Kwantitatieve cyberrisicobeoordeling voor NIS2 en DORA
De bestuursvergadering waarin “hoog risico” niet meer volstond
Het is 08:15 op een dinsdag. De CISO van een snelgroeiende fintech staat buiten de bestuurskamer met drie versies van hetzelfde verhaal over cyberrisico.
De eerste versie is vertrouwd: ransomware is “hoog”, clouduitval is “hoog”, compromittering van een leverancier is “middel” en misbruik van geprivilegieerde toegang is “hoog”. Het is verdedigbaar, afgestemd op het huidige risicoregister en vrijwel onbruikbaar voor het besluit dat het bestuur moet nemen.
De tweede versie is een technische roadmap: implementeer onveranderbare back-ups, verbeter identiteitsbeheersmaatregelen, financier weerbaarheidstesten, versterk leveranciersmonitoring en vergroot de logdekking. Dat is verstandig, maar de CFO stelt de vraag die de vergadering kantelt: “Welke van deze maatregelen verlaagt het bedrijfsrisico per euro het meest?”
De derde versie verandert het gesprek.
Een uitval van 12 uur van het platform voor betalingsorkestratie wordt geraamd op €620.000 aan bruto operationele, contractuele en omzetimpact. De huidige jaarlijkse blootstelling wordt geraamd op €186.000. Een weerbaarheidspakket van €74.000 kan het verwachte jaarlijkse verlies terugbrengen tot ongeveer €62.000. De resterende blootstelling ligt nog steeds boven de tolerantiegrens, omdat de dienst een kritieke of belangrijke functie ondersteunt, de blootstelling rond klantmeldingen materieel blijft en de afhankelijkheid van derde partijen hoog is.
Het bestuur discussieert nu niet meer over kleuren. Het bespreekt financiële blootstelling, risicotolerantie, verantwoordingsplicht richting toezichthouders en investeringsprioriteiten.
Dat is kwantitatieve cyberrisicobeoordeling in 2026. Het is geen wiskundig theater. Het doet niet alsof cybergebeurtenissen met perfecte nauwkeurigheid kunnen worden voorspeld. Het is de beheerste vertaling van “dit is rood” naar “dit is de plausibele financiële blootstelling, dit is het betrouwbaarheidsniveau, dit is de regelgevende consequentie, dit is het besluit over risicobehandeling en dit is het bewijstraject.”
Voor CISO’s, compliance managers, auditors en bedrijfseigenaren wordt die omslag in de praktijk noodzakelijk. ISO/IEC 27001:2022 vereist een gedocumenteerd, consistent en vergelijkbaar proces voor risicobeoordeling en risicobehandeling. NIS2 brengt cyberbeveiligingsrisico onder goedkeuring, toezicht, training en aansprakelijkheid van het bestuursorgaan. DORA stelt ICT-risicogovernance, weerbaarheidstesten, incidentclassificatie, risico’s van derde partijen en managementverantwoordelijkheid centraal voor financiële entiteiten. NIST CSF 2.0 geeft leidinggevenden een governancetaal voor risicobereidheid, prioritering en toezicht. GDPR voegt verantwoordingsplicht toe wanneer persoonsgegevens betrokken zijn.
Het probleem is niet dat organisaties geen risicoregisters hebben. Het probleem is dat veel risicoregisters geen uitleg geven over geld, prioriteiten, bestuursverantwoordelijkheid of auditbewijsmateriaal.
De aanpak van Clarysec sluit die kloof door de Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Clarysec-beleid en Zenith Controls: The Cross-Compliance Guide Zenith Controls te combineren in één praktisch bewijsmodel: kwantificeer wat ertoe doet, koppel het aan beheersmaatregelen, toon wie het heeft geaccepteerd en bewijs dat de behandeling heeft gewerkt.
Waarom kwalitatieve risicoregisters niet langer genoeg zijn
Kwalitatieve risicobeoordeling blijft belangrijk. Een heldere waarschijnlijkheids- en impactmatrix helpt teams te prioriteren wanneer gegevens onvolledig zijn, vooral binnen een brede ISMS-scope. Het probleem begint wanneer de organisatie daar stopt.
