïteitsplan heeft, hebben wij onderzocht waar wij de grotere aanbieders, 13% van het totaal, kunnen plaatsen. De meerderheid (77%) van de grote netwerkaanbieders beschikt op het moment van de enquête over een vastgesteld continuïteitsplan. Bij 16% van de grote aanbieders is het continuïteitsplan in voorbereiding en 7% beschikt niet over een vastgesteld continuïteitsplan (en is ook niet in voorbereiding). Wanneer beschikt men wel over een vastgesteld continuïteitsplan? Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan 9 geeft 41% aan het continuïteitsplan, binnen één tot zes maanden af te 9 Deze groep staat voor 100%. Pagina 29 van 67

30 ronden en vast te stellen. Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan geeft 3% aan om binnen één maand (tijdig), 6% aan om binnen drie maanden, 32 % binnen zes maanden en 59% over meer dan zes maanden, het continuïteitsplan af te gaan ronden en vast te gaan stellen. Bij het nader doorrekenen van deze resultaten kan worden geconcludeerd dat bij de inwerkingtreding van het Besluit continuïteit (1 januari 2013) 74% niet tijdig voldoet aan de wet- en regelgeving door niet tijdig te beschikken over een vastgesteld continuïteitsplan. 10 Hiermee is de hoofdvraag van het onderzoek beantwoord. Naleving van de wetgeving bij uitbesteding aan derden Bij 65% van de aanbieders zijn deze verplichtingen niet of slechts gedeeltelijk in een schriftelijke overeenkomst vastgelegd en wordt hiernaar verwezen in het continuïteitsplan. Deze groep loopt een verhoogt risico aangaande het niet naleven van de zorg- en meldplicht continuïteit door derden. Bij uitbesteding is de aanbieder verantwoordelijk voor het naleven van zorg- en meldplicht continuïteit bij uitbesteding aan derden. Beschrijven van de risico s inclusief passende maatregelen Iets minder dan driekwart van de aanbieders (71%) geeft aan dat de maatregelen die men neemt om de risico s te adresseren niet of slechts gedeeltelijk heeft beschreven in het continuïteitsplan. Beschrijven risicoscenario: grootschalige uitval van elektriciteit Meer dan de helft van de aanbieders (52%) geeft aan dat bij het beschrijven van de risico s, in het continuïteitsplan geen rekening is gehouden met grootschalige uitval van elektriciteit en/of ICT. Eindconclusie: in welke mate verwachten aanbieders te voldoen aan de verplichtingen? Van de aanbieders verwacht 26% aan de belangrijkste verplichting te voldoen ten aanzien van de zorg- en meldplicht continuïteit op het moment van inwerkingtreding van de wet- en regelgeving, namelijk het tijdig in het bezit zijn van een vastgesteld continuïteitsplan. Figuur 13. Verwachten aanbieders tijdig te voldoen aan wet- en regelgeving door tijdig te beschikken over een vastgesteld continuïteitsplan? 10 Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête, vlak voor de inwerkingtreding van het Besluit continuïteit op 1 januari 2013, niet te beschikken over een vastgesteld continuïteitsplan. Op dat moment was het nog niet verplicht om te beschikken over een vastgesteld continuïteitsplan. Deze verplichting is enkele weken later ingegaan namelijk op 1 januari Van de aanbieders die tijdens de enquête aangaven niet of nog niet te voldoen geeft 3% aan binnen 1 maand te beschikken over een continuïteitsplan. Afgerond correspondeert deze 3% van 76% van de aanbieders die aangaven niet te beschikken over een continuïteitsplan tijdens de enquête, met 2% van het totale aantal aanbieders (100%). Deze 2% is opgeteld bij aanbieders die tijdens de enquête aangaven al te beschikken over een vastgesteld continuïteitsplan. Dit betekent dat 24% + 2% = 26% verwacht te beschikken over een vastgesteld continuïteitsplan op 1 januari Pagina 30 van 67

31 Grote diensten- en netwerkaanbieders Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat 74% van de aanbieders geen continuïteitsplan heeft, hebben wij onderzocht waar wij de grotere aanbieders, 13% van het totaal, kunnen plaatsen. De meerderheid (77%) van de grote dienst- en netwerkaanbieders beschikt op het moment van de enquête over een vastgesteld continuïteitsplan. Bij 16% van de grote aanbieders is het continuïteitsplan in voorbereiding en 7% beschikt niet over een vastgesteld continuïteitsplan. Figuur 14. De meerderheid van de grote aanbieders beschikt over een vastgesteld continuïteitsplan ten tijde van de enquête. 7.2 Kwaliteit van het continuïteitsplan Inleiding Bij de uitvoering van dit onderzoek hebben de onderzoekers een beoordeling gegeven over de kwaliteit van het continuïteitsplan. Let wel, hierbij geven de onderzoekers geen oordeel over een adequate inrichting van de continuïteitsprocessen. In dit onderzoek beperken de onderzoekers zich tot het doen van een uitspraak die betrekking heeft op de kwaliteit van het continuïteitsplan puur op basis van het al dan niet aanwezig zijn van een beschrijving van de continuïteitsprocessen in het continuïteitsplan. Verhoging van de bewustwording van alle relevante afhankelijkheden, risico s en kwetsbaarheden op alle niveaus (niet alleen operationeel) en een goed continuïteitsbeleid bij aanbieders is van evident belang. Dit moet uiteindelijk leiden tot een verbetering van de continuïteit van netwerken en/of diensten. Om eerste indruk te krijgen van de maatregelen en de wijze waarop aanbieders om gaan met de continuïteit van netwerken en/of diensten zijn er in de enquête verschillende vragen gesteld. Die moeten duidelijkheid verschaffen over de mate van het continuïteitsbewustzijn bij de aanbieders en een indruk geven van de kwaliteit van het continuïteitsplan. Continuïteitsplan Door het ontbreken van het continuïteitsplan, ontbreekt niet alleen een vastgestelde eenduidige integrale aanpak van het strategische thema continuïteit, ook ontbreekt een eenduidige integrale aanpak van de continuïteitsrisico s, inclusief mitigerende maatregelen. Mogelijke crisisscenario s en herstelplannen worden ook niet eenduidig en integraal in het kader van de continuïteit van netwerken en/of diensten geadresseerd. Dit heeft tot gevolg dat er onnodige kwetsbaarheden blijven bestaan waar het de continuïteit van netwerken en/of diensten betreft. Pagina 31 van 67

32 Governance proces Uit de enquête blijkt dat 18 tot 23% van de aanbieders weinig bestuurlijke aandacht heeft waar het gaat om de continuïteit van netwerken en/of diensten. Hier wordt gedoeld op tenminste twee van de drie bestuurlijke hoofdtaken, te weten: Het besturen: door middel van het geven van richtlijnen en het opstellen van beleid; Het bewaken van de eigen prestatie of die van derden (leveranciers etc.). Klanten mogen van aanbieders verwachten dat ze, vanuit een vanzelfsprekende maatschappelijke en economische verantwoordelijkheid, op adequate wijze zorg dragen voor de continuïteit van netwerken en/of diensten. Het is opmerkelijk dat zo weinig aanbieders (26%) vooralsnog verwachten tijdig te beschikken over een continuïteitsplan. Service management proces Beschrijving van vitale service management processen Bij 37 tot 43% van de aanbieders zijn de meest relevante service management processen, te weten; incident-, proble(e)m en change management processen vooralsnog niet beschreven in het continuïteitsplan. Wij kunnen hieruit concluderen dat de kwaliteit van het continuïteitsplan op dit punt bij meer dan een derde van de aanbieders (37 tot 43%) nog onder het gewenste niveau ligt. Registratie incidenten Echter ondanks het feit dat 37% van de aanbieders het proces incident management vooralsnog niet heeft beschreven in het continuïteitsplan, registreert slechts een kleine groep (14%) van de aanbieders hun incidenten niet op eenduidige wijze, waarbij de mogelijke impact, urgentie en de verwachte hersteltijd eveneens is aangegeven. Wij kunnen derhalve concluderen dat het proces incident management of delen daarvan, ondanks dat het proces zelf niet in het continuïteitsplan is beschreven, bij het overgrote gedeelte (86%) van de aanbieders wel of gedeeltelijk is geïmplementeerd. Actueel overzicht van de huidige leveranciers Bij slechts 39% van de aanbieders is een actueel overzicht van de huidige leveranciers en/of service partners op het gebied van ICT en TI, niet opgenomen in het continuïteitsplan. Het beheren en beheersen van de (prestatie) van de leveranciers is vaak een belangrijke schakel/afhankelijkheid in de continuïteitsketen. Bij het integraal adresseren van continuïteit is tenminste het invoegen van een actueel overzicht van de huidige leveranciers en/of service partners op het gebied van ICT en TI in het continuïteitsplan van belang. We kunnen uit de resultaten van de enquête concluderen dat op dit punt de kwaliteit van het continuïteitsplan bij meer dan een derde van de aanbieders (39%) nog onder het gewenste kwaliteitsniveau ligt. Samenvattend kan worden geconcludeerd dat bij meer dan een derde van de aanbieders de kwaliteit van het continuïteitsplan op het gebied van service management nog onder het gewenste kwaliteitsniveau ligt. BCM/ ICT Readiness proces Maximum toelaatbare hersteltijd na storing Bij 29% van de aanbieders is de maximum toelaatbare hersteltijd na storing niet vastgesteld en beschreven in het continuïteitsplan. Deze bevinding heeft ook een relatie met BCM/ICT Readiness namelijk bij het opstellen van de herstelplannen geeft men aan wat de maximaal toelaatbare hersteltijd is bij storing van kritieke processen en onderdelen bijvoorbeeld in de ICT infrastructuur. Dit is met name van belang om een duidelijk beeld te krijgen van de prioriteiten tijdens het crisismanagement proces dat wordt gestart als gevolg majeure bedrijfskritieke storingen. Pagina 32 van 67

