Ontdek het risicomanagementraamwerk dat bij jou past
Veel organisaties ervaren een hoge drempel om aan de slag te gaan met een risicomanagementraamwerk. Wil je echter voor jouw organisatie een passend niveau van digitale weerbaarheid realiseren, dan biedt risicomanagement daarvoor een belangrijk fundament. Deze publicatie geeft handvatten waarom, wanneer en met welk doel je raamwerken toepast. Daarnaast draagt deze publicatie een keuzeproces aan om te helpen een raamwerk te kiezen dat je helpt bij het passend beheersen van de risico's van jouw organisatie op het gebied van informatiebeveiliging.
Doelgroep: Deze publicatie is voor security managers die verantwoordelijk zijn voor de digitale weerbaarheid van hun organisatie, die zich met risicomanagement bezighouden maar dit nog niet structureel ingericht hebben. Deze publicatie helpt je om vervolgstappen te zetten en in volwassenheid te groeien. Na het lezen van dit product, ben je beter in staat om te bepalen hoe je de beste passende keuzes kun maken voor jouw organisatie.
Raamwerken helpen organisaties om op een gestructureerde wijze invulling te geven aan risicomanagement. Mocht risicomanagement nog een onontgonnen terrein zijn, dan raden we je aan om de andere publicaties van het NCSC te raadplegen.
Definities:
Risicomanagement is het fundament voor een passend niveau van digitale weerbaarheid: een continu proces waarbij digitale risico’s voortdurend worden beheerst en beheerd. Om ondersteuning te bieden voor het goed toepassen van risicomanagement zijn er talloze risicomanagementraamwerken.
Een risicomanagementraamwerk bestaat uit principes, uitgangspunten, denkwijzen, processen en afspraken die een organisatie gebruikt voor het omgaan met veiligheidsrisico's.1
Om als organisatie grip te krijgen op digitale risico’s helpt een risicomanagementraamwerk om op de juiste onderdelen te focussen. Zo kun je gestructureerd stappen zetten voor inzicht in de risico's en deze beter te beheersen.
In plaats van zelf het wiel uit te vinden is ons advies om gebruik te maken van de kennis en ervaring die al is vastgelegd in een bestaand risicomanagementraamwerk. De belangrijkste reden hiervan is dat de toepassing kosten, middelen en tijd bespaart. Je maakt zo namelijk gebruik van de kennis en ervaring die in deze instrumenten verwerkt is. Dat vergroot de kans dat jouw informatiebeveiliging effectief verbetert.
Vanwege het grote aantal beschikbare risicomanagementraamwerken kan het een uitdaging zijn om de juiste keuzes te maken. Welk raamwerk geschikt is binnen de specifieke context van de organisatie, de wijze waarop raamwerken geoperationaliseerd kunnen worden en hoe deze keuze het beste gemaakt kan worden is complex en vereist specialistische kennis. Dat zorgt ervoor dat er een hoge drempel is om de juiste raamwerken te adopteren en ermee aan de slag te gaan.
Ondanks dat alle raamwerken strategische doelen dienen, hebben ze stuk voor stuk specifieke kenmerken. Deze kenmerken bieden binnen de context van een organisatie verschillende voor- en nadelen.
Belangrijk is te letten op doel en middel. Volgens het NCSC moet het doel zijn om inzicht te krijgen in risico’s en deze effectief kunnen beheersen. Het gaat dus niet om een afvinklijst waarmee je alleen op papier aantoont dat deze stappen zijn gezet. Het inzetten van een raamwerk moet leiden tot het aantoonbaar kunnen beheersen van de risico's die je als organisatie loopt.
Deze publicatie begint met inzicht geven in de kerncomponenten van risicomanagement aan de hand van de routekaart risicomanagement van het NCSC. Daarna introduceren we de hoofdcategorieën van risicomanagementraamwerken. Hierin worden ook de kenmerken van de belangrijkste raamwerken toegelicht. Tenslotte biedt het NCSC handelingsperspectief, waarbij we je concrete handvatten bieden om je digitale weerbaarheid te verhogen met een voor jouw organisatie geschikt raamwerk.
