LINK_POOL:
- Risicobeheer
- Bedrijfscontinuïteit
- Cybersecurity
- Crisismanagement
- Financiële instellingen
- Operationele risico's
- Noodherstelplan
- Governance
- Regelgeving
- Kapitaalvereisten
- Veerkrachtigheid
- Infrastructuur
- Leveranciersrisico
- Naleving
- Stress testen
External Links:
- Bank of England: https://www.bankofengland.co.uk/financial-stability/financial-stability-in-practice/operational-resilience-policy
- Financial Stability Board (FSB): https://www.fsb.org/2021/07/supervisory-and-regulatory-approaches-to-operational-resilience/
- European Central Bank (ECB): https://www.ecb.europa.eu/ecb/html/operations-resilience.en.html
- Bank for International Settlements (BIS) / Basel Committee on Banking Supervision (BCBS): https://www.bis.org/bcbs/publ/d516.htm
What Is Operationele veerkracht?
Operationele veerkracht verwijst naar het vermogen van een organisatie om kritieke bedrijfsprocessen en -diensten te blijven leveren, zelfs wanneer deze worden geconfronteerd met ernstige verstoringen. Dit omvat de capaciteit om preventieve maatregelen te nemen, zich aan te passen aan onverwachte gebeurtenissen, te reageren op incidenten, te herstellen na verstoringen en lessen te trekken uit ervaringen. Het is een cruciaal onderdeel van risicobeheer binnen de financiële sector en daarbuiten, en het omvat meer dan alleen het voorkomen van storingen; het gaat ook om het minimaliseren van de impact wanneer verstoringen optreden. Operationele veerkracht zorgt ervoor dat organisaties, met name financiële instellingen, hun functies kunnen blijven vervullen, zelfs in het licht van operationele risico's zoals cyberaanvallen, technologische storingen of natuurrampen.
History and Origin
Het concept van operationele veerkracht heeft zich ontwikkeld vanuit eerdere disciplines zoals bedrijfscontinuïteitsplanning en noodherstelbeheer. Waar deze zich traditioneel richtten op het herstellen van systemen en processen na een verstoring, verschoof de focus later naar het waarborgen van de continuïteit van kritieke diensten, ongeacht de oorzaak van de verstoring. Een belangrijke impuls voor de formalisering van operationele veerkracht kwam van toezichthouders wereldwijd, met name na de financiële crisis van 2008 en de toenemende complexiteit van IT-systemen en afhankelijkheden van derden. De Bank of England, de Prudential Regulation Authority (PRA) en de Financial Conduct Authority (FCA) in het VK publiceerden in 2018 een gezamenlijk discussiedocument over operationele veerkracht, gevolgd door definitief beleid en toezichtverklaringen in maart 2021. Soortgel8ijke initiatieven werden genomen door internationale instanties zoals de Financial Stability Board (FSB), die in juli 2021 een rapport publiceerde over toezichts- en regelgevende benaderingen van operationele veerkracht. Ook de B7asel Committee on Banking Supervision (BCBS) heeft principes voor operationele veerkracht opgesteld om de capaciteit van banken te versterken om verstoringen door potentieel ernstige gebeurtenissen, zoals pandemieën en cyberincidenten, te weerstaan.
Key T6akeaways
- Operationele veerkracht richt zich op het vermogen van een organisatie om kritieke diensten te blijven leveren tijdens verstoringen, niet alleen op het voorkomen ervan.
- Het omvat proactieve aanpassingsvermogen en de mogelijkheid om snel te herstellen na incidenten.
- Regelgevende instanties wereldwijd leggen steeds meer nadruk op operationele veerkracht voor financiële stabiliteit.
- Belangrijke aspecten zijn onder meer het identificeren van kritieke diensten, het vaststellen van tolerantiegrenzen voor verstoringen en het uitvoeren van stress testen.
- Effectieve operationele veerkracht vermindert de impact van verstoringen op klanten, markten en de bredere economie.
Interpreting Operationele veerkracht
Operationele veerkracht wordt geïnterpreteerd als een holistisch vermogen van een organisatie om haar missie te blijven vervullen onder alle omstandigheden, inclusief extreme verstoringen. Het gaat niet om een enkele metric of formule, maar om een beoordeling van de robuustheid en het aanpassingsvermogen van de kritieke bedrijfsprocessen. Een organisatie met een hoge operationele veerkracht heeft geïdentificeerd welke diensten absoluut essentieel zijn voor haar functioneren en voor de markt waarin zij opereert. Vervolgens heeft zij voor deze kritieke diensten 'impact toleranties' vastgesteld, dit zijn de maximale acceptabele duur en omvang van een verstoring voordat ernstige schade optreedt.
De interpre5tatie omvat ook de capaciteit van de organisatie om te leren van incidenten en bijna-incidenten, om zo voortdurend haar veerkrachtigheid te verbeteren. Dit vereist een sterke governance en een cultuur die het belang van veerkracht op alle niveaus van de organisatie erkent.
