Wet- en Regelgeving
Er is wet- en regelgeving rondom BCM, zij het beperkt. In Nederland biedt dat enerzijds meer vrijheid om BCM zo in te richten als gewenst, maar anderzijds leidt dat tot onzekerheden. BCM wordt indirect voorgeschreven. Het is dan lastig te (laten) bepalen wanneer maatregelen van voldoende kwaliteit zijn. Management en directies worden echter wel aansprakelijk gesteld bij het ontbreken of niet hanteren van continuïteitsplannen. De Wet Bescherming Persoonsgegevens, actuele Corporate Governance codes, regelgeving door de DNB, maar ook Best Practices in ICT (zoals ITIL en de Code voor Informatiebeveiliging) leiden tot toenemende verplichtingen. Ook niet -beursgenoteerde ondernemingen, overheden en NGO’s zullen in de toekomst aan dergelijke verplichtingen moeten voldoen.
Wet Bescherming Persoonsgegevens (WBP), 2001
Artikel 13 eist dat “de verantwoordelijke, passende technische en organisatorische maatregelen ten uitvoer legt om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.” De WBP geeft geen expliciete richtlijnen voor BCM. Het beschermen tegen verlies zou al bereikt kunnen worden door ICT technische maatregelen als back up en recovery. De WBP betreft echter uitsluitend persoonsgegevens. Alle andere gegevens die belangrijk zijn voor de organisatie blijven buiten beschouwing.
Sarbanes-Oxley (SOx) Act, 2004
Amerikaanse wetgeving voor beursgenoteerde bedrijven legt regels op teneinde deugdelijk ondernemingsbestuur af te dwingen. Bijzonder aan de wetgeving is het feit dat voor een hoofddirectie gevangenisstraf en geldboetes dreigen wanneer zij niet aan deze voorwaarden van deugdelijk ondernemingsbestuur voldoen. In dit kader wordt in 2006 voor het eerst in Nederland, door het OM een gevangenisstraf geëist voor de voormalige
bestuurders van Ahold. In artikel 404 worden regels gesteld voor de interne controle en de financiële rapportage. Het management wordt verplicht om jaarlijks expliciet een uitspraak te doen over de betrouwbaarheid van de interne controles die in de onderneming gehanteerd worden. De CEO en CFO moeten een verklaring afleggen dat alle controles waterdicht zijn en de accountant moet naast zijn gebruikelijke taak op het gebied van de financiële verslaglegging, een expliciete verklaring toevoegen omtrent het akkoord zijn met de uitspraken van de CFO en de CEO.
De Code Tabaksblat
De Code Tabaksblat is een zogenaamd ‘principle based system’ (in tegenstelling tot het ‘rule based system’ van SOx). Deze aanbeveling is wettelijk geïmplementeerd door op grond van artikel 2:391, lid 4, BW via algemene maatregel van bestuur, de Nederlandse corporate governance code aan te wijzen als gedragscode, waaraan beursgenoteerde vennootschappen in hun jaarverslag moeten refereren en waarbij deze vennootschappen moeten aangeven in hoeverre zij de codevoorschriften naleven. Deze wettelijke bepaling geldt vanaf boekjaar 2004. Voordeel van een ‘principle based system’ is dat principes een stuk moeilijker zijn te omzeilen dan regels. Nadeel is dat het systeem geen ‘tanden’ heeft. De code bevat enkele expliciete verwijzingen naar continuïteit: "Het bestuur en de raad van commissarissen hebben een integrale verantwoordelijkheid voor de afweging van deze belangen, doorgaans gericht op de continuïteit van de onderneming." (preambule)
Toetsingskader Business Continuity Planning (BCP) Financiële Kerninfrastructuur van De Nederlandsche Bank
De Nederlandsche Bank stelde in 2006 een gewijzigd toetsingskader BCP vast. Deze is tot stand gekomen in samenwerking en overleg met de instellingen van de financiële kerninfrastructuur. Het BCP-toetsingskader is een aanbeveling aan de financiële kerninfrastructuur van het betalingsen effectenverkeer in Nederland en biedt een aantal BCP-principes die richtsnoer zijn voor de deelnemers van de kerninfrastructuur van het betalings- en effectenverkeer, teneinde het niveau van business continuity planning (BCP) en crisismanagement (CMT) van de sector te verhogen. Het toetsingskader is in lijn met de ‘High-level principles for business continuity’ van The Joint Forum (Basel Committee on Banking Supervision) van augustus 2006. Met de normen uit dit kader wordt niet alleen rekening gehouden met het risico van technisch-organisatorisch falen, maar ook met het opvangen van natuurrampen en calamiteiten als gevolg van bewust menselijk handelen (waaronder terrorisme). De normen bieden een kader dat ook buiten de financiël sector onverkort hanteerbaar is. De negen normen voor BCP zijn op hoofdlijnen:
1. Iedere instelling moet een door de directie/senior-management goedgekeurd business continuity plan hebben waarin de strategie, business continuity doeleinden en kritische bedrijfsprocessen zijn bepaald en waarin adequate continuïteitsmaatregelen staan beschreven.
2. Iedere instelling dient een risicoanalyse te hebben gemaakt van mogelijke calamiteiten en vooral de impact daarvan op essentiële systemen en processen.
3. In het business continuity plan dient transparant te worden gemaakt op welke wijze in de plannen rekening is gehouden dat de menselijke factor zo min mogelijk een bottleneck is bij het voortzetten van de bedrijfsprocessen en hoe inzet van (andere) medewerkers na een ramp kan worden georganiseerd.
4. Iedere instelling dient over een crisisorganisatie te beschikken om in geval van nood handelend te kunnen optreden. De crisisorganisatie wordt aangestuurd door de directie/het senior management.
5. Elke instelling dient een analyse te hebben gemaakt in welke mate men afhankelijk is van basisvoorzieningen (elektriciteit, telecom etc.) en externe providers en op welke wijze de uitwijk hiervoor is georganiseerd. Single points of failure dienen te worden geïdentificeerd.
6. De essentiële bedrijfsprocessen en systemen dienen zo vlug mogelijk te worden hervat.
7. Elke instelling dient met zijn essentiële systemen te kunnen uitwijken naar een ander centrum dat, afhankelijk van het risicoprofiel, op voldoende afstand ligt van de hoofdsite. Hierbij dient een tijdshorizon voor de verwachte uitval-of hersteltijd te worden toegepast.
8. Uitwijk van systemen en continuity- en contingencyprocedures moeten regelmatig worden getest. Het gaat hierbij om het testen van zowel ICT-systemen als medewerkers (b.v. uitwijk van de business). Afhankelijk van het belang van het systeem en de business dient dit minimaal eenmaal per jaar te gebeuren.
9. Iedere instelling dient een communicatieplan te hebben over de wijze waarop in geval van een calamiteit de communicatie naar alle stakeholders zo adequaat mogelijk kan worden georganiseerd.
Bron: De Nederlandsche Bank