33 Grootschalige uitval van elektriciteit en/of ICT Bij 52% van de aanbieders heeft men, bij het beschrijven van de risico s in het continuïteitsplan, geen rekening gehouden met grootschalige uitval van elektriciteit en/of ICT. Figuur 15. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Grote diensten- en netwerkaanbieders Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat 52% van de aanbieders geen rekening heeft gehouden met grootschalige uitval van elektriciteit en/of ICT, hebben wij onderzocht waar wij de grotere aanbieders, 13% van het totaal, kunnen plaatsen. De meerderheid (85%) van de grote dienst- en netwerkaanbieders heeft, bij het beschrijven van de risico s, rekening gehouden met grootschalige uitval van elektriciteit en/of ICT, 15% heeft hier geen rekening mee gehouden. Figuur 16. De meerderheid (85%) van de grote netwerkaanbieders heeft, bij het beschrijven van de risico s, rekening gehouden met grootschalige uitval van elektriciteit en/of ICT. Bij 46% van de aanbieders heeft men, in geval van grootschalige uitval van elektriciteit en/of ICT, de dan in werking tredende kritieke processen en activiteiten niet in het continuïteitsplan beschreven. Samenvattend kan worden geconcludeerd dat bij meer dan een derde van de aanbieders de kwaliteit van het continuïteitsplan op het gebied van BCM/ ICT Readiness proces nog onder het gewenste kwaliteitsniveau ligt. Pagina 33 van 67

34 Risico management proces Risico s beschreven, inclusief kans en impact Bij 53% van de aanbieders zijn de risico s die de continuïteit, van de eigen netwerken en/of diensten bedreigen, niet in het continuïteitsplan. Bij 58% van de aanbieders zijn de risico s niet zodanig beschreven dat ook de kans op het optreden van het risico en de mogelijke impact bij optreden van het risico is beschreven in het continuïteitsplan. Passende maatregelen om risico s te adresseren Bij 52% van de aanbieders heeft men de maatregelen om deze risico s te adresseren niet in het continuïteitsplan beschreven. Figuur 17. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? Samenvattend kan worden geconcludeerd dat bij meer dan de helft van de aanbieders de kwaliteit van het continuïteitsplan op het gebied van het beschrijven van zowel de risico s als de maatregelen onder het gewenste kwaliteitsniveau ligt. Eindconclusie: wat is de kwaliteit van het continuïteitsplan? Samenvattend kan worden geconcludeerd dat bij meer dan een derde en op sommige punten bij meer dan de helft van de aanbieders de kwaliteit van het continuïteitsplan in relatie met de meest relevante continuïteitsprocessen nog onder het gewenste kwaliteitsniveau ligt. Uit de enquête blijkt dat 18 tot 23% van de aanbieders weinig bestuurlijke aandacht heeft waar het gaat om de continuïteit van netwerken en/of diensten. Hier wordt gedoeld op tenminste twee van de drie bestuurlijke hoofdtaken, te weten: Het besturen: door middel van het geven van richtlijnen en het opstellen van beleid; Het bewaken van de eigen prestatie of die van derden (leveranciers etc.). Het is opmerkelijk dat meer dan driekwart van de aanbieders (74%) verwacht niet tijdig te beschikken over een vastgesteld continuïteitsplan op het moment van inwerkingtreding van de zorg- en meldplicht continuïteit en het Besluit continuïteit. 7.3 Overige conclusies Vitale infrastructuur Wij kunnen concluderen dat 36% van de aanbieders zich er bewust van is dat men netwerken en/of diensten levert aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en dat de directie hiervan op de hoogte is. Het betreft hier in totaal 180 aanbieders van verschillende omvang. Pagina 34 van 67

35 Van deze 180 aanbieders heeft 38% beschreven welke additionele maatregelen er zijn genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen. Van deze groep van 180 aanbieders beschikt 26% over een actueel overzicht van deze zakelijke klanten die binnen de definitie vitale infrastructuur vallen. Aan hen levert men netwerken en/of diensten en heeft men dit overzicht eveneens opgenomen in het continuïteitsplan. Er is echter wel bij 52% van de aanbieders sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact. Bij het leveren van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen is er sprake van gedeelde verantwoordelijkheden. Vanzelfsprekend is het zo dat deze vitale bedrijven en instellingen een eigen verantwoordelijkheid hebben teneinde zich te vergewissen van het feit dat men beschikt over een optimale ICT verbinding. Echter ontslaat dit de aanbieder niet van de maatschappelijke verantwoordelijkheid alert te zijn op het leveren van passende netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en navraag te doen of de verbinding een vitaal karakter heeft. Integrale aanpak continuïteit De continuïteit van netwerken en/of diensten kent vele invalshoeken. Er is sprake van diverse afhankelijkheden die in sterke mate de totale continuïteitsketen (figuur 18) beïnvloeden. De keten is zo sterk als de zwakste schakel. Met de inwerkingtreding van de zorg- en meldplicht continuïteit is het van belang dat men de continuïteit van netwerken en/of diensten verbetert en de maatschappelijke en economische impact van incidenten en calamiteiten tot het minimum weet te beperken. Daar waar aanbieders zich met name richten op de financiële gevolgen en/of de gevolgen in relatie met mogelijke imagoschade naar aanleiding van incidenten en calamiteiten is het van belang dat men ook oog heeft voor de economische en/of maatschappelijke schade die wordt aangericht. Juist incidenten en calamiteiten die leiden tot uitval van netwerken en/of diensten met impact op bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen kunnen leiden tot ernstige maatschappelijke en/ of economische impact en zelfs maatschappelijke ontwrichting. Om de continuïteit van netwerken en/of diensten te verbeteren en de impact van incidenten en calamiteiten te verminderen is een integrale aanpak van de continuïteit van netwerken en/of diensten op bestuurlijk niveau wenselijk. De continuïteit van netwerken en/of diensten vraagt om een integrale en holistische aanpak waarbij men bestuurt, evalueert en bewaakt en oog heeft voor de diverse afhankelijkheden die binnen de continuïteitsketen bestaan. Hoe groter de omzet van de aanbieder hoe groter ook de noodzaak wordt om alle processen die de continuïteit van netwerken en/of diensten raken te integreren en te beschrijven in één vastgesteld continuïteitssysteem met een vastgesteld continuïteitsplan. Vanuit dit uitgangspunt kan men werken aan de volgende stappen, te weten: 1. Voortdurende proportionele verbetering van het continuïteitssysteem; 2. Voortdurende proportionele verbetering van het beperken van de impact van incidenten en majeure calamiteiten. Pagina 35 van 67

36 Naar aanleiding van de enquête kunnen wij echter concluderen dat op dit punt verdere ontwikkeling en verbetering noodzakelijk is. Figuur 18. Het continuïteitssysteem: oog hebben voor de maatschappelijke en economische impact van incidenten. Pagina 36 van 67

37 Bijlage I Aanbiedingsbrief en enquête Retouradres Postbus AL Groningen Datum 2 oktober 2012 Betreft Verzoek om informatie ten behoeve van de nulmeting continuiteit Geachte heer, mevrouw, Per 5 juni 2012 is de gewijzigde Telecommunicatiewet in werking getreden 11 die ook van toepassing is of kan zijn op uw organisatie. De wijzigingen betreffen onder andere de zorgen meldplicht continuïteit. 12 Agentschap Telecom is belast met het toezicht op naleving van de Telecommunicatiewet, onder meer wat betreft de zorg- en meldplicht continuïteit. Ik vraag uw medewerking aan de nulmeting die Agentschap Telecom als toezichthouder uitvoert. Niet vrijblijvend De beantwoording van deze vragenlijst is niet vrijblijvend. Agentschap Telecom is gerechtigd namens de Minister deze inlichtingen te vorderen voor haar toezichtactiviteiten. Tijdens inspecties en audits kan de feitelijke situatie worden vergeleken met de door u ingevulde antwoorden. Nulmeting en toezicht Het doel van deze nulmeting is te inventariseren wat de beginsituatie is bij de aanbieders ten aanzien van de zorgplicht. Na een bepaalde periode gaat het agentschap met een volgende meting na of er verschuivingen optreden in de mate waarin de aanbieders de verplichtingen uit de Telecommunicatiewet naleven. Op grond van het register van openbare telecommunicatie aanbieders (OPTA) blijkt dat uw organisatie binnen de reikwijdte van deze wetgeving valt. 13 Ik verzoek u daarom onderstaande vragen te beantwoorden. De gegevens die u verstrekt zullen vertrouwelijk worden behandeld. De geanonimiseerde uitkomst van deze nulmeting kan worden gebruikt om het parlement op hoofdlijnen te informeren over de huidige stand van zaken. 11 Wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen 12 Hoofdstuk 11a Telecommunicatiewet 13 NB Aanbieders dienen zich verplicht op te laten nemen in het register van OPTA. Ook als een aanbieder dit heeft nagelaten, valt hij alsnog binnen de scope van de wet. Pagina 37 van 67

