Kloof tussen keuze voor compliance en operationele weerbaarheid

Bestuurders richten zich sterk op het waarborgen van compliance, met een nadruk op het voldoen aan regelgeving (afvinkcultuur). Echter, hierbij verdwijnt de focus op de onderliggende risico's, wat de continuïteit van het bedrijf uiteindelijk in gevaar kan brengen. "Als we moeten kiezen tussen het elimineren van de zekerheid van een boete voor non-compliance of het verminderen van het werkelijke risico, kiezen we voor het elimineren van non-compliance," erkende een bestuurder.

Het kwalitatieve onderzoek, getiteld "NO-IT is no IT problem", uitgevoerd door Schuberg Philis, een toonaangevend mission-critical IT-bedrijf voor vitale industrieën, toont aan dat hoewel 100% van de geïnterviewde bestuurders IT-verstoringen als onvermijdelijk erkent, velen deze risico's enkel bekijken vanuit het IT-perspectief.

"Dit onderzoek onthult een kritieke kloof tussen perceptie en realiteit in hoe organisaties operationele weerbaarheid aanpakken," zegt Managing Director Schuberg Philis, Tom Den Hartog. "De uitspraak ‘No-IT is no IT problem' benadrukt dat de echte impact van digitale verstoringen vaak niet over IT gaat. De verstoringen hebben een essentiële impact op de kernprocessen van organisaties. Kortom: dit inzicht dwingt organisaties tot verandering in mindset en gedrag. Van digitale weerbaarheid naar operationele weerbaarheid.”

Belangrijke bevindingen zijn onder meer:

• Business continuïteitsplannen worden zelden getest tegen realistische, grootschalige scenario's
• Kwetsbaarheden en risico’s stoppen niet bij de bedrijfsgrenzen, maar strekken zich uit over de gehele toeleveringsketen
• Organisaties worstelen met het kwantificeren van de gematerialiseerde impact van IT-verstoringen.
• Bestuurders vertrouwen op hun eigen experts en zijn zich bewust dat ze vanuit hun eigen kennis beperkte controle kunnen uitvoeren.
• De maatregelen die genomen worden, zijn veelal gericht op de protectie. Maatregelen ten behoeve van herstel krijgen veel minder aandacht.

Een belangrijke bevinding is bovendien dat organisaties bij het omgaan met risico's vaak tegen een psychologische barrière aanlopen: ook wel bekend als de 'pain-avoidancy theory’. Deze barrière leidt ertoe dat veel bestuurders zekerheid zoeken via compliancy aan regelgeving.

Essentiële principes

Het rapport schetst vier essentiële principes voor het opbouwen van werkelijke operationele weerbaarheid:

1. “Whole system in the room” - Bouwen van multidisciplinaire teams over de hele waardeketen om een integraal beeld van risico’s op te bouwen.
2. Beoordeel risico’s vanuit een bedrijfscontinuïteitsperspectief - Met nadruk op cross-functionele samenwerking om een volledig beeld van kwetsbaarheden te krijgen.
3. Risicotolerantie en financiële impact – Materialisatie van de werkelijke impact om besluitvorming en prioriteitstelling mogelijk te maken.
4. Organiseren en testen van continuïteit en herstel - Ontwikkelen en rigoureus testen van herstelprocessen in het geval van no-IT.

Vooruitkijkend markeert dit onderzoek de lancering van de Nederlandse Operational Resilience Barometer, die inzicht zal geven in de operationele weerbaarheid van Nederlandse organisaties.

De timing van dit rapport valt samen met de toenemende nadruk van de overheid op het versterken van nationale weerbaarheid tegen hybride dreigingen. Nu Nederland zich voorbereidt op het hosten van de NAVO-top in juni, bieden de bevindingen cruciale inzichten voor zowel publieke als private sectoren bij het opbouwen van een meer weerbare digitale infrastructuur.