Skip to main content
# ,
24 mei 2025
Samenvatting
De Rijksoverheid heeft nieuwe richtlijnen voor risicomanagement gepubliceerd. In dit drieluik verken ik de documenten en hun samenhang. Deel II gaat in op het ‘hoe’: de implementatiekaders.
Volg qeep
# ,

Risicomanagement deel 2/3

Het ‘hoe’ in implementatiekaders
24 mei 2025

Begin dit jaar publiceerde de Rijksoverheid nieuwe richtlijnen voor risicomanagement in digitale ketens. In deel I van dit drieluik beschreef ik waarom risicomanagement zo belangrijk is voor de digitale weerbaarheid van overheidsketens. Maar hoe zorg je ervoor dat dit beleid ook echt goed wordt ingevoerd? En wie doet wat? In dit deel ga ik verder in op de implementatie in de praktijk.

Inschrijven qeep posted nieuwsbrief (3-4x per jaar)
Inschrijven nieuwsbrief

Een gezamenlijke inspanning

De CISO als impliciete risicomanager?

Risicomanagement goed implementeren doe je niet alleen. Zoals aangegeven in deel I van deze drieluik is het gezamenlijke inspanning. Bestuurders en lijnmanagers zijn eindverantwoordelijk, maar zij worden ondersteund door specialisten zoals de Chief Information Security Officer (CISO), Information Security Officers (ISO’s) en risicomanagers. Zij zorgen ervoor dat er structuur komt in het proces en dat het beleid niet alleen op papier staat, maar ook echt werkt in de praktijk.

Het implementatiekader helpt daarbij. Het volgt de stappen uit de internationale standaard NEN-ISO 31000, een breed erkende standaard voor risicomanagement. Dit klinkt misschien technisch, maar het komt erop neer dat je op een systematische en uniforme manier met risico’s omgaat. Daardoor kun je betere beslissingen nemen én makkelijker samenwerken met andere ketenpartners. Het is belangrijk om risico’s niet geïsoleerd te bekijken. Wat binnen de ene organisatie nog ‘acceptabel’ is, kan in samenhang met andere risico’s binnen de keten wel tot grote kwetsbaarheden leiden. Daarom is openheid tussen ketenpartners belangrijk: deel risico’s met elkaar, bespreek ze, en kijk samen naar de impact. Overigens kan je ook een ander kader/raamwerk voor risicomanagement gebruiken. Het Nationaal Cyber Security Center (NCSC) zette de meest bekende/gebruikte op rij in deze publicatie.

Het RASCI-model

Het RASCI-model is een handig hulpmiddel om duidelijk te maken wie wat doet binnen een project of proces. Het helpt om de rollen en verantwoordelijkheden goed te verdelen, zodat iedereen weet wat er van hem of haar verwacht wordt. Dit voorkomt misverstanden en zorgt voor een betere samenwerking. RASCI staat voor:

  • Responsible (Verantwoordelijk): de persoon die verantwoordelijk is voor de uitvoering van een proces of activiteit. Deze persoon legt verantwoording af aan de ‘accountable’ persoon.
  • Accountable (Eindverantwoordelijk): degene die eindverantwoordelijk is en ook goedkeuring moet geven aan het resultaat.
  • Supportive (Ondersteunend): de persoon die ondersteuning verleent aan het proces of het project en de werkzaamheden uitvoert.
  • Consulted (Geraadpleegd): de persoon die moet worden geraadpleegd, goedkeuring verleent of input levert aan de ‘responsible’ persoon, voorafgaand aan een stap in het proces.
  • Informed (Geïnformeerd): de persoon die geinformeerd wordt over de beslissingen, de voortgang en de bereikte resultaten, zodat er een volgende stap gezet kan worden.

Informatie, systemen en betrouwbaarheidseisen

En vergeet de OT-systemen daarbij niet

In het kader van digitale weerbaarheid draait het allemaal om informatie: die moet beschikbaar, betrouwbaar en vertrouwelijk blijven. Of het nu gaat om persoonsgegevens, beleidsstukken of operationele data, informatie ondersteunt de processen waarmee ketens hun doelen behalen. Daarom zijn er eisen nodig: hoe beschikbaar moet de informatie zijn? Hoe betrouwbaar? Hoe vertrouwelijk?

