Toezicht op zorg- en meldplicht continuïteit. De 0-meting

Transcriptie

1 Toezicht op zorgen meldplicht continuïteit De 0-meting

2 Toezicht zorgen meldplicht continuïteit De 0-meting Colofon Definitief Copyright Agentschap Telecom 2013 Pagina 2 van 67

3 Samenvatting Missie Agentschap Telecom Elektronische communicatie is voor burgers en bedrijven steeds belangrijker geworden. In het dagelijks leven zijn wij in hoge mate afhankelijk geworden van elektronische communicatiediensten. Deze afhankelijkheid is groter dan men doorgaans beseft en wordt ook wel telekwetsbaarheid genoemd. De missie van Agentschap Telecom is: Wij waarborgen de beschikbaarheid van moderne en betrouwbare telecommunicatie in en voor Nederland. Maatschappelijk belang centraal Agentschap Telecom stelt, bij het uitvoeren van haar missie, het maatschappelijk belang centraal. Incidenten in de telecomsector kunnen economisch en maatschappelijk veel schade aanrichten. Met het oog op het maatschappelijk belang is het vanzelfsprekend dat men de continuïteit van netwerken en/of diensten verbetert en de maatschappelijke en economische impact van incidenten en calamiteiten tot het minimum worden beperkt. Het onderzoek De doelstelling van de 0-meting is om inzicht te krijgen in hoeverre aanbieders van openbare elektronische communicatienetwerken en/of openbare elektronische communicatiediensten (hierna aanbieders) voldoen aan de weten regelgeving. Het gaat hier om het moment vlak na inwerkingtreding van hoofdstuk 11a van de Telecommunicatiewet (hierna: zorgen meldplicht continuïteit) en vlak voor de inwerkingtreding van het Besluit continuïteit openbare elektronische communicatienetwerken en diensten (hierna Besluit continuïteit). Ook wordt het verkregen inzicht gebruikt als input voor het opstellen van de risicoanalyse van de doelgroep om het toezicht selectief en slagvaardig uit te kunnen voeren. Het uitvoeren van de 0-meting en de hierop volgende metingen is ook een middel om te bepalen wat het effect is geweest van de inspanningen van Agentschap Telecom betreffende haar toezichtsactiviteiten. Door de resultaten van de 0-meting te vergelijken met de bijbehorende resultaten van een vervolgmeting kan het verschil in de mate van naleving worden bepaald. Dit zal te zijner tijd in een separaat onderzoek worden uitgevoerd. Daarmee ontstaat input voor de evaluatie van de effectiviteit van de gehanteerde interventiemix en gekozen aanpak. De onderzoeksvraag De centrale vraag van het onderzoek is: In welke mate verwachten de aanbieders te voldoen aan de verplichtingen ten aanzien van de zorgen meldplicht continuïteit op het moment van inwerkingtreding van de weten regelgeving? Om de benodigde informatie te verkrijgen is gekozen voor het verzenden van een enquête aan de aanbieders. 1 Om de betrouwbaarheid te verhogen zijn de vragen in de enquête gesloten gesteld. De aanbieders zijn wettelijk verplicht mee te werken aan deze enquête. Vooraf was al bekend dat niet alle aanbieders op basis van de door hun aangeboden diensten relevant zijn voor de eisen van de zorgen meldplicht continuïteit. Bijvoorbeeld aanbieders van netwerken of diensten waarover uitsluitend programma s (TV en radio) worden verspreid. Deze zijn niet meegenomen in het onderzoek. Om te bepalen welke omvang een aanbieder heeft, wordt een klasse naar grootte gehanteerd op basis van de omzet. Deze zijn: 1. Klein: 0-2 miljoen euro; 2. Middel: 2 20 miljoen euro; 1 Er is voor gekozen om de gehele bekende populatie, de bij OPTA ingeschreven aanbieders, aan te schrijven. Pagina 3 van 67

4 3. Groot: 20 miljoen euro of meer. Op 2 oktober 2012 is een brief verstuurd naar de aanbieders met als bijlage de enquête (zie bijlage I), bestaande uit 29 vragen en twee aanvullende verzoeken en een toelichting op de weten regelgeving. In deze brief worden de aanbieders verzocht de vragen te beantwoorden en de ingevulde enquête te retourneren binnen de gestelde termijn van drie weken. De aanvullende verzoeken betreffen het toezenden van een actuele versie van het continuïteitsplan en een lijst met klanten welke binnen de vitale infrastructuur 2 vallen. In totaal zijn 632 aanbieders aangeschreven en hebben 563 (89%) de vragenlijst ingevuld geretourneerd binnen de daarvoor gestelde termijnen. De overige 69 aanbieders (11%) zijn om diverse redenen niet bij dit onderzoek meegenomen. Uiteindelijk hebben 500 aanbieders een valide set antwoorden aangeleverd die zijn meegenomen in dit onderzoek. De doorlooptijd van het onderzoek (inclusief voorbereiding) heeft circa vijf maanden in beslag genomen. In welke mate verwachten aanbieders te voldoen aan hun verplichtingen? Onderzoeksvraag: In welke mate verwachten de aanbieders te voldoen aan de verplichtingen ten aanzien van de zorgen meldplicht continuïteit op het moment van inwerkingtreding van de weten regelgeving? Van de aanbieders verwacht 26% tijdig te voldoen aan de belangrijkste verplichting ten aanzien van de zorgen meldplicht continuïteit op het moment van inwerkingtreding van de regelgeving (1 januari 2013). Dit houdt in het in het bezit hebben van een vastgesteld continuïteitsplan. Figuur 1. Verwachten aanbieders te voldoen aan weten regelgeving continuïteit door tijdig te beschikken over een vastgesteld continuïteitsplan? Grote diensten netwerkaanbieders Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat 74% van de aanbieders geen continuïteitsplan heeft, hebben wij onderzocht waar wij de grotere aanbieders, 13% van het totaal, kunnen plaatsen. De meerderheid (77%) van de grote diensten netwerkaanbieders beschikt op het moment van de enquête over een vastgesteld continuïteitsplan. Bij 16% van de grote aanbieders is het continuïteitsplan in voorbereiding en 7% beschikt niet over een vastgesteld continuïteitsplan. 2 Vitale infrastructuren zijn ketens van vergelijkbare partijen waarvan het vanuit maatschappelijk oogpunt cruciaal is dat zij blijven functioneren. Daarom wordt ook wel gesproken van vitale sectoren. Pagina 4 van 67

5 Wat is de kwaliteit van het continuïteitsplan? Bij de uitvoering van dit onderzoek hebben de onderzoekers een beoordeling gegeven over de kwaliteit van het continuïteitsplan. Let wel, hierbij geven de onderzoekers geen oordeel over een adequate inrichting van de continuïteitsprocessen. In dit onderzoek doen de onderzoekers alleen een uitspraak over de kwaliteit van het continuïteitsplan. Deze uitspraak is gebaseerd op het al dan niet aanwezig zijn van een beschrijving van de relevante continuïteitsprocessen in het continuïteitsplan. Verhoging van de bewustwording van alle relevante afhankelijkheden, risico s en kwetsbaarheden op alle niveaus (niet alleen operationeel) en een goed continuïteitsbeleid bij aanbieders is van evident belang. Dit moet uiteindelijk leiden tot een verbetering van de continuïteit van netwerken en/of diensten. Samenvattend kan worden geconcludeerd dat bij meer dan een derde en op sommige punten bij meer dan de helft van de aanbieders de kwaliteit van het continuïteitsplan in relatie met het beschrijven van de meest relevante continuïteitsprocessen nog onder het gewenste kwaliteitsniveau ligt. Uit de enquête blijkt dat 18 tot 23% van de aanbieders weinig tot geen bestuurlijke aandacht heeft voor de continuïteit van netwerken en/of diensten. Hier wordt gedoeld op tenminste twee van de drie bestuurlijke hoofdtaken, te weten: Het besturen; door middel van het geven van richtlijnen en het opstellen van beleid; Het bewaken van de eigen prestatie of die van derden (leveranciers etc.). Verder behoren directies vanuit een maatschappelijke en economische verantwoordelijkheid op adequate wijze zorg te dragen voor de continuïteit van netwerken en/of diensten en te voldoen aan weten regelgeving. Opvallend is dat driekwart van de aanbieders (74%) verwacht niet tijdig te beschikken over een vastgesteld continuïteitsplan op het moment van inwerkingtreding van de zorgen meldplicht continuïteit en het Besluit continuïteit (1 januari 2013). Vitale infrastructuur Wij kunnen concluderen dat 36% van de aanbieders zich er bewust van is dat men openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten (hierna: netwerken en/of diensten) levert aan bedrijven en/of instellingen die vallen binnen de definitie vitale infrastructuur en de directie hiervan op de hoogte is. Het betreft hier in totaal 180 aanbieders van verschillende omvang. Van deze 180 aanbieders heeft 38% beschreven welke additionele maatregelen er zijn genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen. Van deze groep van 180 aanbieders beschikt 26% over een actueel overzicht van deze zakelijke klanten die binnen de definitie vitale infrastructuur vallen. Aan hen levert men netwerken en/of diensten en heeft men dit overzicht eveneens opgenomen in het continuïteitsplan. Er is echter bij 52% van de aanbieders sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact. Bij het leveren van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen is sprake van gedeelde verantwoordelijkheden. Vanzelfsprekend hebben deze vitale bedrijven en instellingen een eigen verantwoordelijkheid teneinde zich te vergewissen van het feit dat men beschikt over een optimale ICT verbinding. Dit ontslaat de aanbieder niet van de maatschappelijke verantwoordelijkheid alert te zijn op het leveren van passende netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en navraag te doen of de verbinding een vitaal karakter heeft. Pagina 5 van 67

6 Integrale aanpak continuïteit De continuïteit van netwerken en/of diensten kent vele invalshoeken. Er is sprake van diverse afhankelijkheden die in sterke mate de totale continuïteitsketen (figuur 2) beïnvloeden. De keten is zo sterk als de zwakste schakel. Met de inwerkingtreding van de zorgen meldplicht continuïteit is het van belang dat men de continuïteit van netwerken en/of diensten verbetert en de maatschappelijke en economische impact van incidenten en calamiteiten tot het minimum beperkt. Daar waar aanbieders zich richten op de financiële gevolgen en/of de gevolgen in relatie met mogelijke imagoschade naar aanleiding van incidenten en calamiteiten is het van belang dat men ook oog heeft voor de economische en/of maatschappelijke schade die wordt aangericht. Juist incidenten en calamiteiten die leiden tot uitval van netwerken en/of diensten met impact op bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen, kunnen leiden tot ernstige maatschappelijke en/of economische impact en zelfs maatschappelijke ontwrichting. Om de continuïteit van netwerken en/of diensten te verbeteren en de impact van incidenten en calamiteiten te verminderen is een integrale aanpak van de continuïteit van netwerken en/of diensten op bestuurlijk niveau wenselijk. Dit vraagt om een holistische aanpak waarbij men bestuurt, evalueert en bewaakt en oog heeft voor de diverse afhankelijkheden die binnen de continuïteitsketen bestaan. Hoe groter de omzet van de aanbieder hoe groter ook de noodzaak wordt om alle processen die de continuïteit van netwerken en/of diensten raken te integreren en te beschrijven in één vastgesteld continuïteitssysteem met een vastgesteld continuïteitsplan. Met dit uitgangspunt kan men werken aan de volgende stappen, te weten: 1. Voortdurende proportionele verbetering van het continuïteitssysteem; 2. Voortdurende proportionele verbetering van het beperken van de impact van incidenten en majeure calamiteiten. Naar aanleiding van de enquête kunnen wij echter concluderen dat op dit punt verdere ontwikkeling en verbetering noodzakelijk is. Figuur 2. Het continuïteitssysteem: oog hebben voor de maatschappelijke en economische impact van incidenten. Pagina 6 van 67

7 Inhoudsopgave INLEIDING 9 1 ONDERZOEKSVRAGEN EN METHODIEK Onderzoeksvragen Methode van onderzoek 14 2 DOEL VAN DIT RAPPORT 15 3 VERLOOP VAN HET ONDERZOEK 16 4 BEVINDINGEN NALEVING ZORG- EN MELDPLICHT CONTINUÏTEIT Inleiding Naleving zorgplicht continuïteit Gebruik loket meldplicht 20 5 BEVINDINGEN KWALITEIT VAN HET CONTINUÏTEITSPLAN Inleiding Continuïteitsplan Governance Service management BCM/ ICT Readiness: inclusief crisis- en herstelplannen Integraal risico management 26 6 OVERIGE BEVINDINGEN Vitale infrastructuur 28 7 CONCLUSIE Stand van zaken naleving zorgen meldplicht Kwaliteit van het continuïteitsplan Overige conclusies 34 BIJLAGE I AANBIEDINGSBRIEF EN ENQUÊTE 37 Pagina 7 van 67

8 BIJLAGE II RESULTATEN ENQUÊTE 0-METING ZORG- EN MELDPLICHT CONTINUÏTEIT 48 Continuïteitsplan 48 Goed bestuur inzake continuïteit van netwerken en/of diensten (Governance) 49 Management van de dienstverlening (Service management) 51 Integraal risicobeheer continuïteit 56 Vitale infrastructuur 59 Meldplicht continuïteit 61 BIJLAGE III BESLUIT CONTINUÏTEIT 62 BIJLAGE IV AFKORTINGEN EN VERKLARENDE WOORDENLIJST 64 Pagina 8 van 67

