Beveiligingsprofessional ordent kleurgecodeerde risicobeoordelingsdocumenten met risicoматrix op glazen bureau naast open laptop.

Hoe stel je een NIS2-risicobeoordeling op?

De NIS2-richtlijn verplicht organisaties om aantoonbaar grip te hebben op hun cyberrisico’s. De basis daarvan is een solide risicobeoordeling: een gestructureerde analyse van wat er mis kan gaan, hoe groot de kans en impact zijn, en welke maatregelen je neemt. Zonder deze beoordeling kun je niet voldoen aan de zorgplicht die de Cyberbeveiligingswet oplegt.

In dit artikel doorloop je stap voor stap hoe je een NIS2-risicobeoordeling opstelt. Of je organisatie nu net begint of een bestaande aanpak wil aanscherpen, deze handleiding geeft je een concreet werkproces dat aansluit op de eisen van de NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet.

Wat je nodig hebt vóór je begint

Een goede NIS2-risicoanalyse begint niet met een spreadsheet, maar met de juiste randvoorwaarden. Voordat je de inhoudelijke stappen zet, moet je een aantal zaken op orde hebben. Wie voert de beoordeling uit? Welke scope hanteren we? En welke informatie hebben we al beschikbaar?

Zorg dat je de volgende elementen hebt verzameld voordat je begint:

  • Betrokkenheid van het bestuur: De NIS2-richtlijn legt de verantwoordelijkheid voor cyberweerbaarheid expliciet bij het bestuur. Bestuurders moeten niet alleen akkoord gaan met de uitkomsten, maar actief betrokken zijn bij het proces.
  • Duidelijke scope: Bepaal voor welke diensten, systemen en processen de beoordeling geldt. Richt je op de activiteiten die essentieel zijn voor de continuïteit van je organisatie.
  • Overzicht van bestaand beleid: Verzamel bestaande beveiligingsdocumenten, eerdere audits, incidentrapportages en eventuele BIO- of ISO 27001-documentatie.
  • Multidisciplinair team: Betrek naast IT ook juridische, operationele en bestuurlijke expertise. Cybersecurity is geen IT-feestje alleen.
  • Referentiekader: Gebruik de NIS2-minimummaatregelen als checklist. Denk aan beleid voor risicoanalyse, bedrijfscontinuïteit, supply chain security, cryptografie en toegangsbeheer.

Heb je al een compliance en beleid-traject doorlopen of beschik je over bestaande risicodocumentatie? Gebruik die als vertrekpunt. Je hoeft niet van nul te beginnen als er al bruikbaar materiaal aanwezig is.

Breng je kritieke assets en processen in kaart

Voordat je risico’s kunt beoordelen, moet je weten wat je wilt beschermen. Deze stap draait om het identificeren van de assets en processen die essentieel zijn voor jouw dienstverlening. Denk aan informatiesystemen, netwerken, data, applicaties en de processen die daarvan afhankelijk zijn.

  1. Maak een inventaris van alle systemen en applicaties die je organisatie gebruikt voor haar kerntaken.
  2. Koppel elk systeem aan de bedrijfsprocessen die ervan afhankelijk zijn. Wat valt er stil als dit systeem uitvalt?
  3. Classificeer assets op basis van hun belang voor vertrouwelijkheid, integriteit en beschikbaarheid (de CIA-triade).
  4. Breng ook de toeleveringsketen in kaart. De NIS2-zorgplicht vereist dat je inzicht hebt in de cybersecuritymaatregelen van je leveranciers, dus noteer welke externe partijen toegang hebben tot jouw systemen of data.

Na deze stap heb je een gestructureerd overzicht van wat er beschermd moet worden en waarom. Dit overzicht vormt de ruggengraat van je volledige risicobeoordeling. Controleer of elk kritisch proces vertegenwoordigd is en of de eigenaren van die processen het overzicht herkennen als correct.

Identificeer en analyseer dreigingen en kwetsbaarheden

Met je asset-inventaris in de hand ga je nu bepalen wat er fout kan gaan. Deze stap combineert dreigingsidentificatie met kwetsbaarheidsanalyse: welke aanvalsvectoren bestaan er, en waar is jouw organisatie kwetsbaar?

Begin met het inventariseren van relevante dreigingen voor jouw sector en type organisatie. Denk aan ransomware-aanvallen, phishing, datalekken, supply chain-aanvallen en DDoS. Gebruik daarvoor actuele dreigingsinformatie van het NCSC of sectorspecifieke bronnen.

  1. Stel per asset of proces een lijst op van realistische dreigingsscenario’s. Beperk je tot scenario’s die daadwerkelijk van toepassing zijn op jouw situatie.
  2. Analyseer per dreiging de bijbehorende kwetsbaarheden. Ontbreekt multi-factorauthenticatie? Zijn systemen niet gepatcht? Heeft een leverancier brede toegang zonder adequate beveiliging?
  3. Beoordeel ook menselijke en organisatorische kwetsbaarheden, zoals gebrek aan bewustzijn bij medewerkers of onduidelijke verantwoordelijkheden bij incidenten.

