Benodigde inzichten voor risicomanagement

De Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) treden beide op 15 augustus 2026 in werking. Daarmee hebben we twee wetten die vragen om risicomanagement. Hoewel beide wetten overlap hebben. richten ze zich beiden op een eigen onderwerp. Moet je hierdoor dan twee keer risicomanagement implementeren? Gelukkig niet. Hoe dat werkt is in dit artikel uitgelegd. We beginnen met een beschrijving van wat risicomanagement precies is. Risicomanagement is het op gewenst niveau houden van de kwaliteitseisen voor de middelen die nodig zijn om processen draaiende te houden die invulling geven aan het behalen van doelen. Zo, dat is een lange ingewikkelde zin, die om uitleg vraagt. Dat ga ik doen door de belangrijkste woorden in die zin te behandelen: doelen, processen, middelen en kwaliteitseisen.

Doelen

Iedere organisatie streeft iets na. Dat is meestal het maken van een product of het leveren van een dienst. Zo verkoopt een bakker brood, levert een ziekenhuis zorg en repareert een garage auto's. Het maken van een product of het leveren van een dienst is het zogehete organisatiedoel. Voor een grote organisatie kan het nuttig zijn om dat hoogover organisatiedoel op te splitsen in kleine doelen. Een ziekenhuis bijvoorbeeld is vaak onderverdeeld in meerdere afdelingen. Een spoedeisende hulp (SEH), de intensive care (IC), een laboratorium, een apotheek, etc, maar ook een afdeling ICT, HR en financiën. Iedere afdeling binnen een ziekenhuis draagt op een eigen manier, direct of indirect, bij aan het leveren van zorg, van waaruit een eigen specifiek afdelingsdoel geformuleerd kan worden.

Uiteraard kan risicomanagement ook kleinschaliger worden toegepast, bijvoorbeeld binnen een project. Bekijk dan wat het doel van het project is. Risicomanagement kan ook worden toegepast bij zaken die niet direct bijdragen aan het organisatiedoel. Binnen een project dat een bedrijfsfeest organiseert kan risicomanagement bijdragen aan een geslaagd feest. Uiteraard ook zinnig. In het belang van het voortbestaan van de organisatie, is het verstandig om risicomanagement minimaal toe te passen voor het behalen van het organisatiedoel.

Waar je risicomanagement ook toepast, het vaststellen van het doel van de omgeving waarbinnen je risicomanagement toepast, is nuttig om risicomanagement richting te geven. Om hoofdzaak en bijzaak van elkaar te kunnen onderscheiden.

Processen

Het behalen van een zeker doel gebeurt door middel van het uitvoeren van processen. Een proces is een reeks van bij elkaar horende handelingen. Hoewel sommige processen doorlopend worden uitgevoerd, heeft ieder proces een begin en een einde. Iets gaat het proces in en er komt een resultaat uit. Sommge processen zijn cruciaal in het behalen van het doel (primaire processen). Andere zijn daar meer ondersteunend aan (secundaire processen).

Om risicomanagement goed te kunnen toepassen, is het verstandig om alle relevante processen te identificeren en te beschrijven. De beste manier om een proces te beschrijven is door voor iedere afzonderlijke stap op zoek te gaan naar een werkwoord dat de kern van die stap beschrijft. Een valkuil is om in de beschrijving namen van betrokken functies of personen te benoemen. Niet doen, dat komt bij de volgende stap.

Middelen

Om processen draaiende te houden zijn middelen nodig. Geef bij iedere stap in ieder proces aan welke middelen nodig zijn. Waar relevant, geef ook aantallen of hoeveelheden aan. Hieronder een lijst met veel voorkomende middelen.

  • Mensen: Medewerkers die de processen daadwerkelijk uitvoeren. Het is misschien wat raar om mensen als middelen te benoemen, maar het praat wat makkelijker met een algemene term. Benoem geen namen van mensen, maar geef functies of rollen aan.
  • Geld: De financiële middelen die nodig zijn voor de uitvoering van het proces.
  • Spullen: Het gaat hier om spullen/goederen in brede zin, zoals gereedschap en grondstoffen. Denk niet alleen aan de spullen die je actief gebruikt, maar ook die in voorraad liggen.
  • Informatie: Benoem informatie die in de computer zit en ook die op papier staat.
  • Systemen: Benoem niet alleen computers, maar ook OT-systemen, elektronische apparaten of bijvoorbeeld medische systemen.
  • Vastgoed: Een bedrijfspand is redelijk onmisbaar voor het uitvoeren van werk.

Kwaliteitseisen

Of middelen op een goede en betrouwbare manier ingezet kunnen worden binnen een proces, is per middel afhankelijk van bepaalde factoren. Deze factoren bepalen namelijk de kwaliteit van het middel.

