Naar hoofdnavigatieNaar hoofdinhoud

De Cyberbeveiligingswet treedt op 15 augustus 2026 in werking

Registreer je organisatie nu op MijnNCSC met eHerkenning of SSOnRijk. Meer over registreren

Risicobehandeling

  • Artikel
  • Leestijd:
  • Risicomanagement
  • Groeien

Het doel van risicobehandeling is om risico’s te beperken tot een acceptabel niveau. In deze fase van de Routekaart Risicomanagement kijken we naar de risico’s die eerder zijn gevonden en bepalen we of extra maatregelen nodig zijn. Deze maatregelen helpen om de digitale weerbaarheid van de organisatie te versterken.

Kennismaken met risicobehandeling

Het doel van risicobehandeling is om risico’s terug te brengen tot een niveau dat past bij de organisatie. Hiervoor worden de geïdentificeerde risico’s beoordeeld in relatie tot de risicobereidheid: de mate van risico die een organisatie bereid is te accepteren om haar doelstellingen te behalen.

De risicobereidheid wordt vastgesteld door de strategische leiding en vormt een belangrijk uitgangspunt voor besluitvorming. Hierbij wordt gekeken naar de mogelijke impact van risico’s op de beschikbaarheid, integriteit en vertrouwelijkheid van belangrijke informatie en systemen.

Wanneer een risico de vastgestelde risicobereidheid overschrijdt, is aanvullende actie nodig. De organisatie kan dan passende maatregelen nemen om het risico te verkleinen en de digitale weerbaarheid te versterken. Zo ontstaat een weloverwogen en risicogebaseerde aanpak van cybersecurity.

Risicobehandeling

risicobehandeling

Risicomitigatie

Het mitigeren van een risico betekent dat er beheersmaatregelen geïmplementeerd worden om het risico te beheersen. Het beheersen van een risico houdt in dat het binnen de acceptatiegrenzen van de organisatie past. De acceptatiegrenzen zijn gebaseerd op de risicobereidheid van de organisatie en geeft de hoeveelheid en het soort risico aan dat een organisatie bereid is na te streven, te behouden of te nemen.

Het mitigeren van een risico kan zich op twee onderdelen richten. Ten eerste, kan mitigatie de waarschijnlijkheid (kans) dat een risico plaatsvindt verkleinen. Ten tweede kan risicomitigatie zich richten op het verkleinen van de impact van manifestatie van een risico. In beide gevallen is het einddoel van risicomitigatie om de gevonden risico’s terug te brengen tot een acceptabel niveau.

Zodra de organisatie de stappen voor risicomitigatie doorlopen heeft, kan de conclusie zijn dat er van bepaalde mitigerende maatregelen verwacht wordt dat ze het risico naar een acceptabel niveau verlagen. Op dat moment is het zaak om de verwachte effecten van deze mitigerende maatregelen te modeleren. Dat houdt in dat vastgesteld wordt of de beheersmaatregelen de gewenste effecten op het risico zullen bereiken. Hiermee kan de organisatie met grotere zekerheid stellen dat de ingezette middelen op effectieve en efficiënte wijze effect zullen hebben.

Nadat deze stap gezet is, kan overgegaan worden tot implementatie van de beheersmaatregelen. Op dit punt in het risicomanagementproces heeft de organisatie zicht op risico’s, is de governance op orde en zijn dus de juiste personen betrokken en is er een afgewogen keuze gemaakt voor de meest doeltreffende beheersmaatregelen. Daarom kan er dan overgegaan worden tot implementatie van de voorgestelde beheersmaatregelen.

Verdieping risicobehandeling

Het doel van risicobehandeling is om risico’s, waar relevant, terug te brengen tot een voor de organisatie acceptabel niveau. Dat betekent dat er afgewogen wordt of er aanvullende maatregelen nodig zijn. Mocht dat het geval zijn, dan kunnen er keuzes worden gemaakt over de meest passende maatregelen die zich richten op het verhogen van de digitale weerbaarheid van de organisatie. 

In dit artikel lees je hoe organisaties omgaan met risico’s die hun risicobereidheid overschrijden, hoe risicobehandeling wordt ingericht en hoe beheersmaatregelen worden geïmplementeerd.

Risicoacceptatie

Risicoacceptatie houdt in dat bewust gekozen wordt om geen aanvullende maatregelen te nemen om de weerbaarheid van de organisatie te verhogen. Na het afwegen van de gevonden risico’s ten opzichte van de risicobereidheid van de organisatie, zijn er twee mogelijkheden: risicomitigatie of risicoacceptatie.

Ten eerste, kan het zo zijn dat de conclusie getrokken worden dat het risico binnen de risicobereidheid valt. Op dat moment kan de keuze gemaakt worden om het risico te accepteren. Het NCSC raadt aan om helder te documenteren dat er overgegaan is tot acceptatie. Het is zaak om deze documentatie periodiek te herzien. Dat een risico op het moment van beoordeling gezien wordt als acceptabel, dat betekent niet dat dit in de toekomst ook zo zal zijn.

