Naar hoofdnavigatieNaar hoofdinhoud

De Cyberbeveiligingswet treedt op 15 augustus 2026 in werking

Registreer je organisatie nu op MijnNCSC met eHerkenning of SSOnRijk. Meer over registreren

Doorlopende monitoring

  • Artikel
  • Leestijd:
  • Risicomanagement
  • Groeien

Doorlopende monitoring zorgt ervoor dat we zicht houden op de risico’s en de gekozen aanpak. Als risico’s veranderen of maatregelen niet goed werken, beoordelen we ze opnieuw. In deze fase van de Routekaart Risicomanagement volgen we continu of de maatregelen echt het gewenste resultaat opleveren.

Kennismaken met doorlopende monitoring

Het doel van doorlopende monitoring is het voorkomen dat het restrisico van de organisatie ongemerkt de risicobereidheid overschrijdt. Risicobereidheid is de hoeveelheid en het soort risico dat een organisatie bereid is na te streven, te behouden of te nemen. Een restrisico is het risico dat blijft bestaan na het invoeren van beheersmaatregelen, ook wel het netto risico genoemd. Door factoren te monitoren die invloed kunnen hebben op het restrisico, kan actie ondernomen worden op het moment dat dit gebeurt. 

Doorlopende monitoring bestaat uit twee verschillende onderwerpen:

  • Evaluatie risicomitigatie
  • Het monitoren van omgevingsvariabelen

Doorlopende monitoring

doorlopende monitoring

Tijdens de risicobeheersingsfase zijn er beheersmaatregelen gekozen om de geïdentificeerde risico’s van de organisatie te beheersen. Tijdens de evaluatie van de risicomitigatie worden de beheersmaatregelen systematisch beoordeeld. Door het verzamelen en evalueren van informatie over de prestaties van de beheersmaatregelen wordt er gekeken of de maatregelen het beoogde effect hebben.

Tijdens het monitoren van omgevingsvariabelen worden de interne en externe veranderingen bijgehouden en geëvalueerd. Veranderingen binnen of buiten de organisatie kunnen er voor zorgen dat de gekozen beheersmaatregelen niet langer het beoogde effect hebben. Deze veranderingen kunnen er toe leiden dat risico’s opnieuw beoordeeld – en eventueel anders behandeld – moeten worden.

In het volgende deel van dit artikel volgt een uitgebreidere beschrijving van de onderwerpen binnen de doorlopende monitoring fase.

Verdieping doorlopende monitoring

Nu de basis van doorlopende monitoring is toegelicht, wordt in dit artikel een verdiepingsslag gemaakt op twee verschillende onderwerpen.

In de risicobehandelingsfase zijn er beheersmaatregelen gekozen om de geïdentificeerde risico’s tot een acceptabel niveau te brengen. Om te zorgen dat de gekozen beheersmaatregelen daadwerkelijk effect hebben moeten deze maatregelen continue geëvalueerd worden. Dit wordt gedaan door het bijhouden van de implementatie, het evalueren van de prestaties en het beoordelen van de effectiviteit van beheersmaatregelen. Vervolgens wordt er bepaald of de effectiviteit van de maatregelen de gewenste impact heeft op het restrisico. Als er zodanige impact ontstaat dat het restrisico de risicotolerantie van de organisatie overschrijdt, worden de relevante risico-, proces- en systeemeigenaren betrokken.

Evaluatie risicomitigatie

Risicomitigatie behelst alle dingen die een organisatie doet om risico's te verkleinen of helemaal te laten verdwijnen. Het doel van de evaluatie van de risicomitigatie is het systematisch evalueren van de werking van de gekozen beheersmaatregelen.

Een risico-eigenaar is een aangesteld persoon die verantwoordelijk is voor het beheersen van een aan hem of haar toegekend risico. Proceseigenaren, vaak (lijn)managers, zijn eindverantwoordelijk voor een proces. De proceseigenaar heeft dus globaal zicht op het gehele proces. De systeemeigenaar is verantwoordelijk voor de beschikbaarheid, beveiliging, onderhoud en support van een systeem. In deze stap worden de relevante risico-, proces- en systeemeigenaren geïnformeerd over de evaluatie van de beheersmaatregelen.

Monitoren omgevingsvariabelen

Monitoren van omgevingsvariabelen behelst het in de gaten houden van veranderingen binnen en buiten de organisatie. Bij de voorgaande fases van het risicomanagementproces wordt uitgegaan actuele context van de organisatie. Dit is altijd een momentopname. Organisaties en hun omgeving zijn echter dynamisch en dus onderhevig aan veranderingen.

Veranderingen kunnen invloed hebben op de voorgaande fases van risicomanagement, waardoor er onacceptabel restrisico ontstaat. Indien dit het geval is moeten de juiste rollen binnen de organisatie worden betrokken. Op die manier worden de risico’s opnieuw bekeken zodra dat nodig is.

Een risico-eigenaar is een aangesteld persoon die verantwoordelijk is voor het beheersen van een aan hem of haar toegekend risico. Proceseigenaren, vaak (lijn)managers, zijn eindverantwoordelijk voor een proces. De proceseigenaar heeft dus globaal zicht op het gehele proces. De systeemeigenaar is verantwoordelijk voor de beschikbaarheid, beveiliging, onderhoud en support van een systeem. In deze stap worden de relevante risico-, proces- en systeemeigenaren geïnformeerd over de evaluatie van de beheersmaatregelen.

Samenvatting

Doorlopende monitoring helpt organisaties om grip te houden op hun risico’s en de effectiviteit van genomen maatregelen. Daarbij staan twee vragen centraal: werken de gekozen beheersmaatregelen nog zoals bedoeld, en zijn er veranderingen binnen of buiten de organisatie die invloed hebben op het risicoprofiel?

Wanneer monitoring laat zien dat risico’s toenemen of maatregelen onvoldoende effectief zijn, kan de organisatie tijdig bijsturen. Indien nodig worden eerdere fases van het risicomanagementproces opnieuw doorlopen om risico’s terug te brengen tot een acceptabel niveau.

Zo blijft risicomanagement een continu en cyclisch proces van evalueren, verbeteren en aanpassen. Na de monitoringsfase is het daarom verstandig om ook de governance en randvoorwaarden periodiek te herzien, zodat de organisatie blijft inspelen op nieuwe ontwikkelingen en risico’s.

Volledig overzicht van de Routekaart

Benieuwd naar het totaalplaatje? Bekijk de volledige Routekaart Risicomanagement voor een overzicht van alle categorieën, onderwerpen en hun onderlinge samenhang.

Mogen we je wat vragen?