Metalen noodschakelaar uit op donker houten bureau naast compacte serverbehuizing, map en verzegelde envelop in technische ruimte

Wat doe jij als jouw IT-systemen uitvallen: de WWKE verplicht jou een antwoord klaar te hebben

Leestijd:

6–9 minuten
1.482 woorden

Artikel delen:

IT-uitval komt zelden gelegen. Toch verwacht de WWKE-wetgeving dat organisaties die een essentiële dienst leveren aantoonbaar voorbereid zijn op verstoringen, ook als die verstoring “alleen” een technische storing of een cyberincident is. Dat vraagt om meer dan een back-up en een telefoonnummer van je IT-leverancier. Het vraagt om duidelijke keuzes, vastgelegde verantwoordelijkheden en herstel dat je echt kunt aantonen.

In dit artikel lees je wat de WWKE vraagt bij IT-uitval, welke risico’s direct spelen in een typische MKB-omgeving met cloud en SaaS, wat er minimaal in je continuïteitsplan hoort en hoe je herstel en noodprocedures praktisch test zonder dat het een papieren exercitie wordt.

Wat de WWKE vraagt bij IT-uitval

De Wet weerbaarheid kritieke entiteiten is de Nederlandse uitwerking van de Europese CER-richtlijn. De kern is weerbaarheid tegen verstoringen, waaronder cyberaanvallen en technische storingen. In de aanloop naar de inwerkingtreding in 2026 worden organisaties die als kritieke entiteit worden aangewezen geacht om binnen een beperkte periode te laten zien dat ze hun weerbaarheid op orde hebben. Dat “laten zien” is belangrijk, want aantoonbaarheid is een terugkerend thema.

Concreet draait de WWKE-wetgeving bij IT-uitval om deze onderdelen.

  • Een risicoanalyse die je kritieke diensten, afhankelijkheden en restrisico’s in kaart brengt, inclusief IT, data en derde partijen.
  • Weerbaarheidsplannen en maatregelen, zoals een businesscontinuïteitsplan en een disaster recovery plan, die je ook oefent en verbetert.
  • Incidentrespons en meldingsprotocollen, inclusief communicatie en afspraken met partijen die je tijdens een incident ondersteunen.
  • Heldere rollen en verantwoordelijkheden, zodat besluitvorming en escalatie niet stilvallen als systemen dat wel doen.

Voor MKB-organisaties in de financiële dienstverlening betekent dit vaak dat je niet alleen naar je eigen kantooromgeving kijkt, maar ook naar je keten. Denk aan boekhoudsoftware, documentmanagement, identityproviders, e-mail en telefonie. Als daar iets uitvalt, valt jouw dienstverlening mee uit.

Welke risico’s IT-uitval direct veroorzaakt

IT-uitval is zelden één probleem. Het is een kettingreactie die processen raakt, klantafspraken onder druk zet en compliancevragen oproept. Veelvoorkomende gevolgen zijn:

  • Downtime van primaire processen zoals klantdossiers, rapportages, acceptatie of declaraties.
  • Dataverlies door foutieve synchronisatie, mislukte updates of onvoldoende geteste back-ups.
  • Ransomware waarbij systemen versleuteld raken en herstel onder tijdsdruk moet gebeuren.
  • Ketenafhankelijkheden, bijvoorbeeld een storing bij een cloud- of SaaS-leverancier die jouw werk stillegt.
  • Reputatieschade en klantimpact, zeker als je geen helder communicatiepad hebt.
  • Mogelijke meldplichten en auditvragen, afhankelijk van sectorregels en de aard van het incident.

De NCTV benadrukt dat vitale diensten steeds meer met elkaar verweven zijn. Daardoor kan een verstoring in één schakel snel doorwerken naar andere diensten. In een moderne MKB-omgeving zie je dat terug in de afhankelijkheid van identity, internetverbindingen, cloudwerkplekken en securitytooling. Als een van die bouwstenen wegvalt, is “even doorwerken” vaak niet realistisch zonder vooraf bedachte alternatieven.