38 Vragenlijst In bijlage II treft u de vragen aan. Ik verzoek u de ingevulde vragenlijst, binnen drie weken na dagtekening van deze brief te retourneren naar: Agentschap Telecom t.a.v. Afdeling veiligheid antwoordnummer TE Amersfoort of via het adres Wetgeving In bijlage I vindt u de toelichting op zorg- en meldplicht continuïteit. Voor meer informatie betreffende de wettelijke eisen waaraan aanbieders moeten voldoen verwijs ik u graag naar de website van Agentschap Telecom, thema veiligheid, zorg- en meldplicht continuïteit. Mocht u naar aanleiding van deze brief vragen hebben of zijn er zaken niet duidelijk dan kunt u contact opnemen met de heer M.T. Beemer. Hoogachtend, De Minister van Economische Zaken, Landbouw en Innovatie, namens deze, A.C. van Emous Hoofd afdeling Veiligheid Agentschap Telecom Pagina 38 van 67

39 BIJLAGE I (Aanbiedingsbrief) Zorg- en meldplicht continuïteit 14 Het nieuw Europees regelgevend kader 15 is omgezet in nationale wetgeving, in de gewijzigde Telecommunicatiewet. Het nieuwe artikel 13bis van de Kaderrichtlijn introduceert een aantal verplichtingen vanuit de optiek van de continuïteit van netwerken en dienstverlening met behulp van deze netwerken. De eerste nieuwe verplichting betreft de veiligheid van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten. Ten aanzien van die veiligheid was vanuit de optiek van de privacy reeds in de bijzondere privacyrichtlijn de verplichting opgenomen voor aanbieders van openbare elektronische communicatiediensten om passende technische en organisatorische maatregelen te treffen om de veiligheid van de geboden diensten te garanderen. In de wet is deze verplichting te vinden in artikel De Kaderrichtlijn voegt hier vanuit het perspectief van de continuïteit een verplichting ten aanzien van lidstaten aan toe om ervoor te zorgen dat ondernemingen die openbare elektronische communicatienetwerken of openbare elektronische communicatiediensten aanbieden, passende technische en organisatorische maatregelen nemen om risico s die de veiligheid bedreigen goed te beheersen. De te nemen maatregelen moeten er toe leiden dat de gevolgen van de incidenten voor de onderling verbonden netwerken en daarover plaatsvindende dienstverlening zo beperkt mogelijk zijn. De tweede nieuwe verplichting die artikel 13bis in het leven roept ziet toe op de integriteit van openbare elektronische communicatienetwerken netwerken. Lidstaten moeten ervoor zorgen dat ondernemingen die openbare elektronische communicatienetwerken aanbieden alle nodige maatregelen nemen om te zorgen voor de integriteit van hun netwerken zodat men zorg draagt voor de continuïteit van de via de netwerken geleverde diensten. Om aan de genoemde verplichtingen te voldoen worden aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten verplicht passende technische- en organisatorische maatregelen te treffen om de risico s die de veiligheid, integriteit, continuïteit en beschikbaarheid van deze diensten en netwerken bedreigen te beheersen. Bij verstoring van de elektriciteitsvoorziening of technische storing moeten zelfs alle noodzakelijke maatregelen worden genomen om de uitval te repareren. Dat gaat duidelijk verder dan passende maatregelen. 14 Onderstaand stuk is gebaseerd op Kamerstukken II, vergaderjaar , , nr. 3 (Memorie van Toelichting (MvT). 15 Het Europese kader op het terrein van elektronische communicatie bestaat uit een vijftal richtlijnen: richtlijn 2002/21/EG (de zogenoemde Kaderrichtlijn), richtlijn 2002/22/EG (de Universele dienstrichtlijn), richtlijn 2002/58/EG (de Bijzondere privacyrichtlijn), richtlijn 2002/19/EG (de Toegangsrichtlijn) en richtlijn 2002/20/EG (de Machtigingsrichtlijn). Deze richtlijnen zijn in het Nederlands recht voornamelijk omgezet in de Telecommunicatiewet en de daarop gebaseerde regelgeving. Pagina 39 van 67

40 Meldplicht Een derde uit artikel 13bis van de Kaderrichtlijn voorvloeiende nieuwe verplichting is de meldplicht voor veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten. Er is voor gekozen de meldingen te laten plaatsvinden bij de Minister van Economische Zaken, Landbouw en Innovatie. Ernstige verstoringen van de continuïteit van de netwerken en de daarover plaatsvindende dienstverlening zijn immers ook van belang in het kader van buitengewone omstandigheden. De meldingsplichten in het kader van continuïteit sluiten dan ook goed aan bij de reeds in het kader van hoofdstuk 14 plaatsvindende meldplicht van verstoringen van de continuïteit van de dienstverlening. De meldplichten voor aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten in verband met integriteit en veiligheid staan in beginsel naast de nieuw in te voeren meldplicht voor aanbieders van openbare elektronische communicatiediensten ten aanzien van veiligheidsinbreuken die leiden tot het ongewenst vrijkomen van persoonsgegevens. Dat wil echter niet zeggen dat er in de praktijk geen overlap kan zijn. Een veiligheidsinbreuk kan immers tegelijkertijd leiden tot een belangrijk effect op de continuïteit en het ongewild vrijkomen van persoonsgegevens. Om administratieve lasten zo veel mogelijk te beperken is ervoor gezorgd dat beide meldingen praktisch gezien bij eenzelfde meldpunt kunnen worden gedaan; Loket meldplicht Telecomwet van het Agentschap Telecom. De meldingen van privacy inbreuken worden direct doorgestuurd naar OPTA. Pagina 40 van 67

41 BIJLAGE II (Aanbiedingsbrief) Verzoek om informatie Verzoek om informatie in verband met de nulmeting inzake de mate van naleving van de Telecommunicatiewet, wat betreft de zorg- en meldplicht continuïteit. De beantwoording van de vragen is niet vrijblijvend. Tijdens onze inspecties en audits kan Agentschap Telecom de feitelijke situatie vergelijken met de door u ingevulde antwoorden. Vestiging- & contactgegevens: Bedrijfsnaam: Straat: Postcode: Plaats: Postadres: Postbus: Postcode: Plaats: Algemeen telefoonnummer vestiging: Continuïteitsfunctionaris: Naam: Telefoon: Registratienummer Kamer van Koophandel: Staat uw onderneming ingeschreven bij de OPTA? Ja Nee NB Graag aankruisen wat van toepassing is. OPTA registratienummers: NB. Aan het eind van deze vragenlijst vindt u de verklarende woordenlijst. Pagina 41 van 67

42 Omvang van uw onderneming naar omzetgegevens: 1. In welke categorie valt uw onderneming wanneer u de totale omzet uit telecommunicatiediensten van uw onderneming beschouwt? 0-2 miljoen euro 2-20 miljoen euro 20 miljoen euro of meer 2. Uw organisatie biedt een netwerk of dienst aan waarover uitsluitend programma s (TV en Radio) worden verspreid. Ja (Wanneer u deze optie aankruist behoeft u de navolgende vragen NIET te beantwoorden, u kunt het formulier retourneren naar Agentschap Telecom.) Nee (Wanneer u deze optie aankruist vragen wij u de navolgende vragen te beantwoorden. Na het beantwoorden van ALLE vragen kunt u het formulier retourneren naar Agentschap Telecom.) Continuïteitsplan NB Wij verzoeken u een actuele versie van uw huidige continuïteitsplan toe te zenden. 3. Beschikt uw organisatie over een vastgesteld continuïteitsplan? Ja (Wanneer u deze optie aankruist gaat u verder naar vraag 5.) Nee (Wanneer u deze optie aankruist gaat u verder naar vraag 4.) Het plan is in de maak (Wanneer u deze optie aankruist gaat u verder naar vraag 4.) 4. Geef hieronder aan wanneer u verwacht wel over een vastgesteld continuïteitsplan te beschikken, is dat Binnen 1 maand Binnen 3 maanden Binnen 3-6 maanden Over meer dan 6 maanden 5. Zijn er vanuit de directie duidelijke richtlijnen en doelstellingen afgegeven m.b.t. de continuïteit en de beschikbaarheid van uw telecommunicatie diensten en/of netwerken? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan Pagina 42 van 67