De hoofdcategorieën van raamwerken die we in het tweede hoofdstuk toelichten, zijn: Holistische raamwerken, Kwadrantspecifieke raamwerken, Specialistische raamwerken, Groeigerichte raamwerken.
Cyberbeveiligingswet: De cyberbeveiligingswet (NIS2) spreekt over de zorgplicht van organisaties. Hierbij gaat het over passende en evenredige technische, operationele en organisatorische maatregelen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheersen (zie ook artikel 21, eerste lid, Cbw en MvT p. 19). Risicomanagementraamwerken ondersteunen je organisatie omdat ze handvatten bieden die helpen bij het nemen van passende en evenredige maatregelen.
Risicomanagement in het kort
Risicomanagement heeft als doel inzicht te krijgen welke risico's relevant zijn voor jouw organisatie en/of keten, deze vervolgens tot acceptabele restrisico's terug te brengen, te blijven monitoren en waar nodig weer bij te stellen. Het NCSC heeft de routekaart risicomanagement ontwikkeld om inzicht en overzicht te bieden in de verschillende onderdelen van risicomanagement.
De vier verschillende kwadranten van de routekaart in het kort:
Het doel van de governance en randvoorwaarden fase is tweeledig; het scheppen van de juiste randvoorwaarden om risicomanagement een structurele plek te geven binnen de organisatie en het vaststellen van de manier waarop de organisatie besluitvorming en besturing rondom risicomanagement inricht. Lees meer over governance en randvoorwaarden.
De risicobeoordelingsfase creëert zicht op de belangrijkste risico’s voor een organisatie. Risico’s zijn de kans op schade of verlies in een informatiesysteem, gecombineerd met de gevolgen die deze schade heeft voor de organisatie. Inzicht in de belangrijkste risico’s biedt de basis voor de volgende fase in de risicomanagementcyclus: risicobehandeling. Lees meer over risicobeoordeling.
Het doel van risicobehandeling is om risico’s waar relevant terug te brengen tot een voor de organisatie acceptabel niveau. In de fase van risicobehandeling maak je keuzes op basis van de gevonden risico’s. Dat betekent dat je afweegt of er aanvullende maatregelen nodig zijn. Lees meer over risicobehandeling
Het doel van doorlopende monitoring is het zicht houden op beoordeelde risico’s en de gekozen risicobehandeling. In de doorlopende monitoringfase wordt er continu bijgehouden of de gekozen beheersmaatregelen daadwerkelijk het beoogde resultaat behalen. Tevens houd je interne en externe veranderingen van de organisatie bij en evalueer je om te zien of dit effect heeft op de beoordeling van risico’s en of je de gekozen maatregelen moet heroverwegen. Lees meer over doorlopende monitoring
Het is van belang te begrijpen dat de verschillende onderdelen van de routekaart risicomanagement maatwerk vragen als deze in een organisatie toegepast gaan worden. Immers, de bakker op de hoek heeft een heel ander risicoprofiel dan een multinational die veel met intellectueel eigendom en een diverse verzameling aan toeleveranciers en afnemers werkt. De routekaart risicomanagement is opgesteld om inzicht en overzicht te geven op het gebied van risicomanagement in het digitale domein. Het dient in deze publicatie als referentiekader.
Hoofdstuk 2: Raamwerken voor risicomanagement
In dit hoofdstuk geven we categorieën van instrumenten voor risicomanagement. Zo bieden we je inzicht in welke verschillende instrumentcategorieën er zijn, inclusief voorbeelden van raamwerken. Belangrijk is dat elk raamwerk maatwerk vraagt. Ook omdat niet elk onderdeel van een raamwerk is even urgent of relevant voor jouw organisatie. We identificeren daarom vier soorten van risicomanagementraamwerken. Hieronder behandelen we specifieke voorbeelden inclusief toelichting.