9 Inleiding Elektronische communicatie is voor burgers en bedrijven steeds belangrijker geworden. In het dagelijks leven zijn wij in hoge mate afhankelijk geworden van elektronische communicatiediensten. Deze afhankelijkheid is groter dan men doorgaans beseft en wordt ook wel telekwetsbaarheid genoemd. Incidenten op dit terrein kunnen economisch en maatschappelijk veel schade aanrichten. De Europese Commissie heeft lidstaten voorgeschreven om maatregelen te nemen die de betrouwbaarheid van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten (hierna: netwerken en/of diensten) moet vergroten. Hoofdstuk 11a continuïteit Om het vertrouwen van bedrijfsleven en maatschappij in elektronische communicatie te stimuleren, heeft de Europese Commissie twee nieuwe verplichtingen opgesteld, die in de Telecommunicatiewet (hierna: Tw) zijn opgenomen: de zorgen meldplicht continuïteit. Zorgplicht continuïteit Aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten (hierna: aanbieders) zijn verplicht passende technische en organisatorische maatregelen te nemen om de risico s voor de veiligheid en integriteit van netwerken en/of diensten te beheersen. Voor aanbieders van openbare telefoniediensten geldt, bij verstoringen of uitval van elektriciteit, zelfs de verplichting om alle noodzakelijke maatregelen te treffen. Het doel hiervan is de continuïteit en beschikbaarheid van netwerken en/of diensten zoveel als mogelijk te waarborgen. Het gaat hierbij om inbreuken op de veiligheid en een verlies aan integriteit van het netwerk en/of de dienst. Het gaat hierbij nadrukkelijk niet om inbreuken op de persoonsgegevens (privacy). Meldplicht continuïteit Aanbieders zijn verplicht om bij inbreuken op de veiligheid en/of een (gedeeltelijk) verlies aan integriteit melding te maken van dit incident bij Agentschap Telecom. Sinds 5 juni 2012 is hoofdstuk 11a continuïteit van de Tw (hierna: zorgen meldplicht continuïteit) van kracht geworden. Het Besluit continuïteit openbare elektronische communicatienetwerken en -diensten (hierna: Besluit continuïteit) is per 1 januari 2013 van kracht. Besluit continuïteit 3 Het Besluit continuïteit bevat regelgeving met betrekking tot de technische en organisatorische maatregelen om de risico s te beperken die de veiligheid en de integriteit van netwerken en/of diensten bedreigen. Daarnaast bevat de regelgeving over de meldplicht bij inbreuken op de veiligheid en verliezen van integriteit, de verstrekking van informatie voor de beoordeling van de veiligheid en de integriteit en de aanwijzing van inbreuken op de veiligheid en verliezen van integriteit van netwerken en/of diensten. 4 Aanbieders De zorgen meldplicht continuïteit geldt voor alle aanbieders in Nederland. Uit de doelgroepanalyse van Agentschap Telecom komen drie doelgroepen naar voren: 1. Netwerkaanbieders; 2. Dienstenaanbieders met eigen netwerk; 3. Dienstenaanbieders zonder eigen netwerk. 3 Stb. 2012, 514. Besluit van 19 oktober 2012, houdende nadere regels met betrekking tot technische en organisatorische eisen ter beperking van risico's voor de veiligheid en de integriteit, de meldplicht van inbreuken op de veiligheid en verliezen van integriteit, de verstrekking van informatie voor de beoordeling van de veiligheid en de integriteit en de aanwijzing van inbreuken op de veiligheid en verliezen van integriteit van openbare elektronische communicatienetwerken en -diensten (Besluit continuïteit openbare elektronische communicatienetwerken en -diensten). 4 Deze regelgeving is vastgelegd in het document minimale eisen continuïteitsplan. Pagina 9 van 67

10 Aanbieders zijn verplicht zich op te laten nemen in het register. 5 Ook aanbieders die dit hebben nagelaten, vallen echter binnen het bereik van de zorgen meldplicht continuïteit. Missie Agentschap Telecom De missie van Agentschap Telecom is: Wij waarborgen de beschikbaarheid van moderne en betrouwbare telecommunicatie in en voor Nederland. Agentschap Telecom houdt toezicht op zowel de zorg- als meldplicht continuïteit. Maatschappelijk belang centraal Bij het uitvoeren van de missie van Agentschap Telecom staat het maatschappelijk belang centraal, zo ook bij het toezicht op de zorgen meldplicht continuïteit. Met het oog op het maatschappelijk belang is het vanzelfsprekend dat men de continuïteit van netwerken en/of diensten verbetert en de maatschappelijke en economische impact van incidenten en calamiteiten tot het minimum beperkt. Juist incidenten en calamiteiten die leiden tot uitval van netwerken en/of diensten met impact op bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen kunnen leiden tot ernstige maatschappelijke en/of economische impact en zelfs maatschappelijke ontwrichting. Derhalve heeft het leveren van diensten en netwerken aan de bedrijven en/of instellingen die binnen de vitale infrastructuur vallen bij de uitvoering van dit onderzoek de bijzondere aandacht van de onderzoekers. Agentschap Telecom als toezichthouder Agentschap Telecom streeft naar betrouwbare netwerken en/of diensten. In haar rol als toezichthouder op de continuïteit van netwerken en/of diensten vormt zowel regelconformiteit als beleidsconformiteit een belangrijk middel. Regelconformiteit is onder meer het toezien op de naleving van de gestelde regels en het eventueel sanctioneren van de overtreder. Concreet betekent dit dat Agentschap Telecom erop toeziet of er daadwerkelijk passende technische en organisatorische maatregelen zijn getroffen en of deze zijn vastgelegd in een continuïteitsplan. Beleidsconformiteit betekent dat Agentschap Telecom een signalerende en adviserende functie vervult bij het realiseren van beleidsdoelstellingen. Hierbij wordt gekeken of de praktijk bij de aanbieder ook daadwerkelijk bijdraagt aan een zo goed mogelijk geborgde continuïteit voor de klanten van de aanbieders, met als doel het voorkomen van maatschappelijke en economische impact als gevolg van uitval. Het agentschap doet dit door middel van audits waarbij niet alleen gekeken wordt naar de strikte naleving van de regels. Met name wordt gekeken naar de praktijk van de aanbieder. Daarmee wordt getoetst of de aanbieders daadwerkelijk gestalte hebben gegeven aan de in de continuïteitsplannen beschreven maatregelen. Relevante bevindingen in algemene zin kunnen onderwerp van gesprek zijn met de beleidskern van het ministerie van Economische Zaken. Sturingsfilosofie Toezicht sluit aan op de laatste ontwikkelingen in het werkveld en op de beleidsprioriteiten van de minister van Economische Zaken. Daarom houden wij toezicht vanuit de volgende sturingsfilosofie: Toezicht is verantwoordelijk voor het inspectietoezicht en draagt daarmee bij aan het stelsel; Toezicht heeft aandacht voor lastendrukvermindering en draagt hieraan bij door selectief en slagvaardig te zijn; Toezicht heeft vertrouwen in zelfregulering; Toezicht is toegankelijk; Toezicht is expliciet voor risicoaanvaarding; Er is aandacht voor scheiding toezicht/uitvoering en toezicht/sanctionering; De nationale en supranationale dimensie worden gelijkgeschakeld. 5 De OPTA houdt dit register bij. Pagina 10 van 67

11 De ontwikkelingen in het werkveld van Agentschap Telecom leiden tot een veranderende rol van toezicht. Toezicht verschuift van iron hand, de handhavende toezichthouder, naar invisible hand, een toezichthouder die op afstand door middel van informatievergaring en monitoring het toezichtveld observeert, analyseert en reguleert door het toepassen van passende interventies. Reden voor deze verschuiving is het loslaten van de specifieke eisen binnen vergunningen (flexibilisering) en de toename van vergunningsvrije banden. Tevens moet Toezicht steeds vaker een groter toezichtveld overzien. Onafhankelijke positie Als toezichthouder verzamelt Agentschap Telecom informatie en brengt hiermee zijn oordeel tot stand, onafhankelijk van andere partijen. Op deze wijze levert het agentschap een bijdrage aan de doelstellingen van de zorgen meldplicht continuïteit. Agentschap Telecom stelt zelfstandig haar prioriteiten in het toezicht vast en acht dit van groot belang om onafhankelijk te zijn bij het interveniëren en bij publicatie van onderzoeksresultaten over de naleving van de zorgen meldplicht continuïteit. Toezicht in de praktijk Agentschap Telecom kan bij het toezicht de volgende instrumenten inzetten: Voorlichting; Onderzoek; Administratieve controles; Inspecties; Audits. Hieronder volgt een toelichting. Voorkomen is beter dan genezen. Dit is een belangrijk uitgangspunt van Agentschap Telecom. Daarom steekt het agentschap veel energie in voorlichting en ondersteuning. Om inzicht te krijgen in de praktijksituatie bij de aanbieders, vraagt Agentschap Telecom de continuïteitsplannen van de relevante aanbieders op. Het continuïteitsplan van aanbieders moet voldoen aan weten regelgeving. Daarnaast is het van belang dat relevante processen zijn ingericht, die leiden tot het voortdurend monitoren en verbeteren van de continuïteit van netwerken en/of diensten. Het agentschap controleert zowel het continuïteitsplan als de onderhavige processen. Agentschap Telecom zet systeemtoezicht in om tot een optimale verbetering te komen van de continuïteitsbeheersing door de aanbieder. Dit leidt tot kwaliteitsverhoging bij de aanbieder. Systeemtoezicht ziet toe op datgene wat een organisatie doet om te verzekeren dat de regels worden nageleefd en de risico s worden beheerst. Werken de processen, strategieën en procedures gericht op het borgen van maatschappelijke belangen afdoende? Beheerst het bedrijf zijn processen zodanig dat de risico s op maatschappelijke en economische schade aanvaardbaar zijn? De hierbij verzamelde informatie wordt niet getoetst aan een wettelijke eis maar aan systeemeisen, neergelegd in een normenkader wat tijdens invoering van de zorgen meldplicht continuïteit is getoetst bij de grootste aanbieders. Leidraad voor kwaliteitsverbetering Agentschap Telecom hanteert bij het uitoefenen van het toezicht op de zorgen meldplicht continuïteit een normenkader. Dit kader is gebaseerd op verschillende internationale kwaliteitsstandaarden met als doel: 1. het verbeteren van de bedrijfscontinuïteit bij aanbieders; 2. het borgen van de continuïteit van netwerken en/of diensten; 3. een betere voorbereiding op calamiteiten en incidenten bij aanbieders. Ook willen we hiermee bereiken dat men oog heeft voor beheersing van de risico s die eventueel afbreuk kunnen doen aan de continuïteit van netwerken en/of diensten bij aanbieders. Dit normenkader bevat die processen die de continuïteit van netwerken en/of diensten raken. Tot slot verwachten wij dat aanbieders zorg dragen voor continue verbetering van het beheer en de beheersfunctie in relatie tot zowel de netwerken en/of diensten. In dit licht Pagina 11 van 67

12 kunnen aanbieders achtereenvolgens de volgende internationale kwaliteitstandaarden, de NEN-ISO normen, als leidraad voor kwaliteit hanteren: 1. Corporate Governance of Information Technology (CGIT); 2. Business Continuity Management Systems (BCMS); 3. Risk Management (RM); 4. ICT readiness for Business Continuity (IRBC); 5. ICT Service Management System (SMS). Hierbij geeft: 1. de NEN-ISO norm (CGIT): concrete aanbevelingen voor goed bestuur van ICT; 2. de NEN-ISO norm (BCMS): concrete aanbevelingen om de bedrijfscontinuïteit in algemene zin te beheren, te beheersen en steeds verder te verbeteren; 3. de NEN-ISO norm (RM): concrete aanbevelingen met betrekking tot het beheren van risico s welke eventueel afbreuk kunnen doen aan de continuïteit van het communicatienetwerk en/of -dienst en het beheer steeds verder te verbeteren; 4. de NEN-ISO norm (IRBC): concrete aanbevelingen om het ICT kapitaal in gereedheid te brengen en weerbaar te maken zodat de continuïteit van uw communicatienetwerk en dienst steeds beter voorbereid is waar het incidenten en calamiteiten betreft; 5. en de NEN-ISO norm (SMS): concrete aanbevelingen voor de inrichting van kwalitatief goed beheer van ICT dienstverlening, inclusief incident en problem management zodat de continuïteit van het netwerk en/of dienst steeds verder verbetert. Met de bovenstaande leidraad wordt gedoeld op die processen die gericht zijn op het nemen van passende technische en organisatorische maatregelen om de risico s voor de veiligheid en integriteit van netwerken en/of diensten te beheren en te beheersen, inclusief het systeem wat zorg draagt voor voortdurende verbetering. Het staat aanbieders uiteraard vrij om gebruik te maken van alternatieve kaders, normen en/of best practices zoals bijvoorbeeld COBIT, ITIL etc. om de bovengenoemde processen die de continuïteit van netwerken en/of diensten raken te adresseren en in te richten. Leeswijzer In dit rapport worden de resultaten weergegeven uit de 0-meting. In hoofdstuk 1 worden de onderzoeksvragen en de methodiek van onderzoek toegelicht. Vervolgens beschrijft hoofdstuk 2 het doel van het rapport. Het verloop van het onderzoek wordt in hoofdstuk 3 toegelicht. Hoofdstuk 4 bevat de bevindingen bij de aanbieders in het licht van de naleving van de zorgen meldplicht continuïteit. In hoofdstuk 5 worden de bevindingen bij aanbieders op gebied van de kwaliteit van het continuïteitsplan toegelicht. De overige bevindingen worden in hoofdstuk 6 weergegeven. De conclusies staan in hoofdstuk 7, waar ook de onderzoeksvraag wordt beantwoord. De resultaten van de enquête worden in bijlage II weergegeven. Pagina 12 van 67

