💼 Management Samenvatting
Een volwassen continuïteitsstrategie valt of staat met een strak geregisseerd testprogramma. Nederlandse overheidsorganisaties moeten kunnen aantonen dat scenario’s voor uitval, cyberaanvallen en ketenverstoringen niet alleen op papier bestaan, maar daadwerkelijk worden geoefend, gemeten en verbeterd. Dit artikel biedt een diepgaande blauwdruk voor het opzetten van zo’n programma, afgestemd op de eisen van de Nederlandse Baseline voor Veilige Cloud.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
240u (tech: 80u)
Van toepassing op:
✓ Azure
✓ M365
✓ On-premises
✓ Hybride omgevingen
✓ M365
✓ On-premises
✓ Hybride omgevingen
Zonder gestructureerde tests blijft het gissen of RPO- en RTO-doelen haalbaar zijn, of proceseigenaren en leveranciers hun rol begrijpen, en of bestuurlijke besluitvorming standhoudt onder druk. Bij een echte verstoring leidt dat tot escalaties die veel langer duren dan noodzakelijk, politieke en maatschappelijke schade, en gebrek aan bewijs richting toezichthouders zoals de Algemene Rekenkamer, de IBD of sectorale autoriteiten. Bovendien vereisen BIO, NIS2 en de Archiefwet dat de organisatie kan laten zien hoe plannen, draaiboeken en verbetermaatregelen actueel worden gehouden. Een testprogramma creëert dat bewijs en verkleint aantoonbaar het risico dat kritieke digitale dienstverlening stilvalt.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Azure Portal, Power Platform Admin Center
Connection:
Required Modules: Microsoft.Graph, Az.Accounts
Connection:
PowerShell, Microsoft Graph API, Azure CLIRequired Modules: Microsoft.Graph, Az.Accounts
Implementatie
In dit artikel beschrijven we hoe u het continuïteitstestprogramma verankert in governance, hoe u scenario’s selecteert die de gehele keten afdekken, hoe u oefeningen uitvoert met meetbare kwaliteitscriteria en hoe u leerpunten vertaalt naar structurele verbeteringen. We koppelen de aanpak aan concrete tooling en geautomatiseerde scripts, zodat u niet alleen beleid vastlegt maar ook operationele telemetrie verzamelt. Het resultaat is een toetsbaar programma waarbij direct duidelijk is welke processen zijn getest, welke bevindingen openstaan, hoe leveranciers zijn betrokken en welke controles binnenkort verlopen. Daarmee ontstaat een herhaalbare cyclus van plannen, oefenen, evalueren en rapporteren die bestuurders de zekerheid geeft dat continuïteit niet afhankelijk is van individuele medewerkers, maar geborgd is in processen, documentatie en automatisering.
Strategische verankering van het continuïteitstestprogramma
De basis van een geloofwaardig continuïteitstestprogramma ligt bij bestuurlijke verankering. Het college, bestuur of directie moet expliciet vastleggen dat een integraal testprogramma onderdeel vormt van de risicobeheersing. Dit besluit vertaalt zich naar een mandaat voor de CISO, de chief continuity officer of de CIO om middelen, capaciteit en tijd in te zetten. Vervolgens wordt het programma verbonden met de uitkomsten van de Business Impact Analyse: elk proces met een hoge kritikaliteit krijgt een expliciete testfrequentie, gekoppelde scenario’s en meetbare succescriteria. Door die koppeling ontstaat een directe lijn tussen strategische risico’s en concrete oefeningen. De organisatie toont daarmee aan dat beleidskeuzes niet alleen in beleidsnotities staan, maar periodiek zijn gevalideerd op effectiviteit.
Governance vormt de tweede pijler. Een stuurgroep met vertegenwoordiging van bestuur, proceseigenaren, IT-operations, security, privacy en communicatie stelt de jaaragenda vast en bewaakt de opvolging van bevindingen. Elk scenario wordt toegewezen aan een eigenaar die verantwoordelijk is voor documentatie, draaiboeken en evaluatie. In grotere organisaties is het verstandig om een gespecialiseerd coördinatieteam in te richten dat draaiboeken standaardiseert, testdata beheert en rapportages opstelt. Dit team fungeert als schakel tussen beleid en uitvoering: het vertaalt kaders naar praktische instructies, houdt sjablonen actueel en borgt dat lessons learned uit de ene keten ook worden bekeken voor andere diensten. Door deze rol expliciet te benoemen, voorkomt u dat het programma na een eerste enthousiasme terugvalt naar vrijblijvende initiatieven zonder structurele borging.