Het vergelijken van specifieke maatregelen
Het is cruciaal om te benoemen dat veel raamwerken overlap hebben met elkaar. Ons doel is niet om elke specifieke maatregel van elk mogelijk raamwerk met elkaar te vergelijken. Dat doen andere, gerenommeerde organisaties al. Daarom hebben we een uitgebreide bronvermelding toegevoegd onderaan dit artikel, die je kunt raadplegen als je op zoekt bent naar deze kennis. Zoek je een specifieke vergelijking van maatregelen? De zoektermen “mapping” en “crosswalks” in combinatie met de betrokken raamwerken helpen je als je jouw favoriete zoekmachine gebruikt.
De vier categorieën van risicomanagementraamwerken
Holistische raamwerken: Deze raamwerken geven op hoog niveau invulling aan risicomanagement en bieden de gewenste eindresultaten.
Kwadrantspecifieke raamwerken: Deze raamwerken richten zich op een specifiek onderdeel van risicomanagement, bijvoorbeeld risicobeheersing, en geven concrete instructies om hier invulling aan te geven.
Specialistische raamwerken:Deze raamwerken zorgen voor grip op de sector of op technologiespecifieke risicomanagementuitdagingen, bijvoorbeeld in de zorgsector, de Rijksoverheid of Operationele Technologie (OT/IACS).
Groeigerichte raamwerken: Deze raamwerken zijn geschikt om als organisatie gefaseerd te groeien op het gebied van risicomanagement. Het einddoel van groeigerichte raamwerken is een organisatie in staat stellen om een holistisch raamwerk te adopteren.
Belangrijk:de voorbeelden die we hieronder geven, geven geen voorkeur weer vanuit het NCSC voor een specifieke methode. De voorbeelden zijn gekozen op basis van het referentiekader van de auteurs en daarmee subjectief van aard.
1. Holistische risicomanagementraamwerken
Holistische modellen bieden eindresultaten van het risicomanagementproces en eisen om dit eindresultaat te bereiken. Ze bieden daarmee geen specifieke handvatten of instructies hoe deze eindresultaten bereikt kunnen worden. De raamwerken in deze categorie zijn holistisch van aard omdat ze alle facetten van digitaal risicomanagement omvatten.
De invulling van de vraag hoe de eindresultaten behaald kunnen worden, daar heeft de organisatie vrije keuze in. We verwijzen daarvoor naar de kwadrantspecifieke raamwerken in deze publicatie.
Kenmerken van holistische risicomanagementraamwerken:
Generiek van aard en omvatten het gehele speelveld van digitaal risicomanagement
Bieden eindresultaten van volwassen digitaal risicomanagement
Bieden geen specifieke beheersmaatregelen of instructies
Optionele kenmerken:
de mogelijkheid tot certificering
onderdeel van wettelijke en/of contractuele eisen
Relatief hoge instapdrempel qua benodigde middelen, capaciteit en kosten wegens het alomvattende aspect
Deze drempel kan worden verlaagd door onderdelen van holistische raamwerken te adopteren
Voorbeelden hiervan zijn:
ISO 27001 is de internationale standaard voor informatiebeveiliging en stelt vereisten aan risicomanagement. Door certificering op deze norm toont een organisatie aan dat het de informatiebeveiliging op orde heeft. De norm helpt bij het opzetten van een managementsysteem voor informatiebeveiliging (ISMS) waarmee risico’s kunnen worden geïdentificeerd, beheerst en verminderd.
COBIT 5 is een raamwerk voor managers voor het beheer van informatietechnologie. COBIT staat voor Control Objectives for Information and Related Technology. Het is ontworpen als een hulpmiddel om de kloof te overbruggen tussen technische problemen, risico’s en controlevereisten.
