Het leuke van taal is, dat in woorden en begrippen vaak perspectief verborgen ligt. In het Nederlands heeft “veerkracht” bijvoorbeeld positieve connotatie heeft, terwijl “Widerstandsfähigkeit“ of bijvoorbeeld “resilience“ eerder een bijklank hebben van hard werken of tegenstand bieden. En toch zijn het woorden die synoniem worden gebruikt.
Eerlijk gezegd is het hard werken om ervoor te zorgen dat de verkeerde dingen niet de overhand nemen. Zo kijkt de toezichthouder er ook naar als het om operational resilience gaat. Het gaat er dan om dat organisaties blijven functioneren als er iets onverwachts gebeurt. Risicomanagement, incidentmanagement, IT-security en Business Continuity Management zijn begrippen die bedrijven en organisaties daarbij al lang begeleiden. Maar toch zijn er dingen, zeker aan het begin van de COVID-19 crisis, ook niet zo goed gegaan. Denk bijvoorbeeld aan capaciteitsproblemen. Herinnert u zich nog dat het beter was om niet precies op een heel of half uur met een teleconferentie te starten, omdat er dan geen doorkomen aan was? IT moest alle capaciteit bijzetten en dan nog waren bepaalde systemen te langzaam en kwetsbaar. Des te knapper dat er in een snel tempo werd gedigitaliseerd en dat die ontwikkeling enorm snel gaat. En juist daar maakt de toezichthouder zich zorgen over.
Het gaat er dus om snel op onverwachte gebeurtenissen te kunnen reageren.
Frank Elderson, nu werkzaam bij de ECB, vroeg zich op 30.09.2021 af of de veerkrachtontwikkeling meekomt met de snelle digitale ontwikkeling. Dat is een kritisch punt. Naast kunstmatige intelligentie gaat het ook om toegenomen afhankelijkheden van business processen van IT en sommige specialisten en daarnaast over cybercrime. Met het oog op dat laatste kwam de EU met nieuwe wetgeving, waarvan DORA de bekendste is. Het gaat hierbij om ICT-Risk, ICT-incidents, testen van IT, outsourcing-risico’s en het delen van informatie met betrekking tot ICT-Risk. De toezichthouders kijken naar prudentie en gedrag, waarbij schade voor klanten en marktintegriteit centraal staan.
Het gaat er dus om snel op onverwachte gebeurtenissen te kunnen reageren. Net als in de generale staf van het leger, moeten riskmanagers snel over de actuele data en te verwachten veranderingen kunnen beschikken, om op die basis de tactiek voor de volgende fase te kunnen vastleggen. In het verleden hebben we te vaak (te) laat gereageerd: de Millenniumbug in 2000, de aanslag op het WTC in New York en nu dus COVID-19. Het gaat er volgens mij om vooruit te kijken en scenario’s te simuleren. Dan kunnen we de potentiële breekpunten in processen beter voorzien. Bijvoorbeeld zoals Israël zich op de vierde Coronagolf voorbereidde. Zij zijn nu (weer) voorbeeld voor de rest in de wereld. Doen wij er ook iets mee?
Deze blog is op persoonlijke titel geschreven.
