Jarenlang werd technologische veerkracht gemeten aan de hand van twee cijfers: RTO (hoe snel het bedrijf weer operationeel is) en RPO (hoeveel gegevens kunnen verloren gaan). Tegenwoordig is die maatstaf onvoldoende. De regulatoire druk — en ook die van klanten, auditors en cyberverzekeraars — dwingt een nieuw standaard: Snel herstellen is niet meer genoeg; men moet kunnen verklaren, met traceerbaarheid en bewijs, wat er met de gegevens is gebeurd, welke controles actief waren en hoe de dienstverlening zonder “vlekken” werd hervat.
Aan dat inzicht kan men een naam geven: veerkracht gebaseerd op uitlegbaarheid. Het is in de praktijk een vorm van veerkracht met een ingebouwde “auditmodus”: herhaalbare processen, schone registraties, geautomatiseerde bewijzen en een datacustodie die stevige vragen kan weerstaan.
De trigger: regelgeving + risico + vertrouwen
De verandering komt niet alleen uit Europa. Er is een wereldwijd patroon zichtbaar:
- Regelgevers die controleerbare beheersmaatregelen eisen, risico’s van derden beheren, periodieke tests uitvoeren en incidenten melden.
- Bedrijfsklanten die contractgaranties vragen (en steeds vaker vragenlijsten over beveiliging met bewijscriteria).
- Verzekeraars die minder beloften willen en meer “levensbewijzen”: onveranderlijke kopieën, hersteltests, inventarissen van activa en gedocumenteerde procedures.
Europa heeft een belangrijke stap gezet met kaders zoals DORA, dat vanaf 17 januari 2025 van kracht wordt en digitale veerkrachtverplichtingen voor de financiële sector en haar toeleveringsketen standaardiseert.
Parallel worden referentiekaders zoals het NIST Cybersecurity Framework 2.0 (veel gebruikt als gemeenschappelijke taal bij audits en beveiligingsprogramma’s) versterkt door het toevoegen van de functie Govern aan de kern van het framework, waarmee governance en bewijslast worden versterkt.
In de VS, zelfs al praten ze niet expliciet over “veerkracht”, wordt formele rapportage geëist: de SEC verplicht het melden van significante incidenten via een Formulier 8-K binnen 4 werkdagen nadat het bedrijf de materialiteit vaststelt.
Wat is precies “uitlegbare veerkracht”?
Het is geen product. Het is een aanpak. Het verschilt meer van “kopieën maken” naar het bedienen van een verificeerbaar herstelproces. Minimaal omvat het:
- Traceerbaarheid van gegevens (data lineage): het kunnen reconstrueren van de route: herkomst → transformaties → toegang → opslag → back-ups → herstel.
- Auditeerbaarheid vanaf ontwerp: coherente, gecentraliseerde logs met vaste retentie, integriteit en change management.
- Herhaalbare herstelprocedures: runbooks, automatisering en periodieke tests met opgeslagen bewijs.
- Bewijsbare controles: identiteit, minimale privileges, segmentatie, encryptie, key management en een duidelijk verantwoordelijkheidsmodel met derden.
Het belangrijkste verschil met klassieke disaster recovery (DR) is dat niet alleen de vraag is “Waren we terug?”, maar ook:
- Welke gegevens zijn getroffen?
- Welke controles hebben verstoring (beboording) voorkomen?
- Welk bewijs toont aan dat het herstel volledig en ongerept was?
- Hoe wordt binnen audits aangetoond dat de bedrijfsvoering is hersteld naar een betrouwbaar niveau?
Snelle overzichtstabel van normen en raamwerken: waar ze gelden en wat in de praktijk wordt geëist
| Norm / raamwerk | Waar ze gelden | Samenvatting (wat ze in termen van veerkracht en bewijs uiteindelijk eisen) |
|---|---|---|
| DORA (EU) | Financiële instellingen en relevante delen van hun ICT-keten binnen de EU | ICT-risicobeheer, incidentrapportage, strengere eisen voor derden en verificatie van veerkracht op basis van documentatie. |
| NIS2 (EU) | Essentiële en belangrijke sectors (inclusief digitale leveranciers zoals cloud en datacenters, op basis van verdere regelgeving) | Versterkt risicobeheer, thresholds voor “significante” incidenten en legt nadruk op controle en rapportage. |
| RGPD (EU) | Verwerking van persoonsgegevens in de EU | Veiligheid van verwerking, minimalisatie, toegangscontrole en aantoonbaarheid (accountability). (Versterkt traceerbaarheid en bewijsvoering). |
| NIST CSF 2.0 (VS en internationaal) | Vrijwillig raamwerk zeer wijdverspreid onder bedrijven, overheid en supply chain | Gemeenschappelijke taal voor cybersecurityprogramma’s: nu inclusief Govern, waarmee governance, metrics en bewijsvoering een kernfunctie vormen. |
| SEC – cyber disclosure (VS) | Beursgenoteerde bedrijven in de VS | Verplichting om materiële incidenten te melden en governance/risk management te beschrijven: stimuleren tot processen voor evaluatie, traceerbaarheid en registratie. |
| PDPA (Singapore) | Organisaties die persoonsgegevens verwerken in Singapore | Verplichting tot bescherming en, bij melding van datalekken, het hebben van processen en bewijsdocumentatie voor evaluatie, containment en communicatie. |
| Privacy Act + APP (Australië) | Organisaties onder de Privacy Act; principes van APP | Beginselen voor het verwerken van persoonlijke informatie + praktische verplichtingen (incl. incidentafhandeling en meldingen): verhoogt de standaarden voor registratie en controle. |
Praktisch punt: naast “de wet” voegen veel sectoren extra lagen toe (financiën, gezondheidszorg, kritieke infrastructuur) met richtlijnen en normen die bij audits bijna even streng kunnen zijn als wettelijke eisen.