De tweede optie is dat het risico de risicobereidheid overschrijdt. Ook in dit geval kan het risico alsnog geaccepteerd worden, mits de organisatie hier een expliciete keuze op maakt. Als dit niet het geval is, dan zal er overgegaan worden tot risicomitigatie.

Risicomitigatie

Risicomitigatie gaat om alle dingen die een organisatie doet om risico’s te verkleinen of helemaal te laten verdwijnen. Grijpt een organisatie in, dan kan dat twee doelen hebben:

  • de kans op een incident verkleinen.
  • de gevolgen verkleinen als dat incident toch plaatsvindt.

Daarmee gaat het om het ondernemen van actie om het risico te verminderen tot een acceptabel niveau. Risicomitigatie kan op een aantal manieren ingevuld worden.

Er valt geen eenduidig advies te geven welk type risicomitigatie het beste is. Dit is afhankelijk van verschillende factoren waaronder de organisatorische context, financiële kosten-baten en de termijn waarop mogelijke beheersmaatregelen effect moet hebben.

Type beheersmaatregelen

Op het niveau van de risicomitigatie zelf zal ook bepaald moeten worden welke onderdelen van het risico het meest passend zijn om te beheersen.
Dit richt zich op categorisch op twee componenten.

1.  De kans op een incident. Dat is de proactieve, voorkomende factor van beheersmaatregelen.

2.  Bekijk de impact van een risico op de organisatie. Beheersmaatregelen kunnen dit verkleinen en omvat daarmee de reactieve component van beheersmaatregelen.

Het terugbrengen van de waarschijnlijkheid

Als er beheersmaatregelen genomen worden welke zich richten op het terugbrengen van de waarschijnlijkheid dat de risico materialiseert, dan vallen deze ofwel in de categorie van “beschermen” ofwel in “detecteren”. Hierbij is het doel om de kans te verkleinen dat een dreiging het te beschermen belang kan treffen.

Het terugbrengen van de impact

Risico’s kunnen ook beheerst worden middels het terugbrengen van de impact op de organisatie als het zich voor zou doen. Het doel hierbij is daarmee om te voorkomen dat de gebeurtenis onacceptabele gevolgen heeft voor de organisatie. Ook hierin zijn twee primaire opties te onderscheiden.

Net zoals bij het kiezen voor de wijze van risicomitigatie, is er geen specifieke voorkeur uit te spreken welk type beheersmaatregel het meest effectief is. Dit is afhankelijk van de voorkeuren van de organisatie en de wijze waarop het risico ingeschat is.

Het modeleren van implementatie van risicobehandeling betekent dat er ingeschat wordt of de beheersmaatregelen het gewenste effect hebben op het risico. Hiervoor zijn drie stappen te doorlopen.

  1. Het is van belang om te realiseren welke beperkingen mogelijke beheersmaatregelen hebben. Zodra deze inzichtelijk zijn, kunnen er categorische keuzes gemaakt betreffende de meest passende beheersmaatregelen.
  2. Daarna is het zaak om deze keuzes verder te operationaliseren.
  3. Om deze stap te zetten, raadt het NCSC aan om het gewenste effect van de verschillende beheersmaatregelen te modeleren.

Door deze stappen te doorlopen, is de organisatie in staat om uiteindelijk de meest effectieve en efficiënte beheersmaatregelen te implementeren.

Implementatie van beheersmaatregelen

Het implementeren van de beheersmaatregelen houdt in dat de voorgestelde beheersmaatregelen in de praktijk uitgevoerd gaan worden. Implementatie van beheersmaatregelen wordt buiten beschouwing gelaten in het risicomanagementraamwerk. Implementatie is volgens het NCSC namelijk een specifieke tak van sport, waarbij het aan te raden is om geldende standaarden te volgen. Zo worden technische implementaties uitgevoerd middels change-processen en de juiste volgorde van ontwikkelen-testen-accepteren. Daarmee is dat geen specifieke risicomanagementafweging, maar het volgen van de geldende processen.

Samenvatting

De fase risicobehandeling draait om het maken van weloverwogen keuzes om risico’s terug te brengen tot een acceptabel niveau. Daarbij wordt eerst bepaald welke maatregelen mogelijk zijn, vervolgens welke aanpak het beste aansluit bij de organisatie en haar doelstellingen, en ten slotte worden de gekozen beheersmaatregelen geïmplementeerd.

Door deze stappen gestructureerd te doorlopen, ontstaat een herhaalbare en onderbouwde aanpak voor risicobehandeling. Zo kunnen organisaties hun weerbaarheid gericht versterken, hun aanpak continu verbeteren en toewerken naar een passend niveau van digitale weerbaarheid. Met de implementatie van de maatregelen start vervolgens de volgende fase van de risicomanagementcyclus: doorlopende monitoring.

Volledig overzicht van de Routekaart

Benieuwd naar het totaalplaatje? Bekijk de volledige Routekaart Risicomanagement voor een overzicht van alle categorieën, onderwerpen en hun onderlinge samenhang.

Mogen we je wat vragen?