Hypothetical Example
Stel, een grote online effectenmakelaar, DiversiTrade, is afhankelijk van haar handelsplatform voor het uitvoeren van orders en het beheer van beleggingsportefeuilles. Dit platform is geïdentificeerd als een kritieke dienst. DiversiTrade heeft een impact tolerantie vastgesteld van maximaal twee uur uitvaltijd voor dit platform, omdat langere onderbrekingen leiden tot aanzienlijk financieel verlies voor klanten en reputatieschade.
Op een stormachtige dinsdagochtend valt de primaire stroomvoorziening in de regio van hun datacentrum uit door blikseminslag. Hoewel DiversiTrade een noodherstelplan heeft, blijkt de back-up generator onverwacht niet te starten.
Door hun focus op operationele veerkracht heeft DiversiTrade echter ook:
- Gedetailleerde mapping: Ze hebben alle onderliggende afhankelijkheden van het handelsplatform in kaart gebracht, inclusief stroom, netwerkverbindingen en cruciale softwarecomponenten.
- Scenario planning: Ze hebben eerder geoefend met scenario's voor stroomuitval en ontdekt dat het handmatig inschakelen van de generator soms faalde.
- Redundantie en herstel: Ze hebben geïnvesteerd in een cloud-gebaseerde failover-oplossing die automatisch de handelsfuncties kan overnemen als het primaire datacentrum onbereikbaar wordt.
Binnen 30 minuten na de stroomuitval is het verkeer automatisch omgeleid naar het cloud-platform, waardoor klanten met minimale onderbreking kunnen blijven handelen. De operationele veerkracht van DiversiTrade stelde hen in staat de kritieke dienst binnen de vastgestelde tolerantie te handhaven, ondanks de initiële storing van de generator. Na het incident analyseren ze waarom de generator faalde en passen ze hun onderhoudsprotocollen aan.
Practical Applications
Operationele veerkracht is van vitaal belang in diverse sectoren, maar de focus ligt vaak op de financiële instellingen vanwege hun systemische belang.
- Banken en Beleggingsondernemingen: Zij moeten ervoor zorgen dat betalingssystemen, handelsplatforms en klantenservices operationeel blijven, zelfs bij grote verstoringen. Dit is cruciaal voor financiële stabiliteit en consumentenbescherming. Regelgeving zoals de Digital Operational Resilience Act (DORA) in de EU, die van toepassing is vanaf januari 2025, harmoniseert de regels voor digitale operationele veerkracht voor diverse financiële entiteiten en hun externe ICT-dienstverleners.
- Financiële ma4rktinfrastructuren (FMI's): Clearinginstellingen, centrale banken en betalingssystemen, die de ruggengraat van het financiële systeem vormen, moeten een extreem hoge operationele veerkracht hebben om systeemrisico's te voorkomen. De Europese Centrale Bank (ECB) benadrukt het belang van coördinatie tussen toezichthouders om ervoor te zorgen dat operationele veerkracht wereldwijd goed wordt gecoördineerd, gezien de onderlinge verbondenheid van banken.
- Technologische Af3hankelijkheden: Met de toenemende afhankelijkheid van cloud computing en externe dienstverleners, wordt het beheer van leveranciersrisico een kernaspect van operationele veerkracht. Organisaties moeten de veerkracht van hun kritieke derden evalueren en ervoor zorgen dat deze aan hun eigen toleranties voldoen. De Financial Stability Board (FSB) heeft richtlijnen ontwikkeld voor het beheer van risico's bij derden om de operationele veerkracht te verbeteren.
- Cybersecurity: 2Een robuuste cybersecurity-strategie is een fundamenteel onderdeel van operationele veerkracht. Organisaties moeten niet alleen cyberaanvallen voorkomen, maar ook plannen hebben om te herstellen en kritieke functies te handhaven als een aanval succesvol is.
Limitations and Criticisms
Hoewel operationele veerkracht essentieel is, zijn er beperkingen en uitdagingen bij de implementatie ervan.
- Kosten en Complexiteit: Het bereiken van een hoge mate van operationele veerkracht vereist aanzienlijke investeringen in infrastructuur, technologie, personeel en processen. Voor kleinere organisaties kan dit een disproportionele last zijn. Het in kaart brengen van alle kritieke diensten en hun onderlinge afhankelijkheden kan extreem complex zijn in grote, gedistribueerde organisaties.
- "Severe but Plausible" Scenario's: De effectiviteit van operationele veerkracht hangt af van het vermogen om de juiste "ernstige maar aannemelijke" verstoringsscenario's te identificeren en daarop te stress testen. Het is echter onmogelijk om alle mogelijke verstoringen te voorzien, en "black swan"-gebeurtenissen kunnen de voorbereide plannen overstijgen.
