Routekaart risicomanagement
De routekaart risicomanagement is opgesteld om inzicht en overzicht te geven op het gebied van risicomanagement in het digitale domein. De routekaart wordt gebruikt als referentiekader en biedt perspectief aan organisaties die hun digitale weerbaarheid op een passend niveau willen krijgen. Het doel van dit artikel is om de routekaartverder toe te lichten.
Door de achtergrond, methodiek en toepassingen te beschrijven zijn organisaties in staat om gebruik te maken van de routekaart. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken.
LeeswijzerDit artikel is opgebouwd uit twee onderdelen. In het eerste onderdeel, wordt de routekaart geïntroduceerd. Daarna zal bovenstaande visualisatie toegelicht worden en worden de vier fases van de risicomanagementcyclus toegelicht. Vervolgens volgt er een verdiepingshoofdstuk. Hierin zullen de toepassingen van risicomanagement routekaart besproken worden. Daarna komt de achtergrond aan bod: de aanleiding voor het opstellen van de routekaart, methodiek en definities worden uiteengezet en tenslotte volgt er een vooruitblik. |
De hoofdcategorieën
Het doel van risicomanagement is om een passend niveau van digitale weerbaarheid te bereiken en te behouden. Om dit doel te bereiken, onderscheiden we de achtergrond en vier hoofdcategorieën:
Context en uitleg
De routekaart wordt gebruikt als referentiekader en biedt perspectief aan organisaties die hun digitale weerbaarheid op een passend niveau willen krijgen. Lees meer...
1. Governance en randvoorwaarden
Het doel van governance en randvoorwaarden is tweeledig; het scheppen van de juiste randvoorwaarden voor het risicomanagementproces en het maken en vastleggen van afspraken. Lees meer...
2. Risicobeoordeling
Het doel van de risicobeoordelingsfase is dat er wordt beoordeeld wat de belangrijkste risico’s zijn voor een organisatie. Deze kunnen worden geïdentificeerd op basis van 3 componenten: dreigingen, tbb's en weerbaarheid. Lees meer...
3. Risicobehandeling
Na de risicobeoordelingsfase heeft een organisatie een aantal risico’s gevonden welke de organisatie kunnen treffen. Lees meer...
4. Doorlopende monitoring
Het doel van doorlopende monitoring is het zicht houden op beoordeelde risico’s en de effectiviteit van de gekozen risicobehandeling. Lees meer...
Cyberbeveiligingswet – NIS2De cyberbeveiligingswet (NIS2) benoemt risicomanagement expliciet. Daarmee is het onderdeel van de zorgplicht van organisaties. Een van de manieren waarop het NCSC haar doelgroepen wil ondersteunen, is door deze routekaart te produceren en actief te onderhouden. De visie van het NCSC behelst een risico-gebaseerde aanpak van cybersecurity. Dat houdt in dat er geen one-size-fits-all benadering mogelijk is. De diversiteit tussen organisaties, hun digitale omgevingen en specifieke prioriteiten leidt ertoe dat risicomanagement de basis is van het bepalen van een passend niveau van digitale weerbaarheid. Middels goed risicomanagement is een organisatie in staat om zowel weloverwogen als helder inzichtelijke keuzes te maken. |