We waarderen uw privacy

We gebruiken cookies om uw browse-ervaring te verbeteren, gepersonaliseerde advertenties of inhoud weer te geven en ons verkeer te analyseren. Door op ‘Alles accepteren’ te klikken, stemt u in met ons gebruik van cookies.

    TRON Group
    Terug naar blog
    Bedrijfscontinuiteitsplan BCP opstellen voor het MKB - BIA, risicoanalyse, zes stappen voor een werkbaar plan dat NIS2 en verzekering bedient
    Cyber Security

    Bedrijfscontinuiteitsplan (BCP) Opstellen voor het MKB

    TRON Group• Business Continuity & Risicomanagement Experts
    10 minuten lezen

    Een brand in het pand, een sleutelmedewerker die uitvalt, een leverancier die plotseling stopt, een stroomstoring van drie dagen. We leggen uit wat een bedrijfscontinuiteitsplan is, hoe het zich verhoudt tot een IT disaster recovery plan, hoe je BIA en risicoanalyse aanpakt en hoe je in zes stappen een werkbaar plan opstelt dat NIS2 en je verzekering bedient.

    Een brand in het pand, een sleutelmedewerker die langdurig uitvalt, een leverancier die plotseling stopt, een stroomstoring van drie dagen. Voor een MKB-bedrijf zijn dat geen rampen die je vermijdt met een goede backup. Dat zijn vragen die thuishoren in een bedrijfscontinuiteitsplan: een document dat beschrijft hoe je bedrijf blijft draaien als iets fundamenteels niet meer werkt. In dit artikel leggen we uit wat een bedrijfscontinuiteitsplan is, hoe het zich verhoudt tot een IT disaster recovery plan, en hoe je er als MKB-bedrijf in zes stappen een opstelt die echt op de plank ligt.

    Wat is een bedrijfscontinuiteitsplan precies?

    Een bedrijfscontinuiteitsplan, vaak afgekort tot BCP (Business Continuity Plan), is een organisatiebreed draaiboek met procedures die beschrijven hoe missie-kritische processen worden voortgezet tijdens en na een significante verstoring. Het is geen technisch document maar een strategisch plan dat HR, klantenservice, logistiek, financien en IT samen raakt.

    Veel ondernemers verwarren een BCP met een disaster recovery plan (DRP). Dat verschil is belangrijk: een DRP is geschreven voor het herstel van IT-systemen na uitval, en is daarmee een technisch deelplan onder het bredere BCP. Een BCP beantwoordt vragen als "wat doen we als ons pand onbruikbaar is" of "hoe blijven we leveren als onze grootste leverancier failliet gaat". Het DRP beantwoordt "hoe krijgen we onze servers, data en applicaties weer in de lucht". Beide horen erbij, maar verwarring is een veelvoorkomende valkuil. Wie alleen een disaster recovery plan heeft, dekt slechts een deel van het risico.

    Het verschil met de Business Impact Analysis

    Voor je een BCP kunt schrijven, moet je weten wat er prioriteit heeft. Daarvoor dient de Business Impact Analysis (BIA). De BIA brengt per proces in kaart hoe kritisch het is, wat de financiele en operationele impact is van uitval per uur of dag, en welke afhankelijkheden er zijn (personen, leveranciers, IT-systemen, locatie). De BIA levert daarmee de input voor de RTO (Recovery Time Objective) en RPO (Recovery Point Objective) per proces, en bepaalt waarop je continuiteitsstrategie zich moet richten.

    In het MKB onderschat men deze stap vaak: men schrijft een plan voordat duidelijk is wat eigenlijk beschermd moet worden. Het gevolg is een BCP waarin alles even belangrijk lijkt en niets eerst krijgt. Een goede BIA is geen academische exercitie maar een keuze: wat moet binnen 4 uur weer draaien, wat mag een dag wachten, wat een week.

    ISO 22301 als kapstok

    Voor wie wil weten hoe een professioneel BCP eruitziet, biedt ISO 22301 de internationale norm. De huidige versie is ISO 22301:2019, sinds 31 oktober 2019 van kracht en in februari 2024 uitgebreid met een Climate-amendement. In Nederland is de norm beschikbaar als NEN-EN-ISO 22301:2019. Begeleidende richtlijnen staan in NEN-EN-ISO 22313:2020.

