CorporatieGids Magazine

MAART 2025 I 11 10 I CORPORATIEGIDS MAGAZINE Laurens Flierman (NEH): Risico’s beter beheersen door proactief continuïteitsmanagement Het borgen van de continuïteit van je organisatie staat bij woningcorporaties steeds hoger op de agenda. En dat is niet zonder reden. Cyberdreigingen nemen toe, technologische ontwikkelingen brengen nieuwe risico’s met zich mee en het aantal kritieke afhankelijkheden binnen de keten groeit. Hoe realiseer je binnen dat speelveld efficiënt je continuïteitsmanagement? CorporatieGids Magazine sprak daarover met Laurens Flierman, Information Security Officer bij NEH. Wat houdt continuïteitsmanagement volgens jullie precies in? Continuïteitsmanagement omvat activiteiten die een organisatie helpen om de bedrijfscontinuïteit te borgen. Voorbeelden hiervan zijn het classificeren van informatie- systemen, het inrichten van calamiteitenteams om adequaat op verstoringen te kunnen reageren en het afstemmen van plannen voor het beheersen van kritieke scenario’s in de keten. Door proactief met continuïteitsmanagement bezig te gaan, creëer je goed zicht op risico’s en kan er met focus gewerkt worden om hoge risico’s te beheersen. Is het belang van continuïteitsmanagement de afgelopen jaren gegroeid? Absoluut, hier zitten een aantal aspecten aan. Als eerste hebben woningcorporaties vanuit hun functie een hoge mate van maatschappelijk belang omdat zij zorgen voor betaalbare woningen voor mensen met lage inkomens. Dit betreft een kwetsbare groep waarbij verstoringen directe en ingrijpende gevolgen kunnen hebben. Ook hebben de afgelopen jaren incidenten plaatsgevonden waarbij corporaties slachtoffer zijn geworden van aanvallen van cybercriminelen. Dergelijke aanvallen kunnen kritieke gevolgen hebben voor de bedrijfscontinuïteit van een woningcorporatie. Waar liggen de grootste uitdagingen als het gaat om continuïteit? Op dit moment is voor de corporatiesector nog geen verplichting vanuit de overheid gesteld, zoals dat bijvoorbeeld wel het geval is in de zorg. Daarnaast hebben woningcorporaties geen grote groep klanten die eisen oplegt met betrekking tot het aantoonbaar maken van zekerheid over informatie- beveiliging en continuïteitsmanagement. Hierdoor ligt het initiatief voor het ontwikkelen van dergelijke processen voornamelijk bij een corporatie zelf. Hoe gaan corporaties hiermee aan de slag? Om continuïteitsmanagement goed in te kunnen richten, is het onder andere belangrijk om de context en belanghebben- den van de organisatie in kaart te brengen, te onderzoeken van welke informatiesystemen de organisatie afhankelijk is en het samenstellen van één of meerdere calamiteitenteams. Een vervolgstap kan zijn om een managementsysteem voor bedrijfscontinuïteit in te richten, wat helpt bij het beheerst houden van risico’s voor bedrijfscontinuïteit. Vanuit NEH breken jullie een lans door de verantwoordelijkheid voor continuïteit te nemen binnen de keten; waarom? Naast dat we onze rol als dienstverlener serieus nemen, voelen we ook de verantwoordelijkheid om gezamenlijk onze sector weerbaarder te maken. Daarnaast wordt in Nederland binnen korte termijn de NIS2-richtlijn van kracht, waarbij ketenverant- woordelijkheid één van de belangrijkste pijlers is. Corporaties lijken op dit moment niet onder de kritieke sectoren van de NIS2 te vallen, maar het is niet ondenkbaar dat dit een kwestie van tijd is. Hoe doen jullie dat? We kunnen woningcorporaties helpen bij iedere stap richting het beheersen van bedrijfscontinuïteit. In september 2024 hebben we met onze klanten een Incident Response Plan gedeeld, wat duidelijkheid schept in de verdeling van ver- antwoordelijkheden en de processtappen bij een verstoring. Door de goede feedback die we hierop hebben gekregen, hebben we hier een vervolg aan gegeven met een hand- reiking die we op korte termijn met onze klanten delen om inzicht te geven in hoe een gedegen continuïteitsproces eruitziet, op basis van best practices. NEH is bereid om deze handreiking ook te delen met corporaties die geen klant van NEH zijn, onder voorwaarde van een gesprek waarin we de handreiking kunnen bespreken en toelichten. Wat levert gedegen continuïteitsmanagement corporaties onderaan de streep op? Net als informatiebeveiliging is continuïteitsmanagement een proces dat geen harde euro’s oplevert. Daarom is het zo belangrijk dat het bestuur van de organisatie zich daar niet te veel op blind staart, maar beseft dat het inrichten van continuïteitsmanagement helpt om risico’s beheersbaar te maken om daarmee de maatschappelijk belangrijke bedrijfs- continuïteit van woningcorporaties te borgen. Met het steeds verder ontwikkelende dreigingslandschap is het niet de vraag of, maar wanneer er een verstoring plaats gaat vinden. Inzetten op bedrijfscontinuïteit helpt je hierop voorbereid te zijn en de impact te beperken. De financiële impact kan snel oplopen en het lekken van informatie kan nooit meer met zekerheid worden hersteld. Hoe verwacht je dat continuïteitsmanagement zich de komende jaren verder zal ontwikkelen bij woningcorporaties? Continuïteitsmanagement is van alle tijden, maar wordt wel steeds belangrijker omdat de risico’s groter worden. Veel van deze risico’s hangen samen met informatiebeveiliging, wat op dezelfde manier aan te pakken is en waarvoor corporaties ook bij NEH terecht kunnen voor advies. Hiernaast geeft de opkomst van kunstmatige intelligentie veel kansen maar misschien wel meer bedreigingen. Organisaties die afwachten ten aanzien van deze onderwerpen doen zichzelf tekort; wees daarom proactief en ga bewust met alle risico’s om je heen om. Foto’s: Theo Scholten