Een bestuur kan begrijpen dat een risico “hoog” is, maar kan niet eenvoudig drie “hoge” risico’s vergelijken die om hetzelfde budget concurreren. Is de hoogste prioriteit het ransomware-scenario, de clouduitval, het concentratierisico bij leveranciers of de zwakte in geprivilegieerde toegang? Het antwoord hangt af van financiële blootstelling, ernst vanuit regelgeving, klantimpact, contractuele verplichtingen, criticaliteit van de dienst en restrisico na behandeling.
Daarom werkt kwantitatieve cyberrisicobeoordeling het best als hybride model. Kwantificeer niet elk klein punt. Gebruik kwalitatieve scoring voor het volledige register en voeg vervolgens financiële analyse toe voor de risico’s waarvoor managementbesluiten, investeringsgoedkeuring, contractuele maatregelen, risico-overdracht of bestuurstoezicht nodig zijn.
Het Enterprise Beleid inzake risicobeheer Beleid inzake risicobeheer van Clarysec ondersteunt dit expliciet. In de sectie “Vereisten voor beleidsimplementatie”, clausule 6.2.3, staat:
“Zowel kwalitatieve als kwantitatieve methoden kunnen worden toegepast, afhankelijk van de risicocategorie en de beschikbaarheid van informatie.”
Die clausule is belangrijk omdat zij een veelvoorkomende tekortkoming voorkomt: schijnnauwkeurigheid. Volwassen organisaties dwingen financiële modellering niet af op elk klein risico. Zij passen die toe waar het besluit daarom vraagt.
Voor mkb-organisaties kan de basis eenvoudig blijven. Het mkb-Beleid inzake risicobeheer Beleid inzake risicobeheer - mkb van Clarysec, sectie “Governancevereisten”, clausule 5.1.2, bepaalt:
“Elke risicovermelding moet bevatten: beschrijving, waarschijnlijkheid, impact, score, eigenaar en risicobehandelingsplan.”
De verbetering is niet om die structuur te vervangen. De verbetering is om de belangrijkste vermeldingen te verrijken met financiële schattingen, vooral wanneer uitvaltijd, gereguleerde diensten, persoonsgegevens, cloudafhankelijkheid, ICT-uitbesteding of kritieke klantverplichtingen betrokken zijn.
De governanceverschuiving: cyberrisico is nu een bestuursartefact
Kwantificering van cyberrisico is niet alleen een financiële oefening. Het is governancebewijsmateriaal.
Onder ISO/IEC 27001:2022 moet de organisatie de context, belanghebbenden, wettelijke en contractuele eisen, reikwijdte, interfaces en afhankelijkheden vaststellen. Zij moet een proces voor informatiebeveiligingsrisicobeoordeling definiëren dat consistente, geldige en vergelijkbare resultaten oplevert. Zij moet risico’s voor vertrouwelijkheid, integriteit en beschikbaarheid identificeren, risico-eigenaren aanwijzen, gevolgen en waarschijnlijkheid beoordelen, risiconiveaus bepalen en risico’s prioriteren. Vervolgens moet zij behandelopties selecteren, beheersmaatregelen bepalen, deze vergelijken met Annex A, een Verklaring van Toepasselijkheid opstellen, goedkeuring van de risico-eigenaar verkrijgen en gedocumenteerde informatie bewaren.
Dat betekent dat het risicoregister geen privéspreadsheet van het beveiligingsteam is. Het is een ISMS-registratie die leiderschap, selectie van beheersmaatregelen, verantwoordingsplicht voor behandeling en directiebeoordeling met elkaar verbindt.
NIS2 verhoogt de verwachting verder. Bestuursorganen van essentiële en belangrijke entiteiten moeten cyberbeveiligingsrisicobeheersmaatregelen goedkeuren, toezien op de implementatie en training ontvangen zodat zij risico’s kunnen begrijpen en cyberbeveiligingspraktijken kunnen beoordelen. NIS2 Article 21 vereist passende en evenredige technische, operationele en organisatorische maatregelen, rekening houdend met de stand van de techniek, implementatiekosten, risicoblootstelling, omvang van de entiteit, waarschijnlijkheid, ernst en maatschappelijke en economische impact.
Die frase, “maatschappelijke en economische impact”, maakt financiële kwantificering van cyberrisico krachtig. Een aanbieder die cloud, datacenters, DNS, vertrouwensdiensten, managed services, managed security services, digitale infrastructuur, online marktplaatsen of andere gedekte sectoren ondersteunt, moet mogelijk niet alleen aantonen dat beheersmaatregelen bestaan, maar ook waarom zij evenredig zijn aan de blootstelling.