43 6. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van de organisatie betreft m.b.t. de continuïteit en de beschikbaarheid van uw telecommunicatie diensten en/of netwerken? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 7. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van leveranciers van ICT als TI betreft m.b.t. de continuïteit en de beschikbaarheid van uw diensten? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 8. Heeft u de majeure incidenten welke zich hebben voorgedaan vanaf juni 2012 opgenomen in de bijlage van uw continuïteitsplan incl. oorzaak en verbetermaatregelen ter voorkoming van herhaling en is uw directie van deze incidenten incl. oorzaak en verbetermaatregelen op de hoogte gebracht? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 9. Op welk niveau wordt of is het continuïteitsplan vastgesteld? Bestuur, Directie Management Team Afdelingsmanager Anders 10. Heeft u in uw continuïteitsplan beschreven hoe u het proces incident management heeft ingericht? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan Pagina 43 van 67

44 11. Heeft u bij het mogelijk optreden van een majeure calamiteit de maximum toelaatbare hersteltijd na een onderbreking van ICT diensten (incl. telefonie) vastgelegd en beschreven in het continuïteitsplan? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 12. Worden binnen uw onderneming incidenten op eenduidige wijze geregistreerd en wordt hierbij de mogelijke impact, urgentie en de verwachte hersteltijd aangegeven? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 13. Is er sprake van het prioriteren van het oplossen van incidenten op basis van de maatschappelijke en/of economische impact in de samenleving van het incident? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 14. Heeft u in uw continuïteitsplan beschreven hoe u het proces proble(e)m management heeft ingericht? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 15. Heeft u in uw continuïteitsplan beschreven hoe u het proces change management (wijzigingsbeheer) incl. het evaluatieproces heeft ingericht? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan Pagina 44 van 67

45 16. Heeft u in het continuïteitsplan omschreven welk deel van uw infrastructuur op korte termijn aan vervanging toe is? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 17. Heeft u m.b.t. de in vraag 16 bedoelde onderdelen van de infrastructuur, naast spare part management, additionele passende technische en organisatorische maatregelen genomen ten einde de continuïteit over dit verouderde gedeelte te kunnen garanderen? Ja Nee Er wordt momenteel gewerkt aan de voorbereiding hiervan 18. Heeft u m.b.t. de in vraag 16 bedoelde onderdelen van de infrastructuur een verhoogde paraatheid/ alertheid, bijvoorbeeld in de vorm van monitoring, ingesteld? Ja Nee Gedeeltelijk 19. Bij uitbesteding bent u er ook verantwoordelijk voor dat derden de verplichtingen als bedoeld in de zorgplicht continuïteit naleven. Heeft u deze verplichtingen in een schriftelijke overeenkomst vastgelegd en verwijst u in uw continuïteitsplan naar deze overeenkomst? Ja Nee Gedeeltelijk 20. Heeft u een actueel overzicht van uw huidige leveranciers en/of service partners op het gebied van ICT en TI, welke een relatie hebben met de continuïteit van uw diensten en/of netwerken, opgenomen in het continuïteitsplan? Ja Nee Gedeeltelijk Pagina 45 van 67

46 21. Heeft u in het continuïteitsplan die risico s beschreven die de continuïteit, van uw openbare elektronische communicatienetwerken en uw openbare elektronische communicatiediensten, bedreigen? Ja Nee Gedeeltelijk 22. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook de kans van het optreden van het risico en de impact bij het optreden van het risico omschreven? Ja Nee Gedeeltelijk 23. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? Ja Nee Gedeeltelijk 24. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Ja Nee 25. Heeft u in geval van grootschalige uitval van elektriciteit en/of ICT de dan in werking tredende kritieke processen en activiteiten in het continuïteitsplan, beschreven m.b.t. het waarborgen van de continuïteit van uw telecommunicatie diensten en netwerken? Ja Nee Gedeeltelijk 26. Levert u telecommunicatie diensten en/of netwerken aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en is uw directie hiervan op de hoogte? Ja Nee Pagina 46 van 67

47 27. Heeft u beschreven welke additionele maatregelen zijn genomen, ten einde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van telecommunicatie diensten en/of netwerken aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen? Ja Nee 28. Heeft u een actueel overzicht van die zakelijke klanten (bedrijven en/of instellingen), die binnen de definitie vitale infrastructuur vallen en die u telecommunicatie diensten en/of netwerken levert, opgenomen in het continuïteitsplan. NB Indien van toepassing vragen wij een overzicht van de zakelijke klanten die binnen de vitale infrastructuur vallen. Ja Nee 29. Heeft u uw inloggegevens aangevraagd en ontvangen? Het betreft hier de inloggegevens die u nodig heeft om incidenten, met (mogelijke) maatschappelijke en/of economische impact, bij het loket Meldplicht te melden. Ja Nee NB Voor informatie omtrent het loket Meldplicht verwijzen wij u graag onze website Pagina 47 van 67

48 Bijlage II Resultaten enquête 0-meting zorg- en meldplicht continuïteit De antwoorden en de geanonimiseerde resultaten op de enquête vragen worden in dit hoofdstuk weergegeven. Continuïteitsplan Van de aanbieders geeft 24% aan dat zij beschikken over een vastgesteld continuïteitsplan. De overige geven aan nog niet (46%) beschikken over een vastgesteld continuïteitsplan of bezig te zijn met de voorbereiding van een continuïteitsplan (30%). Figuur 1. Beschikt u over een vastgesteld continuïteitsplan? Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan (in onderstaande grafiek staat deze groep voor 100%) geeft 41% aan het continuïteitsplan, binnen één tot zes maanden af te ronden en vast te stellen. Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan geeft 3% aan om binnen één maand, 6% aan om binnen drie maanden, 32 % binnen zes maanden en 59% over meer dan zes maanden, het continuïteitsplan af te gaan ronden en vast te gaan stellen. Figuur 2. Wanneer verwacht u wel te beschikken een vastgesteld continuïteitsplan? Pagina 48 van 67

49 Goed bestuur inzake continuïteit van netwerken en/of diensten (Governance) Specifieke bestuurlijke richtlijnen en beleid Wanneer specifiek wordt gekeken naar goed bestuur van continuïteit, komt het volgende beeld naar voren. Ten tijde van deze nalevingsmeting zijn er vanuit bestuurlijk oogpunt duidelijke richtlijnen en doelstellingen afgegeven met betrekking tot de continuïteit en de beschikbaarheid bij 53% van de aanbieders. Bij 18% van de aanbieders is er geen sprake van specifiek beleid met betrekking tot de continuïteit en de beschikbaarheid, bij 16% van de aanbieders is dit in voorbereiding en bij 13% van de aanbieders is er (nog) niet specifiek echter wel gedeeltelijk beleid opgesteld op dit punt. Figuur 3. Zijn er vanuit de directie duidelijke richtlijnen en doelstellingen afgegeven met betrekking tot de continuïteit en de beschikbaarheid? Specifieke bestuurlijke rapportage met betrekking tot de eigen prestatie Bij 61% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar waar het de geleverde prestatie van de organisatie betreft met betrekking tot de continuïteit en de beschikbaarheid. Bij 11% van de aanbieders gebeurt dit wel echter niet specifiek maar gedeeltelijk. Bij 10% van de aanbieders is een dergelijke rapportage in voorbereiding en bij 18% van de aanbieders wordt er (nog) niet gerapporteerd. Figuur 4. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van de organisatie betreft met betrekking tot de continuïteit en de beschikbaarheid? Specifieke bestuurlijke rapportage met betrekking tot de prestatie van leveranciers Bij 44% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar waar het de geleverde prestatie van leveranciers betreft met betrekking tot de continuïteit en de beschikbaarheid. Bij 23% van de aanbieders gebeurt dit wel echter niet specifiek Pagina 49 van 67

50 maar gedeeltelijk. Bij 10% van de aanbieders is een dergelijke rapportage in voorbereiding en bij 23% van de aanbieders wordt er (nog) niet gerapporteerd. Figuur 5. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van leveranciers van ICT als TI betreft? Rapportage en betrokkenheid directie bij majeure incidenten Bij 14% van de aanbieders wordt de directie van recente majeure incidenten inclusief oorzaak en verbetermaatregelen op de hoogte gebracht en bij 6% van de aanbieders wordt de directie gedeeltelijk voorgelicht. Bij 23% van de aanbieders is de directie wel op de hoogte echter gedeeltelijk en bij 57% van de aanbieders wordt er (nog) niet op dergelijke wijze gerapporteerd bij majeure incidenten. Figuur 6. Is uw directie van recente majeure incidenten inclusief oorzaak en verbetermaatregelen op de hoogte? Vaststellen continuïteitsplan Bij 65% van de aanbieders wordt het continuïteitsplan vastgesteld door het bestuur of de directie. Bij 6% van de aanbieders wordt het continuïteitsplan vastgesteld door de afdelingsmanager en bij 19% wordt het continuïteitsplan vastgesteld door het Management Team. Bij 10% van de aanbieders wordt het continuïteitsplan anders vastgesteld. Pagina 50 van 67