Bij het beschermen van informatie is het logisch om uit te gaan van de (informatie)systeemeigenaar. Deze eigenaar is verantwoordelijk voor de beveiliging van de systemen waarin de informatie zich bevindt, zoals IT-systemen of OT-systemen (Operationele Technologie) die bijvoorbeeld in de energiesector of bij brugbediening worden ingezet. Procesgerichte maatregelen daarentegen behoren tot de verantwoordelijkheid van de proceseigenaar. In sommige gevallen is de informatie-eigenaar niet dezelfde persoon als de systeem- of proceseigenaar. In de praktijk komt het echter vaak voor dat de informatie-eigenaar en de proceseigenaar nagenoeg samenvallen.

Iedere ketenpartner moet dus inzicht hebben in: de informatie die binnen de keten wordt gebruikt, de eisen die aan die informatie worden gesteld (Beschikbaarheid, Integriteit en Vertrouwelijkheid ofwel BIV) en in hoeverre er aan die eisen wordt voldaan. In de komende versie van de Baseline Informatiebeveiliging Overheid (BIO) komen de basisbeveiligingsniveaus (BBN’s) weliswaar te vervallen, maar de verplichting tot het vaststellen van deze betrouwbaarheidseisen blijft onverminderd bestaan.

Rollen en verantwoordelijkheden: wie doet wat?

Een goed risicomanagementproces begint bij duidelijke afspraken over wie wat doet. Iedereen in de organisatie, van bestuurder tot specialist, heeft hierin een rol. Het implementatiekader raadt aan om te werken met een RASCI-model, dat helpt om die verantwoordelijkheden overzichtelijk te maken. Toegepast op risicomanagement binnen overheidsketens, ziet dat er ongeveer zo uit:

  • Bestuurders zijn Accountable – zij zijn eindverantwoordelijk en zorgen dat er voldoende kennis, capaciteit en ondersteuning beschikbaar is binnen de organisatie.
  • Lijnmanagers zijn vaak Responsible – zij voeren het beleid uit binnen hun eigen domein en moeten voldoende kennis van risicomanagement hebben. Ze hoeven geen expert te zijn, maar moeten wel weten bij wie ze kunnen aankloppen.
  • (Informatie)systeemeigenaren zijn ook risico-eigenaren. Zij geven opdracht tot het uitvoeren van risicoanalyses en zijn Accountable voor de risico’s die bij hun informatie horen.
  • Specialisten, zoals CISO’s, ISO’s en risicomanagers, zijn Supportive. Zij begeleiden het proces, leveren inhoudelijke expertise en zorgen dat de aanpak aansluit bij het beleid en de standaarden (zoals ISO 31000). Een CISO of risicomanager kan in sommige processen Consulted zijn i.p.v. Supportive. Of, in kleine organisaties, Responsible.

Door deze rollen vooraf helder af te spreken, voorkom je onduidelijkheden en weet iedereen waar hij of zij aan toe is. Zo wordt risicomanagement niet alleen iets van de specialisten, maar een gezamenlijke verantwoordelijkheid binnen de keten.

Stappen in het risicomanagementproces

Het implementatiekader beschrijft een aantal praktische stappen voor het uitvoeren van risicomanagement. Hieronder licht ik deze toe.

Stap 1: Voorbereiden van de risicoanalyse

  • Bepaal de reikwijdte (bijvoorbeeld een proces, ketenonderdeel of informatiedomein).
  • Breng in kaart om welke informatie en informatiesystemen het gaat, en geef ze een zogeheten BIV-classificatie: hoe belangrijk is de Beschikbaarheid, Integriteit en Vertrouwelijkheid van de informatie? Ofwel: stel de betrouwbaarheidseisen vast.
  • Stel vast wie de proces- en/of (informatie)systeemeigenaar (en dus ook gelijk de risico-eigenaar) is.
  • Zorg dat de risicoanalyse wordt begeleid door iemand met voldoende kennis van de methodiek.