COBIT 5 is een erkende richtlijn en kan toegepast worden op vrijwel elke organisatie in elke branche. Certificering voor COBIT is niet mogelijk.
NIST CSF omschrijft de uitkomsten waar risicomanagement aan moet voldoen: ten eerste de “CSF Core”, die een taxonomie is van de resultaten van risicomanagement. Ten tweede bevat NIST CSF organisatieprofielen om de huidige en/of beoogde beveiligingsstatus van een organisatie te beschrijven. Ten derde omvat NIST CSF niveaus van organisatieprofielen waarmee de nauwkeurigheid van het beveiligingsbeheer en de beveiligingspraktijken van een organisatie is te karakteriseren. Certificering voor NIST CSF is niet mogelijk.
SOC 2 is een standaard ontwikkeld om IT-serviceorganisaties te toetsen op de effectiviteit van hun controlemaatregelen en processen rondom informatiebeveiliging. Het doel van SOC 2 is om transparantie te bieden aan (potentiële) klanten over hoe de IT-dienstverlening beveiligd is en hoe deze voldoet aan de belangrijkste veiligheidsnormen. Het resultaat van een SOC 2-traject is een uitgebreide rapportage, waarin een IT-auditor verklaart of de dienst aan de eisen voldoet en een organisatie daarmee kan certificeren.
2. Kwadrantspecifieke risicomanagementraamwerken
De routekaart risicomanagement omvat vier specifieke kwadranten:
Governance en randvoorwaarden
Risicobeoordeling
Risicobehandeling
Doorlopende monitoring
Een groot aantal raamwerken biedt zeer specifieke methoden aan om één (of meerdere) van de kwadranten in te vullen. Daarmee beantwoorden deze raamwerken de vraag hoe specifieke risicomanagementhandelingen ingevuld kunnen worden. Dus zijn deze raamwerken inherent complementair aan de holistische raamwerken van het hoofdstuk hiervoor.
Kenmerken van kwadrantspecifieke risicomanagementraamwerken:
Gedetailleerd van aard en richten zich op specifieke onderdelen van digitaal risicomanagement
Bieden specifieke maatregelen en instructies: gedetailleerde opties om de juiste componenten te identificeren en toe te passen
Zijn complementair en ondersteunend aan holistische raamwerken.
Niet al deze specifieke beheersmaatregelen moeten geïmplementeerd worden kwadrantspecifieke raamwerken bieden referentiekaders waaruit de passende maatregelen geïdentificeerd kunnen worden om daarna geïmplementeerd te worden
Voorbeelden hiervan zijn:
Governanceraamwerken:
ISO 27014 geeft organisaties richtlijnen om het beheer en governance van hun informatiebeveiliging gedegen in te richten. ISO 27014 is sterk gerelateerd aan ISO 27001, aangezien de 27002 specifieke instructies geeft hoe (met welke maatregelen) voldaan kan worden aan 27001. Denk aan het opzetten van trainingsprogramma’s en het bepalen van rollen en verantwoordelijkheden op alle niveaus. Het doel van dit raamwerk: het beheersysteem voor informatiebeveiliging in lijn brengen met businessdoelen en strategie, meerwaarde creëren voor het management en andere stakeholders en alle informatierisico’s op de radar krijgen.
Risicobeoordelingsraamwerken:
IRAM2 is een methode om risicobeoordeling gestructureerd uit te voeren. Het beoordeelt risico’s op kwalitatieve wijze. IRAM2 bestaat uit zes stappen, startende met het scopen van de risicobeoordeling tot het rapporteren op de resultaten en het evalueren van het proces.
FAIR is een risicomanagementbeoordelingsraamwerk dat geijkt is op het identificeren en kwantificeren van risico’s. Risico’s worden gekwantificeerd in financiële kosten voor de organisatie.
