Messing weegschaal op donker bureau met combinatieslot en beveiligingstoken tegenover gestapelde euromunten, digitaal dashboard weerspiegeld in het oppervlak.

Hoe bereken je de ROI van cybersecurity-investeringen?

De ROI van cybersecurity bereken je door de verwachte verliesreductie van een beveiligingsmaatregel af te zetten tegen de totale kosten van die maatregel. Concreet: als een investering van 20.000 euro per jaar het verwachte jaarlijkse verlies door een cyberaanval met 80.000 euro verlaagt, is de ROI positief en aantoonbaar. Voor organisaties die ook onder NIS2 vallen, spelen daarnaast complianceboetes en bestuurdersaansprakelijkheid mee in de berekening. In dit artikel werken we de belangrijkste vragen rondom cybersecurity-ROI stap voor stap uit.

Welke kosten en risico’s vormen de basis van de berekening?

De basis van elke ROI-berekening voor cybersecurity bestaat uit twee elementen: de directe en indirecte kosten van een beveiligingsincident, en de kans dat zo’n incident zich voordoet. Zonder een realistisch beeld van beide factoren is elke berekening een slag in de lucht.

De directe kosten van een cyberincident zijn concreet en meetbaar. Denk aan kosten voor incident response, herstel van systemen, juridisch advies, meldingsverplichtingen en eventuele losgeldbetalingen bij ransomware. Maar de indirecte kosten zijn vaak groter: omzetverlies door uitval, reputatieschade, verlies van klanten en de productiviteitsderving van medewerkers die weken bezig zijn met herstel.

Naast de operationele schade spelen ook compliancekosten een rol. Organisaties die onder de NIS2-regelgeving vallen, riskeren bij een ernstige overtreding boetes tot 10 miljoen euro of 2% van hun wereldwijde jaaromzet. Belangrijke entiteiten kunnen boetes tot 7 miljoen euro of 1,4% van de jaaromzet verwachten. Bovendien kan het senior management persoonlijk aansprakelijk worden gesteld. Deze bedragen horen thuis in elke serieuze risicoanalyse als potentieel verlies.

Voor de risicokant gebruik je historische gegevens uit je eigen sector, meldingen van het NCSC en inzichten van je eigen security-team. Relevante vragen zijn: hoe vaak worden organisaties in jouw sector geraakt? Wat is de gemiddelde hersteltijd? Welke systemen zijn het kwetsbaarst? Dit vormt de feitelijke basis voor de berekening die volgt.

Hoe bereken je de verwachte verliesreductie van een beveiligingsmaatregel?

De verwachte verliesreductie van een beveiligingsmaatregel bereken je met de formule: Annualized Loss Expectancy (ALE) voor de maatregel minus de ALE na de maatregel. Het verschil is de verwachte jaarlijkse besparing. Trek daar de jaarlijkse kosten van de maatregel van af en je hebt de netto ROI.

De ALE zelf bereken je als volgt: ALE = Single Loss Expectancy (SLE) x Annual Rate of Occurrence (ARO). De SLE is het geschatte verlies per incident, de ARO is de geschatte kans dat het incident zich per jaar voordoet. Stel dat een succesvolle phishing-aanval gemiddeld 150.000 euro schade veroorzaakt en de kans dat dit jaarlijks gebeurt 30% is, dan is de ALE 45.000 euro.

Een anti-phishingtraining van 5.000 euro per jaar die de slagingskans van phishing-aanvallen met 60% verlaagt, brengt de ALE terug naar 18.000 euro. De jaarlijkse besparing is 27.000 euro. Na aftrek van de trainingskosten levert de maatregel netto 22.000 euro op. De ROI is dan (22.000 / 5.000) x 100 = 440%.

Houd er rekening mee dat de reductiefactor van een maatregel zelden 100% is. Geen enkele beveiligingsmaatregel elimineert een risico volledig. Een realistische schatting van de effectiviteit, gebaseerd op sectorervaringen of penetratietests, maakt de berekening geloofwaardiger en bruikbaarder voor besluitvormers.

Wat zijn de meest gebruikte modellen voor cybersecurity-ROI?

De meest gebruikte modellen voor het berekenen van cybersecurity-ROI zijn het ALE-model (Annualized Loss Expectancy), het ROSI-model (Return on Security Investment) en het Factor Analysis of Information Risk-model, beter bekend als FAIR. Elk model heeft een andere focus en is geschikt voor andere situaties.

Het ALE-model en ROSI

Het ALE-model is het meest toegankelijke startpunt. Het combineert de kans op een incident met de verwachte schade per incident en maakt de impact van een beveiligingsmaatregel direct zichtbaar in euro’s. Het ROSI-model bouwt hierop voort en berekent expliciet het rendement van een investering: ROSI = (Risicoreductie in euro’s – Kosten van de maatregel) / Kosten van de maatregel. Dit maakt het eenvoudig om verschillende maatregelen onderling te vergelijken op basis van hun financieel rendement.

Het FAIR-model

Het FAIR-model (Factor Analysis of Information Risk) gaat een stap verder. Het breekt risico’s op in gedetailleerde subcategorieën en gebruikt kansdistributies in plaats van enkelvoudige schattingen. Dit levert een genuanceerder beeld op, maar vereist ook meer data en expertise. FAIR is vooral geschikt voor grotere organisaties die een formeel risicomanagementprogramma willen opbouwen en beslissingen op strategisch niveau willen onderbouwen.

Naast deze kwantitatieve modellen bestaat er ook een kwalitatieve aanpak: het heatmapmodel, waarbij risico’s worden ingedeeld op basis van kans en impact zonder exacte euro-bedragen. Dit model is minder precies maar sneller toe te passen en helpt om prioriteiten te stellen wanneer data ontbreekt. Voor organisaties die net beginnen met het structureren van hun security budget is dit een bruikbaar vertrekpunt.

