Wat is een bedrijfsimpactanalyse (BIA)?

Een bedrijfsimpactanalyse (BIA) is een systematisch proces dat de potentiele effecten van verstoringen op kritieke bedrijfsprocessen identificeert en evalueert. De BIA bepaalt welke processen essentieel zijn, hoe snel ze moeten worden hersteld (RTO), hoeveel gegevensverlies acceptabel is (RPO), de financiele en operationele impact van uitvaltijd en de afhankelijkheden tussen processen, systemen en leveranciers. De BIA vormt de basis voor bedrijfscontinuiteits- en disaster recovery-planning.

Wat is het verschil tussen BIA en risicobeoordeling?

Een risicobeoordeling identificeert bedreigingen en kwetsbaarheden die verstoringen kunnen veroorzaken, en schat hun waarschijnlijkheid en potentiele impact in. Een BIA richt zich op de gevolgen van verstoringen ongeacht de oorzaak — het bepaalt welke processen kritiek zijn, hoe snel ze moeten worden hersteld en de kosten van uitvaltijd. Een risicobeoordeling vraagt 'wat kan er misgaan?' terwijl een BIA vraagt 'wat gebeurt er als het misgaat?' Beide zijn complementair en worden door de meeste complianceframeworks vereist.

Recovery Time Objective (RTO) is de maximaal acceptabele tijd dat een bedrijfsproces offline kan zijn voordat er onacceptabele impact optreedt. Recovery Point Objective (RPO) is de maximaal acceptabele hoeveelheid gegevensverlies gemeten in tijd — als de RPO 1 uur is, moet u gegevens kunnen herstellen tot binnen 1 uur voor de verstoring. RTO bepaalt de vereisten voor herstelsnelheid en RPO bepaalt de backupfrequentie. Beide worden bepaald via het BIA-proces.

Hoe vaak moet een BIA worden bijgewerkt?

Een BIA moet minstens jaarlijks worden beoordeeld en bijgewerkt, en wanneer er significante wijzigingen optreden — nieuwe bedrijfsprocessen, grote systeemwijzigingen, organisatorische herstructurering, fusies of overnames, nieuwe regelgevingsvereisten of na een daadwerkelijke verstoring die lacunes aan het licht brengt. ISO 27001 en DORA vereisen regelmatige beoordeling. De meeste organisaties werken hun BIA jaarlijks bij met driemaandelijkse beoordelingen van RTO's en RPO's van kritieke processen.

Wie moet betrokken zijn bij het uitvoeren van een BIA?

Een BIA vereist input van bedrijfsproceseigenaren (die de operationele impact begrijpen), IT-teams (die systeemafhankelijkheden en herstelcapaciteiten kennen), financien (die de financiele impact kunnen kwantificeren), juridische zaken en compliance (die regelgevingsverplichtingen begrijpen), senior management (die middelen prioriteren) en externe belanghebbenden (die afhankelijkheden in de toeleveringsketen begrijpen). Een cross-functionele aanpak waarborgt dat de BIA de daadwerkelijke bedrijfsbehoeften weerspiegelt.

Wat is Maximaal Toelaatbare Uitvaltijd (MTD)?

Maximaal Toelaatbare Uitvaltijd (MTD), ook wel Maximum Tolerable Period of Disruption (MTPD) genoemd, is de absoluut langste tijd dat een bedrijfsproces onbeschikbaar kan zijn voordat de organisatie onomkeerbare schade lijdt — verlies van klanten, regelgevingsboetes, contractuele inbreuken of bedrijfsfalen. MTD is altijd langer dan RTO. RTO is de beoogde hersteltijd; MTD is het punt van geen terugkeer. Het verschil tussen RTO en MTD biedt een veiligheidsmarge.

Welke complianceframeworks vereisen een BIA?

ISO 27001 (A.5.29 — Bedrijfscontinuiteitsplanning), SOC 2 (A1.2 — Hersteldoelstellingen), NIS2 (Artikel 21(2)(c) — Bedrijfscontinuiteit en crisisbeheer) en DORA (Artikel 11(5) — BIA voor ICT-ondersteunde functies) vereisen allemaal een bedrijfsimpactanalyse. DORA schrijft specifiek BIA voor voor alle ICT-ondersteunde bedrijfsfuncties en vereist testing van herstel tegen door BIA bepaalde RTO's en RPO's.

Hoe bepaalt u de financiele impact van uitvaltijd?