Wat moet er in je continuïteitsplan staan

Een bruikbaar continuïteitsplan is kort, concreet en gericht op uitvoering. Het helpt om te starten vanuit kritieke processen en pas daarna de techniek te beschrijven. Leg minimaal dit vast:

  • Kritieke processen en systemen, inclusief eigenaar per proces.
  • RTO en RPO per proces. RTO is hoe snel je weer operationeel moet zijn. RPO is hoeveel data je maximaal mag verliezen.
  • Back-upstrategie volgens 3-2-1: meerdere kopieën, op verschillende media, met minimaal één kopie buiten de primaire omgeving.
  • Herstelprocedures per scenario, zoals mailboxuitval, identitystoring, ransomware, corrupte data of een verloren laptop.
  • Alternatieve werkplekken en werkwijzen, bijvoorbeeld noodaccounts, tijdelijke devices, offline templates en een minimale set applicaties.
  • Communicatieplan met interne updates, klantcommunicatie en afstemming met leveranciers.
  • Leverancierscontacten en escalatiepaden, inclusief wie mag besluiten tot failover of isolatie van systemen.
  • Logging en bewijsvoering, zodat je achteraf kunt aantonen wat er is gebeurd en welke acties zijn genomen.
Onderdeel Wat je vastlegt Waarom het helpt bij WWKE
Kritieke diensten Proces, eigenaar, afhankelijkheden Maakt impact en prioriteit aantoonbaar
Hersteldoelen RTO en RPO per proces Voorkomt te optimistische aannames
Back-ups en herstel 3-2-1-opzet en restore-stappen Toont dat herstel praktisch uitvoerbaar is
Incidentrespons Detectie, inperking, herstel, communicatie Sluit aan op incidentprotocollen en meldroutes

Hoe test je herstel en noodprocedures

Een plan dat je niet test, is een aanname. De WWKE-wetgeving legt nadruk op ontwikkelen, oefenen en verbeteren. Dat hoeft niet zwaar te zijn als je het slim opknipt.

  • Tabletopoefening. Loop met IT, directie en proceseigenaren een scenario door en noteer beslismomenten, afhankelijkheden en ontbrekende informatie.
  • Restoretests. Test periodiek of je echt kunt terugzetten, inclusief rechten, applicatiekoppelingen en dataconsistentie.
  • Failover en uitwijk. Oefen wat er gebeurt als een clouddienst of internetverbinding wegvalt en hoe je overschakelt naar een alternatief.
  • Ransomware- en phishingscenario’s. Test isolatie, accountblokkades, herstelvolgorde en communicatie naar medewerkers.
  • Evaluatie en verbetercyclus. Leg bevindingen vast, wijs acties toe en plan een herhaling, zodat je kunt aantonen dat je leert.

Belangrijk is dat je resultaten vastlegt. Niet als rapport om het rapport, maar als bewijs dat procedures werken en dat verantwoordelijkheden helder zijn.

Veelgemaakte fouten bij WWKE-voorbereiding

In de praktijk gaan dezelfde dingen vaak mis. Het goede nieuws is dat ze goed te voorkomen zijn als je er vroeg bij bent.

  • Alleen papierwerk maken zonder technische tests of oefeningen.
  • Back-ups hebben, maar nooit een volledige restore doen onder realistische omstandigheden.
  • Onduidelijk eigenaarschap, waardoor niemand knopen doorhakt tijdens een incident.
  • Afhankelijkheid van één leverancier of één beheerder zonder overdraagbare documentatie.
  • Geen MFA en geen least privilege, waardoor een incident sneller groot wordt.
  • Verouderde contactlijsten en onduidelijke escalatie, waardoor kostbare tijd verloren gaat.
  • Geen klantcommunicatieplan, waardoor reputatieschade groter wordt dan nodig.
  • Te optimistische RTO’s die niet passen bij je omgeving en je back-up- en herstelcapaciteit.

Hoe Mr. Blocks helpt met WWKE-voorbereiding

Bij Mr. Blocks maken we WWKE-voorbereiding praktisch. We starten bij hoe mensen werken en vertalen dat naar een IT-fundament dat rust geeft, met security en continuïteit als vaste onderdelen. Vanuit onze aanpak voor de digitale werkplek helpen we je om voorbereiding op IT-uitval aantoonbaar te maken en ook echt uitvoerbaar te houden.

  • Inrichting en beheer van een voorspelbare werkplekomgeving met duidelijke standaarden en beheerprocessen.
  • IT-securitydiensten als vast onderdeel van het fundament, met managed firewall-monitoring, Endpoint Detection and Response en vulnerability management.
  • Continuïteitsplan en herstelprocedures die aansluiten op jouw kritieke processen, inclusief RTO- en RPO-keuzes.
  • Back-up- en herstelinrichting met periodieke restoretests en vastlegging van resultaten voor audit en compliance.
  • Monitoring en support met heldere escalatie, zodat incidenten sneller worden ingeperkt en herstel gestructureerd verloopt.
  • Documentatie en oefencyclus, zodat je niet alleen voorbereid bent, maar het ook kunt bewijzen.