51 Figuur 7. Op welk niveau wordt of is het continuïteitsplan vastgesteld? Management van de dienstverlening (Service management) Beschrijving proces incident management in het continuïteitsplan Bij 21% van de aanbieders is het proces incident management beschreven in het continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 37% van de aanbieders is het proces incident management niet beschreven in het continuïteitsplan en 36% van de aanbieders werkt aan de voorbereiding hiervan. Figuur 8. Heeft u in uw continuïteitsplan beschreven hoe u het proces incident management heeft ingericht? Maximum toelaatbare hersteltijd na storing Bij 31% van de aanbieders is de maximum toelaatbare hersteltijd na storing vastgesteld en beschreven in het continuïteitsplan, bij 29% van de aanbieders niet. Bij 33% van de aanbieders is men bezig met de voorbereiding hiervan en bij 7% van de aanbieders is de maximum toelaatbare hersteltijd na storing gedeeltelijk vastgesteld en beschreven in het continuïteitsplan. Pagina 51 van 67

52 Figuur 9. Heeft u bij het mogelijk optreden van een majeure calamiteit de maximum toelaatbare hersteltijd na een onderbreking van ICT diensten (inclusief telefonie) vastgelegd en beschreven in het continuïteitsplan? Registratie incidenten Bij 57% van de aanbieders wordt binnen de onderneming incidenten op eenduidige wijze geregistreerd waarbij de mogelijke impact, urgentie en de verwachte hersteltijd eveneens is aangegeven, bij 14% van de aanbieders niet. Bij 16% van de aanbieders is men bezig met de voorbereiding hiervan en bij 13% van de aanbieders worden incidenten gedeeltelijk volgens de bovenstaande randvoorwaarden geregistreerd. Figuur 10. Worden binnen uw onderneming incidenten op eenduidige wijze geregistreerd en wordt hierbij de mogelijke impact, urgentie en de verwachte hersteltijd aangegeven? Prioriteren van incidenten met maatschappelijke en/of economische impact Bij 52% van de aanbieders is er sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact, bij 27% van de aanbieders niet. Bij 14% van de aanbieders is men bezig met de voorbereiding hiervan en bij 7% van de aanbieders worden incidenten met maatschappelijke en/of economische impact gedeeltelijk geprioriteerd. Pagina 52 van 67

53 Figuur 11. Is er sprake van het prioriteren van het oplossen van incidenten op basis van de maatschappelijke en/of economische impact in de samenleving van het incident? Beschrijving proces proble(e)m management in het continuïteitsplan Bij 17% van de aanbieders is het proces proble(e)m management beschreven in het continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 42% van de aanbieders is het proces proble(e)m management niet beschreven in het continuïteitsplan en 35% van de aanbieders werkt aan de voorbereiding hiervan. Figuur 12. Heeft u in uw continuïteitsplan beschreven hoe u het proces proble(e)m management heeft ingericht? Beschrijving proces change management in het continuïteitsplan Bij 19% van de aanbieders is het proces change management beschreven in het continuïteitsplan en bij 4% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 43% van de aanbieders is het proces change management niet beschreven in het continuïteitsplan en 34% van de aanbieders werkt aan de voorbereiding hiervan. Pagina 53 van 67

54 Figuur 13. Heeft u in uw continuïteitsplan beschreven hoe u het proces change management inclusief evaluatieproces heeft ingericht? Vervanging gedateerde infrastructuur Bij 13% van de aanbieders is in het continuïteitsplan omschreven welk deel van de infrastructuur op korte termijn aan vervanging toe is, bij 54% van de aanbieders niet. Bij 29% van de aanbieders is men bezig met de voorbereiding hiervan en bij 4% van de aanbieders is in het continuïteitsplan gedeeltelijk omschreven welk deel van de infrastructuur op korte termijn aan vervanging toe is. Figuur 14. Heeft u in het continuïteitsplan omschreven welk deel van uw infrastructuur op korte termijn aan vervanging toe is? Additionele maatregelen ten behoeve van gedateerde infrastructuur Bij 37% van de aanbieders zijn er met betrekking tot verouderde onderdelen van de infrastructuur, naast spare part management, additionele passende technische en organisatorische maatregelen genomen teneinde de continuïteit over dit verouderde gedeelte te kunnen garanderen. Bij 41% van de aanbieders is dit niet het geval en bij 22% van de aanbieders is men bezig met de voorbereiding hiervan. Pagina 54 van 67

55 Figuur 15. Heeft u met betrekking tot verouderde onderdelen van de infrastructuur, naast spare part management, additionele passende technische en organisatorische maatregelen genomen teneinde de continuïteit over dit verouderde gedeelte te kunnen garanderen? Verhoogde alertheid bij gedateerde infrastructuur Bij 47% van de aanbieders is er met betrekking tot verouderde onderdelen van de infrastructuur, een verhoogde paraatheid/ alertheid, bijvoorbeeld in de vorm van monitoring, ingesteld. Bij 42% van de aanbieders is dit niet het geval en 11% van de aanbieders voldoet hier gedeeltelijk aan. Figuur 16. Heeft u met betrekking tot de in vraag 16 bedoelde onderdelen van de infrastructuur een verhoogde paraatheid/ alertheid, bijvoorbeeld in de vorm van monitoring, ingesteld? Naleving regelgeving continuïteit bij uitbesteding aan derden Bij uitbesteding zijn aanbieders er ook verantwoordelijk voor dat derden de verplichtingen als bedoeld in de wet- en regelgeving met betrekking tot continuïteit naleven. Bij 35% van de aanbieders zijn deze verplichtingen in een schriftelijke overeenkomst vastgelegd en wordt hiernaar verwezen in het continuïteitsplan. Bij 40% van de aanbieders is dit niet het geval en 25% van de aanbieders voldoet hier gedeeltelijk aan. Pagina 55 van 67

56 Figuur 17. Bij uitbesteding bent u er ook verantwoordelijk voor dat derden de verplichtingen als bedoeld in de zorgplicht continuïteit naleven. Heeft u deze verplichtingen in een schriftelijke overeenkomst vastgelegd en verwijst u in uw continuïteitsplan naar deze overeenkomst? Actueel overzicht leveranciers/ service partners in het continuïteitsplan Bij 47% van de aanbieders is een actueel overzicht van de huidige leveranciers en/of service partners op het gebied van ICT en TI, welke een relatie hebben met de continuïteit van netwerken en/of diensten, opgenomen in het continuïteitsplan. Bij 39% van de aanbieders is dit niet het geval en 14% van de aanbieders voldoet hier gedeeltelijk aan. Figuur 18. Heeft u een actueel overzicht van uw huidige leveranciers en/of service partners op het gebied van ICT en TI, welke een relatie hebben met de continuïteit van uw netwerken en/of diensten, opgenomen in het continuïteitsplan? Integraal risicobeheer continuïteit Continuïteitsrisico s beschreven in het continuïteitsplan Bij 26% van de aanbieders zijn die risico s in het continuïteitsplan beschreven die de continuïteit, van de eigen netwerken en/of diensten, bedreigen. Bij 53% van de aanbieders is dit niet het geval en 21% van de aanbieders voldoet hier gedeeltelijk aan. Pagina 56 van 67

57 Figuur 19. Heeft u in het continuïteitsplan die risico s beschreven die de continuïteit, van uw netwerken en/of diensten, bedreigen? Beschrijving risico s inclusief kans en impact Bij 24% van de aanbieders zijn de risico s in het continuïteitsplan beschreven waarbij eveneens de kans van het optreden van het risico en de impact bij het optreden van het risico worden vermeld. Bij 58% van de aanbieders is dit niet het geval en 18% van de aanbieders voldoet hier gedeeltelijk aan. Figuur 20. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook de kans van het optreden van het risico en de impact bij het optreden van het risico omschreven? Risico s adresseren: passende maatregelen Bij 29% van de aanbieders zijn de maatregelen welke men neemt om deze risico s te adresseren in het continuïteitsplan beschreven. Bij 52% van de aanbieders is dit niet het geval en 19% van de aanbieders voldoet hier gedeeltelijk aan. Pagina 57 van 67

58 Figuur 21. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? Rekening houden met grootschalige uitval van elektriciteit en/of ICT Bij 48% van de aanbieders heeft men, bij het beschrijven van de risico s in het continuïteitsplan, rekening gehouden met grootschalige uitval van elektriciteit en/of ICT. Bij 52% van de aanbieders is dit niet het geval. Figuur 22. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Beschrijving van de in werking tredende kritieke processen bij grootschalige uitval van elektriciteit en/of ICT (crisisplan) Bij 35% van de aanbieders heeft men, in geval van grootschalige uitval van elektriciteit en/of ICT, de dan in werking tredende kritieke processen en activiteiten in het continuïteitsplan beschreven in het licht van het waarborgen van de continuïteit van de eigen netwerken en/of diensten, 19% van de aanbieders voldoet hier gedeeltelijk aan. Bij 46% van de aanbieders is dit niet het geval. Pagina 58 van 67

