Het Shared Service Centrum ONS (SSC-ONS) is een samenwerkingsverband van zes gemeenten en de provincie Overijssel. Vanuit Zwolle levert Ons gedeelde diensten op het gebied van IT, HR en inkoop. Cybersecurity en crisisbeheersing zijn binnen die IT-dienstverlening een belangrijke verantwoordelijkheid: een hack bij Ons raakt direct meerdere overheidsorganisaties en hun inwoners.
De uitdaging
Ons had de crisisorganisatie op papier goed staan, met een onderverdeling naar een operationeel/tactisch IT-deel en een strategisch deel. Wat ontbrak, was een realistische test van die structuur. Er was eerder geoefend op strategisch niveau, maar het IT-deel nog nooit samen in een realistisch scenario gewerkt. Daardoor bleef de vraag onbeantwoord of de structuur aan de IT-kant in de praktijk ook echt zou werken: kloppen de rollen, lopen de communicatielijnen tussen de teams en worden er onder druk daadwerkelijk besluiten genomen?
Daarnaast wilde Noor Felix, ICT Continuïteitsmanager en Privacy Officer bij Ons, expliciet een externe partij betrekken. Intern was er weinig ervaring met het opzetten van grootschalige crisisoefeningen, en juist de blik van buiten was nodig om scherp te krijgen wat in de huidige aanpak nog ontbrak.
Doelstellingen:
Ons zocht een oefening die zou helpen om:
• de bestaande IT-crisisstructuur (Operationeel en Tactisch) onder realistische omstandigheden te testen;
• de samenwerking en communicatie tussen het operationele/tactische IT-team te beproeven;
• rollen, mandaten en besluitvorming aan te scherpen, met name onder tijdsdruk;
• concrete leerpunten op te halen die in een vervolgtraject met roltrainingen en partneroefeningen verder uitgewerkt worden.
Waarom CCRC?
Noor had eerder deelgenomen aan een gezamenlijke oefening van CCRC voor beleidsmedewerkers van gemeenten en kende CCRC daardoor al. Toen Ons een externe partner zocht voor een eerste echt realistische oefening, was de stap naar CCRC snel gezet. Doorslaggevend waren de praktijkervaring van de trainers, de gestructureerde manier van werken en de bereidheid om het scenario écht aan te laten sluiten op de Ons-praktijk.
De aanpak
CCRC en Ons werkten veelvuldig samen aan de voorbereiding. Het scenario werd opgebouwd rond systemen, applicaties en medewerkers die ook in werkelijkheid bij Ons aanwezig zijn, zodat het herkenbaar bleef voor iedereen aan tafel. De simulatie startte klein, met een functioneel beheerder van wie de laptop geraakt werd, en escaleerde stap voor stap naar een kritieke applicatie voor fysiek toegangsbeheer, inclusief implicaties voor het datacenter.
Op de oefendag zelf werd vooral het operationele/tactische IT-team beproefd, met CCRC in de responscel op strategisch niveau om het scenario realistisch te laten verlopen. In drie rondes kwamen rollen, communicatielijnen en besluitvorming achter elkaar onder druk te staan. CCRC verzorgde aansluitend de evaluatie, waarin observaties uit de rondes en ervaringen van deelnemers gestructureerd op tafel kwamen.
Het resultaat
De oefening leverde Ons precies op wat de organisatie zocht: een realistische test van de eigen crisisstructuur, met concrete leerpunten. De basis bleek te staan en tegelijkertijd werd duidelijk waar nog werk te doen is, vooral rond besluitvorming onder tijdsdruk. Teams bleven soms te lang in een ‘informatie-loop’ hangen voordat ze knopen doorhakten.
Wat ook zichtbaar werd: de betrokkenheid in de organisatie zat goed. Na afloop bleef een groep managers en techneuten nog ruim een uur napraten over wat er beter kon en wat de volgende stap moest zijn. Dat momentum is precies wat Ons nodig had om het thema crisisbeheersing intern verder te brengen.
De opvolging
Voor de rest van het jaar staan roltrainingen op de planning om vooral de voorzitters- en loggerrol verder aan te scherpen. Daarnaast werkt Ons aan een interne trainingsmodule, zodat iedereen binnen de crisisorganisatie dezelfde taal spreekt. Aan het einde van het jaar volgt een vervolgoefening, dit keer samen met één van de partnergemeenten.
Doel: ook de keten beproeven en de mandaten die enkele jaren geleden zijn afgesproken weer onder de aandacht brengen. De ambitie voor de komende twaalf maanden is helder: niet alleen intern beter voorbereid zijn, maar ook samen met de partners stappen zetten in cyberweerbaarheid.