13 1 Onderzoeksvragen en methodiek De aanleiding tot het uitvoeren van een 0-meting is aangegeven in het Toezichtarrangement Continuïteit. De doelstelling van de 0-meting is om inzicht te krijgen in hoeverre aanbieders voldoen aan de weten regelgeving vlak na het moment van inwerkingtreding van de zorgen meldplicht continuïteit en vlak voor de inwerkingtreding van het Besluit continuïteit. Het verkregen inzicht wordt gebruikt als input voor het opstellen van de risicoanalyse van de doelgroep om het toezicht selectief en slagvaardig uit te kunnen voeren. Het uitvoeren van de 0-meting en de hierop volgende meting is een middel om inzicht te krijgen wat het effect is geweest van de inspanningen van Agentschap Telecom betreffende haar toezichtactiviteiten. Door de resultaten van de 0-meting te vergelijken met de bijbehorende resultaten van een vervolgmeting kan het verschil in de mate van naleving worden bepaald. Dit zal overigens te zijner tijd in een separaat onderzoek worden uitgevoerd. Daarmee ontstaat input voor de evaluatie van de effectiviteit van de gehanteerde interventiemix en gekozen aanpak. 1.1 Onderzoeksvragen De centrale onderzoeksvraag is: In welke mate verwachten de aanbieders te voldoen aan de verplichtingen ten aanzien van de zorgen meldplicht continuïteit op het moment van inwerkingtreding van de weten regelgeving? De deelvragen zijn: 1. Wat is de stand van zaken ten aanzien van de zorgen meldplicht continuïteit op het moment van inwerkingtreding van de weten regelgeving; in welke mate verwachten de aanbieders te voldoen aan hun verplichtingen? Zijn aanbieders in het bezit van een continuïteitsplan? Indien men nog geen continuïteitsplan heeft, wanneer denkt men hierover te beschikken? 2. Wat is de kwaliteit van het continuïteitsplan? Beschrijven de aanbieders de risico s inclusief de maatregelen die men heeft genomen om deze risico s te adresseren? Hebben aanbieders, bij het beschrijven van de risico s in het continuïteitsplan, rekening gehouden met majeure calamiteiten zoals grootschalige uitval van elektriciteit en/of ICT? Zijn in ieder geval de meest relevante processen door de aanbieders ingericht en beschreven in het continuïteitsplan? Gedoeld wordt op die processen die gericht zijn op het nemen van passende technische en organisatorische maatregelen om de risico s voor de veiligheid en integriteit van netwerken en/of diensten te beheren en te beheersen inclusief het systeem dat zorg draagt voor voortdurende verbetering. Onder de meest relevante processen welke gericht zijn op het beheren en beheersen van de continuïteit van netwerken en/of diensten wordt verstaan: 1. Corporate Governance of Information Technology (CGIT); 2. Business Continuity Management System (BCMS); 3. Risk Management System (RMS); 4. ICT readiness for Business Continuity (IRBC); 5. ICT Service Management System (SMS). Deze processen zijn de leidraad voor kwaliteitsverbetering van het beheer en het beheersen van de continuïteit van netwerken en/of diensten. Om inzicht te krijgen in de bovenstaande onderzoeksvragen zijn de enquêtevragen opgesteld. Pagina 13 van 67

14 1.2 Methode van onderzoek Bepalen van de doelgroep Om de benodigde informatie te verkrijgen is gekozen voor het verzenden van een enquête aan de aanbieders. 6 Om de betrouwbaarheid te verhogen zijn de vragen in de enquête gesloten gesteld. De aanbieders zijn wettelijk verplicht mee te werken aan de enquête. Vooraf was al bekend dat niet alle aanbieders op basis van de door hun aangeboden netwerken en/of diensten relevant zijn voor de eisen van de zorgen meldplicht continuïteit. Bijvoorbeeld aanbieders van netwerken of diensten waarover uitsluitend programma s (TV en Radio) worden verspreid. Deze zijn niet meegenomen in het onderzoek. Om te bepalen welke omvang een aanbieder heeft, wordt een klasse naar grootte gehanteerd op basis van de omzet. Deze zijn: 1. Klein: 0-2 miljoen euro; 2. Middel: 2 20 miljoen euro; 3. Groot: 20 miljoen euro of meer. Mailing Op 2 oktober 2012 is een brief verstuurd naar de aanbieders met als bijlage de enquête, bestaande uit 29 vragen en twee aanvullende verzoeken. In deze brief is de aanbieders verzocht de vragen te beantwoorden en de ingevulde enquête te retourneren binnen de gestelde termijn van drie weken. De aanvullende vragen betreffen het toezenden van een actuele versie van het continuïteitsplan en een lijst met klanten welke binnen de vitale infrastructuur 7 vallen. De wettelijke verplichtingen zijn toegelicht in de aanbiedingsbrief. Deze brief vindt u samen met de enquêtevragen terug in bijlage I van dit rapport. De doorlooptijd van het onderzoek (inclusief voorbereiding) heeft circa vijf maanden in beslag genomen. 6 Er is voor gekozen om de gehele bekende populatie, de bij OPTA ingeschreven aanbieders aan te schrijven. 7 Vitale infrastructuren zijn ketens van vergelijkbare partijen waarvan het vanuit maatschappelijk oogpunt cruciaal is dat zij blijven functioneren. Daarom wordt ook wel gesproken van vitale sectoren. Pagina 14 van 67

15 2 Doel van dit rapport Agentschap Telecom brengt met de uitvoering van dit onderzoek in beeld wat het niveau van naleving is van de zorgen meldplicht continuïteit. 8 Ten eerste dient de 0-meting om het huidige niveau van naleving zichtbaar te maken. Door de 0- en (de op een later tijdstip uit te voeren) 1-meting te vergelijken kunnen de verbeteringen in de naleving zichtbaar worden gemaakt. Dit zal in een separaat traject gebeuren. Daarnaast dient de uitkomst van dit onderzoek als input voor de risicoanalyse (op doelgroep, niet op individueel niveau) die de basis vormt voor de verder te houden inspecties en audits. Er wordt voor de uitvoering van het toezicht door het agentschap bepaald welke verbeterpunten er opgepakt moeten worden om de markt in beweging te krijgen en te houden richting betere naleving. Voor de beleidskern van het ministerie van Economische Zaken geeft deze rapportage inzicht in het halen van de beleidsdoelen van de zorgen meldplicht continuïteit op het moment van inwerkingtreding van de weten regelgeving. Deze regelgeving is nieuw, waardoor het van belang is dat aan de beleidsmakers wordt teruggekoppeld wat het nalevingsniveau is. Met dit rapport worden mogelijke aandachtspunten in de uitvoering van de zorgen meldplicht continuïteit inzichtelijk gemaakt. Tot slot, maar niet minder belangrijk Agentschap Telecom koppelt het resultaat van de 0- meting terug aan de markt. De aanbieders hebben meegewerkt aan de enquête. Het is dan zorgvuldig hen ook te laten delen in het resultaat. Aanbieders kunnen aan de hand van dit geanonimiseerde rapport zien in welke mate de markt voldoet aan de huidige weten regelgeving, en waar zij zelf mogelijk verbeterpunten hebben. Ook wordt hiermee duidelijk voor de markt waar accenten komen te liggen in het toezicht. 8 In de inleiding wordt verder ingegaan op de algemene doelstelling van het onderzoek. Pagina 15 van 67

16 3 Verloop van het onderzoek In totaal zijn 632 aanbieders aangeschreven. De eerste reactie hierop was beperkt, waardoor het noodzakelijk was om na drie weken aan 358 aanbieders een eerste rappel te verzenden. De 198 aanbieders die hier nog niet op reageerden zijn na twee weken aangeschreven met een laatste, aangetekend, rappel. De aanbieders die vervolgens nog geen reactie hebben gegeven zijn, voor zover mogelijk, gebeld om te vragen om opheldering. Van de 632 aangeschreven aanbieders hebben 563 (89%) de vragenlijst ingevuld geretourneerd binnen de daarvoor gestelde termijnen. De overige 69 aanbieders (11%) zijn niet bij de uitvoering van dit onderzoek betrokken. Dit omdat de aanbieders niet binnen de daartoe gestelde termijn hebben aangeleverd. De redenen hiervoor zijn onder andere aanbieders die zijn afgevallen in verband met mogelijk faillissement, mogelijke overname en het vermoedelijk staken van de activiteiten. Uiteindelijk is er in vier gevallen een rapport van bevindingen opgemaakt wegens het niet reageren op de vordering tot het leveren van informatie. Hiervoor is een sanctietraject opgestart met als doel de aanbieders te bewegen alsnog te reageren. In totaal hebben 63 van de 563 respondenten aangegeven: Een netwerk of dienst aan te bieden waarover uitsluitend programma s (TV en radio) worden verspreid; Een besloten netwerk aan te bieden; Dat sprake is van een faillissement, een overname of het staken van de activiteiten. Deze aanbieders worden in 2013 nader onderzocht om een beeld te vormen in hoeverre deze aanbieders vallen onder de zorgen meldplicht. Uiteindelijk hebben 500 aanbieders een valide set antwoorden aangeleverd die is meegenomen in dit onderzoek. Pagina 16 van 67

17 4 Bevindingen naleving zorgen meldplicht continuïteit 4.1 Inleiding Sinds 5 juni 2012 is de zorgen meldplicht continuïteit van kracht. Deze wet is een onderdeel geworden van hoofdstuk 11a van de Tw. Vanaf 1 januari 2013 is het Besluit continuïteit van kracht. Besluit continuïteit Het Besluit continuïteit bevat regelgeving met betrekking tot de technische- en organisatorische maatregelen om de risico s te beperken die de veiligheid en de integriteit van netwerken en/of diensten bedreigen. Eveneens bevat de regelgeving over de meldplicht van inbreuken op de veiligheid en verliezen van integriteit, de verstrekking van informatie voor de beoordeling van de veiligheid en de integriteit en de aanwijzing van inbreuken op de veiligheid en verliezen van integriteit van netwerken en/of diensten. 4.2 Naleving zorgplicht continuïteit In de enquête is een aantal vragen gesteld die een directe relatie heeft met de artikelen die zijn opgenomen in hoofdstuk 11a van de Tw en/of in het Besluit continuïteit dat vanaf 1 januari 2013, dus enkele weken na het inleveren van de antwoorden op de enquête, van kracht is geworden. Deze vragen zijn: 1. Beschikt u over een vastgesteld continuïteitsplan? 2. Wanneer verwacht u wel te beschikken over een vastgesteld continuïteitsplan? 3. Bij uitbesteding bent u er ook verantwoordelijk voor dat derden de verplichtingen als bedoeld in de zorgplicht continuïteit naleven. Heeft u deze verplichtingen in een schriftelijke overeenkomst vastgelegd en verwijst u in uw continuïteitsplan naar deze overeenkomst? 4. Heeft u in het continuïteitsplan die risico s beschreven die de continuïteit, van uw netwerken en/of diensten, bedreigen? 5. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? 6. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Op de volgende pagina s worden de bevindingen in het licht van de naleving van de zorgen meldplicht continuïteit naar aanleiding van de resultaten van deze enquêtevragen volgordelijk behandeld. Pagina 17 van 67

18 Ad Vraag 1. Beschikt u over een vastgesteld continuïteitsplan? Figuur 3. Meer dan driekwart van de aanbieders geeft aan niet te beschikken over een continuïteitsplan op het moment van de enquête. Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête, vlak voor de inwerkingtreding van het Besluit continuïteit (dat inwerking treedt op 1 januari 2013), niet te beschikken over een vastgesteld continuïteitsplan. Op dat moment was het overigens nog niet verplicht om te beschikken over een vastgesteld continuïteitsplan. Ad Vraag 2. Wanneer verwacht u wel te beschikken een vastgesteld continuïteitsplan? Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan (in onderstaande tekst staat deze groep voor 100%) geeft 41% aan het continuïteitsplan, binnen één tot zes maanden af te ronden en vast te stellen. Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan geeft 3% aan om binnen één maand, 6% aan om binnen drie maanden, 32 % binnen zes maanden en 59% over meer dan zes maanden, het continuïteitsplan af te gaan ronden en vast te gaan stellen. Ad Vraag 3. Heeft u deze verplichtingen in een schriftelijke overeenkomst vastgelegd en verwijst u in uw continuïteitsplan naar deze overeenkomst? Bij 65% van de aanbieders zijn deze verplichtingen niet of gedeeltelijk in een schriftelijke overeenkomst vastgelegd en wordt hiernaar verwezen in het continuïteitsplan. Bij uitbesteding aan derden blijft de aanbieder verantwoordelijk voor het naleven van de zorgen meldplicht continuïteit. Ad Vraag 4. Heeft u in het continuïteitsplan die risico s beschreven die de continuïteit, van uw netwerken en/of diensten, bedreigen? Bij 26% van de aanbieders zijn die risico s in het continuïteitsplan beschreven die de continuïteit, van de eigen netwerken en/of diensten, bedreigen en 21% van de aanbieders voldoet hier gedeeltelijk aan. Pagina 18 van 67

19 Figuur 4. Iets minder dan driekwart van de aanbieders heeft in het continuïteitsplan niet of gedeeltelijk die risico s beschreven die de continuïteit van de eigen aangeboden netwerken en/of diensten bedreigen. Bij 74% van de aanbieders zijn de risico s niet of gedeeltelijk in het continuïteitsplan beschreven en voldoen ze niet aan de verplichtingen welke in het Besluit continuïteit zijn vastgelegd. Ad Vraag 5. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? Figuur 5. Iets minder dan driekwart van de aanbieders heeft in het continuïteitsplan niet of gedeeltelijk die maatregelen beschreven die men neemt om de risico s te adresseren. Bij 71% van de aanbieders zijn de maatregelen die men neemt om de risico s te adresseren niet of gedeeltelijk in het continuïteitsplan beschreven en voldoen ze niet aan de verplichtingen welke in het Besluit continuïteit zijn vastgelegd. Ad Vraag 6. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Meer dan de helft van de aanbieders (52%) geeft aan dat men bij het beschrijven van de risico s, geen rekening heeft gehouden met grootschalige uitval van elektriciteit en/of ICT beschreven in het continuïteitsplan. Hierdoor voldoen ze niet aan de verplichtingen welke in de regelgeving zijn vastgelegd. Pagina 19 van 67