Risicobehandelingsraamwerken:
ISO 27002 geeft een referentieverzameling van generieke beheersmaatregelen voor informatiebeveiliging met inbegrip van implementatierichtlijnen. ISO 27002 is sterk gerelateerd aan ISO 27001, aangezien de 27002 specifieke instructies geeft hoe (met welke maatregelen) voldaan kan worden aan 27001. Deze norm bestaat uit vier categorieën van beheersmaatregelen:
organisatorisch
mensgericht
fysiek
technologisch
Monitoringsraamwerken:
ISO 27004 biedt richtlijnen die bedoeld zijn om organisaties te helpen bij het evalueren van de informatiebeveiligingsprestaties en de effectiviteit van een informatiebeveiligingsmanagementsysteem. ISO 27004 is sterk gerelateerd aan ISO 27001, aangezien de 27002 specifieke instructies geeft hoe (met welke maatregelen) voldaan kan worden aan 27001. Het stelt vast:
de monitoring en meting van informatiebeveiligingsprestaties
de monitoring en meting van de effectiviteit van een informatiebeveiligingsmanagementsysteem (ISMS), inclusief de processen en controles daarvan
de analyse en evaluatie van de resultaten van monitoring en meting.
3. Specialistische risicomanagementraamwerken
Specialistische raamwerken zijn raamwerken die organisaties in staat stellen om de omgang met unieke uitdagingen van digitaal risicomanagement mogelijk te maken. Zo hebben sectoren vaak eigen normen die al dan niet een wettelijke basis hebben. De risicomanagementraamwerken die voor zo’n sector opgesteld zijn, bieden daarmee concrete(re) handvatten om goed om te gaan met de unieke uitdagingen binnen de sector. Datzelfde geldt voor de omgang met een specifieke technologische ontwikkeling zoals cloud.
Daarmee beantwoorden deze raamwerken de vraag hoe specifieke risicomanagementhandelingen binnen een expertiseveld toegepast kunnen worden. Ook deze raamwerken zijn daarom complementair aan de holistische raamwerken.
Kenmerken van specialistische raamwerken:
Gericht op risicomanagementuitdagingen voor specifieke sectoren of de omgang met specifieke technologie
Bieden specifieke maatregelen en instructies, geijkt op de specifieke context van de sector of de technologie
Zijn complementair aan holistische raamwerken
Kunnen onderdeel zijn van wettelijke en/of contractuele eisen
Voorbeelden hiervan zijn:
Sectorspecifieke raamwerken:
NEN 7510 bevat eisen voor instellingen die audits voor certificatie van een managementsysteem voor informatiebeveiliging (ISMS) in de zorg uitvoeren. NEN 7510-1 en NEN 7510-2 geven richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. Zoals veel sectorspecifieke raamwerken, is deze norm gebaseerd op de ISO-27001 norm.
De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). De BIO beschrijft de invulling van de ISO 27001:2017 en de ISO 27002:2017 voor de overheid. In de BIO zijn op basis van de generieke schades en dreigingen voor de overheid standaard basisbeveiligingsniveaus (BBN’s) gedefinieerd met bijbehorende beveiligingseisen. In de BIO staat per BBN beschreven aan welke beheersmaatregelen uit de ISO 27002 moet worden voldaan. In 2025 wordt de opvolger de BIO 2.0 bekrachtigd.
Technologiespecifieke raamwerken:
Deze norm biedt een solide basis voor het managen van digitale risico’s binnen het IACS-domein. IEC 62443 kent verschillende normdelen die elk een apart gebied afdekken: zo zijn er delen voor eindgebruikers en delen die juist relevant zijn voor systeemintegratoren en leveranciers. Door het toepassen van de norm kunnen zij alle binnen hun eigen discipline bijdragen aan het verhogen van de securityniveaus, waarbij de norm een uniforme communicatie tussen de verschillende partijen faciliteert.