Welke cybersecurity-investeringen leveren de hoogste ROI op?

Cybersecurity-investeringen met de hoogste ROI zijn doorgaans die maatregelen die een breed scala aan aanvalstypen tegengaan tegen relatief lage kosten. Bewustwordingstraining voor medewerkers, multi-factor authenticatie en patchbeheer scoren consistent hoog omdat ze fundamentele kwetsbaarheden aanpakken die bij een groot deel van de succesvolle aanvallen worden misbruikt.

Medewerkers vormen in de praktijk de meest aangevallen schakel in de beveiligingsketen. Phishing, social engineering en menselijke fouten zijn verantwoordelijk voor een groot deel van de beveiligingsincidenten. Gerichte security awareness training verlaagt de kans op succesvolle aanvallen aantoonbaar en is relatief goedkoop te implementeren. De verhouding tussen investering en risicoreductie is daardoor gunstig.

Multi-factor authenticatie (MFA) is een andere maatregel met een uitstekende kostenverhouding. Het beschermt accounts zelfs wanneer wachtwoorden zijn gestolen en blokkeert een groot deel van de geautomatiseerde aanvallen op inlogpogingen. De implementatiekosten zijn beperkt, terwijl de bescherming substantieel is.

Minder zichtbaar maar eveneens impactvol is een goede vulnerability management aanpak: het systematisch in kaart brengen en verhelpen van kwetsbaarheden in systemen. Een periodieke vulnerability scan geeft inzicht in waar de organisatie het meest kwetsbaar is, zodat het security budget gericht kan worden ingezet in plaats van verspreid over maatregelen met een lage prioriteit.

Tot slot leveren investeringen in bedrijfscontinuïteit, zoals goede back-upstrategieën en een getest herstelplan, een hoge ROI op in scenario’s waarbij een aanval toch succesvol is. De herstelkosten na een ransomware-aanval dalen drastisch als systemen snel kunnen worden hersteld vanuit betrouwbare back-ups.

Hoe presenteer je cybersecurity-ROI aan het management?

Cybersecurity-ROI presenteer je aan het management door risico’s te vertalen naar financiële impact en bedrijfscontinuïteit, niet naar technische kwetsbaarheden. Bestuurders nemen beslissingen op basis van risico en rendement. Wie dat taalgebruik hanteert, krijgt eerder budget en draagvlak.

Begin de presentatie met de zakelijke context: wat zijn de grootste risico’s voor de organisatie, wat kost een incident in het slechtste geval en wat is de kans dat dit scenario zich voordoet? Gebruik concrete bedragen en laat zien hoe de voorgestelde investering die blootstelling vermindert. Vermijd jargon zoals “zero-day exploits” of “CVSS-scores” tenzij je zeker weet dat je publiek die termen kent.

Structureer de presentatie vervolgens rond drie vragen die elke bestuurder stelt:

  • Wat is het risico als we niets doen? Geef het potentieel financieel verlies inclusief complianceboetes en reputatieschade.
  • Wat kost de investering? Presenteer de totale kosten per jaar, inclusief implementatie en beheer.
  • Wat levert de investering op? Toon de verwachte verliesreductie en bereken de netto ROI.

Voeg een scenarioanalyse toe met een optimistisch, realistisch en pessimistisch scenario. Dit geeft bestuurders een beeld van de bandbreedte van mogelijke uitkomsten en laat zien dat de berekening niet op één onzekere aanname rust. Voor organisaties die onder NIS2 vallen, is het ook zinvol om de compliancecomponent apart te benoemen: het vermijden van een boete van meerdere miljoenen euro’s is op zichzelf al een aantoonbaar rendement.

Sluit af met een duidelijke aanbeveling en een concrete volgende stap. Bestuurders hebben geen behoefte aan een lijst van opties, maar aan een helder advies dat zij kunnen overnemen of betwisten. Een goede presentatie eindigt met een beslissing, niet met een discussie.

Hoe Q-Cyber helpt bij het berekenen en onderbouwen van cybersecurity-ROI

Wij begrijpen dat het vertalen van technische risico’s naar zakelijke argumenten voor veel organisaties een uitdaging is. Q-Cyber helpt organisaties om cybersecurity-investeringen concreet te onderbouwen en te prioriteren op basis van hun werkelijke risicoprofiel. Wat we daarvoor doen:

  • Risicoanalyse en gap-analyse: We brengen in kaart welke kwetsbaarheden het grootste financiële risico vormen voor jouw organisatie, inclusief de impact op NIS2-compliance.
  • Vulnerability scans en pentests: Door technische zwakheden te testen krijg je concrete data die de basis vormen voor een betrouwbare ROI-berekening.
  • Beleidsadvies en boardroom-ondersteuning: We schrijven beleid op maat en helpen bij het presenteren van beveiligingsrisico’s aan bestuurders in begrijpelijke, zakelijke taal.
  • Virtuele CISO via Continuous-Q: Voor organisaties zonder eigen CISO bieden we via Continuous-Q een team van specialisten dat structureel toezicht houdt op de security-strategie en het budget.
  • NIS2-begeleiding: We voeren gap-analyses uit, adviseren maatregelen die aansluiten op jouw risicoprofiel en begeleiden het hele NIS2-traject van begin tot eind.

We werken onafhankelijk, zonder binding aan softwarepartijen of toeleveranciers. Dat betekent dat ons advies altijd in jouw belang is, niet in dat van een leverancier. Wil je weten hoe je jouw security budget beter kunt onderbouwen en inzetten? Neem contact met ons op voor een vrijblijvend gesprek.