20 Figuur 6. Meer dan de helft van de aanbieders heeft in het continuïteitsplan bij het beschrijven van de risico s, geen rekening gehouden met grootschalige uitval van elektriciteit en/of ICT. 4.3 Gebruik loket meldplicht Heeft u uw inloggegevens aangevraagd en ontvangen? Het betreft hier de inloggegevens die u nodig heeft om incidenten, met (mogelijke) maatschappelijke en/of economische impact, bij het loket Meldplicht te melden? Een totaal van 31% van de aanbieders heeft bij inwerkingtreding van de zorgen meldplicht continuïteit de inloggegevens aangevraagd en ontvangen. Het betreft hier de inloggegevens die men nodig heeft om incidenten, met (mogelijke) maatschappelijke en/of economische impact, bij het loket Meldplicht elektronisch te melden. Een totaal van 69% van de aanbieders heeft bij inwerkingtreding van de zorgen meldplicht continuïteit de inloggegevens (nog) niet aangevraagd en/of ontvangen. Aanbieders zijn verplicht om bij inbreuken op de veiligheid en/of een (gedeeltelijk) verlies aan integriteit melding te maken van dit incident bij Agentschap Telecom. Figuur 7. Een totaal van 31% van de aanbieders heeft bij inwerkingtreding van de zorgen meldplicht continuïteit de inloggegevens aangevraagd en ontvangen. Pagina 20 van 67

21 5 Bevindingen kwaliteit van het continuïteitsplan 5.1 Inleiding Waar het gaat om de continuïteit van netwerken en/of diensten zijn de belangen groot. De onderhavige materie is complex en kent vele invalshoeken. Een kleine toelichting is hier op zijn plaats. Vier basale processen Er zijn vier processen die de continuïteit van netwerken en/of diensten, elk op een eigen wijze, adresseren. Het proces Business Continuity Management (het beheer van de bedrijfscontinuïteit) en het proces Integraal Risk Management (het integraal risicobeheer) zijn processen die vanuit de optiek van de bedrijfsvoering de continuïteit van netwerken en/of diensten adresseren. Het proces ICT Service Management (het management van de dienstverlening) en het proces ICT Readiness (ICT weerbaarheid) zijn processen die veel meer vanuit de optiek van de ICT de continuïteit van netwerken en/of diensten benaderen. Samenvattend kijkt men dus en/of vanuit het oogpunt van de bedrijfsvoering en/of vanuit het oogpunt van de ICT functie naar de continuïteit van netwerken en/of diensten. Het belang van integrale aansturing Het is van het belang de inzichten vanuit beide segmenten, dus vanuit deze vier processen, niet alleen met elkaar te delen maar ook te combineren. Voor een juiste aansturing en om de verschillende belangen op juiste wijze te adresseren is het noodzakelijk om het thema continuïteit van netwerken en/of diensten integraal en holistisch op bestuurlijk niveau te beheren en te beheersen. Die belangen die zich vanuit de hoek van de bedrijfsvoering manifesteren dienen waar mogelijk zoveel mogelijk op lijn te worden gebracht met de belangen vanuit de ICT functie en andersom. 1. Bestuurlijke invalshoek Naast het op lijn brengen van de verschillende belangen zal men invulling moeten geven aan de drie hoofdtaken; besturen, evalueren en bewaken van het strategische thema; continuïteit van netwerken en/of diensten. Hierbij spelen vragen zoals: Is er voldoende budget vrijgemaakt? Wordt het budget gebruikt om de juiste dingen te doen, op het juiste moment en op de juiste plek? Zijn wij voldoende voorbereid op grote calamiteiten? Zijn de verantwoordelijkheden op de juiste manier belegd? Zakelijke belangen staan vaak loodrecht tegenover de kwaliteitsbelangen, waar trekt men de grens? Kortom de betrokkenheid van de directie is van groot belang om richting te geven aan dit strategische thema. 2. ICT Technische invalshoek De bestuurlijke intentie zal vervolgens op de juiste wijze moeten worden vertaald. Hier is sprake van de ICT technische invalshoek. Hoe geeft men invulling aan de weerbaarheid en robuustheid van de netwerken en/of diensten? Hierbij speelt de levenscyclus en de inrichting van de diensten en de gerelateerde ICT (componenten) een rol. Het service management proces, oftewel het management van de dienstverlening, adresseert de levenscyclus van dienst en/of netwerk (of elementen hiervan); de levenscyclus van strategie naar ontwerp, van ontwerp naar transitie, van transitie naar operatie en van operatie naar uitfasering. Bij het opstellen van de servicestrategie is kwalitatief financieel management een vereiste. Bij het opstellen van een goede diensten/of netwerkontwerp zijn onder andere elementen als de kwaliteit van de dienstverlening, het beheer van de beschikbaarheid, de capaciteit en de continuïteit en de informatiebeveiliging zaken die men in een vroeg stadium al dient te adresseren. Tijdens de implementatie, transitie of verandering bedreigen weer andere kwetsbaarheden de continuïteit van netwerken en/of diensten. Uiteindelijk spelen in de operatie processen zoals incident management, proble(e)m management, change management en de continue verbetering van de service prestatie bij het beheren en beheersen van de continuïteit van netwerken en/of diensten een sleutelrol. Pagina 21 van 67

22 3. Crisismanagement Het is van belang dat bedrijven en instellingen zich zo goed mogelijk voorbereiden op een mogelijke crisissituatie. Hiertoe worden de meest kritieke- en waardevolle processen, diensten, elementen etc. in kaart gebracht en worden mogelijke crisisscenario s voorbereid, uitgedacht en geadresseerd. Met name in de Telecommunicatiesector is men hierbij in toenemende mate afhankelijk van ICT. De continuïteit van netwerken en/of diensten kent dus ook vanuit deze invalshoek een invulling die op bestuurlijk niveau wordt ingezet en op de juiste wijze naar de operatie moet worden vertaald. Bij de beschrijving van hoe te handelen tijdens majeure calamiteiten en/of een crisissituatie is het crisismanagement proces belangrijk, inclusief crisismanagement team, de continuïteit en herstelplannen, de crisisoefeningen en ook de inventarisatie van mogelijke crisisscenario s. Ook hier is er sprake van een directe relatie, juist in de Telecommunicatiesector, met de continuïteit van netwerken en/of diensten. Op welke crisisscenario s bereid men zich voor? Is er sprake van een centraal punt waar men werkt tijdens crisis en heeft men de beschikking over die informatie die op dat moment relevant is? Wat is de maximaal toelaatbare hersteltijd voor uitval van specifieke kritieke elementen en/of processen? Welke maatregelen kunnen op voorhand worden genomen om de impact te verminderen? 4. Integraal Risico Management De continuïteit van netwerken en/of diensten wordt binnen verschillende processen en vanuit verschillende invalshoeken bezien. Een adequate aansturing vereist dan ook een integrale holistische benadering en aanpak, juist daar waar het gaat om het in kaart brengen van de bestaande- en toekomstige risico s. Er is sprake van een complexe keten van afhankelijkheden waar het de continuïteit van netwerken en/of diensten betreft. De continuïteitsketen is afhankelijk van een groot aantal complexe fysieke en virtuele schakels. Op elk van de afzonderlijke schakels kunnen volledig andere bedreigingen de totale keten op negatieve wijze beïnvloeden. Het zorg dragen voor continuïteit gaat vanzelfsprekend verder dan alleen het opstellen van een continuïteitsplan. Figuur 8. Continuïteit van netwerken en/of diensten: de meest relevante processen Voor alle duidelijkheid worden met de in figuur 8 genoemde processen die processen bedoeld die de continuïteit van netwerken en/of diensten raken en die gericht zijn op het nemen van passende technische en organisatorische maatregelen om de risico s voor de veiligheid en integriteit van netwerken en/of diensten te beheren en te beheersen. Samen vormen deze processen (hierna te noemen de continuïteitsprocessen) het continuïteitssysteem dat zorg draagt voor voortdurende verbetering. Kwaliteit van het continuïteitsplan Het adequaat inrichten en continu verbeteren van deze processen die de continuïteit van netwerken en/of diensten direct raken en het integraal aansturen van continuïteit op bestuurs- en/of directieniveau zijn uiteindelijk bepalend voor de kwaliteit van het continuïteitssysteem van een onderneming of instelling. Een adequate inrichting van alle continuïteitsprocessen zal uiteindelijk de kwaliteit en effectiviteit van het totale continuïteitssysteem bepalen. Pagina 22 van 67

23 Bij de uitvoering van dit onderzoek hebben de onderzoekers een beoordeling gegeven over de kwaliteit van het continuïteitsplan. Let wel, hierbij geven de onderzoekers geen oordeel over een adequate inrichting van deze continuïteitsprocessen. In dit onderzoek beperken de onderzoekers zich tot het doen van een uitspraak die betrekking heeft op de kwaliteit van het continuïteitsplan puur op basis van het al dan niet aanwezig zijn van een beschrijving van de continuïteitsprocessen (zie figuur 8) in het continuïteitsplan. 5.2 Continuïteitsplan Van de aanbieders geeft 24% aan dat zij beschikken over een vastgesteld continuïteitsplan. De overigen geven aan niet (46%) te beschikken over een vastgesteld continuïteitsplan of bezig te zijn met de voorbereiding van het continuïteitsplan (30%). Figuur 9. Beschikt u over een vastgesteld continuïteitsplan? Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête, niet te beschikken over een vastgesteld continuïteitsplan. Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan (in onderstaande tekst staat deze groep voor 100%) geeft 41% aan het continuïteitsplan, binnen één tot zes maanden af te ronden en vast te stellen. Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan geeft 3% aan om binnen één maand, 6% aan om binnen drie maanden, 32 % binnen drie maanden en 59% over meer dan drie maanden, het continuïteitsplan af te gaan ronden en vast te gaan stellen. 5.3 Governance Specifieke richtlijnen en beleid Wanneer specifiek wordt gekeken naar goed bestuur van continuïteit, komt het volgende beeld naar voren. Ten tijde van deze nalevingsmeting zijn er vanuit bestuurlijk oogpunt duidelijke richtlijnen en doelstellingen afgegeven met betrekking tot de continuïteit en de beschikbaarheid bij 53% van de aanbieders. Bij 18% van de aanbieders is er geen sprake van specifiek beleid met betrekking tot de continuïteit en de beschikbaarheid, bij 16% van de aanbieders is dit in voorbereiding en bij 13% van de aanbieders is er (nog) niet specifiek maar wel gedeeltelijk beleid opgesteld op dit punt. Specifieke rapportage met betrekking tot de eigen prestatie Bij 61% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar waar het de geleverde prestatie van de organisatie betreft met betrekking tot de continuïteit en de beschikbaarheid. Bij 11% van de aanbieders gebeurt dit gedeeltelijk. Bij Pagina 23 van 67

24 10% van de aanbieders is een dergelijke rapportage in voorbereiding en bij 18% van de aanbieders wordt er (nog) niet gerapporteerd. Specifieke rapportage met betrekking tot prestatie van leveranciers Bij 44% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar waar het de geleverde prestatie van de organisatie betreft met betrekking tot de continuïteit en de beschikbaarheid. Bij 23% van de aanbieders gebeurt dit gedeeltelijk. Bij 10% van de aanbieders is een dergelijke rapportage in voorbereiding en bij 23% van de aanbieders wordt er (nog) niet gerapporteerd. Uit de bovenstaande resultaten uit de enquête blijkt dat 18 tot 23% van de aanbieders weinig tot geen bestuurlijke aandacht heeft waar het gaat om de continuïteit van netwerken en/of diensten. Hier wordt gedoeld op tenminste twee van de drie bestuurlijke hoofdtaken, te weten: Het besturen met name het geven van richtlijnen en beleid; Het bewaken van de eigen prestatie of die van derden (leveranciers etc.). 5.4 Service management Beschrijving van vitale service management processen Bij 21% van de aanbieders is het proces incident management beschreven in het continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 37% van de aanbieders is het proces incident management niet beschreven in het continuïteitsplan en 36% van de aanbieders werkt aan de voorbereiding hiervan. Bij 17% van de aanbieders is het proces proble(e)m management beschreven in het continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 42% van de aanbieders is het proces proble(e)m management niet beschreven in het continuïteitsplan en 35% van de aanbieders werkt aan de voorbereiding hiervan. Bij 19% van de aanbieders is het proces change management beschreven in het continuïteitsplan en bij 4% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 43% van de aanbieders is het proces change management niet beschreven in het continuïteitsplan en 34% van de aanbieders werkt aan de voorbereiding hiervan. Bij 37 tot 43% van de aanbieders zijn de meest relevante processen met betrekking tot het management van de dienstverlening in het licht van de continuïteit van netwerken en/of diensten vooralsnog niet beschreven in het continuïteitsplan. Maximum toelaatbare hersteltijd na storing Bij 31% van de aanbieders is de maximum toelaatbare hersteltijd na storing vastgesteld en beschreven in het continuïteitsplan, bij 29% van de aanbieders niet, bij 33% van de aanbieders is men bezig met de voorbereiding hiervan. Bij 7% van de aanbieders is de maximum toelaatbare hersteltijd na storing gedeeltelijk vastgesteld en beschreven in het continuïteitsplan. Bij 29% van de aanbieders is de maximum toelaatbare hersteltijd na storing niet vastgesteld en beschreven in het continuïteitsplan. Deze bevinding heeft ook een relatie met BCM/ICT Readiness namelijk bij het opstellen van de herstelplannen geeft men aan wat de maximaal toelaatbare hersteltijd is bij storing van kritieke processen en onderdelen. Registratie incidenten Bij 57% van de aanbieders worden incidenten op eenduidige wijze geregistreerd waarbij de mogelijke impact, urgentie en de verwachte hersteltijd eveneens is aangegeven. Bij 14% van de aanbieders gebeurt dit niet, bij 16% van de aanbieders is men bezig met de voorbereiding hiervan en bij 13% van de aanbieders worden incidenten gedeeltelijk volgens de bovenstaande voorwaarden geregistreerd. Pagina 24 van 67