    Voor een MKB-bedrijf is volledige certificering tegen ISO 22301 zelden nodig of betaalbaar. De norm is wel een uitstekende inspiratiebron. Hij dwingt je tot een gestructureerde aanpak: context begrijpen, leiderschap commitment, BIA, risicoanalyse, strategie, plan, testen, leren, verbeteren. Wie ISO 27001 heeft of overweegt, herkent de structuur, en kan de twee normen prima naast elkaar gebruiken.

    NIS2 maakt continuiteit voor veel MKB-bedrijven verplicht

    De Nederlandse Cyberbeveiligingswet, die NIS2 implementeert, is op 15 april 2026 door de Tweede Kamer aangenomen en treedt naar verwachting rond 1 juli 2026 in werking. Voor de aangewezen sectoren (waaronder digitale infrastructuur, energie, vervoer, drinkwater, financiele markt, voedsel, post, productie van bepaalde goederen) geldt dat middelgrote en grote organisaties moeten voldoen aan een zorgplicht met tien categorieen maatregelen. Een van die categorieen is bedrijfscontinuiteit: backups, noodvoorzieningen, crisismanagement en periodiek testen. De maximale boete loopt voor essentiele entiteiten op tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet.

    Voor de financiele sector geldt sinds 17 januari 2025 al DORA, de Digital Operational Resilience Act, met vergelijkbare maar zwaardere eisen aan operationele veerkracht. Ook voor bedrijven die niet onder NIS2 of DORA vallen, geldt dat klanten en aanbestedingen steeds vaker een aantoonbaar BCP vragen.

    Welke dreigingen moet een Nederlands MKB-BCP echt afdekken?

    Een BCP is geen lijst met denkbare rampen, maar een focus op de scenarios die voor jouw bedrijf relevant zijn. Een paar dreigingen die voor het Nederlandse MKB realistisch zijn:

    • Cyberaanvallen. Volgens onderzoek van De Haagse Hogeschool is rond 12 procent van het MKB ooit slachtoffer geweest van ransomware; in 2024 registreerde NCSC 121 unieke ransomware-incidenten in Nederland.
    • Stroomuitval. Hans-Peter Oskam (directeur Netbeheer Nederland) noemde in april 2025 een stroomstoring van 72 uur in Nederland een reeel scenario, en de Iberische blackout in dezelfde maand legde Spanje en Portugal rond 18 uur stil.
    • Sleutelpersoon-uitval. Onderzoek wijst uit dat 71 procent van kleine bedrijven afhankelijk is van een tot twee sleutelpersonen. Een burn-out, een ongeluk of plotseling vertrek is dan operationeel een crisis.
    • Leveranciers en supply chain. De BCI Horizon Scan 2025 noemt third-party en kritieke infrastructuur als een van de top-5 zorgen voor het komende jaar.
    • Brand, water, weer. Niet de meest waarschijnlijke maar wel de meest verstorende: een pand dat een paar weken niet bruikbaar is, raakt elke functie binnen je bedrijf.
    • IT- en telecom-outages. Voor cloudwerkplekken een groter risico dan voor lokale servers, en daarom expliciet onderdeel van een continuiteitsplan.

    Het cijfer dat veel rondzweeft (40 procent van bedrijven heropent nooit na een ramp) is niet terug te leiden tot primair onderzoek. Wat wel hard is: een Databarracks-cijfer toont dat slechts rond 30 procent van kleine bedrijven een BCP heeft, tegenover 73 procent van grote ondernemingen. Het MKB is dus structureel kwetsbaarder.

    In zes stappen een werkbaar BCP opstellen

    Een BCP voor een MKB-bedrijf is geen project van een jaar; in twee tot drie maanden kun je een eerste versie hebben die werkt. Het proces in zes stappen:

    1. Business Impact Analysis

    Inventariseer per afdeling welke processen er zijn, hoe vaak ze draaien, wie ze uitvoert, welke systemen en leveranciers ze nodig hebben. Bepaal per proces de maximaal toelaatbare uitvaltijd (RTO) en het maximaal aanvaardbare dataverlies (RPO). Voor een typisch MKB-bedrijf werkt het om processen in drie tiers te bucketten: kritisch (binnen 4 uur weer draaien), belangrijk (binnen 24 uur), uitgesteld (binnen een week).

    2. Risicoanalyse

    Voor je top-processen: welke dreigingen zijn realistisch en wat is de impact als ze toeslaan? Werk per risico met kans en impact. Een matrix is geen wetenschap, maar dwingt tot keuzes. NCSC, NCTV en Digital Trust Center publiceren bruikbare lijsten met dreigingen voor de Nederlandse context, waaronder het jaarlijkse Cybersecuritybeeld Nederland.

