Strategie op papier — maar werkt het ook in de praktijk?

In februari 2026 werd telecomprovider Odido het slachtoffer van een cyberaanval door een hackersgroep. Via social engineering werden klantenservicemedewerkers misleid, waarna de aanvallers 48 uur ongestoord toegang hadden tot de Salesforce-database. Het resultaat: persoonsgegevens van 6,2 miljoen klanten op straat — namen, adressen, bankgegevens, paspoortnummers en rijbewijzen. Odido weigerde het losgeld van een miljoen euro te betalen, waarna de volledige dataset op het dark web werd gepubliceerd.

Odido had ongetwijfeld beveiligingsbeleid, incidentresponse-procedures en een crisisplan. Maar waren medewerkers voldoende getraind en geoefend om een social engineering-aanval te herkennen? Het plan bestond — de vraag is of de organisatie ook daadwerkelijk voorbereid was.

Dit patroon is herkenbaar. Van datalekken bij telecomproviders tot ransomware-aanvallen op Nederlandse gemeenten en zorginstellingen — keer op keer blijkt hetzelfde: het plan bestond, maar toch gaat het fout.

Het hardnekkige misverstand

Veel organisaties investeren tijd, geld en energie in het opstellen van plannen. Business Impact Analyses, crisisplannen, continuïteitsplannen en communicatieplannen worden keurig opgeslagen in SharePoint of staan netjes in een map op de plank.

En toch gaat het mis op het moment dat het spannend wordt. Niet omdat het plan slecht is, maar omdat er een hardnekkig misverstand leeft:

Het hebben van een plan is niet hetzelfde als voorbereid zijn.

Een plan is een document. Voorbereid zijn is een vaardigheid. Het gaat niet om het plan zelf, maar om het proces:

Samen nadenken over wat er mis kan gaan

Duidelijk krijgen wie welke rol pakt

Afspreken hoe je communiceert als het spannend wordt

Oefenen, frictie voelen en fouten maken in een veilige omgeving

Een plan dat nooit is geoefend, is in een crisis vrijwel nooit effectief.

NIS2 dwingt organisaties verder te kijken dan het document

De NIS2-richtlijn, die sinds oktober 2024 van kracht is in de EU en in Nederland wordt omgezet via de Cyberbeveiligingswet, stelt expliciet eisen aan bedrijfscontinuïteit en crisisbeheersing. Artikel 21 verplicht organisaties niet alleen om plannen te hebben, maar ook om deze te testen en te evalueren.

Dit betekent dat "het plan ligt op de plank" niet meer volstaat. Toezichthouders verwachten dat organisaties kunnen aantonen dat:

Continuïteitsplannen regelmatig worden geoefend

Incidentresponse-procedures getest zijn

Medewerkers getraind zijn in hun rol tijdens een crisis

Lessen uit oefeningen aantoonbaar zijn verwerkt

Voor veel organisaties is dit een fundamentele verschuiving: van compliance op papier naar compliance in de praktijk.

De echte voorbereiding gebeurt vóór de crisis

Organisaties die aantoonbaar veerkrachtig door crises navigeren, hebben een aantal zaken geborgd:

Teamdynamiek

Weten hoe je samen reageert onder druk. Wie neemt de leiding? Wie escaleert? Wie communiceert extern? Dit ontdek je niet tijdens een crisis, maar door vooraf te oefenen.

Besluitvaardigheid

Durven handelen met 60% van de informatie. In een crisis heb je zelden het complete plaatje. Organisaties die wachten op volledige zekerheid, verliezen kostbare tijd.

Communicatiekracht

Helder blijven communiceren als de ruis toeneemt. Interne paniek vertaalt zich direct naar externe chaos als communicatielijnen niet helder zijn.

Adaptief vermogen

Kunnen bijsturen zonder paniek. Geen enkele crisis verloopt volgens het script. De vraag is niet óf je moet afwijken van het plan, maar hoe snel je dat kunt.

Van document naar doorleefde praktijk

De stap van een plan op papier naar een organisatie die daadwerkelijk voorbereid is, vraagt om een structurele aanpak:

1.Breng je huidige situatie in kaart — Welke plannen bestaan er? Wanneer zijn ze voor het laatst getoetst? Wie kent de inhoud?

2.Plan periodieke oefeningen — Niet jaarlijks een tabletop-exercise afvinken, maar regelmatig scenario's doorlopen met wisselende teams.

3.Documenteer en verbeter — Leg bevindingen vast, formuleer verbeterpunten en volg deze op. Maak het een doorlopend proces.

4.Koppel aan je managementsysteem — Zorg dat BCM-maatregelen niet los staan van je ISMS of complianceframework, maar integraal onderdeel zijn.

Hoe uComply helpt

Met uComply werk je proactief aan compliance en crisisvoorbereiding. Het platform helpt je om:

Maatregelen te koppelen aan normeisen — Zie direct welke BCM-eisen voortkomen uit NIS2, ISO 27001 of andere frameworks en welke maatregelen je hebt getroffen.

De status van je maatregelen te bewaken — Geen plan meer dat ongemerkt veroudert. uComply signaleert wanneer reviews, oefeningen of updates nodig zijn.

Bewijs te verzamelen — Leg oefenresultaten, evaluaties en verbeteracties vast als aantoonbaar bewijs voor audits en toezichthouders.

Meerdere normen tegelijk te managen — Werk je met ISO 27001 én NIS2? uComply laat zien waar normen overlappen, zodat je BCM-inspanningen dubbel renderen.

Zo verschuift compliance van een jaarlijkse papieren exercitie naar een doorlopend, levend proces.

Conclusie

Zekerheid komt niet uit een document. Zekerheid komt uit mensen die weten wat ze moeten doen, die elkaar vertrouwen en die geoefend hebben in het onbekende. De vraag is niet of jouw organisatie een plan heeft, maar of dat plan werkt als het er écht toe doet.

NIS2 en recente incidenten maken één ding duidelijk: de tijd van compliance op papier is voorbij. Organisaties die nu investeren in het daadwerkelijk doorleven van hun plannen, staan straks sterker — niet alleen tegenover toezichthouders, maar vooral tegenover de volgende crisis.

Benieuwd hoe jouw organisatie ervoor staat? Plan een demo en ontdek hoe uComply je helpt om van plan naar praktijk te komen.

Strategie op papier — maar werkt het ook in de praktijk?