OM offline: een wake up call voor bedrijfscontinuïteit in het publieke domein

OM offline: een wake up call voor bedrijfscontinuïteit in het publieke domein

Op 17 juli 2025 koppelde het Openbaar Ministerie (OM) zijn systemen uit voorzorg los van het internet vanwege een kritieke kwetsbaarheid in Citrix NetScaler-software. Deze kwetsbaarheid kon leiden tot misbruik en was mogelijk al actief door kwaadwillenden gebruikt. Het OM bleef dagenlang grotendeels offline; medewerkers konden intern e-mailen maar niet met externe ketenpartners communiceren. Voor de rechtspraktijk betekende dit extra papierwerk, vertraagde zittingen en vergrote druk op alternatieve werkprocessen. Hoewel het incident niet direct werd veroorzaakt door een hack betrof het wel een diepgewortelde systeemverstoring. Het forensisch onderzoek naar mogelijke compromittering loopt door; het herstel en herstarten van systemen kan weken duren gezien de complexiteit van 1500 servers. Deze casus toont pijnlijk aan hoe zelfs organisaties met hoge verantwoordelijkheid kwetsbaar zijn zonder robuuste fallbackconstructies.

Waarom bedrijfscontinuïteit in 2025 onmisbaar is

1. Toenemende digitale kwetsbaarheid. Cyberdreigingen én technische storingen zijn aan de orde van de dag. De OM-storing laat zien dat één kwetsbaar systeem al grote maatschappelijke impact kan hebben.
2. Publieke verantwoordelijkheid. Burgers rekenen op betrouwbare dienstverlening, ongeacht omstandigheden. Continuïteit is daarmee geen IT-privilege, maar een bestuurlijke kerntaak.
3. Wet- en regelgeving. Organisaties dienen te voldoen aan de BIO en Wbni, met eisen ten aanzien van risicoanalyse, herstelstrategieën, crisisorganisatie en ketenafstemming.
4. Afhankelijkheid in ketens. Publieke dienstverlening kent sterke onderlinge afhankelijkheden. Uitval bij één schakel – zoals het OM – belemmert de gehele keten: van politie tot rechtbank en reclassering.

Wat maakt een bedrijfscontinuïteitsplan (BCP) écht effectief?

Een BCP is pas effectief als het daadwerkelijk leeft binnen de organisatie. Dat betekent:

• Inzicht in kritieke processen en afhankelijkheden
• Heldere herstelstrategieën en communicatieprotocollen
• Gedefinieerde rollen, bevoegdheden en aanspreekpunten
• Regelmatige oefeningen en updates
• Integratie in risicomanagement en governance

De storing bij het OM toont aan dat papieren plannen onvoldoende zijn als ze niet getest en gedragen worden.

Aanbevelingen voor publieke organisaties

1. Veranker BCP bestuurlijk. Leg verantwoordelijkheid bij bestuur of directie; benoem een functionaris (bijv. BCM-coördinator of CISO). Zorg dat continuïteit structureel op de agenda staat.
2. Integreer in risicobeheer. Laat het BCP aansluiten op risicoanalyses en audits. Houd het plan actueel en adaptief bij veranderende risico’s.
3. Oefen met realistische scenario’s. Organiseer table‑top-oefeningen, technische hersteltesten en ketentests met realistische dreigingsbeelden zoals ransomware of langdurige IT-uitval.
4. Zorg dat fallbackvoorzieningen werken. Technische en organisatorische alternatieven moeten toegankelijk en getraind zijn. Back-ups, handmatige procedures of alternatieve werkprocessen moeten getest en actueel zijn.
5. Evalueer incidenten en leer ervan. Gebruik elke storing als evaluatiemoment. Wat ging goed? Wat niet? En welke concrete verbeteringen moeten worden doorgevoerd?

Klaar om de continuïteit van uw organisatie écht te borgen?

Bij KokxDeVoogd helpen we (semi)publieke organisaties bij het ontwikkelen, implementeren en toetsen van robuuste bedrijfscontinuïteitsplannen. Met diepe kennis van bestuur, (informatie)veiligheid en crisisorganisatie dragen wij bij aan organisaties die ook bij verstoringen daadkrachtig blijven functioneren. Wilt u weten waar uw organisatie staat of hoe u structureel versterkt richting continuïteitsborging? Neem contact met ons op. Wij gaan graag met u in gesprek. Samen versterken we de veerkracht en betrouwbaarheid van uw publieke dienstverlening.