Wil je weten waar je nu staat en welke stappen het meeste effect hebben voor jouw organisatie? Bekijk wie we zijn of neem direct contact op via onze contactpagina voor een praktische inventarisatie en een helder plan van aanpak.

Veelgestelde vragen

Hoe bepaal je realistische RTO- en RPO-waarden voor jouw organisatie?

Start met een Business Impact Analysis (BIA): bepaal per kritisch proces wat 1 uur, 1 dag en 1 week uitval kost (omzet, boetes, klantimpact, operationele chaos). Vertaal dat naar een maximale hersteltijd (RTO) en maximaal dataverlies (RPO). Valideer daarna of je IT-omgeving dit kan halen (back-upfrequentie, restoreduur, licenties, bandbreedte) en pas óf de doelen óf de techniek aan.

Welke bewijsstukken verwachten auditors of toezichthouders bij ‘aantoonbaarheid’ van herstel?

Leg minimaal vast: versiebeheer van plannen, een actuele asset- en afhankelijkhedenlijst, testplannen en testrapporten (incl. datum, scope, resultaten, afwijkingen), screenshots/logexports van back-upjobs en restores, besluiten en escalaties (wie/wanneer), en een verbeterlijst met eigenaar en deadline. Bewaar dit centraal (bijv. SharePoint) met toegangsbeheer en een vaste reviewcyclus.

Hoe richt je een noodcommunicatiekanaal in als e-mail en Teams uitvallen?

Kies één primair alternatief buiten je standaard tenant, bijvoorbeeld: een belboom met vaste nummers, een externe statuspagina, en een WhatsApp/Signal-groep met vooraf geregistreerde nummers. Leg vast wie berichten mag versturen, welke templates je gebruikt (intern/klant), en test elk kwartaal of iedereen bereikbaar is en de contactlijst klopt.

Wat moet je contractueel regelen met cloud- en SaaS-leveranciers voor WWKE-weerbaarheid?

Zorg voor afspraken over: beschikbaarheid/SLA en onderhoudsvensters, incidentmeldingstermijnen, support-escalatie (24/7 of kantoortijden), data-eigendom en exportmogelijkheden, back-up/retentie (wie doet wat), herstelondersteuning bij ransomware, en audit-/rapportagerechten (bijv. SOC 2/ISAE). Leg ook vast wat er gebeurt bij beëindiging: exitplan, data-exportformaten en doorlooptijden.

Hoe voorkom je dat identity-uitval (bijv. Microsoft Entra ID) je hele organisatie stillegt?

Werk met ‘break-glass’-accounts (sterk beveiligd, offline opgeslagen, periodiek getest), noodprocedures voor MFA-storingen, en een minimale set lokale adminrechten op kritieke systemen. Overweeg daarnaast redundante internetverbindingen en documenteer hoe je toegang houdt tot back-ups, firewall/EDR en beheerportalen als SSO niet werkt.

Welke minimale ‘offline’ set heb je nodig om tijdelijk door te werken bij IT-uitval?

Maak een noodpakket per team: offline klant- en proceschecklists, sjablonen (PDF/Word/Excel) voor intake en rapportage, een lijst met kritieke telefoonnummers, en een procedure voor later invoeren/afstemmen van data. Regel ook minimaal één noodlaptop of clean device, plus toegang tot een printer/scanner als dat in je proces zit. Oefen één keer per jaar een ‘dag zonder IT’ om te zien wat echt ontbreekt.

Hoe vaak moet je oefenen en testen om ‘voldoende’ voorbereid te zijn richting 2026?

Hanteer een ritme dat past bij je risico: minimaal elk kwartaal een tabletopoefening (wisselende scenario’s), maandelijks controle op back-upjobs, en minimaal 2 keer per jaar een volledige restoretest van een kritisch systeem (incl. rechten en koppelingen). Na grote wijzigingen (migratie, nieuwe SaaS, netwerk/identity-wijziging) plan je direct een extra test en update je documentatie.

Gerelateerde artikelen

Benieuwd hoe wij jou van dienst kunnen zijn?

Laat je gegevens achter in het formulier en ontdek hoe een zakelijke vriendschap het verschil kan maken.

ISO & NEN Gecertificeerd

← Terug

Bedankt voor je reactie. ✨

Meer insights