Een effectieve manier om blinde vlekken te ontdekken is een onafhankelijke penetratietest of vulnerability scan. Zo krijg je een technisch onderbouwd beeld van waar aanvallers daadwerkelijk kunnen binnenkomen, in plaats van te vertrouwen op aannames. Na deze stap heb je per asset een overzicht van dreigingen en bijbehorende zwakke punten.

Bepaal het risiconiveau per scenario

Nu je dreigingen en kwetsbaarheden in kaart hebt gebracht, is het tijd om elk scenario te beoordelen op risiconiveau. Dat doe je door de kans dat een dreiging zich voordoet te combineren met de potentiële impact op je organisatie.

Gebruik een eenvoudige maar consistente methodiek. Een 3×3 of 5×5 risicomatrix werkt goed: beoordeel kans en impact elk op een schaal (laag, midden, hoog) en bepaal zo het gecombineerde risiconiveau. Belangrijk is dat je dezelfde criteria consequent toepast op alle scenario’s.

  1. Beoordeel de kans dat een dreigingsscenario zich voordoet, rekening houdend met bestaande beveiligingsmaatregelen en de aantrekkelijkheid van jouw organisatie als doelwit.
  2. Beoordeel de impact bij optreden: wat zijn de gevolgen voor de continuïteit van dienstverlening, de vertrouwelijkheid van data, en de reputatie van de organisatie?
  3. Wijs een risiconiveau toe (laag, middel, hoog, kritiek) op basis van de combinatie van kans en impact.
  4. Prioriteer de scenario’s met het hoogste risiconiveau. Dit zijn de gevallen die als eerste aandacht vereisen bij het bepalen van maatregelen.

Controleer na afloop of de prioritering logisch aanvoelt voor de mensen die de processen dagelijks uitvoeren. Als een scenario als “laag risico” wordt beoordeeld terwijl operationele medewerkers het als een serieuze bedreiging ervaren, is het de moeite waard om de beoordeling te heroverwegen.

Stel beheersmaatregelen vast en documenteer je beoordeling

De laatste stap is het vertalen van je risicoanalyse naar concrete maatregelen en het vastleggen van alles in een gedocumenteerde risicobeoordeling. Dit is het document dat je NIS2 compliance aantoonbaar maakt richting toezichthouders en bestuur.

Koppel aan elk risicoscenario een of meerdere beheersmaatregelen. De NIS2-richtlijn noemt een aantal minimummaatregelen die in elk geval aan bod moeten komen: beleid voor risicoanalyse en systeembeveiliging, bedrijfscontinuïteitsmaatregelen, supply chain security, cryptografie en encryptie, toegangsbeheer en multi-factorauthenticatie.

  1. Selecteer per risico passende maatregelen op basis van de ernst en de beschikbare middelen. Maatregelen moeten proportioneel zijn aan het risico.
  2. Wijs een eigenaar aan voor elke maatregel. Zonder verantwoordelijke eigenaar blijft de implementatie hangen.
  3. Stel een tijdlijn vast voor implementatie, met prioriteit voor de hoogste risico’s.
  4. Documenteer de gehele risicobeoordeling: de scope, de methodiek, de geïdentificeerde risico’s, de gekozen maatregelen en de resterende restrisico’s die bewust worden geaccepteerd.
  5. Leg het document ter goedkeuring voor aan het bestuur. Bestuurders zijn onder de Cyberbeveiligingswet verantwoordelijk voor de beslissingen over informatiebeveiliging en moeten de risicobeoordeling formeel vaststellen.

Een risicobeoordeling is geen eenmalige exercitie. Plan een periodieke herziening in, minimaal jaarlijks of na significante wijzigingen in je systemen, diensten of dreigingslandschap. Zo blijft je inzicht in cyberdreigingen actueel en voldoe je doorlopend aan de NIS2-zorgplicht.

Hoe Q-Cyber helpt met jouw NIS2-risicobeoordeling

Een NIS2-risicobeoordeling opzetten vraagt om een combinatie van technische kennis, beleidsexpertise en organisatorisch inzicht. Dat is precies waar wij het verschil maken. We begeleiden organisaties door het volledige traject: van de eerste inventarisatie tot een gedocumenteerde beoordeling die klaar is voor toezicht.

Wat wij voor jou kunnen doen:

  • Gap-analyse: We brengen in kaart waar jouw organisatie nu staat ten opzichte van de NIS2-vereisten en welke stappen prioriteit hebben.
  • Technische toetsing: Via vulnerability scans en red team-aanpakken toetsen we de technische weerbaarheid van je systemen als input voor de risicobeoordeling.
  • Beleid op maat: We schrijven het benodigde beleid dat aansluit op jouw risicoprofiel en voldoet aan de NIS2-minimummaatregelen.
  • Bestuurderstraining: We verzorgen trainingen zodat jouw bestuur de verantwoordelijkheid voor cyberweerbaarheid daadwerkelijk kan dragen.
  • Virtuele CISO: Via Continuous-Q® bieden we doorlopende begeleiding door een team van specialisten, ook na de eerste implementatie.

We werken onafhankelijk, zonder binding aan softwarepartijen of andere toeleveranciers. Dat betekent dat ons advies altijd in jouw belang is. Wil je weten hoe we jouw organisatie kunnen helpen met NIS2 compliance? Neem contact met ons op en we kijken samen wat er nodig is.