Het doel van NIST AI 100-1 is om een hulpmiddel te bieden aan organisaties die AI-systemen ontwerpen, ontwikkelen, inzetten of gebruiken. Het helpt om de risico's van AI te beheersen en een betrouwbare en verantwoordelijke ontwikkeling en gebruik van AI-systemen te bevorderen.
4. Raamwerken gericht op groei (groeimodellen)
Groeimodellen richten zich op het haalbaar maken van digitaal risicomanagement. Daarmee ondersteunen ze organisaties die hun digitale weerbaarheid willen verhogen. Het einddoel van deze groeimodellen is dat de afstand tussen de huidige stand van digitaal risicomanagement in een organisatie en de holistische raamwerken zoals ISO27001 verkleind wordt. Idealiter leidt het volgen van een groeimodel tot uiteindelijke adoptie van een holistisch raamwerk. De modellen kenmerken zich door het bieden van verschillende (instap)niveaus. Hierdoor bieden deze raamwerken voor veel organisaties de mogelijkheid om vanuit de huidige situatie te beginnen om vervolgens via de niveaus in het model verder te groeien.
Kenmerken van groeimodellen:
Relatief lage instapkosten
Bieden specifieke maatregelen en instructies
Bieden een groeipad naar de complexere raamwerken toe
Kunnen onderdeel zijn van wettelijke en/of contractuele eisen
Voorbeelden hiervan zijn:
CyFun is ontwikkeld door het Centrum voor Cybersecurity België (CCB). Het kent vier niveaus: small, basic, important en essential. Vanwege de niveaus is dit raamwerk ook geschikt om stap voor stap mee aan de slag te gaan om de digitale weerbaarheid te vergroten. Het is van belang te bepalen welke risico’s je als organisatie al dan niet loopt zodat je weet welke onderwerpen je wel of niet moet meenemen. Het groeipad van CyFun verkleint daarmee het gat om ISO 27001:2022 te adopteren.
CYRA is een (groei)model dat organisaties in staat stelt om stap voor stap hun digitale weerbaarheid te verhogen tot bijna ISO 27001 niveau. CYRA kent vier stappen: entry, basic, intermediate en advanced met daarbinnen telkens drie volwassenheidsniveaus. Door deze drie volwassenheidsniveaus is deze norm ook geschikt als vertrekpunt om je digitale weerbaarheid stap voor stap te verhogen. Wel is van belang te bepalen welke risico's een organisatie al dan niet loopt zodat je weet welke onderwerpen je wel of niet moet meenemen.
Hoofdstuk 3: Kies een raamwerk (handelingsperspectief)
Uiteindelijk is het doel als organisatie te komen tot een effectieve aanpak van risicomanagement aan de hand van een passend raamwerk. Afhankelijk van waar je nu staat en waar je verwacht naartoe te bewegen, werk je het keuzeproces voor een raamwerk uit. Er is hierbij geen one-size-fits-all benadering mogelijk om het perfecte risicomanagementraamwerk te identificeren en toe te passen. Het toepassen van een raamwerk biedt houvast voor de mate van bescherming van jouw organisatie.
Daarom richt je voor je organisatie een keuzeproces in waarmee je vervolgens aan de slag kunt. Door dit proces expliciet in te richten ontstaat ook inzicht in de criteria waarvan de keuze afhangt.
In het kort moet in dit keuzeproces het volgende aan bod komen
Het is van belang zowel te kijken naar waar je organisatie nu als in de toekomst staat. Zodoende kies je een raamwerk dat past bij je eventuele ambities en verwachtingen. Dan kun je langer gebruik blijven maken van het raamwerk. Als jouw organisatie de ambitie heeft om internationaal te gaan opereren, dan heeft dat bijvoorbeeld potentieel ook impact op de verwachtingen die er zijn aan de digitale weerbaarheid.
Afhankelijk van jouw type organisatie, de markt en de sector waarin je opereert moet je bepaalde raamwerken toepassen omdat het wettelijk is voorgeschreven of omdat jouw klanten dit van jou eisen.
