Naar hoofdnavigatieNaar hoofdinhoud

De Cyberbeveiligingswet treedt op 15 augustus 2026 in werking

Registreer je organisatie nu op MijnNCSC met eHerkenning of SSOnRijk. Meer over registreren

Governance en randvoorwaarden

  • Artikel
  • Leestijd:
  • Risicomanagement
  • Groeien

In de governance en randvoorwaardenfase worden op basis van onderzoek binnen en buiten de organisatie keuzes gemaakt over het risicomanagementproces.

Kennismaken met governance en randvoorwaarden

Het doel van governance en randvoorwaarden is tweeledig:

  1. Het scheppen van de juiste randvoorwaarden om risicomanagement een structurele plek te geven binnen de organisatie.
  2. Het vaststellen van de manier waarop de organisatie besluitvorming rondom risicomanagement inricht.

De juiste randvoorwaarden leggen de basis voor een succesvol risicomanagementproces.  Door de gemaakte afspraken vervolgens vast te leggen in beleid, processen en/of procedures wordt er voor gezorgd dat risicomanagement geborgd wordt binnen de organisatie. 

Governance en randvoorwaarden

Governance en randvoorwaarden

Binnen governance en randvoorwaarden zijn zes verschillende onderwerpen van belang:

  1. Context vaststelling
  2. Organisatorische integratie
  3. Compliance identificatie
  4. Betrekking strategische leiding
  5. Scope vaststelling
  6. Governance formalisatie

De fase Governance en Randvoorwaarden legt de basis voor effectief risicomanagement. Eerst wordt de context van de organisatie in kaart gebracht door te kijken naar de organisatie zelf, haar doelstellingen en de sector waarin zij actief is. Op basis daarvan wordt risicomanagement afgestemd op de organisatie en waar mogelijk geïntegreerd met bestaande risicomanagementprocessen.

Vervolgens wordt bepaald aan welke wet- en regelgeving, normen en interne eisen de organisatie moet voldoen. Deze vormen samen het uitgangspunt voor het risicomanagementproces. Ook wordt de strategische leiding betrokken om richting, prioriteiten en mandaat te geven.

Daarna worden de scope, verantwoordelijkheden en kaders van het risicomanagementproces vastgesteld en formeel vastgelegd in beleid en procedures. Zo worden de juiste randvoorwaarden gecreëerd om risico’s effectief te kunnen beoordelen en beheersen.

Met deze basis op orde kan de organisatie de volgende stap zetten: de risicobeoordelingsfase.
 

Verdieping op governance en randvoorwaarden

In deze fase wordt eerst de context van de organisatie vastgesteld. Daarbij wordt gekeken naar factoren zoals de organisatiestructuur, de sector, de veiligheidscultuur en bestaande uitgangspunten voor risicomanagement. Zo ontstaat een duidelijk beeld van de omgeving waarin de organisatie opereert en de rol van risicomanagement daarin.

Vervolgens wordt risicomanagement afgestemd op bestaande processen, organisatiedoelstellingen en prioriteiten. Ook worden relevante wet- en regelgeving, interne beleidskaders en andere verplichtingen in kaart gebracht. De strategische leiding speelt hierbij een belangrijke rol door richting te geven, de risicobereidheid vast te stellen en mandaat te verlenen.

Daarna worden de bedrijfsmiddelen en belangen van de organisatie geïnventariseerd en geprioriteerd. Dit vormt de basis voor de risicobeoordeling. Tot slot worden gemaakte afspraken, rollen en verantwoordelijkheden vastgelegd in beleid en procedures, zodat het risicomanagementproces goed is verankerd binnen de organisatie.

Voorbeeld: Een organisatie die een Security Operations Center (SOC) wil opzetten, brengt in deze fase eerst haar belangrijkste systemen, processen en wettelijke verplichtingen in kaart. Ook wordt vastgesteld welke risico’s acceptabel zijn en wie verantwoordelijk is voor besluitvorming. Door deze randvoorwaarden vooraf goed te organiseren, ontstaat een stevige basis voor het beoordelen van risico’s en het kiezen van passende beveiligingsmaatregelen.

1. Context vaststelling

Het doel van context vaststelling is om een duidelijker beeld te krijgen hoe de organisatie opereert en hoe risicomanagement in de organisatie past.

2. Organisatorische integratie

Het doel van organisatorische integratie is het aansluiten van het risicomanagementproces binnen de organisatie. Het risicomanagementproces moet worden afgestemd op de doelstellingen en prioriteiten van de organisatie – en waar mogelijk – geïntegreerd met integraal risicomanagement.

3. Compliance identificatie

Het doel van compliance identificatie is het om het risicomanagementproces in lijn te brengen met intern beleid en eventuele verplichtingen die voortvloeien uit (verplichte) wet- en regelgeving, richtlijnen, voorschriften en standaarden. Zo ontstaat er een set aan minimale eisen waar de organisatie aan moet voldoen om zowel intern- als extern compliant te zijn.

4. Betrekken strategische leiding

Het doel van het betrekken van de strategische leiding is om zowel mandaat als coördinatie en richting te verkrijgen voor het risicomanagementproces.

5. Scope vaststelling

Het doel van de scope vaststelling is om de relevante bedrijfsmiddelen van de organisatie in kaart te brengen en de richting en kader van het risicomanagementproces scherp te stellen. Door de relevante bedrijfsmiddelen in kaart te brengen en deze te prioriteren aan de hand van organisatorische belangen wordt er meer focus aangebracht.

6. Governance formalisatie

Het doel van governance formalisatie is om het risicomanagementproces vast te leggen in beleid en/of procedures binnen de organisatie. Ook gaat het om het implementeren van het risicomanagementbeleid, het accepteren van dit beleid en het toezien op naleving en vaststelling van de manier waarop met afwijking van het beleid omgegaan moet worden

Samenvatting

Een goed risicomanagementproces begint met sterke governance en duidelijke randvoorwaarden. Door de context, verantwoordelijkheden, eisen, scope en besluitvorming vast te leggen, creëert een organisatie een stevige basis voor het beheersen van risico’s. Met deze randvoorwaarden op orde kan de volgende stap worden gezet: het identificeren, analyseren en prioriteren van risico’s in de risicobeoordelingsfase.

Volledig overzicht van de Routekaart

Benieuwd naar het totaalplaatje? Bekijk de volledige Routekaart Risicomanagement voor een overzicht van alle categorieën, onderwerpen en hun onderlinge samenhang.

Mogen we je wat vragen?