NIS2 en bedrijfscontinuïteit: wat het je oplevert om voorbereid te zijn

NIS2 en bedrijfscontinuïteit: wat het je oplevert om voorbereid te zijn

Cyberaanvallen raken niet alleen je IT, maar je hele bedrijfsvoering.

De NIS2-richtlijn legt daarom sterk de nadruk op bedrijfscontinuïteit: het vermogen om door te gaan tijdens en na een crisis. Dit gaat verder dan informatiebeveiliging alleen. Het gaat om de veerkracht van je hele organisatie én de keten waarin je opereert.
De recente hack bij Jaguar Land Rover laat zien wat er kan gebeuren als bedrijfscontinuïteit onvoldoende is geborgd.

Wat is bedrijfscontinuïteit in de context van NIS2?

Bedrijfscontinuïteit betekent dat je organisatie kan blijven functioneren tijdens verstoringen zoals een cyberaanval, stroomuitval of problemen bij leveranciers.

Binnen NIS2 hoort daarbij onder andere:

  • Business Continuity Plan (BCP): een plan dat beschrijft hoe essentiële processen doorgaan tijdens een crisis.
  • Disaster Recovery Plan (DRP): hoe je IT-systemen en data herstelt.
  • Leveranciersbeheer: inzicht in afhankelijkheden en eisen stellen aan partners.
  • Oefeningen en testen: plannen zijn pas waardevol als ze regelmatig getest worden.

ISO 22301 (de internationale norm voor Business Continuity Management) sluit hier naadloos op aan en vult ISO 27001 (informatiebeveiliging) aan.

Casus: Jaguar Land Rover platgelegd

In september 2025 werd Jaguar Land Rover getroffen door een hack. Het bedrijf legde de IT-systemen plat om verdere schade te voorkomen. Het gevolg: wekenlange productiestilstand.

Gevolgen volgens BBC en The Guardian:

  • 3,5 miljard pond omzetverlies (ruim 4 miljard euro).
  • 30.000 werknemers van Jaguar Land Rover kwamen hierdoor thuis te zitten.
  • 200.000 werknemers in de keten geraakt, waarbij er ook ontslagen bij toeleveranciers vielen.
  • Geen cyberverzekering afgesloten, waardoor de schade volledig op de balans drukt.

Deze casus laat zien dat een incident bij één partij direct doorwerkt in de hele toeleveringsketen.
Zelfs bedrijven die zelf niet gehackt zijn, kunnen stilvallen en financieel in de problemen komen.

Cijfers die de urgentie aantonen

  • Volgens IBM bedraagt de gemiddelde kosten van een datalek wereldwijd 4,45 miljoen dollar (IBM Cost of a Data Breach Report 2023).
  • FEMA stelt dat 40% van de bedrijven nooit herstelt na een grote ramp, en nog eens 25% sluit binnen een jaar.
  • McKinsey becijfert dat stilstand in de automotive sector gemiddeld tussen de 22.000 en 50.000 euro per minuut kost.

Deze cijfers benadrukken dat investeren in bedrijfscontinuïteit geen luxe is, maar noodzaak.

Wat levert voorbereiding op?

Door te voldoen aan NIS2 en bedrijfscontinuïteitsmanagement structureel aan te pakken, creëer je tastbare voordelen:

  • Beperk schade en downtime: met heldere herstelprocedures beperk je verlies.
  • Versterk vertrouwen in de keten: klanten en leveranciers zien dat je risico’s beheerst.
  • Blijf aantrekkelijk voor opdrachtgevers: grote bedrijven eisen aantoonbare veerkracht.
  • Vergroot verzekerbaarheid: goed risicomanagement verlaagt premies en maakt daarom verzekeren mogelijk.
  • Bescherm reputatie en continuïteit: je organisatie komt daardoor sterker uit een crisis.

Risico’s als je niets doet:

  • Productiestilstand: omzetverlies en gedwongen ontslagen.
  • Ketenverstoring: ook jouw bedrijf loopt schade op door falende leveranciers.
  • Verlies van vertrouwen: klanten en partners zoeken betrouwbaardere leveranciers.
  • Financiële schade: zonder verzekering en maatregelen draag je dus alles zelf.
  • Compliance-risico’s: daarnaast zijn er boetes en aansprakelijkheid bij overtreding van de NIS2.

Hoe pak je dit aan?

  1. Voer een risicoanalyse uit.
  2. Stel een Business Continuity Plan op met duidelijke scenario’s en herstelstrategieën.
  3. Betrek leveranciers: leg afspraken vast in contracten en vraag bewijs van hun maatregelen.
  4. Test en oefen met crisissimulaties en ook met herstelprocedures.
  5. Documenteer alles: van evaluaties tot registraties, dit is bewijs bij audits.
  6. Zorg voor de juiste verzekering: en houd deze actueel.

Ter conclusie

De hack bij Jaguar Land Rover laat zien dat een cyberincident miljarden kan kosten en dat de impact ver voorbij de organisatie zelf reikt. Met NIS2 wordt bedrijfscontinuïteit een harde eis. Voorbereid zijn betekent dat je niet alleen je informatiebeveiliging versterkt, maar ook de toekomstbestendigheid van je bedrijf.

Kortom: bedrijfscontinuïteit is geen kostenpost, maar een investering in veerkracht en vertrouwen.

Mogen wij je helpen om hierover na te denken en maatregelen te nemen?


    Bronnen

    NCSC – Handreiking continuïteitsmanagement

    Europese Commissie – NIS2 Directive (EUR-Lex)

    ISO – ISO 22301 Business Continuity Management

    IBM – Cost of a Data Breach Report 2023

    FEMA – Disaster Recovery Statistics

    McKinsey – Supply chain disruptions

    BBC, Telegraaf & The Guardian – berichtgeving hack Jaguar Land Rover, september 2025