25 Ondanks het feit dat 37% van de aanbieders het proces incident management vooralsnog niet heeft beschreven in het continuïteitsplan, registreert een groep (14%) van de aanbieders hun incidenten niet op eenduidige wijze, waarbij de mogelijke impact, urgentie en de verwachte hersteltijd eveneens is aangegeven. Prioriteren van incidenten met maatschappelijke en/of economische impact Bij 52% van de aanbieders is er sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact. Bij 27% van de aanbieders niet, bij 14% van de aanbieders is men bezig met de voorbereiding hiervan en bij 7% van de aanbieders worden incidenten met maatschappelijke en/of economische impact gedeeltelijk geprioriteerd. Bij 27% van de aanbieders is er geen sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact. Verouderde onderdelen van de infrastructuur Bij 13% van de aanbieders is in het continuïteitsplan omschreven welk deel van de infrastructuur op korte termijn aan vervanging toe is. Bij 54% van de aanbieders niet, bij 29% van de aanbieders is men bezig met de voorbereiding hiervan en bij 4% van de aanbieders is in het continuïteitsplan gedeeltelijk omschreven welk deel van de infrastructuur op korte termijn aan vervanging toe is. Bij 37% van de aanbieders zijn er met betrekking tot verouderde onderdelen van de infrastructuur, naast spare part management, additionele passende technische en organisatorische maatregelen genomen teneinde de continuïteit over dit verouderde gedeelte te kunnen garanderen. Bij 41% van de aanbieders niet en bij 22% van de aanbieders is men bezig met de voorbereiding hiervan. Bij 47% van de aanbieders is er met betrekking tot verouderde onderdelen van de infrastructuur, een verhoogde paraatheid/ alertheid, bijvoorbeeld in de vorm van monitoring, ingesteld. Bij 42% van de aanbieders niet en bij 11% van de aanbieders voldoet hier gedeeltelijk aan. Bij 54% van de aanbieders is in het continuïteitsplan niet omschreven, welk deel van de infrastructuur op korte termijn aan vervanging toe is. Bij 41% van de aanbieders zijn er met betrekking tot verouderde onderdelen van de infrastructuur, naast spare part management, geen additionele passende technische en organisatorische maatregelen genomen en bij 42% is er geen sprake van een verhoogde paraatheid/ alertheid, teneinde de continuïteit over dit verouderde gedeelte te kunnen garanderen. Actueel overzicht van de huidige leveranciers Bij 47% van de aanbieders is een actueel overzicht van de huidige leveranciers en/of service partners op het gebied van ICT en Technische Infrastructuur (hierna TI), welke een relatie hebben met de continuïteit van uw netwerken en/of diensten, opgenomen in het continuïteitsplan. Bij 39% van de aanbieders is dit niet het geval en 14% van de aanbieders voldoet hier gedeeltelijk aan. Bij 39% van de aanbieders is een actueel overzicht van de huidige leveranciers en/of service partners op het gebied van ICT en TI, niet opgenomen in het continuïteitsplan. Pagina 25 van 67

26 5.5 BCM/ ICT Readiness: inclusief crisis- en herstelplannen Figuur 10. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Bij 52% van de aanbieders heeft men, bij het beschrijven van de risico s in het continuïteitsplan, geen rekening gehouden met grootschalige uitval van elektriciteit en/of ICT. Bij 46% van de aanbieders heeft men, in geval van grootschalige uitval van elektriciteit en/of ICT, de dan in werking tredende kritieke processen en activiteiten niet in het continuïteitsplan beschreven. 5.6 Integraal risico management Risico s beschreven, inclusief kans en impact Bij 26% van de aanbieders zijn die risico s in het continuïteitsplan beschreven die de continuïteit, van de eigen netwerken en/of diensten, bedreigen. Bij 53% van de aanbieders is dit niet het geval en 21% van de aanbieders voldoet hier gedeeltelijk aan. Bij 24% van de aanbieders zijn de risico s in het continuïteitsplan beschreven waarbij eveneens de kans van het optreden van het risico en de impact bij het optreden van het risico wordt vermeld. Bij 58% van de aanbieders is dit niet het geval en 24% van de aanbieders voldoet hier gedeeltelijk aan. Bij 53% van de aanbieders zijn de risico s die de continuïteit, van de eigen netwerken en/of diensten bedreigen, niet beschreven in het continuïteitsplan. Bij 58% van de aanbieders zijn de risico s niet zodanig beschreven dat ook de kans op het optreden van het risico en de mogelijke impact bij optreden van het risico is beschreven in het continuïteitsplan. Pagina 26 van 67

27 Passende maatregelen om risico s te adresseren Bij 52% van de aanbieders heeft men de maatregelen welke men neemt om deze risico s te adresseren niet in het continuïteitsplan beschreven. Figuur 11. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? Pagina 27 van 67

28 6 Overige bevindingen 6.1 Vitale infrastructuur Wij kunnen concluderen dat 36% van de aanbieders zich er bewust van is dat men netwerken en/of diensten levert aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en dat de directie hiervan op de hoogte is. Het betreft hier in totaal 180 aanbieders van verschillende omvang. Van deze 180 aanbieders heeft 38% beschreven welke additionele maatregelen zijn genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen. Figuur 12. Heeft u een actueel overzicht van die zakelijke klanten (bedrijven en/of instellingen), die binnen de definitie vitale infrastructuur vallen en die u netwerken en/of diensten levert, opgenomen in het continuïteitsplan? Van deze groep van 180 aanbieders beschikt 26% over een actueel overzicht van deze zakelijke klanten die binnen de definitie vitale infrastructuur vallen. Aan hen levert men netwerken en/of diensten en heeft men dit overzicht opgenomen in het continuïteitsplan. Er is echter wel bij 52% van de aanbieders sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact. Pagina 28 van 67

29 7 Conclusie In dit hoofdstuk staat de beantwoording van de onderzoeksvraag, inclusief de afgeleide onderzoeksvragen centraal: In welke mate verwachten de aanbieders te voldoen aan de verplichtingen ten aanzien van de zorgen meldplicht continuïteit op het moment van inwerkingtreding van de weten regelgeving? De deelvragen zijn: 1. Wat is de stand van zaken ten aanzien van de zorgen meldplicht continuïteit op het moment van inwerkingtreding van de weten regelgeving; in welke mate verwachten de aanbieders te voldoen aan hun verplichtingen? Zijn aanbieders in het bezit van een continuïteitsplan? Indien men nog geen continuïteitsplan heeft, wanneer denkt men hierover te beschikken? 2. Wat is de kwaliteit van het continuïteitsplan? Beschrijven de aanbieders de risico s inclusief de maatregelen die men heeft genomen om deze risico s te adresseren? Hebben aanbieders, bij het beschrijven van de risico s in het continuïteitsplan, rekening gehouden met majeure calamiteiten zoals grootschalige uitval van elektriciteit en/of ICT? Zijn in ieder geval de meest relevante processen door de aanbieders ingericht en beschreven in het continuïteitsplan? Gedoeld wordt op die processen die gericht zijn op het nemen van passende technische en organisatorische maatregelen om de risico s voor de veiligheid en integriteit van netwerken en/of diensten te beheren en te beheersen inclusief het systeem dat zorg draagt voor voortdurende verbetering. Verder leiden de bevindingen uit de voorgaande hoofdstukken tot een aantal conclusies. De belangrijkste conclusies worden eveneens in dit hoofdstuk weergegeven. 7.1 Stand van zaken naleving zorgen meldplicht Continuïteitsplan Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête, dus enkele weken voor de inwerkingtreding van het Besluit continuïteit, niet te beschikken over een vastgesteld continuïteitsplan. Om te bepalen welke omvang een aanbieder heeft, wordt een klasse naar grootte gehanteerd op basis van de omzet. Deze zijn: 1. Klein: 0-2 miljoen euro; 2. Middel: 2 20 miljoen euro; 3. Groot: 20 miljoen euro of meer. Van de aanbieders die aangeven nog niet te beschikken over een vastgesteld continuïteitsplan, kan, na analyse, het merendeel gekenmerkt worden als middelgroot of klein. De grotere netwerkaanbieders bevinden zich niet in deze categorie. Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat meer dan driekwart van de aanbieders geen continuïteitsplan heeft, hebben wij onderzocht waar wij de grotere aanbieders, 13% van het totaal, kunnen plaatsen. De meerderheid (77%) van de grote netwerkaanbieders beschikt op het moment van de enquête over een vastgesteld continuïteitsplan. Bij 16% van de grote aanbieders is het continuïteitsplan in voorbereiding en 7% beschikt niet over een vastgesteld continuïteitsplan (en is ook niet in voorbereiding). Wanneer beschikt men wel over een vastgesteld continuïteitsplan? Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan 9 geeft 41% aan het continuïteitsplan, binnen één tot zes maanden af te 9 Deze groep staat voor 100%. Pagina 29 van 67

30 ronden en vast te stellen. Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan geeft 3% aan om binnen één maand (tijdig), 6% aan om binnen drie maanden, 32 % binnen zes maanden en 59% over meer dan zes maanden, het continuïteitsplan af te gaan ronden en vast te gaan stellen. Bij het nader doorrekenen van deze resultaten kan worden geconcludeerd dat bij de inwerkingtreding van het Besluit continuïteit (1 januari 2013) 74% niet tijdig voldoet aan de weten regelgeving door niet tijdig te beschikken over een vastgesteld continuïteitsplan. 10 Hiermee is de hoofdvraag van het onderzoek beantwoord. Naleving van de wetgeving bij uitbesteding aan derden Bij 65% van de aanbieders zijn deze verplichtingen niet of slechts gedeeltelijk in een schriftelijke overeenkomst vastgelegd en wordt hiernaar verwezen in het continuïteitsplan. Deze groep loopt een verhoogt risico aangaande het niet naleven van de zorgen meldplicht continuïteit door derden. Bij uitbesteding is de aanbieder verantwoordelijk voor het naleven van zorgen meldplicht continuïteit bij uitbesteding aan derden. Beschrijven van de risico s inclusief passende maatregelen Iets minder dan driekwart van de aanbieders (71%) geeft aan dat de maatregelen die men neemt om de risico s te adresseren niet of slechts gedeeltelijk heeft beschreven in het continuïteitsplan. Beschrijven risicoscenario: grootschalige uitval van elektriciteit Meer dan de helft van de aanbieders (52%) geeft aan dat bij het beschrijven van de risico s, in het continuïteitsplan geen rekening is gehouden met grootschalige uitval van elektriciteit en/of ICT. Eindconclusie: in welke mate verwachten aanbieders te voldoen aan de verplichtingen? Van de aanbieders verwacht 26% aan de belangrijkste verplichting te voldoen ten aanzien van de zorgen meldplicht continuïteit op het moment van inwerkingtreding van de weten regelgeving, namelijk het tijdig in het bezit zijn van een vastgesteld continuïteitsplan. Figuur 13. Verwachten aanbieders tijdig te voldoen aan weten regelgeving door tijdig te beschikken over een vastgesteld continuïteitsplan? 10 Meer dan driekwart van de aanbieders (76%) geeft aan, op het moment van de enquête, vlak voor de inwerkingtreding van het Besluit continuïteit op 1 januari 2013, niet te beschikken over een vastgesteld continuïteitsplan. Op dat moment was het nog niet verplicht om te beschikken over een vastgesteld continuïteitsplan. Deze verplichting is enkele weken later ingegaan namelijk op 1 januari Van de aanbieders die tijdens de enquête aangaven niet of nog niet te voldoen geeft 3% aan binnen 1 maand te beschikken over een continuïteitsplan. Afgerond correspondeert deze 3% van 76% van de aanbieders die aangaven niet te beschikken over een continuïteitsplan tijdens de enquête, met 2% van het totale aantal aanbieders (100%). Deze 2% is opgeteld bij aanbieders die tijdens de enquête aangaven al te beschikken over een vastgesteld continuïteitsplan. Dit betekent dat 24% + 2% = 26% verwacht te beschikken over een vastgesteld continuïteitsplan op 1 januari Pagina 30 van 67

31 Grote diensten- en netwerkaanbieders Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat 74% van de aanbieders geen continuïteitsplan heeft, hebben wij onderzocht waar wij de grotere aanbieders, 13% van het totaal, kunnen plaatsen. De meerderheid (77%) van de grote diensten netwerkaanbieders beschikt op het moment van de enquête over een vastgesteld continuïteitsplan. Bij 16% van de grote aanbieders is het continuïteitsplan in voorbereiding en 7% beschikt niet over een vastgesteld continuïteitsplan. Figuur 14. De meerderheid van de grote aanbieders beschikt over een vastgesteld continuïteitsplan ten tijde van de enquête. 7.2 Kwaliteit van het continuïteitsplan Inleiding Bij de uitvoering van dit onderzoek hebben de onderzoekers een beoordeling gegeven over de kwaliteit van het continuïteitsplan. Let wel, hierbij geven de onderzoekers geen oordeel over een adequate inrichting van de continuïteitsprocessen. In dit onderzoek beperken de onderzoekers zich tot het doen van een uitspraak die betrekking heeft op de kwaliteit van het continuïteitsplan puur op basis van het al dan niet aanwezig zijn van een beschrijving van de continuïteitsprocessen in het continuïteitsplan. Verhoging van de bewustwording van alle relevante afhankelijkheden, risico s en kwetsbaarheden op alle niveaus (niet alleen operationeel) en een goed continuïteitsbeleid bij aanbieders is van evident belang. Dit moet uiteindelijk leiden tot een verbetering van de continuïteit van netwerken en/of diensten. Om eerste indruk te krijgen van de maatregelen en de wijze waarop aanbieders om gaan met de continuïteit van netwerken en/of diensten zijn er in de enquête verschillende vragen gesteld. Die moeten duidelijkheid verschaffen over de mate van het continuïteitsbewustzijn bij de aanbieders en een indruk geven van de kwaliteit van het continuïteitsplan. Continuïteitsplan Door het ontbreken van het continuïteitsplan, ontbreekt niet alleen een vastgestelde eenduidige integrale aanpak van het strategische thema continuïteit, ook ontbreekt een eenduidige integrale aanpak van de continuïteitsrisico s, inclusief mitigerende maatregelen. Mogelijke crisisscenario s en herstelplannen worden ook niet eenduidig en integraal in het kader van de continuïteit van netwerken en/of diensten geadresseerd. Dit heeft tot gevolg dat er onnodige kwetsbaarheden blijven bestaan waar het de continuïteit van netwerken en/of diensten betreft. Pagina 31 van 67

