Een belangrijk onderdeel van risicomanagement is het inzichtelijk maken van de risico’s voor een organisatie. Op basis van de ingeschatte risico’s kunnen maatregelen bepaald worden. Het CSBN duidt de digitale dreiging en incidenten die zich hebben voorgedaan en identificeert risico’s voor de nationale veiligheid. Voor deze dreigingen heeft het NCSC een selectie van acht maatregelen gemaakt. U vindt deze hier.
Het NCSC adviseert u al deze maatregelen binnen uw organisatie toe te passen. Daarnaast adviseert het NCSC om een eigen risicoanalyse uit te voeren. Zo kunt u verdere maatregelen identificeren die helpen de specifieke risico’s voor uw organisatie te beheersen. Ook als u nog geen eigen risicoanalyse heeft uitgevoerd, is het verstandig de maatregelen uit deze handreiking toe te passen. Het zijn algemene maatregelen die ook uit uw eigen risicoanalyse zouden moeten volgen.
Eigen risicoanalyse
Het NCSC benadrukt dat deze maatregelen de noodzaak tot het zelf doen van risicoanalyses niet wegneemt. Zie deze maatregelen als basismaatregelen, waarvan het altijd verstandig is om deze op orde te hebben. Echter, elke organisatie is uniek. Ook uw organisatie kent daarom waarschijnlijk specifieke digitale risico’s. Het NCSC adviseert om deze inzichtelijk te maken en met passende maatregelen te beheersen. Dit is maatwerk en een continu proces. Zowel dreigingen als de te beschermen belangen van uw organisatie kunnen namelijk veranderen.
Het NCSC publiceerde eerder de factsheet Risico’s beheersen: de waarde van informatie als uitgangspunt.