Een volwassen programma werkt met duidelijke prestatie-indicatoren. Organisaties registreren voor elk getest scenario welke doelstellingen golden, of die doelstellingen zijn gehaald, welke afwijkingen optraden en welke verbeteracties zijn afgesproken. Die gegevens worden niet begraven in losse documenten, maar vastgelegd in een centraal register met versiebeheer. Bestuurders krijgen hierdoor periodieke rapportages waarin zichtbaar is hoeveel scenario’s zijn geoefend, welk percentage van de kritieke processen recent is getest, en welke afhankelijkheden nog geen sluitend bewijs kennen. Door deze managementinformatie te koppelen aan risicokaarten, pen-test resultaten en veranderkalenders ontstaat een integraal beeld van de weerbaarheid. Het testprogramma is daarmee geen geïsoleerde oefening, maar een stuurinstrument dat prioriteiten herijkt zodra nieuwe dreigingen of beleidswijzigingen zich aandienen.
Tot slot moet de verankering zich uitstrekken tot leveranciers en ketenpartners. Contracten bevatten duidelijke bepalingen over deelname aan oefeningen, responstijden tijdens tests en het delen van logbestanden. Shared service organisaties leveren een kalender met beschikbare testslots en documenteren welke configuraties tijdelijk worden aangepast om een scenario te simuleren. Door deze afspraken in het testprogramma op te nemen, ontstaat traceerbaarheid: wanneer een SaaS-leverancier een wijziging plant of een leverancier aantoont dat failover succesvol is getest, wordt die informatie direct gekoppeld aan de interne continuïteitsregisters. Daardoor beschikken bestuurders over betrouwbaar bewijs dat niet alleen de eigen organisatie, maar de gehele keten aantoonbaar veerkrachtig is ingericht.
Scenarioportfolio en dekking van kritieke processen
Een effectief testprogramma bestrijkt de volledige waardeketen van identiteiten, netwerken, dataopslag en applicaties tot communicatielijnen en crisisorganisatie. Daarom start de scenarioselectie met een portfolioanalyse: welke gebeurtenissen houden bestuurders wakker, welke scenario’s komen in risicoregisters voor, welke wettelijke termijnen gelden en welke maatschappelijke impact is te verwachten. Door scenario’s te clusteren op thema’s zoals grootschalige ransomware, langdurige cloudstoring, verlies van identiteiten of uitval van leveranciers ontstaat overzicht. Elk cluster krijgt vervolgens representatieve scenario’s die variëren in complexiteit, zodat zowel bestuurlijke besluitvorming als technische herstelprocedures worden getest. De organisatie zorgt ervoor dat scenario’s ook ketenafhankelijkheden raken, zoals koppelingen met landelijke registers of lokale ketenpartners, zodat een realistisch beeld ontstaat van het gezamenlijke herstelvermogen.
De scenario’s worden onderbouwd met data uit monitoring, incidenthistorie en threat intelligence van onder andere NCSC, DTC en sectorale CERT’s. In plaats van generieke omschrijvingen gebruikt de organisatie concrete triggers: wat gebeurt er als SaaS-leverancier X de service opschort, welke data zijn geraakt wanneer het primaire storage-cluster uitvalt, of welke inwoners worden getroffen als een burgerportaal onbeschikbaar wordt tijdens een verkiezingsperiode. Voor elk scenario worden de afhankelijke processen, betrokken teams en benodigde tooling expliciet benoemd. Door die detaillering kunnen oefeningen exact nabootsen waar knelpunten ontstaan, bijvoorbeeld dat het crisisteam wacht op rapportages die pas beschikbaar zijn na een handmatige export, of dat een leverancier geen toegang krijgt tot de uitwijkomgeving vanwege ontbrekende accounts.
Een scenarioportfolio omvat tevens de verschillende oefenvormen: tabletop-sessies voor strategische besluitvorming, technische drills voor herstelprocedures en full-scale oefeningen waarin besluitvorming, communicatie en uitvoering samenkomen. De frequentie wordt afgestemd op de kritikaliteit van processen; een systeem voor uitkeringstoekenning wordt minimaal jaarlijks getest, terwijl een ondersteunende dienst mogelijk eens per twee jaar volstaat. Elke oefenvorm kent zijn eigen voorbereidingscyclus, documentatie en evaluatiecriteria. Door deze variatie blijven teams alert, wordt kennis geborgd en worden zowel technische als organisatorische verbeterpunten zichtbaar. Bovendien kan de organisatie verschillende maturity-levels aantonen: een proces dat alleen tabletop-oefeningen kent, staat geregistreerd als “beperkt gevalideerd”, terwijl processen met gecombineerde drills de status “operationeel bewezen” krijgen.