32 Governance proces Uit de enquête blijkt dat 18 tot 23% van de aanbieders weinig bestuurlijke aandacht heeft waar het gaat om de continuïteit van netwerken en/of diensten. Hier wordt gedoeld op tenminste twee van de drie bestuurlijke hoofdtaken, te weten: Het besturen: door middel van het geven van richtlijnen en het opstellen van beleid; Het bewaken van de eigen prestatie of die van derden (leveranciers etc.). Klanten mogen van aanbieders verwachten dat ze, vanuit een vanzelfsprekende maatschappelijke en economische verantwoordelijkheid, op adequate wijze zorg dragen voor de continuïteit van netwerken en/of diensten. Het is opmerkelijk dat zo weinig aanbieders (26%) vooralsnog verwachten tijdig te beschikken over een continuïteitsplan. Service management proces Beschrijving van vitale service management processen Bij 37 tot 43% van de aanbieders zijn de meest relevante service management processen, te weten; incident-, proble(e)m en change management processen vooralsnog niet beschreven in het continuïteitsplan. Wij kunnen hieruit concluderen dat de kwaliteit van het continuïteitsplan op dit punt bij meer dan een derde van de aanbieders (37 tot 43%) nog onder het gewenste niveau ligt. Registratie incidenten Echter ondanks het feit dat 37% van de aanbieders het proces incident management vooralsnog niet heeft beschreven in het continuïteitsplan, registreert slechts een kleine groep (14%) van de aanbieders hun incidenten niet op eenduidige wijze, waarbij de mogelijke impact, urgentie en de verwachte hersteltijd eveneens is aangegeven. Wij kunnen derhalve concluderen dat het proces incident management of delen daarvan, ondanks dat het proces zelf niet in het continuïteitsplan is beschreven, bij het overgrote gedeelte (86%) van de aanbieders wel of gedeeltelijk is geïmplementeerd. Actueel overzicht van de huidige leveranciers Bij slechts 39% van de aanbieders is een actueel overzicht van de huidige leveranciers en/of service partners op het gebied van ICT en TI, niet opgenomen in het continuïteitsplan. Het beheren en beheersen van de (prestatie) van de leveranciers is vaak een belangrijke schakel/afhankelijkheid in de continuïteitsketen. Bij het integraal adresseren van continuïteit is tenminste het invoegen van een actueel overzicht van de huidige leveranciers en/of service partners op het gebied van ICT en TI in het continuïteitsplan van belang. We kunnen uit de resultaten van de enquête concluderen dat op dit punt de kwaliteit van het continuïteitsplan bij meer dan een derde van de aanbieders (39%) nog onder het gewenste kwaliteitsniveau ligt. Samenvattend kan worden geconcludeerd dat bij meer dan een derde van de aanbieders de kwaliteit van het continuïteitsplan op het gebied van service management nog onder het gewenste kwaliteitsniveau ligt. BCM/ ICT Readiness proces Maximum toelaatbare hersteltijd na storing Bij 29% van de aanbieders is de maximum toelaatbare hersteltijd na storing niet vastgesteld en beschreven in het continuïteitsplan. Deze bevinding heeft ook een relatie met BCM/ICT Readiness namelijk bij het opstellen van de herstelplannen geeft men aan wat de maximaal toelaatbare hersteltijd is bij storing van kritieke processen en onderdelen bijvoorbeeld in de ICT infrastructuur. Dit is met name van belang om een duidelijk beeld te krijgen van de prioriteiten tijdens het crisismanagement proces dat wordt gestart als gevolg majeure bedrijfskritieke storingen. Pagina 32 van 67

33 Grootschalige uitval van elektriciteit en/of ICT Bij 52% van de aanbieders heeft men, bij het beschrijven van de risico s in het continuïteitsplan, geen rekening gehouden met grootschalige uitval van elektriciteit en/of ICT. Figuur 15. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Grote diensten- en netwerkaanbieders Om verdere verdieping aan te brengen naar aanleiding van de conclusie dat 52% van de aanbieders geen rekening heeft gehouden met grootschalige uitval van elektriciteit en/of ICT, hebben wij onderzocht waar wij de grotere aanbieders, 13% van het totaal, kunnen plaatsen. De meerderheid (85%) van de grote diensten netwerkaanbieders heeft, bij het beschrijven van de risico s, rekening gehouden met grootschalige uitval van elektriciteit en/of ICT, 15% heeft hier geen rekening mee gehouden. Figuur 16. De meerderheid (85%) van de grote netwerkaanbieders heeft, bij het beschrijven van de risico s, rekening gehouden met grootschalige uitval van elektriciteit en/of ICT. Bij 46% van de aanbieders heeft men, in geval van grootschalige uitval van elektriciteit en/of ICT, de dan in werking tredende kritieke processen en activiteiten niet in het continuïteitsplan beschreven. Samenvattend kan worden geconcludeerd dat bij meer dan een derde van de aanbieders de kwaliteit van het continuïteitsplan op het gebied van BCM/ ICT Readiness proces nog onder het gewenste kwaliteitsniveau ligt. Pagina 33 van 67

34 Risico management proces Risico s beschreven, inclusief kans en impact Bij 53% van de aanbieders zijn de risico s die de continuïteit, van de eigen netwerken en/of diensten bedreigen, niet in het continuïteitsplan. Bij 58% van de aanbieders zijn de risico s niet zodanig beschreven dat ook de kans op het optreden van het risico en de mogelijke impact bij optreden van het risico is beschreven in het continuïteitsplan. Passende maatregelen om risico s te adresseren Bij 52% van de aanbieders heeft men de maatregelen om deze risico s te adresseren niet in het continuïteitsplan beschreven. Figuur 17. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? Samenvattend kan worden geconcludeerd dat bij meer dan de helft van de aanbieders de kwaliteit van het continuïteitsplan op het gebied van het beschrijven van zowel de risico s als de maatregelen onder het gewenste kwaliteitsniveau ligt. Eindconclusie: wat is de kwaliteit van het continuïteitsplan? Samenvattend kan worden geconcludeerd dat bij meer dan een derde en op sommige punten bij meer dan de helft van de aanbieders de kwaliteit van het continuïteitsplan in relatie met de meest relevante continuïteitsprocessen nog onder het gewenste kwaliteitsniveau ligt. Uit de enquête blijkt dat 18 tot 23% van de aanbieders weinig bestuurlijke aandacht heeft waar het gaat om de continuïteit van netwerken en/of diensten. Hier wordt gedoeld op tenminste twee van de drie bestuurlijke hoofdtaken, te weten: Het besturen: door middel van het geven van richtlijnen en het opstellen van beleid; Het bewaken van de eigen prestatie of die van derden (leveranciers etc.). Het is opmerkelijk dat meer dan driekwart van de aanbieders (74%) verwacht niet tijdig te beschikken over een vastgesteld continuïteitsplan op het moment van inwerkingtreding van de zorgen meldplicht continuïteit en het Besluit continuïteit. 7.3 Overige conclusies Vitale infrastructuur Wij kunnen concluderen dat 36% van de aanbieders zich er bewust van is dat men netwerken en/of diensten levert aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en dat de directie hiervan op de hoogte is. Het betreft hier in totaal 180 aanbieders van verschillende omvang. Pagina 34 van 67

35 Van deze 180 aanbieders heeft 38% beschreven welke additionele maatregelen er zijn genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen. Van deze groep van 180 aanbieders beschikt 26% over een actueel overzicht van deze zakelijke klanten die binnen de definitie vitale infrastructuur vallen. Aan hen levert men netwerken en/of diensten en heeft men dit overzicht eveneens opgenomen in het continuïteitsplan. Er is echter wel bij 52% van de aanbieders sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact. Bij het leveren van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen is er sprake van gedeelde verantwoordelijkheden. Vanzelfsprekend is het zo dat deze vitale bedrijven en instellingen een eigen verantwoordelijkheid hebben teneinde zich te vergewissen van het feit dat men beschikt over een optimale ICT verbinding. Echter ontslaat dit de aanbieder niet van de maatschappelijke verantwoordelijkheid alert te zijn op het leveren van passende netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en navraag te doen of de verbinding een vitaal karakter heeft. Integrale aanpak continuïteit De continuïteit van netwerken en/of diensten kent vele invalshoeken. Er is sprake van diverse afhankelijkheden die in sterke mate de totale continuïteitsketen (figuur 18) beïnvloeden. De keten is zo sterk als de zwakste schakel. Met de inwerkingtreding van de zorgen meldplicht continuïteit is het van belang dat men de continuïteit van netwerken en/of diensten verbetert en de maatschappelijke en economische impact van incidenten en calamiteiten tot het minimum weet te beperken. Daar waar aanbieders zich met name richten op de financiële gevolgen en/of de gevolgen in relatie met mogelijke imagoschade naar aanleiding van incidenten en calamiteiten is het van belang dat men ook oog heeft voor de economische en/of maatschappelijke schade die wordt aangericht. Juist incidenten en calamiteiten die leiden tot uitval van netwerken en/of diensten met impact op bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen kunnen leiden tot ernstige maatschappelijke en/ of economische impact en zelfs maatschappelijke ontwrichting. Om de continuïteit van netwerken en/of diensten te verbeteren en de impact van incidenten en calamiteiten te verminderen is een integrale aanpak van de continuïteit van netwerken en/of diensten op bestuurlijk niveau wenselijk. De continuïteit van netwerken en/of diensten vraagt om een integrale en holistische aanpak waarbij men bestuurt, evalueert en bewaakt en oog heeft voor de diverse afhankelijkheden die binnen de continuïteitsketen bestaan. Hoe groter de omzet van de aanbieder hoe groter ook de noodzaak wordt om alle processen die de continuïteit van netwerken en/of diensten raken te integreren en te beschrijven in één vastgesteld continuïteitssysteem met een vastgesteld continuïteitsplan. Vanuit dit uitgangspunt kan men werken aan de volgende stappen, te weten: 1. Voortdurende proportionele verbetering van het continuïteitssysteem; 2. Voortdurende proportionele verbetering van het beperken van de impact van incidenten en majeure calamiteiten. Pagina 35 van 67

36 Naar aanleiding van de enquête kunnen wij echter concluderen dat op dit punt verdere ontwikkeling en verbetering noodzakelijk is. Figuur 18. Het continuïteitssysteem: oog hebben voor de maatschappelijke en economische impact van incidenten. Pagina 36 van 67

37 Bijlage I Aanbiedingsbrief en enquête Retouradres Postbus AL Groningen Datum 2 oktober 2012 Betreft Verzoek om informatie ten behoeve van de nulmeting continuiteit Geachte heer, mevrouw, Per 5 juni 2012 is de gewijzigde Telecommunicatiewet in werking getreden 11 die ook van toepassing is of kan zijn op uw organisatie. De wijzigingen betreffen onder andere de zorgen meldplicht continuïteit. 12 Agentschap Telecom is belast met het toezicht op naleving van de Telecommunicatiewet, onder meer wat betreft de zorgen meldplicht continuïteit. Ik vraag uw medewerking aan de nulmeting die Agentschap Telecom als toezichthouder uitvoert. Niet vrijblijvend De beantwoording van deze vragenlijst is niet vrijblijvend. Agentschap Telecom is gerechtigd namens de Minister deze inlichtingen te vorderen voor haar toezichtactiviteiten. Tijdens inspecties en audits kan de feitelijke situatie worden vergeleken met de door u ingevulde antwoorden. Nulmeting en toezicht Het doel van deze nulmeting is te inventariseren wat de beginsituatie is bij de aanbieders ten aanzien van de zorgplicht. Na een bepaalde periode gaat het agentschap met een volgende meting na of er verschuivingen optreden in de mate waarin de aanbieders de verplichtingen uit de Telecommunicatiewet naleven. Op grond van het register van openbare telecommunicatie aanbieders (OPTA) blijkt dat uw organisatie binnen de reikwijdte van deze wetgeving valt. 13 Ik verzoek u daarom onderstaande vragen te beantwoorden. De gegevens die u verstrekt zullen vertrouwelijk worden behandeld. De geanonimiseerde uitkomst van deze nulmeting kan worden gebruikt om het parlement op hoofdlijnen te informeren over de huidige stand van zaken. 11 Wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen 12 Hoofdstuk 11a Telecommunicatiewet 13 NB Aanbieders dienen zich verplicht op te laten nemen in het register van OPTA. Ook als een aanbieder dit heeft nagelaten, valt hij alsnog binnen de scope van de wet. Pagina 37 van 67

38 Vragenlijst In bijlage II treft u de vragen aan. Ik verzoek u de ingevulde vragenlijst, binnen drie weken na dagtekening van deze brief te retourneren naar: Agentschap Telecom t.a.v. Afdeling veiligheid antwoordnummer TE Amersfoort of via het adres informatieveiligheid@agentschaptelecom.nl Wetgeving In bijlage I vindt u de toelichting op zorgen meldplicht continuïteit. Voor meer informatie betreffende de wettelijke eisen waaraan aanbieders moeten voldoen verwijs ik u graag naar de website van Agentschap Telecom, thema veiligheid, zorgen meldplicht continuïteit. Mocht u naar aanleiding van deze brief vragen hebben of zijn er zaken niet duidelijk dan kunt u contact opnemen met de heer M.T. Beemer. Hoogachtend, De Minister van Economische Zaken, Landbouw en Innovatie, namens deze, A.C. van Emous Hoofd afdeling Veiligheid Agentschap Telecom Pagina 38 van 67