Het NCSC benoemt daarom een aantal overwegingen waarop beoordeeld kan worden (1) wat de huidige stand van het digitale risicomanagement binnen de organisatie is en (2) op welke wijze aanvullende acties geïdentificeerd kunnen worden om de weerbaarheid te verhogen.
Wettelijke vereisten
Het is belangrijk om in beeld te hebben aan welke wettelijke eisen een organisatie moet voldoen. Het adopteren en op juiste wijze operationaliseren van een risicomanagementraamwerk kan hier onderdeel van zijn.
Contractuele eisen
Hier geldt hetzelfde voor ten opzichte van de wettelijke eisen.
Kosten:
Elk raamwerk heeft bepaalde kosten. Denk aan: training van personeel, total cost of ownership en de kosten voor het gebruik van het raamwerk zelf.
Capaciteit en kennis
Gebruik van raamwerk(en) kost capaciteit en kennis is ervoor vereist. Overweeg welke kennis en capaciteit de organisatie al heeft aangezien op die manier de effectiviteit van toepassing van het raamwerk verhoogd wordt.
Volwassenheid
Bovenstaande elementen bepalen de volwassenheid van de organisatie. Aan de hand van deze volwassenheid qua informatiebeveiliging en risicomanagement kies je voor een bepaald ambitieniveau en maak je naar behoren gebruik van (onderdelen van) risicomanagementraamwerken.
Context
Neem de context mee in het maken van een keuze. Denk hierbij aan sector, afnemers, keten, internationaal, multinational en dergelijke.
Als je alles verzameld hebt over de raamwerken die voor jou een optie zijn is het van belang deze te beoordelen aan de hand van criteria die passen bij jouw situatie. Denk aan effectiviteit, toepasbaarheid, groeimogelijkheden e.d. Hier kunnen ook harde criteria bij zitten zoals wettelijke of afnemerseisen.
Door de selectie hiervoor kunnen de raamwerken al aan een aantal criteria voldoen. In deze stap zoom je dan nog wat specifieker in op jouw organisatie en welke raamwerken hiervoor het meest effectief zijn.
Als je de mogelijkheden in beeld hebt dan kun je op basis hiervan een raamwerk kiezen. Belangrijk is dat dit besluit door de gehele organisatie gedragen wordt: ook het bestuur of de leiding van de organisatie moet erachter staan.
Let er op bij het vaststellen van een raamwerk dat je voldoende tijd, geld en capaciteit reserveert om effectief met het raamwerk aan de slag te gaan. Dit houdt ook in dat je hiervoor capaciteit en mandaat verkrijgt.
Ten slotte is het van belang om stapsgewijs over te gaan tot implementatie en daarbij haalbaarheid en herhaalbaarheid in gedachten te houden. Dat zorgt ervoor dat de structuur en manier van werken geïntegreerd wordt in de organisatie en het gekozen raamwerk jou helpt, en niet hindert, bij het verhogen van de digitale weerbaarheid.
Gewenste eindsituatie
Het NCSC adviseert om te streven naar een situatie waarbij:
Een holistisch risicomanagementraamwerk wordt gebruikt door de organisatie.
Kwadrantspecifieke raamwerken gebruikt worden om de juiste processen en beheersmaatregelen te implementeren.
Sector- en technologiespecifieke risicomanagementuitdagingen via specialistische risicomanagementraamwerken geadresseerd worden.
Risicomanagement is inherent een cyclisch en continu proces. Daarom is deze stip op de horizon altijd relatief en afhankelijk van de huidige stand van de organisatie en ontwikkelingen in de omgeving. De raamwerken met de groeipaden kunnen daarom zeer nuttig zijn om de organisatie te helpen te groeien en te ontwikkelen. Daarom is een iteratieve, stapsgewijze benadering van digitaal risicomanagement cruciaal.
NIST crosswalks: het vergelijken van NIST met andere raamwerken:
