Skip to main content
# ,
23 april 2025
Samenvatting
De Rijksoverheid heeft nieuwe richtlijnen voor risicomanagement in digitale ketens gepubliceerd. In dit drieluik verken ik de documenten en hun samenhang. Deel I gaat in op het ‘wat’: de beleidsuitgangspunten.
Volg qeep
# ,

Risicomanagement deel 1/3

Het ‘wat’ in beleidsuitgangspunten
23 april 2025

In januari publiceerde de Rijksoverheid nieuwe richtlijnen voor risicomanagement in digitale ketens. Die helpen organisaties om beter om te gaan met risico’s zoals cyberaanvallen, menselijke fouten en systeemkwetsbaarheden. Hoewel bedoeld voor rijksketens, bieden ze ook waardevolle inzichten voor gemeenten. Wat betekenen deze richtlijnen in de praktijk? In dit drieluik verken ik de documenten en hun samenhang. Deel I gaat in op het ‘wat’: de beleidsuitgangspunten.

Inschrijven qeep posted nieuwsbrief (3-4x per jaar)
Inschrijven nieuwsbrief

Risicomanagement in overheidsketens

Het belang van dezelfde taal spreken

Digitale veiligheid is essentieel voor een overheid die goed wil (blijven) functioneren. Daarom heeft de Rijksoverheid nieuw beleid gemaakt voor het omgaan met risico’s binnen overheidsketens. In ketens waarin meerdere departementen samenwerken, kunnen risico’s invloed hebben op de gezamenlijke doelstellingen. Die samenwerking staat steeds meer onder druk door een toenemend aantal digitale dreigingen, dat steeds complexer en professioneler wordt.

Denk bijvoorbeeld aan ransomware-aanvallen, phishingcampagnes die op (top)ambtenaren gericht zijn, datalekken of kwetsbaarheden in software van leveranciers (supply chain attacks). Ook statelijke actoren proberen via cyberspionage toegang te krijgen tot gevoelige overheidsinformatie. Om dit soort risico’s beter aan te pakken, is er een gezamenlijke en gestructureerde manier van werken nodig. Met dit beleid wil de overheid de digitale weerbaarheid van departementen versterken. Maar het is natuurlijk breder toepasbaar.

Het beleid benadert risicomanagement vanuit het perspectief van digitale weerbaarheid en laat zien welke rol bestuurders en lijnmanagers hierin hebben. Het doel? Zorgen dat risico’s die belangrijke informatie in de keten in gevaar kunnen brengen, zoveel mogelijk worden beperkt. Dat gebeurt met een samenhangend pakket aan maatregelen. Maar wat betekent dat nou in de praktijk? In dit eerste deel van het drieluik kijken we naar de hoofdlijnen van het beleid: wat wordt er precies verwacht en waarom is dat zo belangrijk?

Voor wie is het beleid bedoeld?

Het beleid richt zich vooral op bestuurders en lijnmanagers. Zij zijn uiteindelijk verantwoordelijk voor het beheersen van risico’s binnen de keten waarin ze werken. Uiteraard hoeven ze dat niet alleen te doen. Ze worden ondersteund door specialisten, zoals de Chief Information Security Officer (CISO), Information Security Officers (ISO’s) en risicomanagers. Die helpen bij het uitvoeren, in de gaten houden en verbeteren van de digitale weerbaarheid. Lees ook mijn eerdere blog over de positie van de CISO in the Three Lines (of Defense) model.

Voor die specialisten is er een implementatiekader: een praktisch stappenplan om bestuurders en managers goed te kunnen ondersteunen. Daarin staan processen, afspraken en technieken die je helpen om aan de slag te gaan (daar duiken we in deel II van het drieluik dieper in). Daarnaast is er een handreiking (deel III van dit drieluik) met voorbeelden uit de praktijk. Die kunnen als inspiratie dienen of helpen om een vertaalslag naar de eigen organisatie te maken.

Daarnaast is het beleid relevant voor álle ketenpartners: dus alle overheidsorganisaties die met elkaar samenwerken en afhankelijk zijn van elkaars digitale weerbaarheid. Net zoals dat geldt voor de huidige Baseline Informatiebeveiliging Overheid (BIO) en de komende BIO2. Want als je samen optrekt, kun je dreigingen sneller herkennen en beter samenwerken aan oplossingen.

“Deze aanpak sluit goed aan bij de bekende PDCA-cyclus (Plan-Do-Check-Act) en vormt daarmee de basis voor een Information Security Management System (ISMS).”

Wat bedoelen we met risicomanagement?

Het beleid is gebaseerd op de internationale standaard NEN-ISO 31000. Dit klinkt misschien technisch, maar het komt erop neer dat je op een gestructureerde en eenduidige manier met risico’s omgaat. Zo kunnen overheidsorganisaties samen beter onderbouwde beslissingen nemen als het gaat om digitale veiligheid. Daarnaast sluit het beleid aan op Europese en Nederlandse regels en richtlijnen, zoals NIS2, de BIO en het ENISA-raamwerk. De vier belangrijkste pijlers van het beleid zijn:

  1. Inzicht krijgen in risico’s en afhankelijkheden: Welke partijen werken samen in de keten? Welke informatie is écht belangrijk, en aan welke eisen moet die voldoen op het gebied van beschikbaarheid, betrouwbaarheid en vertrouwelijkheid
  2. Dreigingen en kwetsbaarheden herkennen: Wat kan er misgaan, en welke maatregelen zijn nodig om schade te beperken als het tóch gebeurt?
  3. Continu blijven checken: Zijn de maatregelen effectief? Zijn er nieuwe risico’s bijgekomen?
  4. Blijven verbeteren: Waar het beter kan, moet je bijsturen om de digitale weerbaarheid te versterken.