39 BIJLAGE I (Aanbiedingsbrief) Zorg- en meldplicht continuïteit 14 Het nieuw Europees regelgevend kader 15 is omgezet in nationale wetgeving, in de gewijzigde Telecommunicatiewet. Het nieuwe artikel 13bis van de Kaderrichtlijn introduceert een aantal verplichtingen vanuit de optiek van de continuïteit van netwerken en dienstverlening met behulp van deze netwerken. De eerste nieuwe verplichting betreft de veiligheid van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten. Ten aanzien van die veiligheid was vanuit de optiek van de privacy reeds in de bijzondere privacyrichtlijn de verplichting opgenomen voor aanbieders van openbare elektronische communicatiediensten om passende technische en organisatorische maatregelen te treffen om de veiligheid van de geboden diensten te garanderen. In de wet is deze verplichting te vinden in artikel De Kaderrichtlijn voegt hier vanuit het perspectief van de continuïteit een verplichting ten aanzien van lidstaten aan toe om ervoor te zorgen dat ondernemingen die openbare elektronische communicatienetwerken of openbare elektronische communicatiediensten aanbieden, passende technische en organisatorische maatregelen nemen om risico s die de veiligheid bedreigen goed te beheersen. De te nemen maatregelen moeten er toe leiden dat de gevolgen van de incidenten voor de onderling verbonden netwerken en daarover plaatsvindende dienstverlening zo beperkt mogelijk zijn. De tweede nieuwe verplichting die artikel 13bis in het leven roept ziet toe op de integriteit van openbare elektronische communicatienetwerken netwerken. Lidstaten moeten ervoor zorgen dat ondernemingen die openbare elektronische communicatienetwerken aanbieden alle nodige maatregelen nemen om te zorgen voor de integriteit van hun netwerken zodat men zorg draagt voor de continuïteit van de via de netwerken geleverde diensten. Om aan de genoemde verplichtingen te voldoen worden aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten verplicht passende technische- en organisatorische maatregelen te treffen om de risico s die de veiligheid, integriteit, continuïteit en beschikbaarheid van deze diensten en netwerken bedreigen te beheersen. Bij verstoring van de elektriciteitsvoorziening of technische storing moeten zelfs alle noodzakelijke maatregelen worden genomen om de uitval te repareren. Dat gaat duidelijk verder dan passende maatregelen. 14 Onderstaand stuk is gebaseerd op Kamerstukken II, vergaderjaar , , nr. 3 (Memorie van Toelichting (MvT). 15 Het Europese kader op het terrein van elektronische communicatie bestaat uit een vijftal richtlijnen: richtlijn 2002/21/EG (de zogenoemde Kaderrichtlijn), richtlijn 2002/22/EG (de Universele dienstrichtlijn), richtlijn 2002/58/EG (de Bijzondere privacyrichtlijn), richtlijn 2002/19/EG (de Toegangsrichtlijn) en richtlijn 2002/20/EG (de Machtigingsrichtlijn). Deze richtlijnen zijn in het Nederlands recht voornamelijk omgezet in de Telecommunicatiewet en de daarop gebaseerde regelgeving. Pagina 39 van 67

40 Meldplicht Een derde uit artikel 13bis van de Kaderrichtlijn voorvloeiende nieuwe verplichting is de meldplicht voor veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten. Er is voor gekozen de meldingen te laten plaatsvinden bij de Minister van Economische Zaken, Landbouw en Innovatie. Ernstige verstoringen van de continuïteit van de netwerken en de daarover plaatsvindende dienstverlening zijn immers ook van belang in het kader van buitengewone omstandigheden. De meldingsplichten in het kader van continuïteit sluiten dan ook goed aan bij de reeds in het kader van hoofdstuk 14 plaatsvindende meldplicht van verstoringen van de continuïteit van de dienstverlening. De meldplichten voor aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten in verband met integriteit en veiligheid staan in beginsel naast de nieuw in te voeren meldplicht voor aanbieders van openbare elektronische communicatiediensten ten aanzien van veiligheidsinbreuken die leiden tot het ongewenst vrijkomen van persoonsgegevens. Dat wil echter niet zeggen dat er in de praktijk geen overlap kan zijn. Een veiligheidsinbreuk kan immers tegelijkertijd leiden tot een belangrijk effect op de continuïteit en het ongewild vrijkomen van persoonsgegevens. Om administratieve lasten zo veel mogelijk te beperken is ervoor gezorgd dat beide meldingen praktisch gezien bij eenzelfde meldpunt kunnen worden gedaan; Loket meldplicht Telecomwet van het Agentschap Telecom. De meldingen van privacy inbreuken worden direct doorgestuurd naar OPTA. Pagina 40 van 67

41 BIJLAGE II (Aanbiedingsbrief) Verzoek om informatie Verzoek om informatie in verband met de nulmeting inzake de mate van naleving van de Telecommunicatiewet, wat betreft de zorgen meldplicht continuïteit. De beantwoording van de vragen is niet vrijblijvend. Tijdens onze inspecties en audits kan Agentschap Telecom de feitelijke situatie vergelijken met de door u ingevulde antwoorden. Vestiging- & contactgegevens: Bedrijfsnaam: Straat: Postcode: Plaats: Postadres: Postbus: Postcode: Plaats: Algemeen telefoonnummer vestiging: Continuïteitsfunctionaris: Naam: Telefoon: Registratienummer Kamer van Koophandel: Staat uw onderneming ingeschreven bij de OPTA? Ja Nee NB Graag aankruisen wat van toepassing is. OPTA registratienummers: NB. Aan het eind van deze vragenlijst vindt u de verklarende woordenlijst. Pagina 41 van 67

42 Omvang van uw onderneming naar omzetgegevens: 1. In welke categorie valt uw onderneming wanneer u de totale omzet uit telecommunicatiediensten van uw onderneming beschouwt? 0-2 miljoen euro 2-20 miljoen euro 20 miljoen euro of meer 2. Uw organisatie biedt een netwerk of dienst aan waarover uitsluitend programma s (TV en Radio) worden verspreid. Ja (Wanneer u deze optie aankruist behoeft u de navolgende vragen NIET te beantwoorden, u kunt het formulier retourneren naar Agentschap Telecom.) Nee (Wanneer u deze optie aankruist vragen wij u de navolgende vragen te beantwoorden. Na het beantwoorden van ALLE vragen kunt u het formulier retourneren naar Agentschap Telecom.) Continuïteitsplan NB Wij verzoeken u een actuele versie van uw huidige continuïteitsplan toe te zenden. 3. Beschikt uw organisatie over een vastgesteld continuïteitsplan? Ja (Wanneer u deze optie aankruist gaat u verder naar vraag 5.) Nee (Wanneer u deze optie aankruist gaat u verder naar vraag 4.) Het plan is in de maak (Wanneer u deze optie aankruist gaat u verder naar vraag 4.) 4. Geef hieronder aan wanneer u verwacht wel over een vastgesteld continuïteitsplan te beschikken, is dat Binnen 1 maand Binnen 3 maanden Binnen 3-6 maanden Over meer dan 6 maanden 5. Zijn er vanuit de directie duidelijke richtlijnen en doelstellingen afgegeven m.b.t. de continuïteit en de beschikbaarheid van uw telecommunicatie diensten en/of netwerken? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan Pagina 42 van 67

43 6. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van de organisatie betreft m.b.t. de continuïteit en de beschikbaarheid van uw telecommunicatie diensten en/of netwerken? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 7. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van leveranciers van ICT als TI betreft m.b.t. de continuïteit en de beschikbaarheid van uw diensten? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 8. Heeft u de majeure incidenten welke zich hebben voorgedaan vanaf juni 2012 opgenomen in de bijlage van uw continuïteitsplan incl. oorzaak en verbetermaatregelen ter voorkoming van herhaling en is uw directie van deze incidenten incl. oorzaak en verbetermaatregelen op de hoogte gebracht? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 9. Op welk niveau wordt of is het continuïteitsplan vastgesteld? Bestuur, Directie Management Team Afdelingsmanager Anders 10. Heeft u in uw continuïteitsplan beschreven hoe u het proces incident management heeft ingericht? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan Pagina 43 van 67

44 11. Heeft u bij het mogelijk optreden van een majeure calamiteit de maximum toelaatbare hersteltijd na een onderbreking van ICT diensten (incl. telefonie) vastgelegd en beschreven in het continuïteitsplan? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 12. Worden binnen uw onderneming incidenten op eenduidige wijze geregistreerd en wordt hierbij de mogelijke impact, urgentie en de verwachte hersteltijd aangegeven? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 13. Is er sprake van het prioriteren van het oplossen van incidenten op basis van de maatschappelijke en/of economische impact in de samenleving van het incident? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 14. Heeft u in uw continuïteitsplan beschreven hoe u het proces proble(e)m management heeft ingericht? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 15. Heeft u in uw continuïteitsplan beschreven hoe u het proces change management (wijzigingsbeheer) incl. het evaluatieproces heeft ingericht? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan Pagina 44 van 67

45 16. Heeft u in het continuïteitsplan omschreven welk deel van uw infrastructuur op korte termijn aan vervanging toe is? Ja Nee Gedeeltelijk Er wordt momenteel gewerkt aan de voorbereiding hiervan 17. Heeft u m.b.t. de in vraag 16 bedoelde onderdelen van de infrastructuur, naast spare part management, additionele passende technische en organisatorische maatregelen genomen ten einde de continuïteit over dit verouderde gedeelte te kunnen garanderen? Ja Nee Er wordt momenteel gewerkt aan de voorbereiding hiervan 18. Heeft u m.b.t. de in vraag 16 bedoelde onderdelen van de infrastructuur een verhoogde paraatheid/ alertheid, bijvoorbeeld in de vorm van monitoring, ingesteld? Ja Nee Gedeeltelijk 19. Bij uitbesteding bent u er ook verantwoordelijk voor dat derden de verplichtingen als bedoeld in de zorgplicht continuïteit naleven. Heeft u deze verplichtingen in een schriftelijke overeenkomst vastgelegd en verwijst u in uw continuïteitsplan naar deze overeenkomst? Ja Nee Gedeeltelijk 20. Heeft u een actueel overzicht van uw huidige leveranciers en/of service partners op het gebied van ICT en TI, welke een relatie hebben met de continuïteit van uw diensten en/of netwerken, opgenomen in het continuïteitsplan? Ja Nee Gedeeltelijk Pagina 45 van 67

46 21. Heeft u in het continuïteitsplan die risico s beschreven die de continuïteit, van uw openbare elektronische communicatienetwerken en uw openbare elektronische communicatiediensten, bedreigen? Ja Nee Gedeeltelijk 22. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook de kans van het optreden van het risico en de impact bij het optreden van het risico omschreven? Ja Nee Gedeeltelijk 23. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? Ja Nee Gedeeltelijk 24. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Ja Nee 25. Heeft u in geval van grootschalige uitval van elektriciteit en/of ICT de dan in werking tredende kritieke processen en activiteiten in het continuïteitsplan, beschreven m.b.t. het waarborgen van de continuïteit van uw telecommunicatie diensten en netwerken? Ja Nee Gedeeltelijk 26. Levert u telecommunicatie diensten en/of netwerken aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en is uw directie hiervan op de hoogte? Ja Nee Pagina 46 van 67

47 27. Heeft u beschreven welke additionele maatregelen zijn genomen, ten einde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van telecommunicatie diensten en/of netwerken aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen? Ja Nee 28. Heeft u een actueel overzicht van die zakelijke klanten (bedrijven en/of instellingen), die binnen de definitie vitale infrastructuur vallen en die u telecommunicatie diensten en/of netwerken levert, opgenomen in het continuïteitsplan. NB Indien van toepassing vragen wij een overzicht van de zakelijke klanten die binnen de vitale infrastructuur vallen. Ja Nee 29. Heeft u uw inloggegevens aangevraagd en ontvangen? Het betreft hier de inloggegevens die u nodig heeft om incidenten, met (mogelijke) maatschappelijke en/of economische impact, bij het loket Meldplicht te melden. Ja Nee NB Voor informatie omtrent het loket Meldplicht verwijzen wij u graag onze website Pagina 47 van 67

48 Bijlage II Resultaten enquête 0-meting zorgen meldplicht continuïteit De antwoorden en de geanonimiseerde resultaten op de enquête vragen worden in dit hoofdstuk weergegeven. Continuïteitsplan Van de aanbieders geeft 24% aan dat zij beschikken over een vastgesteld continuïteitsplan. De overige geven aan nog niet (46%) beschikken over een vastgesteld continuïteitsplan of bezig te zijn met de voorbereiding van een continuïteitsplan (30%). Figuur 1. Beschikt u over een vastgesteld continuïteitsplan? Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan (in onderstaande grafiek staat deze groep voor 100%) geeft 41% aan het continuïteitsplan, binnen één tot zes maanden af te ronden en vast te stellen. Van de aanbieders die aangeven nog niet of bijna te beschikken over een vastgesteld continuïteitsplan geeft 3% aan om binnen één maand, 6% aan om binnen drie maanden, 32 % binnen zes maanden en 59% over meer dan zes maanden, het continuïteitsplan af te gaan ronden en vast te gaan stellen. Figuur 2. Wanneer verwacht u wel te beschikken een vastgesteld continuïteitsplan? Pagina 48 van 67

49 Goed bestuur inzake continuïteit van netwerken en/of diensten (Governance) Specifieke bestuurlijke richtlijnen en beleid Wanneer specifiek wordt gekeken naar goed bestuur van continuïteit, komt het volgende beeld naar voren. Ten tijde van deze nalevingsmeting zijn er vanuit bestuurlijk oogpunt duidelijke richtlijnen en doelstellingen afgegeven met betrekking tot de continuïteit en de beschikbaarheid bij 53% van de aanbieders. Bij 18% van de aanbieders is er geen sprake van specifiek beleid met betrekking tot de continuïteit en de beschikbaarheid, bij 16% van de aanbieders is dit in voorbereiding en bij 13% van de aanbieders is er (nog) niet specifiek echter wel gedeeltelijk beleid opgesteld op dit punt. Figuur 3. Zijn er vanuit de directie duidelijke richtlijnen en doelstellingen afgegeven met betrekking tot de continuïteit en de beschikbaarheid? Specifieke bestuurlijke rapportage met betrekking tot de eigen prestatie Bij 61% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar waar het de geleverde prestatie van de organisatie betreft met betrekking tot de continuïteit en de beschikbaarheid. Bij 11% van de aanbieders gebeurt dit wel echter niet specifiek maar gedeeltelijk. Bij 10% van de aanbieders is een dergelijke rapportage in voorbereiding en bij 18% van de aanbieders wordt er (nog) niet gerapporteerd. Figuur 4. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van de organisatie betreft met betrekking tot de continuïteit en de beschikbaarheid? Specifieke bestuurlijke rapportage met betrekking tot de prestatie van leveranciers Bij 44% van de aanbieders wordt regelmatig specifiek op directieniveau gerapporteerd daar waar het de geleverde prestatie van leveranciers betreft met betrekking tot de continuïteit en de beschikbaarheid. Bij 23% van de aanbieders gebeurt dit wel echter niet specifiek Pagina 49 van 67