- Afhankelijkheid van Derden: Organisaties zijn in toenemende mate afhankelijk van externe dienstverleners (bijvoorbeeld cloudproviders). Hoewel naleving door deze derden wordt verwacht, blijft de uiteindelijke verantwoordelijkheid voor de operationele veerkracht bij de organisatie zelf. Een verstoring bij een grote, kritieke derde partij kan een breed scala aan financiële instellingen tegelijkertijd treffen, wat een systemisch risico vormt.
- Subjectiviteit van1 Toleranties: Het vaststellen van impact toleranties kan subjectief zijn en vereist een diepgaand begrip van de gevolgen van verstoringen voor klanten en de bredere markt.
Operationele veerkracht vs. Bedrijfscontinuïteit
Hoewel de termen vaak door elkaar worden gebruikt, verschillen operationele veerkracht en bedrijfscontinuïteit in focus en reikwijdte.
| Kenmerk | Operationele Veerkracht | Bedrijfscontinuïteit (Business Continuity) |
|---|---|---|
| Primaire Focus | Levering van kritieke diensten door verstoring heen. | Herstel van bedrijfsprocessen na een verstoring. |
| Doel | Minimale impact op het systeem, klanten en financiële stabiliteit, ongeacht de oorzaak van de verstoring. | Voortzetting van bedrijfsprocessen na een incident, vaak met focus op RTO/RPO. |
| Aard | Adaptief, proactief, en end-to-end perspectief op kritieke diensten. | Reactief, procedureel, focus op herstel na storing. |
| Reikwijdte | Breder; omvat het hele ecosysteem van afhankelijkheden (inclusief derden en sectorbrede implicaties). | Vaak beperkter; gericht op interne processen en systemen van een organisatie. |
| Impact Toleranties | Centraal; gedefinieerde maximale verstoring voor kritieke diensten. | Recovery Time Objective (RTO) en Recovery Point Objective (RPO) zijn leidend. |
| Type Verstoring | Alle soorten verstoringen, inclusief onvoorziene. | Vaak gerelateerd aan specifieke risico's (bijv. IT-uitval, natuurramp). |
Operationele veerkracht kan worden gezien als een evolutie van bedrijfscontinuïteit, waarbij de focus verschuift van het herstellen van activa naar het waarborgen van de continue beschikbaarheid van diensten. Bedrijfscontinuïteit is een belangrijk onderdeel van operationele veerkracht, maar operationele veerkracht kijkt verder dan alleen het interne herstel en richt zich op het vermogen van de organisatie als geheel, inclusief haar ecosysteem, om te functioneren onder druk.
FAQs
Wat is het belangrijkste doel van operationele veerkracht?
Het belangrijkste doel is ervoor te zorgen dat een organisatie haar kritieke diensten kan blijven leveren, zelfs wanneer ze wordt geconfronteerd met ernstige verstoringen. Dit minimaliseert de impact op klanten, de financiële markten en de bredere economie.
Hoe verschilt operationele veerkracht van rampenherstel?
Rampenherstel is een onderdeel van operationele veerkracht. Rampenherstel richt zich specifiek op het herstellen van IT-systemen en data na een grote storing, terwijl operationele veerkracht een breder concept is dat gaat over het in stand houden van de bedrijfsvoering van kritieke diensten, ongeacht de oorzaak van de verstoring en inclusief niet-technologische factoren zoals personeel en processen.
Welke sectoren leggen de meeste nadruk op operationele veerkracht?
Vooral de financiële sector, waaronder banken, verzekeraars en financiële marktinfrastructuren, legt veel nadruk op operationele veerkracht vanwege hun systeemrelevante karakter en de potentiële domino-effecten van storingen. Echter, ook kritieke infrastructuren zoals energie en telecommunicatie, en sectoren met hoge afhankelijkheid van digitale diensten, hechten er steeds meer waarde aan.
Is er een specifieke regelgeving voor operationele veerkracht?
Ja, wereldwijd voeren diverse toezichthouders regelgeving in op het gebied van operationele veerkracht. Voorbeelden zijn de Digital Operational Resilience Act (DORA) in de Europese Unie en het beleid van de Bank of England en de Prudential Regulation Authority (PRA) in het Verenigd Koninkrijk. Ook instanties zoals de Basel Committee on Banking Supervision (BCBS) publiceren leidende principes voor financiële instellingen.
Wat zijn "impact toleranties" in de context van operationele veerkracht?
Impact toleranties zijn de maximale acceptabele duur en omvang van een verstoring voor een kritieke dienst. Organisaties moeten deze grenzen vaststellen om te bepalen hoe lang een dienst onbeschikbaar mag zijn of in welke mate de prestaties mogen afnemen voordat onaanvaardbare schade optreedt. Dit helpt bij het prioriteren van herstelinspanningen en het investeren in veerkrachtigheid.