Door risico’s op deze manier aan te pakken, verklein je de kans dat een cyberincident de hele keten raakt en ontstaat er meer grip op de digitale weerbaarheid. Deze aanpak sluit goed aan bij de bekende PDCA-cyclus (Plan-Do-Check-Act) en vormt daarmee de basis voor een Information Security Management System (ISMS). Wil je meer weten over het inrichten van een ISMS? Lees dan mijn eerdere blog ‘Het ISMS onder de BIO2’.

Wanneer is risicomanagement af?

Een veelvoorkomende valkuil

Het beleid waarschuwt ook voor een veelvoorkomende valkuil: het idee dat alles onder controle is, terwijl dat niet zo is. Soms blijven risico’s of niet-werkende maatregelen onopgemerkt, waardoor verkeerde prioriteiten worden gesteld en middelen niet effectief worden ingezet. Dit kan leiden tot:

  • Onnodige uitgaven aan risicobeheersing die niet bijdragen aan de veiligheid.
  • Een verkeerde inschatting van dreigingen en kwetsbaarheden.
  • Te veel focus op bepaalde risico’s terwijl grotere gevaren worden overzien.

Daarom benadrukt het beleid dat risicomanagement niet statisch is, maar een doorlopend en adaptief proces dat meebeweegt met de organisatie en het dreigingslandschap. Dat sluit ook naadloos aan bij het cyclische karakter van het ISMS.

Hoe helpt dit bij de NIS2-wetgeving?

De Europese NIS2-richtlijn, in Nederland uitgewerkt in de Cyberbeveiligingswet (Cbw), stelt strengere eisen aan digitale veiligheid en het omgaan met risico’s binnen vitale sectoren, zoals de overheid. Dit nieuwe beleid helpt overheidsorganisaties en samenwerkende ketens om aan die eisen te voldoen. Een belangrijk onderdeel hiervan is dat bestuurders moeten bepalen welke risico’s acceptabel zijn, én moeten vastleggen wie er mag beslissen over grotere, zwaardere risico’s. Door met dit (risicomanagement)beleid aan de slag te gaan, zijn ketenpartners:

  • Beter in staat om risico’s te herkennen en beheersbaar te maken.
  • Meer bewust van hoe afhankelijk ze van elkaar zijn in de keten, en wat dat betekent voor hun digitale weerbaarheid.
  • Goed voorbereid om te voldoen aan de wettelijke eisen van NIS2 en de BIO2.

Anders gezegd: het ISMS met als één van de belangrijkste ingrediënten het (strategisch) risicomanagement, is hét instrument om bestuurders in staat te stellen de verantwoordelijkheid te (kunnen) nemen die ze vanuit de Cbw krijgen op het gebied van informatiebeveiliging.

Risicomanagement als continu proces

Risicomanagement is geen eenmalige checklist. Het is een doorlopend proces dat blijvend aandacht vraagt en onderdeel moet worden van de manier van werken binnen een organisatie. Dit betekent dat:

  • De organisatie een raamwerk voor risicomanagement dient toe te passen. Voor de hand ligt de al genoemde ISO 31000, maar voor informatiebeveiliging kan dat ook ISO 27005 zijn. Het Nationaal Cyber Security Center (NCSC) vergelijkt nog meer raamwerken in deze publicatie.
  • Minstens één keer per jaar wordt gecontroleerd of de maatregelen die je hebt genomen nog steeds effectief en actueel zijn.
  • Nieuwe dreigingen en kwetsbaarheden regelmatig worden geëvalueerd en meegenomen in de risicoanalyse. Ook dit dient minimaal jaarlijks te gebeuren.
  • Risico-rapportages onderdeel worden van de reguliere managementprocessen, zodat het geen losstaand iets blijft.
  • Er duidelijke afspraken zijn over wat te doen bij een cyberincident, wie doet wat en hoe snel kan er gehandeld worden.

Zo zorg je ervoor dat je organisatie niet pas in actie komt als er iets misgaat, maar dat je proactief en voortdurend werkt aan het verbeteren van de digitale veiligheid. Binnen deze aanpak is risicomanagement een continu proces, wat belangrijk is om mee te bewegen en in te spelen op nieuwe dreigingen en ontwikkelingen. Dit helpt niet alleen om te voldoen aan wet- en regelgeving, zoals NIS2 en de BIO, maar draagt ook bij aan een weerbare en goed georganiseerde digitale overheid.

“Een ISMS met (strategisch) risicomanagement als één van de belangrijkste ingrediënten is hét instrument voor bestuurders.”

Wat betekent dit in de praktijk?

En wánneer komen deel II en III online?

Dankzij dit beleid voor risicomanagement krijgen overheidsorganisaties meer grip op digitale risico’s en kunnen ze beter inspelen op dreigingen. Het helpt om gestructureerd samen te werken, scherp te blijven op kwetsbaarheden en sneller te reageren bij incidenten. Maar hoe zorg je ervoor dat dit beleid ook echt goed landt in de organisatie? En hoe maak je het werkbaar voor bestuurders, managers en specialisten?

In de volgende delen van dit drieluik ga ik daar dieper op in. In deel II kijken we naar de implementatie: hoe pak je dat aan, welke stappen zijn nodig, en wie speelt welke rol? Deel III biedt praktische handvatten en voorbeelden uit de praktijk om zelf mee aan de slag te gaan. Zo wordt duidelijk hoe je beleid vertaalt naar dagelijkse werkprocessen en concrete acties. De (vervolg)delen komen de resp. mei en juni online.

Meer blogs lezen
Renco Schoemaker
Senior Adviseur Security & Privacy bij qeep IT safe.
r.schoemaker@qeep.nl
Meer van Renco

Recente blogs