50 maar gedeeltelijk. Bij 10% van de aanbieders is een dergelijke rapportage in voorbereiding en bij 23% van de aanbieders wordt er (nog) niet gerapporteerd. Figuur 5. Wordt er regelmatig op directieniveau gerapporteerd waar het de geleverde prestatie van leveranciers van ICT als TI betreft? Rapportage en betrokkenheid directie bij majeure incidenten Bij 14% van de aanbieders wordt de directie van recente majeure incidenten inclusief oorzaak en verbetermaatregelen op de hoogte gebracht en bij 6% van de aanbieders wordt de directie gedeeltelijk voorgelicht. Bij 23% van de aanbieders is de directie wel op de hoogte echter gedeeltelijk en bij 57% van de aanbieders wordt er (nog) niet op dergelijke wijze gerapporteerd bij majeure incidenten. Figuur 6. Is uw directie van recente majeure incidenten inclusief oorzaak en verbetermaatregelen op de hoogte? Vaststellen continuïteitsplan Bij 65% van de aanbieders wordt het continuïteitsplan vastgesteld door het bestuur of de directie. Bij 6% van de aanbieders wordt het continuïteitsplan vastgesteld door de afdelingsmanager en bij 19% wordt het continuïteitsplan vastgesteld door het Management Team. Bij 10% van de aanbieders wordt het continuïteitsplan anders vastgesteld. Pagina 50 van 67

51 Figuur 7. Op welk niveau wordt of is het continuïteitsplan vastgesteld? Management van de dienstverlening (Service management) Beschrijving proces incident management in het continuïteitsplan Bij 21% van de aanbieders is het proces incident management beschreven in het continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 37% van de aanbieders is het proces incident management niet beschreven in het continuïteitsplan en 36% van de aanbieders werkt aan de voorbereiding hiervan. Figuur 8. Heeft u in uw continuïteitsplan beschreven hoe u het proces incident management heeft ingericht? Maximum toelaatbare hersteltijd na storing Bij 31% van de aanbieders is de maximum toelaatbare hersteltijd na storing vastgesteld en beschreven in het continuïteitsplan, bij 29% van de aanbieders niet. Bij 33% van de aanbieders is men bezig met de voorbereiding hiervan en bij 7% van de aanbieders is de maximum toelaatbare hersteltijd na storing gedeeltelijk vastgesteld en beschreven in het continuïteitsplan. Pagina 51 van 67

52 Figuur 9. Heeft u bij het mogelijk optreden van een majeure calamiteit de maximum toelaatbare hersteltijd na een onderbreking van ICT diensten (inclusief telefonie) vastgelegd en beschreven in het continuïteitsplan? Registratie incidenten Bij 57% van de aanbieders wordt binnen de onderneming incidenten op eenduidige wijze geregistreerd waarbij de mogelijke impact, urgentie en de verwachte hersteltijd eveneens is aangegeven, bij 14% van de aanbieders niet. Bij 16% van de aanbieders is men bezig met de voorbereiding hiervan en bij 13% van de aanbieders worden incidenten gedeeltelijk volgens de bovenstaande randvoorwaarden geregistreerd. Figuur 10. Worden binnen uw onderneming incidenten op eenduidige wijze geregistreerd en wordt hierbij de mogelijke impact, urgentie en de verwachte hersteltijd aangegeven? Prioriteren van incidenten met maatschappelijke en/of economische impact Bij 52% van de aanbieders is er sprake van het prioriteren van incidenten met maatschappelijke en/of economische impact, bij 27% van de aanbieders niet. Bij 14% van de aanbieders is men bezig met de voorbereiding hiervan en bij 7% van de aanbieders worden incidenten met maatschappelijke en/of economische impact gedeeltelijk geprioriteerd. Pagina 52 van 67

53 Figuur 11. Is er sprake van het prioriteren van het oplossen van incidenten op basis van de maatschappelijke en/of economische impact in de samenleving van het incident? Beschrijving proces proble(e)m management in het continuïteitsplan Bij 17% van de aanbieders is het proces proble(e)m management beschreven in het continuïteitsplan en bij 6% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 42% van de aanbieders is het proces proble(e)m management niet beschreven in het continuïteitsplan en 35% van de aanbieders werkt aan de voorbereiding hiervan. Figuur 12. Heeft u in uw continuïteitsplan beschreven hoe u het proces proble(e)m management heeft ingericht? Beschrijving proces change management in het continuïteitsplan Bij 19% van de aanbieders is het proces change management beschreven in het continuïteitsplan en bij 4% van de aanbieders is dit proces gedeeltelijk beschreven. Bij 43% van de aanbieders is het proces change management niet beschreven in het continuïteitsplan en 34% van de aanbieders werkt aan de voorbereiding hiervan. Pagina 53 van 67

54 Figuur 13. Heeft u in uw continuïteitsplan beschreven hoe u het proces change management inclusief evaluatieproces heeft ingericht? Vervanging gedateerde infrastructuur Bij 13% van de aanbieders is in het continuïteitsplan omschreven welk deel van de infrastructuur op korte termijn aan vervanging toe is, bij 54% van de aanbieders niet. Bij 29% van de aanbieders is men bezig met de voorbereiding hiervan en bij 4% van de aanbieders is in het continuïteitsplan gedeeltelijk omschreven welk deel van de infrastructuur op korte termijn aan vervanging toe is. Figuur 14. Heeft u in het continuïteitsplan omschreven welk deel van uw infrastructuur op korte termijn aan vervanging toe is? Additionele maatregelen ten behoeve van gedateerde infrastructuur Bij 37% van de aanbieders zijn er met betrekking tot verouderde onderdelen van de infrastructuur, naast spare part management, additionele passende technische en organisatorische maatregelen genomen teneinde de continuïteit over dit verouderde gedeelte te kunnen garanderen. Bij 41% van de aanbieders is dit niet het geval en bij 22% van de aanbieders is men bezig met de voorbereiding hiervan. Pagina 54 van 67

55 Figuur 15. Heeft u met betrekking tot verouderde onderdelen van de infrastructuur, naast spare part management, additionele passende technische en organisatorische maatregelen genomen teneinde de continuïteit over dit verouderde gedeelte te kunnen garanderen? Verhoogde alertheid bij gedateerde infrastructuur Bij 47% van de aanbieders is er met betrekking tot verouderde onderdelen van de infrastructuur, een verhoogde paraatheid/ alertheid, bijvoorbeeld in de vorm van monitoring, ingesteld. Bij 42% van de aanbieders is dit niet het geval en 11% van de aanbieders voldoet hier gedeeltelijk aan. Figuur 16. Heeft u met betrekking tot de in vraag 16 bedoelde onderdelen van de infrastructuur een verhoogde paraatheid/ alertheid, bijvoorbeeld in de vorm van monitoring, ingesteld? Naleving regelgeving continuïteit bij uitbesteding aan derden Bij uitbesteding zijn aanbieders er ook verantwoordelijk voor dat derden de verplichtingen als bedoeld in de weten regelgeving met betrekking tot continuïteit naleven. Bij 35% van de aanbieders zijn deze verplichtingen in een schriftelijke overeenkomst vastgelegd en wordt hiernaar verwezen in het continuïteitsplan. Bij 40% van de aanbieders is dit niet het geval en 25% van de aanbieders voldoet hier gedeeltelijk aan. Pagina 55 van 67

56 Figuur 17. Bij uitbesteding bent u er ook verantwoordelijk voor dat derden de verplichtingen als bedoeld in de zorgplicht continuïteit naleven. Heeft u deze verplichtingen in een schriftelijke overeenkomst vastgelegd en verwijst u in uw continuïteitsplan naar deze overeenkomst? Actueel overzicht leveranciers/ service partners in het continuïteitsplan Bij 47% van de aanbieders is een actueel overzicht van de huidige leveranciers en/of service partners op het gebied van ICT en TI, welke een relatie hebben met de continuïteit van netwerken en/of diensten, opgenomen in het continuïteitsplan. Bij 39% van de aanbieders is dit niet het geval en 14% van de aanbieders voldoet hier gedeeltelijk aan. Figuur 18. Heeft u een actueel overzicht van uw huidige leveranciers en/of service partners op het gebied van ICT en TI, welke een relatie hebben met de continuïteit van uw netwerken en/of diensten, opgenomen in het continuïteitsplan? Integraal risicobeheer continuïteit Continuïteitsrisico s beschreven in het continuïteitsplan Bij 26% van de aanbieders zijn die risico s in het continuïteitsplan beschreven die de continuïteit, van de eigen netwerken en/of diensten, bedreigen. Bij 53% van de aanbieders is dit niet het geval en 21% van de aanbieders voldoet hier gedeeltelijk aan. Pagina 56 van 67

57 Figuur 19. Heeft u in het continuïteitsplan die risico s beschreven die de continuïteit, van uw netwerken en/of diensten, bedreigen? Beschrijving risico s inclusief kans en impact Bij 24% van de aanbieders zijn de risico s in het continuïteitsplan beschreven waarbij eveneens de kans van het optreden van het risico en de impact bij het optreden van het risico worden vermeld. Bij 58% van de aanbieders is dit niet het geval en 18% van de aanbieders voldoet hier gedeeltelijk aan. Figuur 20. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook de kans van het optreden van het risico en de impact bij het optreden van het risico omschreven? Risico s adresseren: passende maatregelen Bij 29% van de aanbieders zijn de maatregelen welke men neemt om deze risico s te adresseren in het continuïteitsplan beschreven. Bij 52% van de aanbieders is dit niet het geval en 19% van de aanbieders voldoet hier gedeeltelijk aan. Pagina 57 van 67

58 Figuur 21. Heeft u in het continuïteitsplan de maatregelen beschreven welke u neemt om deze risico s te adresseren? Rekening houden met grootschalige uitval van elektriciteit en/of ICT Bij 48% van de aanbieders heeft men, bij het beschrijven van de risico s in het continuïteitsplan, rekening gehouden met grootschalige uitval van elektriciteit en/of ICT. Bij 52% van de aanbieders is dit niet het geval. Figuur 22. Heeft u in het continuïteitsplan, bij het beschrijven van de risico s, ook rekening gehouden met grootschalige uitval van elektriciteit en/of ICT? Beschrijving van de in werking tredende kritieke processen bij grootschalige uitval van elektriciteit en/of ICT (crisisplan) Bij 35% van de aanbieders heeft men, in geval van grootschalige uitval van elektriciteit en/of ICT, de dan in werking tredende kritieke processen en activiteiten in het continuïteitsplan beschreven in het licht van het waarborgen van de continuïteit van de eigen netwerken en/of diensten, 19% van de aanbieders voldoet hier gedeeltelijk aan. Bij 46% van de aanbieders is dit niet het geval. Pagina 58 van 67

59 Figuur 23. Heeft u in geval van grootschalige uitval van elektriciteit en/of ICT de dan in werking tredende kritieke processen en activiteiten in het continuïteitsplan, beschreven met betrekking tot het waarborgen van de continuïteit van uw netwerken en/of diensten? Vitale infrastructuur Bewustwording van levering van netwerken en/of diensten aan bedrijven en/of instellingen binnen de vitale infrastructuur Figuur 24. Levert u netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en is uw directie hiervan op de hoogte? Tijdens de inwerkingtreding van de zorgen meldplicht continuïteit levert 36% van de aanbieders, naar eigen waarneming, netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen en is de directie hiervan op de hoogte. Het betreft hier in totaal 180 aanbieders van verschillende omvang. Naar eigen waarneming zegt 64% van de aanbieders geen netwerken en/of diensten aan bedrijven en/of instellingen te leveren die binnen de definitie vitale infrastructuur vallen of wanneer dit wel het geval is, is de directie hiervan niet op de hoogte. Pagina 59 van 67

60 Additionele maatregelen ten behoeve van de continuïteit van levering van netwerken en/of diensten aan bedrijven en/of instellingen binnen de vitale infrastructuur Figuur 25. Heeft u beschreven welke additionele maatregelen zijn genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen? Van deze 180 aanbieders die netwerken en/of diensten leveren aan vitale klanten heeft 38% beschreven welke additionele maatregelen zijn genomen, teneinde de continuïteit en de beschikbaarheid te kunnen garanderen, voor wat betreft de levering van netwerken en/of diensten aan bedrijven en/of instellingen die binnen de definitie vitale infrastructuur vallen. Bij 62% van de aanbieders zijn geen additionele maatregelen getroffen. Actueel overzicht van klanten binnen vitale infrastructuur in continuïteitsplan Van deze 180 aanbieders die netwerken en/of diensten leveren aan vitale klanten beschikt 26% over een actueel overzicht van die klanten (bedrijven en/of instellingen), die binnen de definitie vitale infrastructuur vallen en waaraan men netwerken en/of diensten levert en heeft men dit overzicht opgenomen in het continuïteitsplan. Bij 74% van de aanbieders is er geen actueel overzicht opgenomen in het continuïteitsplan. Figuur 26. Heeft u een actueel overzicht van die zakelijke klanten (bedrijven en/of instellingen), die binnen de definitie vitale infrastructuur vallen en die u netwerken en/of diensten levert, opgenomen in het continuïteitsplan? Pagina 60 van 67

61 Meldplicht continuïteit Loket meldplicht; inloggegevens aangevraagd en ontvangen Figuur 27. Heeft u uw inloggegevens aangevraagd en ontvangen? Het betreft hier de inloggegevens die u nodig heeft om incidenten, met (mogelijke) maatschappelijke- en/of economische impact, bij het loket Meldplicht te melden? Een totaal van 31% van de aanbieders heeft bij inwerkingtreding van de regelgeving de inloggegevens aangevraagd en ontvangen. Het betreft hier de inloggegevens die men nodig heeft om incidenten, met (mogelijke) maatschappelijke- en/of economische impact, bij het loket Meldplicht te melden. Een totaal van 69% van de aanbieders heeft bij inwerkingtreding van de zorgen meldplicht continuïteit de inloggegevens (nog) niet aangevraagd en/of ontvangen. Pagina 61 van 67

Nog meer weergeven