Voor financiële entiteiten geldt DORA vanaf 17 januari 2025 en wordt het het sectorspecifieke regime voor digitale operationele weerbaarheid. Het omvat ICT-risicobeheer, rapportage van majeure ICT-gerelateerde incidenten, testen van digitale operationele weerbaarheid, uitwisseling van informatie over cyberdreigingen, ICT-risico’s van derde partijen en toezicht op kritieke ICT-dienstverleners van derde partijen. Voor financiële entiteiten die ook onder nationale omzetting van NIS2 zijn geïdentificeerd, fungeert DORA als de sectorspecifieke Unierechtelijke handeling voor relevante aangelegenheden rond ICT-risicobeheer en incidentrapportage.
Praktisch gezien heeft een fintech geen vijf losstaande risicokaders nodig. Zij heeft één geïntegreerd risicomodel nodig dat laat zien welk regime van toepassing is, welke afhankelijkheden bestaan, welke financiële blootstelling plausibel is en hoe het management de behandeling heeft goedgekeurd en gevolgd.
GDPR voegt een extra laag toe. Wanneer persoonsgegevens betrokken zijn, kan een cybergebeurtenis een inbreuk in verband met persoonsgegevens worden, en niet alleen een operationeel incident. Het risicomodel moet de verwerkingscontext, de rol van verwerkingsverantwoordelijke of verwerker, gegevenscategorieën, bijzondere categorieën persoonsgegevens waar relevant, beveiligingsmaatregelen, logica voor beoordeling van inbreuken en meldingsimplicaties identificeren.
Van heatmap naar euro’s: het praktische hybride model
De juiste vraag is niet: “Moeten we kwalitatieve risicobeoordeling vervangen?” De juiste vraag is: “Welke risico’s verdienen financiële kwantificering?”
De Zenith Blueprint, fase Risicobeheer, stap 12, “Risicobeoordelingsmethoden: kwalitatief en kwantitatief”, geeft een pragmatisch antwoord:
“Kwantitatieve risicobeoordeling probeert risico in numerieke termen te schatten (bijvoorbeeld verwacht jaarlijks verlies in valuta). Dit omvat vaak:
✓ Het verzamelen van historische incidentgegevens (bijvoorbeeld hoe vaak een inbreuk voorkomt en wat de gemiddelde kosten zijn). ✓ Het gebruiken van modellen zoals Annualized Loss Expectancy (ALE = Single Loss Impact × Annual Rate of Occurrence) of raamwerken zoals FAIR (Factor Analysis of Information Risk) voor complexere analyses.”
Dezelfde stap waarschuwt dat een zuiver kwantitatieve analyse voor mkb-organisaties lastig kan zijn omdat historische gegevens beperkt kunnen zijn en het proces veel middelen kan vragen. Het praktische antwoord is een lichte kwantitatieve analyse voor toprisico’s.
| Element | Praktische betekenis | Voorbeeld |
|---|---|---|
| Single Loss Impact | Geschatte impact als het scenario één keer optreedt | €620.000 voor een uitval van 12 uur van het betalingsplatform |
| Annual Rate of Occurrence | Geschatte frequentie per jaar | 0,3, wat neerkomt op ongeveer één keer per 3,3 jaar |
| Annualized Loss Expectancy | Single Loss Impact vermenigvuldigd met Annual Rate of Occurrence | €186.000 verwachte jaarlijkse blootstelling |
| Behandelingskosten | Kosten van het pakket beheersmaatregelen | €74.000 voor failover, monitoring en testen |
| Resterend jaarlijks verlies | Geschatte jaarlijkse blootstelling na behandeling | €62.000 |
| Besluit | Behandelen, overdragen, vermijden of accepteren | Behandelen en restrisico beoordelen tijdens de directiebeoordeling |
De cijfers hoeven niet perfect te zijn. Ze moeten worden uitgelegd. Impactaannames kunnen omzetverlies, SLA-credits, klantcompensatie, incidentrespons, juridisch advies, forensische ondersteuning, overwerk, klantenondersteuning, inspanning voor meldingen aan toezichthouders, churn en reputatie-impact omvatten. Frequentieaannames kunnen afkomstig zijn uit interne incidenten, rapportages over leveranciersuitval, threat intelligence, sectorervaring, blootstelling aan kwetsbaarheden, auditbevindingen en volwassenheid van beheersmaatregelen.