    3. Continuiteitsstrategie

    Per top-risico bepaal je je strategie. Cloud-back-up plus alternatieve werkplek (bijvoorbeeld via moderne werkplek op laptops die ook thuis werken). Een vervangende leverancier voor je kritieke supply. Een afspraak met een collega-ondernemer voor noodopslag. Documenteer per strategie wat de kosten zijn en wat de RTO is die je daarmee haalt.

    4. Plan en rollen

    Schrijf het BCP zelf: korte, duidelijke instructies per scenario, met een naam achter elke rol. Wie belt 112, wie informeert klanten, wie regelt vervangende werkplekken, wie communiceert intern. In een werkbaar BCP staat geen academisch verhaal, maar een checklist die iemand in een crisis ook echt kan volgen. Zet contactgegevens en alternatieve kanalen vooraan (e-mail werkt niet als de cloud onbereikbaar is).

    5. Testen en oefenen

    Een ongetest BCP is een papieren plan. Onderscheid de oefenvormen:

    • Tabletop: de betrokkenen lopen aan tafel door een scenario. Goedkoop, snel, en al de eerste keer ontdek je hiaten.
    • Walk-through of simulatie: dezelfde discussie, maar nu met daadwerkelijke acties (telefoonketen testen, alternatieve locatie bezoeken).
    • Functional drill of parallel test: een deel van de processen draait daadwerkelijk op de noodvoorziening.
    • Full-interruption test: het echte werk: de productie omschakelen naar de uitwijk. Voor de meeste MKB-bedrijven is jaarlijks een tabletop en eens per twee jaar een walk-through realistisch.

    6. Onderhoud en herziening

    Best practice volgens ISO 22301: een BCP wordt minimaal jaarlijks herzien, naast triggers zoals reorganisaties, verhuizing, nieuwe systemen of leveranciers. Verantwoordelijk eigenaarschap is cruciaal. Zonder eigenaar verstoft het plan binnen een jaar.

    BCP en verzekering: hoe vullen ze elkaar aan?

    Een BCP en een bedrijfsschadeverzekering of cyberverzekering zijn complementair. De verzekering dekt financieel verlies; het BCP zorgt dat je daadwerkelijk verder kunt werken. Cyberverzekeraars eisen sinds 2025 standaard een getest incident response plan, MFA, EDR en regelmatige backups als voorwaarde voor dekking. Wie zijn BCP en zijn cybersecurity op orde heeft, krijgt vaak een lagere premie of uberhaupt nog dekking.

    Wat kost een BCP-traject voor een MKB-bedrijf?

    Eerlijk: er zijn geen publieke statistieken over werkelijke gemiddelde kosten. Indicatie volgens Amerikaanse benchmarks: voor een klein bedrijf rond 5.000 tot 25.000 dollar, voor een middelgroot bedrijf 25.000 tot 100.000 dollar, inclusief assessment, planopbouw, training en onderhoud. In Nederland zijn vergelijkbare bedragen reeel, vaak in euros en sterk afhankelijk van je sector, schaal en interne resources.

    De grootste besparing zit niet in goedkoop schrijven maar in slim opbouwen: starten met een MKB-template gebaseerd op ISO 22301, gefaseerd uitrollen, en kennis koppelen aan een externe partner die je bedrijfscontext kent. Een IT-roadmap helpt om BCP-uitgaven in te plannen samen met je overige IT-investeringen.

    Veelgestelde vragen over een bedrijfscontinuiteitsplan

    Wat is het verschil tussen een BCP en een disaster recovery plan?

    Een BCP is organisatiebreed en strategisch: hoe blijft het bedrijf draaien bij een ramp, los van wat de oorzaak is. Een DRP is technisch en gericht op het herstel van IT-systemen na uitval. Het DRP is een deelplan onder het BCP. Een bedrijf met alleen een DRP dekt het IT-deel maar laat HR-, leverancier- en locatierisico's open liggen.

    Moet een MKB-bedrijf ISO 22301 certificeren?

    Bijna nooit. Voor de meeste MKB-bedrijven is ISO 22301 een uitstekende inspiratiebron en kapstok, geen verplicht certificaat. Wie certificering nodig heeft voor aanbestedingen of branche-eisen, kan een traject starten. Anders levert een eigen BCP, opgesteld langs de structuur van ISO 22301, dezelfde praktische waarde tegen een fractie van de kosten.