Een laatste onderdeel van het scenarioportfolio is de koppeling met externe verplichtingen. Sectorale toezichthouders of ministeries kunnen specifieke scenario’s voorschrijven, bijvoorbeeld testcases voor noodverordeningen, gezondheidszorgketens of waterveiligheid. Het programma houdt per scenario bij welke wettelijke eisen worden gedekt en welk bewijs beschikbaar is. Zo kan een gemeente aantonen dat het scenario “registratiesysteem niet beschikbaar tijdens verkiezing” is getest met deelname van de Kiesraad, terwijl een ministerie kan laten zien dat de scenario’s voor informatie-uitwisseling met Europese agentschappen zijn afgestemd met de betreffende Europese toezichthouders. Deze traceerbaarheid maakt het onderscheid tussen willekeurige oefeningen en een professioneel testprogramma dat de volledige compliance-lat haalt.
Uitvoering, telemetry en monitoring van oefeningen
Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Inventariseert de kernartefacten van het continuïteitstestprogramma, controleert actualiteit en signaleert hiaten in draaiboeken, kalenders en evaluatieregisters..
Wanneer de scenario’s zijn gekozen, begint het echte werk: het plannen en uitvoeren van oefeningen met duidelijke kwaliteitscriteria. Elk scenario krijgt een draaiboek waarin de fasering, injects, communicatielijnen en stopcriteria zijn beschreven. Voor technische drills omvat dit onder meer welke back-upsets worden gebruikt, welke uitwijklocatie wordt geactiveerd en hoe identiteitsvoorzieningen worden hersteld. Voor bestuurlijke sessies beschrijft het draaiboek hoe besluitvorming verloopt, welke rapportages beschikbaar zijn en hoe escalaties richting bestuur en externe stakeholders worden afgehandeld. Het programma reserveert tijd in de reguliere planning- en controlcyclus, zodat oefeningen nooit worden uitgesteld vanwege andere projecten. Door dit ritme te borgen, ontstaat voorspelbaarheid en acceptatie bij teams.
Tijdens de uitvoering wordt rijke telemetry verzameld. Observatoren noteren beslissingen, responstijden, communicatieproblemen en technische stappen. Logging uit Azure Monitor, Microsoft 365 Defender, firewallplatformen en identiteitssystemen wordt veilig opgeslagen zodat analyses achteraf objectief zijn. Deze data maakt het mogelijk om tijdens de after action review te laten zien hoeveel tijd een failover kostte, welke alerts werden afgehandeld en waar handmatige stappen noodzakelijk bleken. Door instrumentation van oefeningen te koppelen aan SIEM-dashboards en projecttools ontstaat een integraal beeld dat niet afhankelijk is van anekdotes. Bovendien kunnen auditors de ruwe data raadplegen wanneer zij de betrouwbaarheid van een rapportage toetsen.
Automatisering versnelt deze monitoring. Het gekoppelde PowerShell-script controleert of kernartefacten zoals het programcharter, de oefenkalender, de scenario-catalogus en het evaluatieregister bestaan, recent zijn bijgewerkt en inhoud bevatten. Daarmee kan het testteam dagelijks of wekelijks controleren of administratieve randvoorwaarden op orde zijn voordat een oefening start. Elimineer manuele controles door het script in te plannen binnen een DevOps-pijplijn of een gepland taakje; het outputbestand kan direct worden toegevoegd aan rapportages aan de stuurgroep. Zo is binnen enkele seconden zichtbaar of documentatie, contactlijsten en evaluatiedossiers actueel zijn, zonder dat iemand mappen hoeft te doorzoeken.
De monitoringresultaten vloeien terug naar governance. Samenvattingen tonen in één oogopslag welke scenario’s klaarstaan voor uitvoering, welke bevindingen nog openstaan, en waar aanvullende middelen of leveranciersafspraken nodig zijn. Door deze gegevens te combineren met risico-indicatoren en productie-telemetrie ontstaat een dashboard waarmee bestuurders tijdig kunnen bijsturen. Blijkt bijvoorbeeld dat drie kritieke scenario’s niet op tijd zijn geoefend, dan kan de stuurgroep extra capaciteit vrijmaken of een leverancier verplichten versneld deel te nemen. Monitoring is daarmee niet alleen een controlemechanisme, maar een stuurmiddel om het programma dynamisch te houden.
Evaluatie, remediatie en continue verbetering
Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Maakt waar nodig sjablonen aan voor ontbrekende testprogrammadocumentatie en levert een overzicht van openstaande acties per scenario..
Een testprogramma levert pas waarde wanneer bevindingen worden omgezet in verbetermaatregelen met eigenaarschap, budget en deadlines. Daarom organiseert de organisatie direct na elke oefening een eerste debriefing, gevolgd door een uitgebreide after action review met vertegenwoordigers van alle betrokken teams. Bevindingen worden gecategoriseerd naar thema’s zoals techniek, organisatie, communicatie, leveranciers of regelgeving. Elke bevinding krijgt een eigenaar, prioriteit, deadline en status. Dit register wordt onderdeel van de reguliere portfoliosturing, zodat verbeteracties dezelfde aandacht krijgen als projecten en releases. Door deze aanpak is transparant welke maatregelen al zijn afgerond en welke nog wachten op besluitvorming.
Remediatie vraagt ook om consistentie in documentatie. Het script genereert templates voor ontbrekende artefacten en controleert of bestaande documenten recent zijn bijgewerkt. Hierdoor worden leemtes snel ontdekt: ontbreekt een scenario-beschrijving, een evaluatierapport of een contactlijst, dan krijgt het team een directe melding. De templates zijn afgestemd op de eisen van BIO en NIS2, met secties voor doelstellingen, scope, afhankelijkheden, juridische verwijzingen en logging. Dit verkort de tijd om nieuwe scenario’s uit te werken en voorkomt dat verschillende teams ieder hun eigen format gebruiken. Bovendien ontstaat een auditspoor van wanneer documenten zijn aangemaakt of bijgewerkt.
De verbetercyclus koppelt ook terug naar leveranciers en ketenpartners. Bevindingen die betrekking hebben op gedeelde diensten worden gedeeld via contractuele overlegstructuren, zodat leveranciers hun eigen verbeterplan kunnen aanleveren. De organisatie bewaakt dat afspraken daadwerkelijk worden nagekomen en legt escalaties vast wanneer dat niet gebeurt. Hierdoor groeit het onderlinge vertrouwen en kunnen organisaties aantonen dat zij ketenrisico’s actief beheersen. Dit is essentieel voor NIS2, dat scherp toeziet op supply-chain security. Door leveranciersresultaten te loggen in dezelfde registers ontstaat een compleet beeld van de ketenweerbaarheid.
Ten slotte wordt het programma periodiek geëvalueerd op volwassenheid. Met behulp van maturity-assessments en trendanalyses beoordeelt de organisatie of scenario’s voldoende dekkend zijn, of oefeningen de juiste mix van besluitvorming en techniek bevatten, en of lessons learned daadwerkelijk leiden tot herontwerp van architecturen of processen. De resultaten worden gedeeld met bestuurders en toezichthouders, inclusief concrete KPI’s zoals het percentage scenario’s met bewezen RTO, de gemiddelde doorlooptijd van verbeteracties en de mate waarin leveranciers hebben deelgenomen. Deze transparantie laat zien dat continu verbeterd wordt en dat de organisatie niet alleen reageert op incidenten, maar proactief investeert in veerkracht.
Compliance & Frameworks
- BIO: 12.02, 12.03, 17.03, 18.01 - Eist periodieke beproeving van continuïteitsmaatregelen, gedocumenteerde herstelprocedures en aantoonbaar eigenaarschap.
- ISO 27001:2022: A.5.30, A.17.1.1, A.17.1.2, A.18.2.3 - Richt zich op planning van informatiebeveiligingscontinuïteit, testresultaten en bewijslast richting audits.
- NIS2: Artikel - Verplicht kritieke en belangrijke entiteiten om operationele continuïteit te testen, tekortkomingen te remediëren en bewijslast beschikbaar te houden.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Monitoring en remediatie voor het continuïteitstestprogramma.
.DESCRIPTION
Controleert of de kernartefacten van het testprogramma bestaan en actueel zijn
en genereert waar nodig standaardsjablonen voor ontbrekende documentatie.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Last Modified: 2025-11-27
Version: 1.0
Related JSON: content/continuiteit/testprogramma/index.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Monitoring
Voert een compliancecheck uit op de kernartefacten van het continuïteitstestprogramma.