59 Figuur 23. Heeft u in geval van grootschalige uitval van elektriciteit en/of ICT de dan in werking tredende kritieke processen en activiteiten in het continuïteitsplan, beschreven met betrekking tot het waarborgen van de continuïteit van uw netwerken en/of diensten? Vitale infrastructuur Bewustwording van levering van netwerken en/of diensten aan bedrijven en/of instellingen binnen de vitale infrastructuur Figuur 24. Levert u netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en is uw directie hiervan op de hoogte? Tijdens de inwerkingtreding van de zorg- en meldplicht continuïteit levert 36% van de aanbieders, naar eigen waarneming, netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en is de directie hiervan op de hoogte. Het betreft hier in totaal 180 aanbieders van verschillende omvang. Naar eigen waarneming zegt 64% van de aanbieders geen netwerken en/of diensten aan bedrijven en/of instellingen te leveren die binnen de definitie vitale infrastructuur vallen of wanneer dit wel het geval is, is de directie hiervan niet op de hoogte. Pagina 59 van 67

60 Additionele maatregelen ten behoeve van de continuïteit van levering van netwerken en/of diensten aan bedrijven en/of instellingen binnen de vitale infrastructuur Figuur 25. Heeft u beschreven welke additionele maatregelen zijn genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen? Van deze 180 aanbieders die netwerken en/of diensten leveren aan vitale klanten heeft 38% beschreven welke additionele maatregelen zijn genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen. Bij 62% van de aanbieders zijn geen additionele maatregelen getroffen. Actueel overzicht van klanten binnen vitale infrastructuur in continuïteitsplan Van deze 180 aanbieders die netwerken en/of diensten leveren aan vitale klanten beschikt 26% over een actueel overzicht van die klanten (bedrijven en/of instellingen), die binnen de definitie vitale infrastructuur vallen en waaraan men netwerken en/of diensten levert en heeft men dit overzicht opgenomen in het continuïteitsplan. Bij 74% van de aanbieders is er geen actueel overzicht opgenomen in het continuïteitsplan. Figuur 26. Heeft u een actueel overzicht van die zakelijke klanten (bedrijven en/of instellingen), die binnen de definitie vitale infrastructuur vallen en die u netwerken en/of diensten levert, opgenomen in het continuïteitsplan? Pagina 60 van 67

61 Meldplicht continuïteit Loket meldplicht; inloggegevens aangevraagd en ontvangen Figuur 27. Heeft u uw inloggegevens aangevraagd en ontvangen? Het betreft hier de inloggegevens die u nodig heeft om incidenten, met (mogelijke) maatschappelijke- en/of economische impact, bij het loket Meldplicht te melden? Een totaal van 31% van de aanbieders heeft bij inwerkingtreding van de regelgeving de inloggegevens aangevraagd en ontvangen. Het betreft hier de inloggegevens die men nodig heeft om incidenten, met (mogelijke) maatschappelijke- en/of economische impact, bij het loket Meldplicht te melden. Een totaal van 69% van de aanbieders heeft bij inwerkingtreding van de zorg- en meldplicht continuïteit de inloggegevens (nog) niet aangevraagd en/of ontvangen. Pagina 61 van 67

Regels voor de continuïteit van telecomdiensten. Zorg- en meldplicht voor openbare aanbieders

Regels voor de continuïteit van telecomdiensten. Zorg- en meldplicht voor openbare aanbieders Regels voor de continuïteit van telecomdiensten Zorg- en meldplicht voor openbare aanbieders Als aanbieder van openbare elektronische telecommunicatienetwerken en/of diensten gelden voor u binnenkort twee

Nadere informatie

Meting dataretentie 2013. Onderzoek naar de mate van naleving van de wet- en regelgeving. Colofon. Nummer Versie 1.0 Datum 4 april 2014

Meting dataretentie 2013. Onderzoek naar de mate van naleving van de wet- en regelgeving. Colofon. Nummer Versie 1.0 Datum 4 april 2014 Meting dataretentie 2013 Onderzoek naar de mate van naleving van de wet- en regelgeving Colofon Nummer Versie 1.0 Datum 4 april 2014 Copyright Agentschap Telecom 2014 Inhoud Inhoud... 2 Samenvatting...

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

Toets uw eigen continuïteitsplan

Toets uw eigen continuïteitsplan Inspectiebericht Inspectie Openbare Orde en Veiligheid Jaargang 6, nummer 1 (maart 2010) 9 Toets uw eigen continuïteitsplan Deze vragenlijst is een gecomprimeerde en op onderdelen aangepaste versie van

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

NTA 8595 Beroepsprofiel Erkend Risicoadviseur

NTA 8595 Beroepsprofiel Erkend Risicoadviseur NTA 8595 Beroepsprofiel Erkend Risicoadviseur Erik van de Crommenacker, projectleider NTA 8595 Nationale-Nederlanden Overzicht Vraag vanuit de markt NTA 8595: stap voor stap Resumerend Beroepsprofiel Erkend

Nadere informatie

Biedt u openbare telefonie, internettoegang of een netwerk aan?

Biedt u openbare telefonie, internettoegang of een netwerk aan? Biedt u openbare telefonie, internettoegang of een netwerk aan? Biedt u openbare 1) telefonie, internettoegang en/of een netwerk 2) aan? Aanbieders 3) van deze netwerken of diensten 4) hebben op grond

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus

Nadere informatie

Toezicht Dataretentie en het verwerken van persoons-en locatiegegevens voor bedrijfsdoeleinden

Toezicht Dataretentie en het verwerken van persoons-en locatiegegevens voor bedrijfsdoeleinden Toezicht Dataretentie en het verwerken van persoons-en locatiegegevens voor bedrijfsdoeleinden De 1-meting Colofon Aan Hoofd Toezicht Team Informatieveiligheid Bewerkt door Nummer Versie 1.7 Datum 26 april

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Onderwerp Nadere guidance omtrent onderzoek IAD naar beheersing volmachten

Onderwerp Nadere guidance omtrent onderzoek IAD naar beheersing volmachten Toezicht verzekeraars Nationale verzekeringsgroepen Postbus 98 1000 AB Amsterdam Datum Uw kenmerk Behandeld door Doorkiesnummer Bijlage(n) 1 Onderwerp Nadere guidance omtrent onderzoek IAD naar beheersing

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Reactie Groep Graafrechten wijziging Telecommunicatiewet (implementatie herziene Telecomrichtlijnen)

Reactie Groep Graafrechten wijziging Telecommunicatiewet (implementatie herziene Telecomrichtlijnen) Reactie Groep wijziging Telecommunicatiewet (implementatie herziene Telecomrichtlijnen) Groep 28 mei 2010 Feyo Sickinghe INLEIDING 1. Deze reactie volgt artikelsgewijs het concept wetsvoorstel wijziging

Nadere informatie

Bedrijfscontinuïteitsmanagement en crisiscommunicatie Kadering

Bedrijfscontinuïteitsmanagement en crisiscommunicatie Kadering Bedrijfscontinuïteitsmanagement en crisiscommunicatie Kadering Carolina Stevens Departement Bestuurszaken Seminarie crisis- en reputatiemanagement Consciencegebouw 6 oktober 2009 Inhoud 1. Wat is bedrijfscontinuïteitsmanagement?

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Vrijstellingsregeling Wft. Grens vrijstelling van 50.000 naar 100.000 Aanbieders moeten een AFM-vergunning aanvragen voor 1 februari 2012

Vrijstellingsregeling Wft. Grens vrijstelling van 50.000 naar 100.000 Aanbieders moeten een AFM-vergunning aanvragen voor 1 februari 2012 Vrijstellingsregeling Wft Grens vrijstelling van 50.000 naar 100.000 Aanbieders moeten een AFM-vergunning aanvragen voor 1 februari 2012 In deze brochure leest u óf u iets moet doen en wat Charco & Dique

Nadere informatie

Richtsnoeren voor de behandeling. van klachten door. verzekeringsondernemingen

Richtsnoeren voor de behandeling. van klachten door. verzekeringsondernemingen EIOPA-BoS-12/069 NL Richtsnoeren voor de behandeling van klachten door verzekeringsondernemingen 1/8 1. Richtsnoeren Inleiding 1. Artikel 16 van de Eiopa-verordening 1 (European Insurance and Occupational

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Beoordelingskader Dashboardmodule Claimafhandeling

Beoordelingskader Dashboardmodule Claimafhandeling Beoordelingskader Dashboardmodule Claimafhandeling I. Prestatie-indicatoren Een verzekeraar beschikt over verschillende middelen om de organisatie of bepaalde processen binnen de organisatie aan te sturen.