Stap 2: De risicoanalyse uitvoeren

  • Breng voor elk systeem en proces binnen de scope de mogelijke risico’s en dreigingen in kaart. Dit kunnen zowel interne als externe dreigingen zijn. Denk aan cyberaanvallen, menselijke fouten of technische storingen. Identificeer per systeem en proces ook de kwetsbaarheden die kunnen worden misbruikt door de deze risico’s en dreigingen.
  • Bepaal bij elk risico hoe groot de kans is dat het gebeurt en wat de impact zou zijn. Gebruik bijvoorbeeld een risicomatrix om overzicht te krijgen. Een voorbeeld vind je hieronder.
  • Bepaal wat je met het risico doet: voorkomen (vermijden), verkleinen (mitigeren), overdragen of accepteren. Let op: risico’s die boven de afgesproken risicobereidheid uitkomen, mogen alleen worden geaccepteerd als daar expliciet toestemming voor is, en dan maar voor maximaal één jaar. Overheidsmaatregelen uit de BIO2 mag een organisatie niet achterwege laten door bovenliggende risico’s te accepteren.
  • Bepaal welke maatregelen nodig zijn. Dat kunnen technische maatregelen zijn, zoals extra beveiliging, maar ook organisatorische, zoals het trainen van medewerkers.

Stap 3: Risico’s aanpakken

  • Werk de maatregelen verder uit: : wie gaat het doen, wat moet er gebeuren, en wanneer moet het klaar zijn? Dit wordt ook wel het risicobehandelplan genoemd. Een optelsom daarvan kan je het informatiebeveiligingsplan noemen.
  • Houd in de gaten of de maatregelen ook echt worden uitgevoerd en effect hebben. Daarvoor moet je dus nagedacht hebben over het meten van de effectiviteit van maatregelen.
  • Leg alle risico’s én bijbehorende acties vast in een risicoregister. Gebruik bij voorkeur één register voor alle soorten risico’s (niet alleen de digitale), zodat je overzicht houdt op ketenniveau. Vanuit deze invalshoek heeft de ISO 31000 de voorkeur boven de ISO 27005.
  • Zorg dat risico-eigenaren en de mensen die de maatregelen uitvoeren (de zogeheten maatregeleigenaren) goed met elkaar samenwerken en er duidelijke onderlinge communicatie is.

Stap 4: Monitoren en evalueren

  • Risicobeheer is geen eenmalige actie, het is iets dat je continu moet blijven doen. Evalueer regelmatig, maar minimaal jaarlijks: zijn de risico’s nog actueel? Werken de maatregelen nog zoals bedoeld?
  • Pas maatregelen aan waar nodig om te zorgen dat de beveiliging up-to-date blijft met veranderende dreigingen en technologieën.
  • Betrek bij veranderingen altijd de juiste mensen, zodat het blijft aansluiten bij de praktijk en het beleid.

Geen papieren tijger, maar een levend proces

En een onmisbaar ingrediënt van het ISMS

Risicomanagement is geen vinkenlijstje dat je eenmalig invult. Het is een doorlopend proces dat vraagt om samenwerking, openheid en het delen van kennis. Zie je risico’s die ook andere ketenpartners raken? Deel ze dan actief, ook als ze buiten jouw eigen organisatie vallen. Alleen zo voorkom je dat kleine risico’s zich opstapelen tot een serieus probleem voor de hele keten. Een cyclische werkwijze, zoals de bekende PDCA-cyclus (Plan, Do, Check, Act), helpt om scherp te blijven en steeds verder te verbeteren. Zo wordt risicomanagement iets wat blijft leven binnen de organisatie, in plaats van een document dat in een la verdwijnt. Het is een onmisbaar ingrediënt van het Information Security Management Systeem (ISMS).

In deel III van dit drieluik deel ik praktische handvatten en voorbeelden uit de praktijk. Hoe maak je dit werkbaar? Wat kun je morgen al doen? En hoe zorg je dat risicomanagement geen papieren tijger wordt, maar een vast onderdeel van het dagelijks werk?

Meer blogs lezen
Renco Schoemaker
Senior Adviseur Security & Privacy bij qeep IT safe.
r.schoemaker@qeep.nl
Meer van Renco

Recente blogs