Bereken de financiele impact door te combineren: direct omzetverlies (omzet per uur x verwachte uitvaltijd), productiviteitsverlies (personeelskosten per uur x getroffen medewerkers x uitvaltijd), contractuele boetes (kosten SLA-inbreuk), regelgevingsboetes (toepasselijke regelgevingsboetes), herstelkosten (noodrespons, overwerk, vervangende systemen), reputatieschade (geschat klantverlies en acquisitiekosten ter vervanging) en opportuniteitskosten (vertraagde projecten, verloren salespipeline). Druk de impact uit per uur en per dag uitvaltijd.

Bedrijfsimpactanalyse (BIA): de complete gids voor compliance- en beveiligingsteams

Published 8 mrt 2026

By Emre Salmanoglu

Bedrijfsimpactanalyse (BIA): de complete gids voor compliance- en beveiligingsteams

Leer hoe u een bedrijfsimpactanalyse uitvoert die voldoet aan ISO 27001, SOC 2, NIS2 en DORA-vereisten. Behandelt BIA-methodologie, RTO/RPO-bepaling, identificatie van kritieke processen en compliancebewijs.

BIA

bedrijfscontinuiteit

disaster recovery

risicobeoordeling

compliance

Wat is een bedrijfsimpactanalyse?

Een bedrijfsimpactanalyse (BIA) is een systematisch proces dat kritieke bedrijfsprocessen identificeert, de impact van verstoringen op die processen bepaalt en herstelpriioriteiten en -doelstellingen vaststelt. De BIA beantwoordt de fundamentele vraag: als dit proces stopt, wat gebeurt er dan met het bedrijf en hoe snel moet het worden hersteld?

Voor compliance-gedreven organisaties is de BIA een verplichte vereiste onder ISO 27001, SOC 2, NIS2 en DORA, en vormt het de basis voor bedrijfscontinuiteits- en disaster recovery-planning.

BIA-componenten

Component	Beschrijving	Resultaat
Procesidentificatie	Catalogiseer alle bedrijfsprocessen en hun eigenaren	Procesinventaris met kritiekheidsclassificaties
Impactbeoordeling	Bepaal de financiele, operationele en regelgevingsimpact van verstoringen	Impactscores per proces en tijdsbestek
Hersteldoelstellingen	Definieer RTO en RPO voor elk kritiek proces	Gedocumenteerde RTO/RPO-doelen
Afhankelijkheidsmapping	Identificeer afhankelijkheden van systemen, gegevens, personeel en leveranciers	Afhankelijkheidsmatrix
Bronvereisten	Bepaal de benodigde middelen voor herstel	Herstelbronnnenplan
Minimale bedrijfscontinuiteit	Definieer minimaal acceptabele serviceniveaus tijdens verstoringen	Minimale operationele vereisten

Hersteldoelstellingen

Meetwaarde	Definitie	Bepaalt
RTO	Maximaal acceptabele uitvaltijd voor herstel	Herstelsnelheid, infrastructuurontwerp
RPO	Maximaal acceptabel gegevensverlies	Backupfrequentie, replicatiestrategie
MTD/MTPD	Maximaal toelaatbare uitvaltijd voor onomkeerbare schade	Absolute hersteldeadline
WRT	Work Recovery Time — tijd om gegevens te verifieren en herstellen nadat systemen terugkeren	Totale hersteltijdlijn
MBCO	Minimale Bedrijfscontinuiteitsdoelstelling — minimaal acceptabel serviceniveau	Operaties in verminderde modus

Impactcategorieen

Categorie	Meting	Voorbeelden
Financieel	Omzetverlies, boetes, herstelkosten	EUR 50.000/uur omzetverlies, SLA-boetes
Operationeel	Procesverstoringen, productiviteitsverlies	200 medewerkers die niet kunnen werken
Regelgeving	Complianceschendingen, boetes	NIS2-meldingsfout, AVG-inbreuk
Reputatie	Klantvertrouwen, merkschade	Mediaberichtgeving, klantverloop
Contractueel	SLA-inbreuken, partnerverplichtingen	Gemiste leveringsverplichtingen
Juridisch	Rechtszaken, aansprakelijkheidsblootstelling	Nalatigheidsclams, regelgevingsactie

BIA-methodologie

Fase	Activiteiten	Deliverables
Planning	Bereik definiëren, belanghebbenden identificeren, vragenlijsten voorbereiden	BIA-projectplan, vragenlijstsjablonen
Gegevensverzameling	Proceseigenaren interviewen, documentatie beoordelen, processen in kaart brengen	Ingevulde vragenlijsten, proceskaarten
Analyse	Impact over tijd beoordelen, kritiekheid bepalen, RTO/RPO vaststellen	Impactanalyserapport, kritiekheidsmatrix
Validatie	Bevindingen beoordelen met belanghebbenden, afhankelijkheden verifieren	Gevalideerde BIA-resultaten
Rapportage	Bevindingen, aanbevelingen en herstelpriooriteiten documenteren	BIA-rapport met managementsamenvatting
Onderhoud	Jaarlijkse beoordeling, wijzigingsgestuurde updates	Bijgewerkte BIA-documentatie