  • Mensen
    • Beschikbaarheid: Kunnen de juiste mensen gevonden worden? Hoe staat het met de arbeidsmarkt?
    • Gezondheid: Zijn medewerkers ook daadwerkelijk in staat om te werken?
    • Motivatie: Is er een goede en veilige werksfeer op het werk, zodat mensen het bereid zijn om het beste uit zichzelf te halen?
    • Kennis: Hebben medewerkers nu en in de toekomst de juiste kennis om het benodigde werk te doen?
  • Geld
    • Hoeveelheid: Bijna vanzelfsprekend, maar voldoende geld hebben is natuurlijk nodig om alles te kunnen betalen.
    • Waarde: Een euro blijft natuurlijk altijd een euro waard, maar wat je voor een euro kan kopen kan veranderen. Dat wordt bepaald door inflatie en wisselkoersen.
  • Spullen
    • Kwaliteit: Slijtage of bederfelijkheid kan de kwaliteit van spullen of grondstoffen aantasten.
    • Kwantiteit: Spullen, en met name die in voorraad, behoren in de juiste hoeveelheden aanwezig te zijn. Voorraden moeten tijdig en met de juiste hoeveelheden worden aangevuld.
  • Informatie
      Beschikbaarheid: Informatie is beschikbaar op de momenten waarop en vanaf locaties vanwaar dat nodig is en met een werkbare snelheid.
    • Integriteit: Informatie is volledig, correct en recent.
    • Vertrouwelijkheid: Informatie kan alleen ingezien worden door de personen die daarvoor gemachtigd zijn.
  • Systemen
    • Beschikbaarheid: Systemen zijn op de juiste momenten beschikbaar.
    • Integriteit: Systemen werken zoals bedoeld.
  • Vastgoed
    • Beschikbaarheid: Een pand kan gedeeltelijk of in z'n geheel onbruikbaar worden.
    • Bereikbaarheid: Externe factoren zoals het weer of verkeersdrukte kunnen ertoe leiden dat mensen niet naar het kantoor kunnen komen.

Om verschillende redenen kunnen deze kwaliteitseisen in gevaar komen. Om ervoor te zorgen dat de voor de processen benodigde middelen ingezet kunnen worden, is het goed om te waken over deze kwaliteitseisen. Dit is waar risicomanagement bij kan helpen.

Informatiebeveiliging, hetgeen wat in de Cbw wordt behandeld, is het waken over de kwaliteitseisen voor informatie, waken over de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Informatiebeveiliging is dus niet meer dan risicobeheersing rondom informatie. Het proces dat je daarvoor moet inrichten is echter precies hetzelfde als voor de overige kwaliteitseisen. Ook is de inzet van middelen vaak met elkaar verweven. Mensen werken met de overige middelen. Informatie zit in IT-systemen. Geld is nodig om spullen, systemen en vastgoed te kopen. Vastgoed bevat veel van de overige middelen. Risicomanagement inrichten voor alleen een van die middelen, is niet efficiënt. De enige juiste manier is door dit meteen organisatiebreed in te voeren. Dat twee wetten dus beide om risicomanagement vragen, geeft dus geen extra uitdaging, maar is een stimulans om het in een keer goed te doen.

Verkrijgen van inzicht

Het verkrijgen van inzicht in je eigen omgeving is nodig om daarbinnen met risicomanagement aan te slag te kunnen gaan. Werk voor het verkrijgen van dat benodigde inzicht bovenstaande onderwerpen in die volgorde af. Begin dus met het vaststellen van het doel van hetgeen je aan het doen bent. Maak deze stap niet groter dan nodig is. Het gaat met name om te bepalen waar je wel risicomanagement voor gaat inrichten en waarvoor niet.

De volgende stap is het in kaart brengen van de verschillende processen die invulling geven aan het behalen van dat doel. Werk ieder proces uit in een overzicht met daarin de verschillende processtappen. Het is logisch om deze stap te combineren met het in kaart brengen van de benodigde middelen bij iedere stap in een proces. Dit kan bijvoorbeeld via een brown-paper sessie. Een groot vel papier met post-its, stiften, stickers, etc, om alles in een overzicht te gieten.

Bepaal vervolgens, waar mogelijk en zinvol, per middel wat de kwaliteitseisen zijn. Zo is geld prima in een benodigde hoeveelheid uit te drukken. De gewenste beschikbaarheid, integriteit en vertrouwelijkheid van informatie is uit te drukken in SLA-niveau's vanuit de ICT-afdeling. De gezondheid en motivatie van medewerkers is daarentegen lastig in een gewenst niveau uit te drukken. Die moet gewoon goed zijn.

Vanaf hier begint het wellicht bekende verhaal, met de risicoanalyse als eerste stap. Vanuit deze risicoanalyses worden risico's inzichtelijk gemaakt, die via het bekende risicomanagementproces beheerst kunnen worden. Het verschil is echter dat je nu een goed uitgangspunt hebt om de risicoanalyse goed te beginnen, namelijk de kwaliteitseisen van de middelen die nodig zijn om processen draaiende te houden, waarmee invulling wordt gegeven aan het organisatiedoel. Op deze manier geef je via een aanpak invulling aan beide wetten.