Naar hoofdnavigatieNaar hoofdinhoud

De Cyberbeveiligingswet treedt op 15 augustus 2026 in werking

Registreer je organisatie nu op MijnNCSC met eHerkenning of SSOnRijk. Meer over registreren

Risicobeoordeling

  • Artikel
  • Leestijd:
  • Risicomanagement
  • Groeien

In de risicobeoordelingsfase brengen we de belangrijkste risico’s voor de organisatie in beeld. Een risico is de kans op schade in een computersysteem en de gevolgen daarvan voor de organisatie. Deze fase van de Routekaart Risicomanagement begint met het verzamelen van gegevens om dreigingen, kwetsbaarheden en te beschermen belangen te herkennen.

Kennismaken met risicobeoordeling

Het doel van risicobeoordeling is het komen tot een rangschikking van de belangrijkste risico’s voor de organisatie. Een risico is de kans op schade of verlies in een computersysteem, gecombineerd met de gevolgen die deze schade heeft voor de organisatie. Deze belangrijkste risico’s zijn vervolgens het uitgangspunt voor de risicobehandelingsfase.

risicobeoordeling

Om risico’s te kunnen beoordelen, moet eerst duidelijk zijn welke risico’s een organisatie loopt. Daarom wordt informatie verzameld over mogelijke dreigingen, de belangen die beschermd moeten worden en de huidige weerbaarheid van de organisatie. Op basis van deze gegevens wordt een risicoanalyse uitgevoerd om risico’s te identificeren en de kans dat deze optreden in te schatten. Hiervoor kunnen verschillende kwalitatieve en kwantitatieve methoden worden gebruikt.

Vervolgens wordt per risico de impact bepaald. Daarbij wordt gekeken naar de gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en naar de impact op de organisatie als geheel. De resultaten worden samengebracht in risicoprofielen, waarna de risico’s worden geprioriteerd op basis van hun kans en impact.

Na afloop van de risicobeoordelingsfase is helder welke risico’s de grootste aandacht vragen. Deze prioritering vormt de basis voor de volgende stap in de risicomanagementcyclus: de risicobehandelingsfase, waarin passende maatregelen worden gekozen en uitgevoerd.

In het volgende deel van dit artikel volgt een uitgebreidere beschrijving van de stappen binnen de risicobeoordelingsfase.

Verdieping risicobeoordeling

Nu het doel en de basisstructuur van de risicobeoordelingsfase is toegelicht, volgt hieronder een verdiepingsslag op de vier onderwerpen binnen deze fase. Ten eerste wordt data verzameld om zicht te krijgen op dreigingen, te beschermen belangen en weerbaarheid. Met deze data kunnen middels een kwalitatieve of kwantitatieve risicoanalyse de risico’s worden geïdentificeerd en geanalyseerd. Voor elk van deze geïdentificeerde risico’s wordt daarna bepaald hoe groot de impact is op de beschikbaarheid, integriteit en vertrouwelijkheid van de te beschermen belangen. Tenslotte wordt bepaald wat de belangrijkste risico’s zijn voor de organisatie door risicoprofielen op te stellen en deze te rangschikken.

1. Dataverzameling

Het doel van data verzamelen is het bij elkaar brengen van informatie voor de risicoanalyse. Dat worden ook wel de risicocomponenten genoemd.

Daarmee komt het netto-risico in beeld: een beveiligingsrisico waarbij men ook de beveiligingsmaatregelen meeneemt. Om zicht te krijgen op het netto-risico van een organisatie is informatie nodig over de dreigingen ten opzichte van de te beschermen belangen van de organisatie, waarbij de huidige weerbaarheid (beheersmaatregelen) in acht worden genomen. Het verzamelen van data richt zich daarom op het identificeren van deze componenten.

2. Risicoanalyse

Een risicoanalyse heeft als doel het identificeren en analyseren van netto risico’s voor een organisatie. Door de geïndentificeerde risicocomponenten te analyseren ontstaat zicht op risico’s. Hierbij worden risico’s geïdentificeerd, maar nog niet beoordeeld op impact en kans. Dit gebeurt later in de risicobeoordelingsfase. Er bestaan verschillende methoden om risico’s te identificeren.

3. Impactbepaling

Een risicoanalyse heeft als doel het identificeren en analyseren van netto risico’s voor een organisatie. Door de geïndentificeerde risicocomponenten te analyseren ontstaat zicht op risico’s. Hierbij worden risico’s geïdentificeerd, maar nog niet beoordeeld op impact en kans. Dit gebeurt later in de risicobeoordelingsfase. Er bestaan verschillende methoden om risico’s te identificeren.

4. Risicobepaling

Het doel van risicobepaling is het komen tot een rangschikking van de belangrijkste risico’s voor de organisatie. Door risicoprofielen op te stellen kunnen risico’s ten opzichte van elkaar worden gerangschikt. Hiervan wordt vervolgens de betrouwbaarheid en validiteit toegelicht om zo te komen tot een heldere en transparante rapportage van de belangrijkste risico’s voor de organisatie.

Samenvatting

De risicobeoordelingsfase helpt organisaties om inzicht te krijgen in hun belangrijkste risico’s. Door dreigingen, te beschermen belangen en de weerbaarheid van de organisatie in kaart te brengen, kunnen risico’s worden geïdentificeerd, geanalyseerd en geprioriteerd. Dit zorgt voor een helder overzicht van de risico’s die de meeste aandacht vragen en vormt de basis voor de volgende stap in de risicomanagementcyclus: risicobehandeling.

Volledig overzicht van de Routekaart

Benieuwd naar het totaalplaatje? Bekijk de volledige Routekaart Risicomanagement voor een overzicht van alle categorieën, onderwerpen en hun onderlinge samenhang.

Mogen we je wat vragen?