    Hoe vaak moet ik mijn BCP testen?

    Best practice: minimaal jaarlijks een tabletop-oefening, plus aanvullende tests bij grote veranderingen (nieuwe locatie, nieuwe systemen, fusie). Eens per twee tot drie jaar een uitgebreidere walk-through of functional drill is voor een MKB-bedrijf realistisch. Belangrijk is dat je iets test, niet dat het de meest complexe oefening is.

    Vallen wij onder NIS2?

    NIS2 geldt voor middelgrote en grote organisaties (50 fte of meer, of meer dan 10 miljoen euro omzet) in aangewezen sectoren. Veel MKB-bedrijven vallen formeel niet direct onder NIS2, maar via klanten in de leveranciersketen wel indirect. Klanten gaan continuiteitsmaatregelen contractueel doorzetten naar hun leveranciers, ook in het kleinere MKB.

    Wie schrijft het BCP?

    De directie is verantwoordelijk. Een interne BCP-coordinator (vaak een operationeel manager of HR) trekt het proces. IT levert de DRP-input, leveranciersmanagers leveren supply-chain-input, en een externe partner kan de structuur, BIA-methode en oefeningen begeleiden. Een BCP dat alleen door IT is gemaakt, mist de bredere blik.

    Conclusie

    Een bedrijfscontinuiteitsplan is voor het MKB geen luxe of een nice-to-have. Het is een eerlijk antwoord op de vraag: wat doen we als iets fundamenteels niet meer werkt? Zonder plan ben je afhankelijk van improvisatie op het moment dat improviseren juist het moeilijkst is. Met een werkbaar BCP, voortbouwend op een goede BIA en gekoppeld aan je IT disaster recovery plan, je verzekeringen en je leveranciersafspraken, geef je je bedrijf een reele kans om een grote verstoring te overleven en er daarna sneller weer bovenop te komen.

    Wil je voor jouw MKB-bedrijf een bedrijfscontinuiteitsplan opstellen dat aansluit bij je bedrijfsprocessen, NIS2-eisen en bestaande IT-omgeving, in plaats van een ordner die niemand opent? Bel TRON Group via 085-3035869 of ga naar onze pagina managed IT-beheer. We doen de BIA samen met je directie en sleutelmedewerkers, ontwerpen een plan dat je kunt testen en koppelen techniek, verzekering en governance zo dat het ook werkt als het ertoe doet.

    BCPBedrijfscontinuiteitBusiness ContinuityMKBISO 22301NIS2RisicomanagementDisaster Recovery

    Wil je meer weten over deze IT-oplossingen?

    Neem contact op voor een vrijblijvend gesprek met onze experts

    Neem contact opBel 085 303 5869

    Meer Artikelen

    IT-onboarding en offboarding van medewerkers in het MKB - JML-checklist voor accounts, hardware, SaaS-toegang en AVG-bewaartermijnen na uitdiensttreding
    Cyber Security
    10 min lezen

    IT-Onboarding en Offboarding van Medewerkers in het MKB

    De ergste storing in je IT-omgeving is meestal niet een hacker van buiten maar een vergeten account van binnen. We leggen uit hoe je IT-onboarding en offboarding in jouw MKB-bedrijf inricht: een werkbare JML-aanpak, concrete checklists voor beide processen, automatisering via Microsoft Entra Lifecycle Workflows en SCIM, en de AVG-bewaartermijnen die je na uitdiensttreding moet hanteren.

    IT-OnboardingOffboardingJML
    Lees meer
    SharePoint effectief gebruiken in het MKB - inrichting van hub sites, metadata, permissies en migratie van fileshare naar een werkende documentomgeving
    Microsoft 365
    10 min lezen

    SharePoint Effectief Gebruiken in het MKB: Inrichting en Best Practices

    We hebben SharePoint, maar niemand gebruikt het. Een veelgehoorde verzuchting in het MKB. We zetten op een rij wat SharePoint is, het verschil met OneDrive en Teams, welke vijf inrichtingsfouten je voorkomt, hoe je een gezonde informatie-architectuur opzet met hub sites en metadata, en hoe je in een paar weken van een ongebruikte tegel een werkende documentomgeving maakt.

    SharePointMicrosoft 365Moderne Werkplek
    Lees meer
    Bel directPlan een gesprek