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 (0)6 13 38 00 36 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Aan de raad van de gemeente Lingewaard

Aan de raad van de gemeente Lingewaard 6 Aan de raad van de gemeente Lingewaard *14RDS00194* 14RDS00194 Onderwerp Nota Risicomanagement & Weerstandsvermogen 2014-2017 1 Samenvatting In deze nieuwe Nota Risicomanagement & Weerstandsvermogen

Nadere informatie

CONCEPT DE NEDERLANDSCHE BANK N.V. Good Practice Kapitaalbeleid kleine verzekeraars

CONCEPT DE NEDERLANDSCHE BANK N.V. Good Practice Kapitaalbeleid kleine verzekeraars CONCEPT DE NEDERLANDSCHE BANK N.V. Good Practice Kapitaalbeleid kleine verzekeraars Good Practice van De Nederlandsche Bank N.V. van [DATUM] 2014, houdende een leidraad met betrekking tot het kapitaalbeleid

Nadere informatie

Protocol. de Inspectie voor de Gezondheidszorg. de Nederlandse Zorgautoriteit

Protocol. de Inspectie voor de Gezondheidszorg. de Nederlandse Zorgautoriteit Protocol tussen de Inspectie voor de Gezondheidszorg en de Nederlandse Zorgautoriteit inzake samenwerking en coördinatie op het gebied van beleid, regelgeving, toezicht & informatieverstrekking en andere

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

HAN Jaarverslag 2013 8. Bestuur en management. Risicomanagement

HAN Jaarverslag 2013 8. Bestuur en management. Risicomanagement Risicomanagement Het College van Bestuur rapporteert jaarlijks aan de Raad van Toezicht over de belangrijkste risico s die de HAN bedreigen. Per risico worden kans, effect en beïnvloedbaarheid annex maatregelen

Nadere informatie

Uitvoering van rechtstreeks verzekerde regelingen

Uitvoering van rechtstreeks verzekerde regelingen RAPPORT Prins Willem-Alexanderlaan 651 Postbus 700 7300 HC Apeldoorn Telefoon (055) 579 39 48 www.achmea.nl Uitvoering van rechtstreeks verzekerde regelingen Rapportage Intern toezicht in het kader van

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

ons kenmerk BB/U201201379

ons kenmerk BB/U201201379 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Ledenbrief Informatiebeveiligingsdienst (IBD) uw kenmerk ons kenmerk BB/U201201379 bijlage(n) datum 12 oktober

Nadere informatie

2. Wat zijn per sector/doelgroep de algemene inzichten ten aanzien van de inhoud van de continuïteitsplannen?

2. Wat zijn per sector/doelgroep de algemene inzichten ten aanzien van de inhoud van de continuïteitsplannen? Samenvatting Aanleiding en onderzoeksvragen ICT en elektriciteit spelen een steeds grotere rol bij het dagelijks functioneren van de maatschappij. Het Ministerie van Veiligheid en Justitie (hierna: Ministerie

Nadere informatie

Business Continuity Planning Consultants

Business Continuity Planning Consultants Productnaam: Business Continuity Planning Consultants als het om continuïteit gaat Business Continuity Business Continuity Planning Consultants hanteert voor het opstellen van een calamiteiten- of continuïteitsplan

Nadere informatie

Datum 27 november 2009 Betreft Oordeelsbrief 2009. Geacht bestuur,

Datum 27 november 2009 Betreft Oordeelsbrief 2009. Geacht bestuur, L0117 Stichting Portaal t.a.v. het bestuur Postbus 375 3900 AJ VEENENDAAL Rijnstraat 8 Postbus 30941 2500 GX Den Haag www.vrom.nl Datum 27 november 2009 Betreft Oordeelsbrief 2009 Geacht bestuur, Ieder

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. Dit Reglement is goedgekeurd door de Raad van Commissarissen van Telegraaf Media Groep N.V. op 17 september 2013. 1. Inleiding De Auditcommissie is een

Nadere informatie

Security Management Trendonderzoek. Chloë Hezemans

Security Management Trendonderzoek. Chloë Hezemans Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë

Nadere informatie

Administratieve Organisatie en Interne Controle AWBZ-zorgaanbieders 2011

Administratieve Organisatie en Interne Controle AWBZ-zorgaanbieders 2011 REGELING Administratieve Organisatie en Interne Controle AWBZ-zorgaanbieders 2011 Gelet op de artikelen 36, derde lid, 61 en 68, eerste lid, van de Wet marktordening gezondheidszorg (Wmg), stelt de Nederlandse

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

EFQM model theoretisch kader

EFQM model theoretisch kader EFQM model theoretisch kader Versie 1.0 2000-2009, Biloxi Business Professionals BV 1. EFQM model EFQM staat voor European Foundation for Quality Management. Deze instelling is in 1988 door een aantal

Nadere informatie

Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we daartoe gekomen?

Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we daartoe gekomen? 5 Procescriteria In dit hoofdstuk komen achtereenvolgens aan de orde: Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

Richtsnoeren voor de behandeling van klachten door verzekeringstussenpersonen

Richtsnoeren voor de behandeling van klachten door verzekeringstussenpersonen EIOPA(BoS(13/164 NL Richtsnoeren voor de behandeling van klachten door verzekeringstussenpersonen EIOPA WesthafenTower Westhafenplatz 1 60327 Frankfurt Germany Phone: +49 69 951119(20 Fax: +49 69 951119(19

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Plan van aanpak Vervolgonderzoek vergunningverlening publieksevenementen

Plan van aanpak Vervolgonderzoek vergunningverlening publieksevenementen Plan van aanpak Vervolgonderzoek vergunningverlening publieksevenementen Inleiding Jaarlijks vindt er in Nederland een groot aantal publieksevenementen plaats. Hierbij is een ontwikkeling zichtbaar dat

Nadere informatie

Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder

Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder Communicatieplan, 22 Augustus 2014 1 Voorwoord Duurzaamheid is geen trend, het is de toekomst. Het is niet meer weg te denken

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast? Informatieveiligheid een uitdaging van ons allemaal Start Publieke

Nadere informatie

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3

Nadere informatie

HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE

HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE Vastgesteld door de RvC op 10 maart 2010 1 10 maart 2010 INHOUDSOPGAVE Blz. 0. Inleiding... 3 1. Samenstelling... 3 2. Taken en bevoegdheden... 3 3. Taken betreffende

Nadere informatie

KLACHTENREGELING VERSIE 2.2. Een goede afhandeling van klachten is een middel is om de tevredenheid van klanten te vergroten.

KLACHTENREGELING VERSIE 2.2. Een goede afhandeling van klachten is een middel is om de tevredenheid van klanten te vergroten. VERSIE 2.2 Een goede afhandeling van klachten is een middel is om de tevredenheid van klanten te vergroten. 1. Inhoudsopgave 1. Inhoudsopgave 1 2. Doelstellingen en Uitgangspunten 2 Algemene Doelstelling

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

Gedragscode Persoonlijk Onderzoek. 21 december 2011

Gedragscode Persoonlijk Onderzoek. 21 december 2011 Gedragscode Persoonlijk Onderzoek 21 december 2011 Inleiding Verzekeraars leggen gegevens vast die nodig zijn voor het sluiten van de verzekeringsovereenkomst en die van belang zijn voor het nakomen van

Nadere informatie

Bestuurlijke Netwerkkaarten Crisisbeheersing

Bestuurlijke Netwerkkaarten Crisisbeheersing Bestuurlijke Netwerkkaarten Crisisbeheersing Kaart 21 - Telecommunicatie 21 Telecommunicatie Voor media/omroepen, zie bestuurlijke netwerkkaart media Versie april 2012 crisistypen (dreigende) uitval van

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Hoe kan ik Inspectieview gebruiken in mijn toezichtproces?

Hoe kan ik Inspectieview gebruiken in mijn toezichtproces? Hoe kan ik Inspectieview gebruiken in mijn toezichtproces? Versie 1.0 Datum 2 april 2014 Status Definitief Colofon ILT Ministerie van Infrastructuur en Milieu Koningskade 4 Den Haag Auteur ir. R. van Dorp

Nadere informatie

Onderzoekscommissie Steenwijkerland

Onderzoekscommissie Steenwijkerland Onderzoekscommissie Steenwijkerland Adviesrapportage onderzoek verbouwing De Meenthe (2) 1 oktober 2012 Colofon Een onderzoek door de raad is een op waarheidsvinding gericht onderzoek naar een specifiek

Nadere informatie

Security manager van de toekomst. Bent u klaar voor de convergentie?

Security manager van de toekomst. Bent u klaar voor de convergentie? Security manager van de toekomst Bent u klaar voor de convergentie? Agenda Introductie Convergentie - De rol en positie van Security in beweging - Wat zien we in de praktijk? - Waar gaat het naar toe?

Nadere informatie

VDZ Verzekeringen. Beloningsbeleid

VDZ Verzekeringen. Beloningsbeleid VDZ Verzekeringen Beloningsbeleid 2014 INHOUD 1. Inleiding... 3 Toezicht... 3 Inwerkingtreding... 3 2. Definities en begrippen... 3 De categorieën van medewerkers... 3 Beloning... 4 Vaste beloning... 4

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

GEDRAGSCODE FUND GOVERNANCE

GEDRAGSCODE FUND GOVERNANCE GEDRAGSCODE FUND GOVERNANCE ACHMEA BELEGGINGSFONDSEN BEHEER B.V. Inleiding, statutair gevestigd te s-gravenhage (KvK nr. 8062738), beschikt over een vergunning als beheerder van beleggingsinstellingen,

Nadere informatie

Grip op uw bedrijfscontinuïteit

Grip op uw bedrijfscontinuïteit Grip op uw bedrijfscontinuïteit Hoe omgaan met risico s 1 Grip op uw bedrijfsdoelstellingen: risicomanagement Ondernemen is risico s nemen. Maar bedrijfsrisico s mogen ondernemen niet in de weg staan.

