Routekaart risicomanagement

De routekaart risicomanagement is opgesteld om inzicht en overzicht te geven op het gebied van risicomanagement in het digitale domein. De routekaart wordt gebruikt als referentiekader en biedt perspectief aan organisaties die hun digitale weerbaarheid op een passend niveau willen krijgen. Het doel van dit artikel is om de routekaartverder toe te lichten.

Door de achtergrond, methodiek en toepassingen te beschrijven zijn organisaties in staat om gebruik te maken van de routekaart. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken.

Leeswijzer

Dit artikel is opgebouwd uit twee onderdelen. In het eerste onderdeel, wordt de routekaart geïntroduceerd. Daarna zal bovenstaande visualisatie toegelicht worden en worden de vier fases van de risicomanagementcyclus toegelicht.  Vervolgens volgt er een verdiepingshoofdstuk. Hierin zullen de toepassingen van risicomanagement routekaart besproken worden. Daarna komt de achtergrond aan bod: de aanleiding voor het opstellen van de routekaart, methodiek en definities worden uiteengezet en tenslotte volgt er een vooruitblik.

Vergroot afbeelding routekaart overzicht_uitleg
Beeld: ©NCSC NL
Afbeelding: Risicomanagement routekaart

De hoofdcategorieën

Het doel van risicomanagement is om een passend niveau van digitale weerbaarheid te bereiken en te behouden. Om dit doel te bereiken, onderscheiden we de achtergrond en vier hoofdcategorieën:

Vergroot afbeelding Landkaart overzicht
Beeld: ©ncsc

Context en uitleg

De routekaart wordt gebruikt als referentiekader en biedt perspectief aan organisaties die hun digitale weerbaarheid op een passend niveau willen krijgen. Lees meer...

Vergroot afbeelding RM Landkaart_Gov_randvoorwaarden_2
Beeld: ©ncsc

1. Governance en randvoorwaarden

Het doel van governance en randvoorwaarden is tweeledig; het scheppen van de juiste randvoorwaarden voor het risicomanagementproces en het maken en vastleggen van afspraken. Lees meer...

Vergroot afbeelding RM Landkaart_risicobeoordeling_2
Beeld: ©NCSC

2. Risicobeoordeling

Het doel van de risicobeoordelingsfase is dat er wordt beoordeeld wat de belangrijkste risico’s zijn voor een organisatie. Deze kunnen worden geïdentificeerd op basis van 3 componenten: dreigingen, tbb's en weerbaarheid. Lees meer...

Vergroot afbeelding RM Landkaart_risicobehandeling_2
Beeld: ©NCSC

3. Risicobehandeling

Na de risicobeoordelingsfase heeft een organisatie een aantal risico’s gevonden welke de organisatie kunnen treffen. Lees meer...

Vergroot afbeelding RM Landkaart_doorlopende monitoring_2
Beeld: ©NCSC

4. Doorlopende monitoring

Het doel van doorlopende monitoring is het zicht houden op beoordeelde risico’s en de effectiviteit van de gekozen risicobehandeling. Lees meer...

Cyberbeveiligingswet – NIS2

De cyberbeveiligingswet (NIS2) benoemt risicomanagement expliciet. Daarmee is het onderdeel van de zorgplicht van organisaties. Een van de manieren waarop het NCSC haar doelgroepen wil ondersteunen, is door deze routekaart te produceren en actief te onderhouden. De visie van het NCSC behelst een risico-gebaseerde aanpak van cybersecurity. Dat houdt in dat er geen one-size-fits-all benadering mogelijk is. De diversiteit tussen organisaties, hun digitale omgevingen en specifieke prioriteiten leidt ertoe dat risicomanagement de basis is van het bepalen van een passend niveau van digitale weerbaarheid. Middels goed risicomanagement is een organisatie in staat om zowel weloverwogen als helder inzichtelijke keuzes te maken.