.EXAMPLE
.\index.ps1 -Remediation
Maakt sjablonen aan voor ontbrekende documenten en rapporteert openstaande acties.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Controleer de status van het continuïteitstestprogramma.")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Genereer ontbrekende documenten en rapporteer open acties.")]
[switch]$Remediation,
[Parameter(HelpMessage = "Toon welke acties uitgevoerd zouden worden zonder wijzigingen aan te brengen.")]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de root van de repository op basis van PSScriptRoot.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen vanaf $PSScriptRoot."
}
return $root.Path
}
function Get-TestProgramContext {
<#
.SYNOPSIS
Stelt de context samen voor het continuïteitstestprogramma.
.OUTPUTS
PSCustomObject met repository-root, documentatiepad en artefactdefinities.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$docRoot = Join-Path $repoRoot "documentatie\continuiteit-testprogramma"
$artifacts = @(
@{
Name = "Programcharter"
FileName = "testprogramma-charter.md"
MaxAgeDays = 365
Description= "Mandaat, scope, governance en besluitvorming voor het testprogramma."
},
@{
Name = "Oefenkalender"
FileName = "testprogramma-kalender.md"
MaxAgeDays = 120
Description= "Overzicht van geplande en uitgevoerde scenario’s met betrokken teams."
},
@{
Name = "Scenario-catalogus"
FileName = "scenario-catalogus.md"
MaxAgeDays = 180
Description= "Beschrijft scenario’s, afhankelijkheden, RPO/RTO en testdoelstellingen."
},
@{
Name = "Evaluatieregister"
FileName = "evaluatie-register.md"
MaxAgeDays = 90
Description= "After action reviews, verbetermaatregelen en opvolgstatus."
}
)
[pscustomobject]@{
RepositoryRoot = $repoRoot
DocumentationRoot = $docRoot
Artifacts = $artifacts
}
}
function Get-TestProgramArtifacts {
<#
.SYNOPSIS
Controleert de aanwezigheid en actualiteit van programmadocumenten.
.OUTPUTS
Array van PSCustomObjects met statusinformatie.
#>
[CmdletBinding()]
param()
$context = Get-TestProgramContext
$results = @()
foreach ($artifact in $context.Artifacts) {
$fullPath = Join-Path $context.DocumentationRoot $artifact.FileName
$exists = Test-Path -Path $fullPath -PathType Leaf
$ageDays = $null
$isFresh = $false
if ($exists) {
$lastWrite = (Get-Item -Path $fullPath).LastWriteTime
$ageDays = (New-TimeSpan -Start $lastWrite -End (Get-Date)).Days
$isFresh = $ageDays -lt $artifact.MaxAgeDays
}
$results += [pscustomobject]@{
Name = $artifact.Name
Path = $fullPath
Exists = $exists
AgeDays = $ageDays
IsFresh = $isFresh
MaxAgeDays = $artifact.MaxAgeDays
Description = $artifact.Description
DocumentationRoot = $context.DocumentationRoot
}
}
return $results
}
function New-TestProgramTemplate {
<#
.SYNOPSIS
Maakt een Markdown-template voor een testprogramma-artefact.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$Path,
[Parameter(Mandatory = $true)]
[string]$Title,
[Parameter(Mandatory = $true)]
[string]$Description
)
$folder = Split-Path -Path $Path -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$content = @"
# $Title
**Laatst bijgewerkt:** $(Get-Date -Format "yyyy-MM-dd")
**Beschrijving:** $Description
**Eigenaar:** [Naam / functie]
## 1. Context en scope
Beschrijf waarom dit document essentieel is binnen het continuïteitstestprogramma, inclusief verwijzingen naar relevante processen, wetgeving en BIA-resultaten.
## 2. Rollen en verantwoordelijkheden
Leg vast wie eigenaar is, wie wijzigingen mag goedkeuren en hoe escalaties verlopen.
## 3. Detailinformatie
Vul hier de kerninhoud van het artefact in, zoals scenario’s, tijdslijnen, meetpunten, afhankelijkheden en communicatieafspraken.
## 4. Onderhoud en versiebeheer
Beschrijf hoe vaak dit document wordt herzien, hoe updates worden geregistreerd en hoe audittrailinformatie wordt vastgelegd.
