Bedrijven in Nederland en Europa raken snel in de problemen bij drie dagen IT-storing. Cyberaanvallen, cloudfouten en verkeerde acties van AI-systemen leggen hele ketens stil. Recente uitval bij grote softwareleveranciers liet dat opnieuw zien. Tegelijk verhogen NIS2 en de Europese AI-verordening op het moment van schrijven de druk op organisaties en overheid.
Drie dagen stilstand onhoudbaar
Drie dagen zonder IT betekent gemiste omzet, boetes uit contracten en ontevreden klanten. Webshops kunnen geen orders verwerken en logistiek valt stil. Ook supportteams lopen vol, waardoor herstel trager gaat. De schade stapelt zich zo per uur op.
De wereldwijde storing door een foutieve update bij CrowdStrike in juli 2024 liet zien hoe snel verstoring oploopt. Luchtvaart, zorg en overheid hadden dagenlang last van nasleep. Niet alleen de oorzaak, maar vooral het herstel kost tijd. Backlogs en herstartprocedures maken de totale downtime vaak langer dan de eerste storing.
Ook afhankelijkheden tussen leveranciers vergroten het risico. Valt een SaaS-dienst uit, dan stopt vaak een hele keten. Contracten met boeteclausules werken door tot in het mkb. Daardoor wordt drie dagen uitval voor veel bedrijven financieel onhoudbaar.
AI vergroot storingskans
Steeds meer processen draaien op algoritmen en generatieve systemen zoals OpenAI’s ChatGPT, Google Gemini en Microsoft Copilot. Een verkeerde prompt, fout script of misconfiguratie kan dan snel opschalen. AI kan bovendien taken automatiseren die vroeger handmatig gecontroleerd werden. Dat versnelt fouten als er geen extra checks zijn.
Risico’s zitten in modeldrift (het model wijkt af van gewenst gedrag), data-vergiftiging en zogeheten hallucinaties. Een AI-agent die automatisch tickets sluit of toegang verleent, kan zo onbedoeld schade veroorzaken. Zonder sandbox, drempels en mens-in-de-lus kan één fout door het hele systeem gaan. Logging en rollback ontbreken vaak of zijn versnipperd over tools.
De Europese AI-verordening (AI Act) verplicht leveranciers van hoog-risico AI tot risicobeheer, logging en toezicht op incidenten. Dat helpt, maar neemt operationele fouten niet weg. Gebruikersorganisaties moeten dus eigen waarborgen inbouwen. Denk aan change management, staged uitrol en een kill switch per AI-functie.
Back-up en herstel schieten tekort
Veel bedrijven vertrouwen op cloud, maar back-ups blijven hun eigen taak. Bij AWS, Microsoft Azure en Google Cloud geldt het shared-responsibility-model. Zonder eigen, geïsoleerde kopieën is herstellen lastig of traag. Vooral bij ransomware of een AI-gestuurde massaverwijdering telt elke minuut.
Een heldere RPO en RTO zijn cruciaal. RPO is de maximaal toelaatbare dataverliesperiode, RTO de tijd om weer op te starten. Wie om de vier uur back-upt maar een herstel van twee dagen nodig heeft, redt het niet bij drie dagen stilstand. Hersteloefeningen laten vaak pas zien wat echt mogelijk is.
Moderne strategieën vragen om het 3-2-1-1-0‑principe: drie kopieën, op twee media, één offsite, één offline of immutabel, en nul fouten na hersteltests. Immutabele back-ups voorkomen dat ransomware of een AI-proces ze aanpast. Test elke kwartaal een volledige restore, inclusief SaaS-data uit Microsoft 365 of Google Workspace. Dat verkleint de kloof tussen planning en werkelijkheid.
NIS2 en AVG verhogen druk
De NIS2-richtlijn verplicht meer sectoren tot strengere beveiliging, bedrijfscontinuïteit en snelle meldingen. Organisaties moeten binnen 24 uur een early warning sturen en binnen 72 uur een incidentmelding met eerste beoordeling. Ook leveranciersrisico’s en crisisplannen horen daarbij. Dit geldt direct voor essentiële en belangrijke entiteiten in de EU.
De AVG vereist datalekmeldingen binnen 72 uur bij de Autoriteit Persoonsgegevens. Die klok geeft extra stress bij langdurige uitval. Zonder forensische logs en segmentatie is de oorzaak moeilijk te bewijzen. Dat bemoeilijkt zowel de melding als het herstelplan.
Voor hoog-risico AI eist de AI Act op het moment van schrijven technische documentatie, risicobeheer, menselijke controle en incidentrapportage. Overheden en zorginstellingen krijgen zo een dubbele plicht: zorgvuldig algoritmegebruik én betrouwbare continuïteit. Nederlandse uitvoeringswetten, zoals de implementatie van NIS2 in de Wbni, maken dit handhaafbaar.
De AVG verplicht organisaties een datalek binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens.
Nederlands mkb blijft kwetsbaar
Het mkb heeft vaak geen 24/7‑IT-team en weinig budget voor cyberweerbaarheid. Toch draaien zij op dezelfde cloud en AI-diensten als grote bedrijven. Uitval bij een leverancier treft hen net zo hard. En reserve-IT of alternatieve processen ontbreken vaak.
Hulpmiddelen zijn er wel. Het Digital Trust Center en het Nationaal Cyber Security Centrum bieden basismaatregelen, handreikingen voor incidentrespons en oefeningen. Brancheorganisaties delen templates voor continuïteitsplannen. Maar toepassen en testen kosten tijd die mkb’ers moeilijk vrijmaken.
Een praktische start is prioriteren op omzetkritische processen. Bepaal per proces de RPO en RTO, leg vervangprocedures vast en wijs één crisisteam aan. Koppel dit aan leveranciers-SLA’s en escrow op kernsoftware. Zo worden drie dagen uitval niet automatisch fataal.
Oefenen en segmenteren helpt wel
Technische basismaatregelen blijven effectief: multifactor-authenticatie, netwerksegmentatie, offline back-ups en strikte rechten. Voeg daar EDR-beveiliging en patchbeleid met canary-testing aan toe. Rol updates gefaseerd uit en monitor actief op afwijkingen. Zo beperk je de impact van fouten, ook door AI.
Voor AI‑toepassingen werkt een sandbox met beperkte rechten en duidelijke grenzen. Zet mens-in-de-lus op kritieke handelingen en gebruik feature flags om snel uit te schakelen. Log prompts, acties en uitkomsten centraal om forensisch te kunnen aantonen wat er gebeurde. Dat versnelt zowel herstel als wettelijke meldingen.
Oefen elk kwartaal met een realistisch scenario: ransomware, cloudstoring of een AI‑agent die per ongeluk records wijzigt. Test dan niet alleen techniek, maar ook communicatie en besluitvorming. Meet hoelang herstel echt duurt en werk plannen bij. Alleen zo wordt drie dagen uitval beheersbaar in plaats van existentieel.