Nadere informatie

Charco & Dique. Trustkantoren. Risk Management & Compliance. DNB Nieuwsbrief Trustkantoren

Charco & Dique. Trustkantoren. Risk Management & Compliance. DNB Nieuwsbrief Trustkantoren Trustkantoren DNB Nieuwsbrief Trustkantoren Sinds 2012 publiceert De Nederlandsche Bank (DNB) drie keer per jaar de Nieuwsbrief Trustkantoren. Zij publiceert de Nieuwsbrief Trustkantoren om de wederzijdse

Nadere informatie

Interne beheersing: Aan assurance verwante opdrachten

Interne beheersing: Aan assurance verwante opdrachten Interne beheersing: Aan assurance verwante opdrachten Naam vragenlijst: Vertrouwelijk Inleiding In het kader van de Verordening op de Kwaliteitstoetsing (RA s) is het accountantskantoor geselecteerd voor

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

FUND GOVERNANCE CODE VAN DELTA LLOYD ASSET MANAGEMENT N.V.

FUND GOVERNANCE CODE VAN DELTA LLOYD ASSET MANAGEMENT N.V. FUND GOVERNANCE CODE VAN DELTA LLOYD ASSET MANAGEMENT N.V. I. INLEIDING Doel Delta Lloyd Asset Management N.V. (DLAM) wenst de DUFAS Principles of Fund Governance na te leven. De onderhavige code heeft

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Contractmanagement in Nederland anno 2011

Contractmanagement in Nederland anno 2011 Contractmanagement in Nederland anno 2011 Samenvatting Mitopics Theo Bosselaers NEVI René van den Hoven Februari 2012 1 Periodiek onderzoekt Mitopics de professionaliteit waarmee Nederlandse organisaties

Nadere informatie

De Minister voor Wonen en Rijksdienst, Handelend in overeenstemming met het gevoelen van de ministerraad;

De Minister voor Wonen en Rijksdienst, Handelend in overeenstemming met het gevoelen van de ministerraad; Regeling van de Minister voor Wonen en Rijksdienst van 2015, nr. , tot instelling van het tijdelijk Bureau ICT-toetsing (Instellingsbesluit tijdelijk Bureau ICT-toetsing) Handelend

Nadere informatie

In een keten gaat het om de verbindingen, niet om de schakels.

In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens en Adri Cornelissen In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens Alleen een organisatie die

Nadere informatie

Beloningsbeleid Januari 2012

Beloningsbeleid Januari 2012 Beloningsbeleid Januari 2012 Inhoudsopgave Inleiding 2 Doel beloningsbeleid 3 Uitgangspunten beloningsbeleid 3 Inschaling en beschrijving beloning 3 Beloningsmodel onderneming 4 Risicobeheersing 4 Variabele

Nadere informatie

Workshop Pensioenfondsen. Gert Demmink

Workshop Pensioenfondsen. Gert Demmink Workshop Pensioenfondsen Gert Demmink 13 november 2012 Integere Bedrijfsvoering Integere bedrijfsvoering; Bas Jennen Bestuurderstoetsingen; Juliette van Doorn Integere bedrijfsvoering, beleid & uitbesteding

Nadere informatie

De Staatssecretaris van Volksgezondheid, Welzijn en Sport De heer drs. M.J. van Rijn Postbus 20350 2509 EJ DEN HAAG. Geachte heer Van Rijn,

De Staatssecretaris van Volksgezondheid, Welzijn en Sport De heer drs. M.J. van Rijn Postbus 20350 2509 EJ DEN HAAG. Geachte heer Van Rijn, De Staatssecretaris van Volksgezondheid, Welzijn en Sport De heer drs. M.J. van Rijn Postbus 20350 2509 EJ DEN HAAG Datum 8 augustus 2013 Onderwerp Wetsvoorstel versterking eigen kracht Uw kenmerk Ons

Nadere informatie

BESLUIT. I. Juridisch kader. Dienst uitvoering en toezicht Energie

BESLUIT. I. Juridisch kader. Dienst uitvoering en toezicht Energie Dienst uitvoering en toezicht Energie BESLUIT Nummer: Betreft: 101758_13-4 Besluit tot het verlenen van een vergunning voor de levering van elektriciteit aan kleinverbruikers op grond van artikel 95d,

Nadere informatie

Decreet van 17 oktober 2003 (BS 10 november 2003) betreffende de kwaliteit van de gezondheids- en welzijnsvoorzieningen 1

Decreet van 17 oktober 2003 (BS 10 november 2003) betreffende de kwaliteit van de gezondheids- en welzijnsvoorzieningen 1 1 Decreet van 17 oktober 2003 (BS 10 november 2003) betreffende de kwaliteit van de gezondheids- en welzijnsvoorzieningen 1 Hoofdstuk 1. Algemene bepalingen Artikel 1. Dit decreet regelt een gemeenschapsaangelegenheid.

Nadere informatie

Onderzoeksopzet. Marktonderzoek Klantbeleving

Onderzoeksopzet. Marktonderzoek Klantbeleving Onderzoeksopzet Marktonderzoek Klantbeleving Utrecht, september 2009 1. Inleiding De beleving van de klant ten opzichte van dienstverlening wordt een steeds belangrijker onderwerp in het ontwikkelen van

Nadere informatie

Cultuurmeting in de forensische praktijk. In samenwerking met GGZ Eindhoven

Cultuurmeting in de forensische praktijk. In samenwerking met GGZ Eindhoven Cultuurmeting in de forensische praktijk In samenwerking met GGZ Eindhoven Doel van een cultuurmeting Inzicht krijgen hoe de organisatie richting geeft aan cultuuraspecten met het oog op veiligheid en

Nadere informatie

Toenemende aandacht voor toezicht niet-oob accountantskantoren

Toenemende aandacht voor toezicht niet-oob accountantskantoren Toenemende aandacht voor toezicht niet-oob accountantskantoren De Autoriteit Financiële Markten (AFM) houdt sinds 2006 toezicht op accountantsorganisaties. De niet-oob vergunninghouders voeren uitsluitend

Nadere informatie

Service Level Management DAP Template

Service Level Management DAP Template Service Level Management DAP Template Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : DAP template Pagina : I Colofon Titel

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 3705 14 februari 2013 Beleidsregels artikel 5 Besluit Interoperabiliteit, Onafhankelijke Post en Telecommunicatieautoriteit

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie

Samenwerkingsprotocol

Samenwerkingsprotocol Samenwerkingsprotocol Consumentenautoriteit Stichting Reclame Code 1 Samenwerkingsprotocol tussen de Consumentenautoriteit en de Stichting Reclame Code Partijen: 1. De Staatssecretaris van Economische

Nadere informatie

14 Elektriciteit en gas

14 Elektriciteit en gas 14 Elektriciteit en gas crisistypen onderbreking levering elektriciteit onderbreking levering gas bevoegd gezag (nationaal) soorten maatregelen minister EL&I burgemeester of voorzitter veiligheidsregio

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

20 mei 2008. Management van IT 1. Management van IT. Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen

20 mei 2008. Management van IT 1. Management van IT. Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen Management van IT Han Verniers PrincipalConsultant Han.Verniers@Logica.com Logica 2008. All rights reserved Programma Management van IT Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen

Nadere informatie

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005 Frequentiemodel Internal Audit Friesland Bank K.T. Kloosterman Leeuwarden, 31 mei 2005 Agenda 1) Algemeen Internal Audit 2) Waarom frequenteren van onderzoeken 3) Totstandkoming en inhoud Missie Internal

Nadere informatie

BABVI/U201200230 Lbr. 12/015

BABVI/U201200230 Lbr. 12/015 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8020 Betreft DigiD en ICT-beveiliging uw kenmerk ons kenmerk BABVI/U201200230 Lbr. 12/015 bijlage(n) 0 datum 07 februari

Nadere informatie

Optimaliseren afsluiten rapportage proces: juist nu!

Optimaliseren afsluiten rapportage proces: juist nu! 18 Optimaliseren afsluiten rapportage proces: juist nu! Belang van snelle en betrouwbare informatie groter dan ooit Drs. Wim Kouwenhoven en drs. Maarten van Delft Westerhof Drs. W.P. Kouwenhoven is manager

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

PSA dienstverlening en Financieel adminstratieve dienstverlening

PSA dienstverlening en Financieel adminstratieve dienstverlening ANNEX VI CONCEPT SLA PSA dienstverlening en Financieel adminstratieve dienstverlening EN Ondernemer Inhoudsopgave 1.1 Achtergrond van de SLA... 3 1.2 Opbouw van de SLA... 3 1.3 Doelstelling van de SLA...

Nadere informatie

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek.

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek. POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10= TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN AANGETEKEND Ommelander Ziekenhuis

Nadere informatie

Eerste Kamer der Staten-Generaal

Eerste Kamer der Staten-Generaal Eerste Kamer der Staten-Generaal 1 Vergaderjaar 2014 2015 33 662 Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking

Nadere informatie