"@
$content | Out-File -FilePath $Path -Encoding UTF8 -Force
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert een compliancecheck uit en rapporteert ontbrekende of verouderde documenten.
#>
[CmdletBinding()]
param()
Write-Host "`nContinuïteitstestprogramma: monitoring" -ForegroundColor Cyan
Write-Host "======================================" -ForegroundColor Cyan
$artifacts = Get-TestProgramArtifacts
$missing = $artifacts | Where-Object { -not $_.Exists }
$stale = $artifacts | Where-Object { $_.Exists -and -not $_.IsFresh }
foreach ($artifact in $artifacts) {
if (-not $artifact.Exists) {
Write-Host (" ❌ Ontbreekt: {0}" -f $artifact.Name) -ForegroundColor Red
}
elseif (-not $artifact.IsFresh) {
Write-Host (" ⚠️ Verouderd ({0} dagen): {1}" -f $artifact.AgeDays, $artifact.Name) -ForegroundColor Yellow
}
else {
Write-Host (" ✅ Actueel: {0}" -f $artifact.Name) -ForegroundColor Green
}
}
if (($missing.Count -eq 0) -and ($stale.Count -eq 0)) {
Write-Host "`n✅ Alle kernartefacten bestaan en zijn actueel." -ForegroundColor Green
}
else {
Write-Host "`n❌ Programma-onvolledigheden gedetecteerd." -ForegroundColor Red
Write-Host "Gebruik -Remediation om sjablonen aan te maken of documenten bij te werken." -ForegroundColor Yellow
}
return [pscustomobject]@{
Artifacts = $artifacts
Missing = $missing
Stale = $stale
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert ontbrekende documenten en rapporteert openstaande acties.
#>
[CmdletBinding()]
param()
Write-Host "`nContinuïteitstestprogramma: remediatie" -ForegroundColor Cyan
Write-Host "======================================" -ForegroundColor Cyan
$artifacts = Get-TestProgramArtifacts
$actions = @()
foreach ($artifact in $artifacts) {
$action = [pscustomobject]@{
Name = $artifact.Name
Path = $artifact.Path
Exists = $artifact.Exists
IsFresh = $artifact.IsFresh
ActionTaken = "None"
}
if (-not $artifact.Exists) {
if ($WhatIf) {
Write-Host (" [WhatIf] Zou template aanmaken: {0}" -f $artifact.Path) -ForegroundColor Yellow
$action.ActionTaken = "PlannedTemplate"
}
else {
Write-Host (" ⚙️ Template aanmaken voor {0}" -f $artifact.Name) -ForegroundColor Yellow
New-TestProgramTemplate -Path $artifact.Path -Title $artifact.Name -Description $artifact.Description
Write-Host (" Template aangemaakt: {0}" -f $artifact.Path) -ForegroundColor Green
$action.ActionTaken = "TemplateCreated"
$action.Exists = $true
$action.IsFresh = $true
}
}
elseif (-not $artifact.IsFresh) {
$action.ActionTaken = "NeedsUpdate"
Write-Host (" ⚠️ Document bijwerken aanbevolen: {0}" -f $artifact.Path) -ForegroundColor Yellow
}
$actions += $action
}
$needsUpdate = $actions | Where-Object { $_.ActionTaken -eq "NeedsUpdate" }
if ($needsUpdate) {
Write-Host "`nDocumenten ouder dan hun maximale levensduur:" -ForegroundColor Yellow
foreach ($item in $needsUpdate) {
Write-Host (" - {0}" -f $item.Path) -ForegroundColor Yellow
}
}
return $actions
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Continuïteitstestprogramma Toolkit" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
Invoke-Monitoring | Out-Null
}
elseif ($Remediation) {
Invoke-Remediation | Out-Null
}
else {
Invoke-Monitoring | Out-Null
}
}
catch {
Write-Error "Fout in index.ps1: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder gestructureerd testprogramma weet de organisatie niet of herstelprocedures werken, blijft compliancebewijs uit en ontstaat grote maatschappelijke en politieke schade bij incidenten.
Management Samenvatting
Veranker continuïteitstesten bestuurlijk, ontwikkel een scenarioportfolio dat de volledige keten raakt, verzamel tijdens oefeningen harde telemetry en vertaal bevindingen naar een continue verbetercyclus ondersteund door automatisering en heldere documentatie.
- Implementatietijd: 240 uur
- FTE required: 0.8 FTE