Kritiekheidsclassificatie

Niveau	Beschrijving	RTO-doel	RPO-doel	Voorbeeld
Kritiek	Bedrijfsbedreigend bij verstoring	< 4 uur	< 1 uur	Betalingsverwerking, klantgericht platform
Hoog	Significante impact binnen uren	4-24 uur	1-4 uur	E-mail, CRM, ERP-systemen
Gemiddeld	Merkbare impact binnen dagen	1-3 dagen	24 uur	Interne rapportage, HR-systemen
Laag	Minimale korte-termijnimpact	3-7 dagen	24-48 uur	Trainingssystemen, archieven
Niet-kritiek	Geen directe bedrijfsimpact	7+ dagen	Wekelijks	Ontwikkelomgevingen

Compliancevereisten

Frameworkmapping

Vereiste	ISO 27001	SOC 2	NIS2	DORA
Bedrijfsimpactanalyse	A.5.29	A1.2	Art. 21(2)(c)	Art. 11(5)
Hersteldoelstellingen (RTO/RPO)	A.5.30	A1.2	Art. 21(2)(c)	Art. 11(6)
Afhankelijkheidsmapping	A.5.29	A1.2	Art. 21(2)(d)	Art. 11(5)
Testing tegen doelstellingen	A.5.30	A1.3	Art. 21(2)(c)	Art. 11(7)
Regelmatige beoordeling	A.5.29	A1.2	Art. 21(2)(c)	Art. 11(5)

Auditbewijs

Bewijstype	Beschrijving	Framework
BIA-rapport	Gedocumenteerde analyse van alle kritieke processen	Alle frameworks
RTO/RPO-register	Gedefinieerde hersteldoelstellingen voor alle kritieke processen	Alle frameworks
Afhankelijkheidsmatrix	Gedocumenteerde inter-proces- en systeemafhankelijkheden	Alle frameworks
Impactberekeningen	Gekwantificeerde financiele en operationele impact per proces	Alle frameworks
Goedkeuring belanghebbenden	Managementgoedkeuring van BIA-bevindingen en -prioriteiten	Alle frameworks
Testresultaten	Bewijs dat herstel voldoet aan BIA-doelstellingen	ISO 27001, DORA
Beoordelingsregistraties	Bewijs van jaarlijkse BIA-beoordeling en -updates	Alle frameworks

Veelgemaakte fouten

Fout	Risico	Oplossing
Alleen IT-BIA	Mist afhankelijkheden en impact van bedrijfsprocessen	Betrek bedrijfsproceseigenaren en financien
Statische BIA die nooit wordt bijgewerkt	Herstelplannen gebaseerd op verouderde bedrijfsvereisten	Jaarlijkse beoordeling plus wijzigingsgestuurde updates
Onrealistische RTO's	Kan gestelde hersteldoelstellingen in de praktijk niet halen	Valideer RTO's door testing, stem af op daadwerkelijke capaciteit
Ontbrekende afhankelijkheden	Herstel mislukt door onbekende upstream- of downstreamafhankelijkheden	Breng alle systeem-, gegevens-, personeel- en leveranciersafhankelijkheden in kaart
Geen financiele kwantificering	Kan herstelinvesteringen niet prioriteren	Bereken omzetverlies, productiviteitsverlies en boetes per uur
Toeleveringsketen negeren	Storingen bij derden veroorzaken onvoorziene bedrijfsverstoringen	Neem kritieke leveranciers en clouddiensten op in BIA-bereik

Hoe Orbiq BIA-compliance ondersteunt

Orbiq helpt u controles voor bedrijfsimpactanalyse aan te tonen:

Bewijsverzameling — Centraliseer BIA-rapporten, RTO/RPO-registers en testresultaten
Continue monitoring — Volg de herstelcapaciteit ten opzichte van BIA-doelstellingen
Trust Center — Deel uw bedrijfscontinuiteitshouding via uw Trust Center
Compliancemapping — Koppel BIA-controles aan ISO 27001, SOC 2, NIS2 en DORA
Auditgereedheid — Kant-en-klare bewijspakketten voor auditorsbeoordeling

Verder lezen

Bedrijfscontinuiteitsplanning — Plannen opstellen op basis van BIA-bevindingen
Disaster Recovery — Technisch herstel om BIA-doelstellingen te halen
Risicomanagement-frameworks — Risicobeoordeling als aanvulling op BIA
Incidentrespons — Reageren op verstoringen geidentificeerd door BIA
Derdenrisicobeheer — Beheer van leveranciersafhankelijkheden uit BIA