Het ongemakkelijke onderdeel: bewijsmateriaal wordt een “product”
In een moderne audit of bij een ernstig incident concurreert het bedrijf niet alleen met technologie, maar vooral met diens vermogen om te kunnen aantonen dat het onder controle opereert.
In de praktijk hebben teams een “pakket” van bewijzen dat zich herhaald opstapelt:
- Levendige inventaris van systemen, data en afhankelijkheden (inclusief SaaS en derden).
- Proceskaart: welke gegevens reizen waarlangs en waarom.
- Hersteltests met rapporten: wanneer uitgevoerd, wat is hersteld, hoe lang duurde het, wat is misgegaan en hoe is gecorrigeerd?
- Onveranderlijkheid van kritieke kopieën (en bewijs dat ze niet per ongeluk kunnen worden gewist).
- Chain of custody bij incidenten: wie had toegang, wat is gewijzigd en wanneer.
- Change management (infrastructuur en configuratie) met traceerbaarheid.
Het punt is dat deze bewijzen niet handmatig “moeten worden gemaakt” na een incident. Ze zouden automatisch uit het organisatie-systeem moeten voortvloeien.
Hoe een veerkrachtstrategie te ontwerpen vanuit compliance
1) Begin bij de data, niet bij de infrastructuur
De eerste vraag is niet “welke backup gebruiken?”, maar:
- Welke gegevens zijn kritisch, welke persoonlijk, welke reglementair?
- Welke datasets ondersteunen essentiële processen (facturatie, ERP, identiteitsbeheer, operaties)?
- Welke externe afhankelijkheden kunnen herstel verstoren (DNS, IdP, repositories, licenties, API’s)?
Dit leidt tot een bruikbare classificatie voor veerkracht: kritikaliteit + gevoeligheid + afhankelijkheid.
2) Definieer “betrouwbaar herstel”, niet alleen “snel herstel”
Een herstel dat het systeem weer operationeel maakt maar twijfel zaait over integriteit en manipulatie kan leiden tot juridische en reputatieschade.
Drie controlemogelijkheden helpen bij het voorkomen van discussies:
- Verifieerbare herstelprocedures (integriteitstests, applicatievalidaties, dataconciliatie).
- Quarantaineomgevingen om te herstellen zonder nieuw risico (bijvoorbeeld ransomware en lateral movement).
- Runbooks met controlepunten (wat moet worden gevalideerd voordat het systeem als “OK” wordt beschouwd).
3) Maak logs een regulier actief
Incompleet, verspreide of onbetrouwbare logs laten het verhaal verdwijnen.
Goede praktijken in uitlegbare veerkracht:
- Centralisatie (SIEM / logging) met vastgelegde retentie.
- Integriteit (seal, WORM of gelijkwaardige mechanismen).
- Correlatie met identiteit (wie deed wat).
- Bewijs van alerting en responsetrajecten (wat werd gedetecteerd, wat werd gestopt, wat werd geleerd).
4) Beschouw derden als onderdeel van het perimeter
DORA, NIS2 en de praktijk tekenen hier een convergentie: als een kritische partij afhankelijk is van een leverancier, is diens veerkracht jouw veerkracht.
Dit betekent:
- Contracten met SLA voor herstel en bewijsvereisten.
- Recht op audit / rapportages (SOC, ISO, enz.).
- Exitplan (mobiliteit, alternatieve recovery).
5) Maak testen routine en bewaar de “toets”
De jaarlijkse “test om te voldoen” is niet meer voldoende. Wat beter werkt voor serieuze organisaties:
- Kleine, frequente tests per systeem.
- Periodieke “realistische” simulaties (verlies, ransomware, provider-uitval).
- Bewaar resultaten als bewijs: tijden, mislukkingen, correctieve acties.
De ultieme boodschap: veerkracht is verifieerbaar vertrouwen
De wereld beweegt richting een model waarin de continuïteit van de onderneming wordt geaudit. Het wordt niet alleen uitgevoerd, maar ook vastgesteld. En dat is de kern van uitlegbare veerkracht: ontwerpen om te herstellen, ja, maar vooral om te kunnen aantonen dat het herstel correct, volledig en governanced is verlopen.