De Zenith Blueprint, fase Risicobeheer, stap 10, “Risicocriteria en impactmatrix vaststellen”, legt uit waarom het model moet worden gekalibreerd:
“Bij het definiëren van impact is het verstandig niveaus te relateren aan uw specifieke bedrijfsschaal. Bijvoorbeeld: ‘Grote financiële impact = verlies > $100k’ (aanpassen aan uw context). Houd ook rekening met regelgevende impact: een datalek met persoonsgegevens kan bijvoorbeeld automatisch ‘Groot’ of ‘Ernstig’ zijn vanwege GDPR-boetes en meldingsvereisten, zelfs als het directe financiële verlies onduidelijk is.”
Dat is de brug tussen kwalitatief en kwantitatief risico. “Groot” krijgt pas betekenis wanneer de organisatie definieert wat groot betekent in financiële, operationele, juridische en klantgerelateerde termen.
Uitgewerkt voorbeeld: risico van clouduitval bij een leverancier kwantificeren
Stel u een SaaS-aanbieder voor die klanten in de financiële sector bedient. Deze is afhankelijk van een cloudhostingprovider, een beheerd databaseplatform, een betaalgateway en een dienst voor klantmeldingen. Het team selecteert één scenario voor kwantitatieve analyse:
“Langdurige uitval van het beheerde databaseplatform veroorzaakt verstoring van de klantgerichte dienstverlening en vertraagde transactieverwerking.”
Stap 1: definieer het risicoscenario en de eigenaar
Het mkb-Beleid inzake risicobeheer vereist beschrijving, waarschijnlijkheid, impact, score, eigenaar en risicobehandelingsplan. Het Enterprise Beleid inzake risicobeheer, sectie “Governancevereisten”, clausule 5.2.2, voegt toe dat het register:
“Risico-eigenaren, impact- en waarschijnlijkheidsscores, behandelplannen, deadlines en verwijzingen naar beheersmaatregelen bevat”
De eigenaar is niet “IT”. De verantwoordelijke eigenaar is de service-eigenaar, ondersteund door de CISO, CTO, compliance manager, leveranciersmanager en finance.
Stap 2: schat de financiële blootstelling
Het team raamt:
- €35.000 per uur aan verloren transactieomzet en SLA-credits
- €8.000 per uur aan kosten voor ondersteuning, escalatie en incidentafhandeling
- €60.000 aan kosten voor herstel richting klanten en communicatie
- €120.000 aan mogelijke churn of commerciële impact
- 10 uur als plausibele ernstige uitval op basis van leveranciershistorie en architectuurbeoordeling
Single Loss Impact is:
10 × (€35.000 + €8.000) + €60.000 + €120.000 = €610.000
De huidige waarschijnlijkheid wordt geraamd op 0,25 per jaar. Annualized Loss Expectancy is:
€610.000 × 0,25 = €152.500
Het voorgestelde behandelpakket omvat een multi-region failoverontwerp, getest back-upherstel, beoordeling van de leveranciers-SLA, synthetische monitoring, een tabletop-oefening en een actualisering van het exitplan. De kosten in het eerste jaar bedragen €82.000, met €34.000 terugkerende kosten.
Na behandeling wordt de resterende waarschijnlijkheid geraamd op 0,10 per jaar en de resterende Single Loss Impact op €350.000 vanwege sneller herstel. De resterende ALE is:
€350.000 × 0,10 = €35.000
De verlaging van de verwachte jaarlijkse blootstelling in het eerste jaar bedraagt ongeveer €117.500, nog vóór rekening wordt gehouden met regelgevende weerbaarheid, klantvertrouwen en contractuele voordelen.
Stap 3: kies de behandeling en documenteer de onderbouwing
Risicobehandeling is niet altijd zuivere mitigatie. Het mkb-Beleid inzake risicobeheer van Clarysec, sectie “Vereisten voor beleidsimplementatie”, clausule 6.1.3, bepaalt:
“Overdragen: Gebruik contracten, Service Level Agreements of verzekeringen om risico extern over te dragen.”
Voor dit scenario kiest de organisatie een gemengde behandeling: reduceren via technische weerbaarheid, deels overdragen via SLA en contractuele remedies, en het restrisico accepteren met managementgoedkeuring.
Stap 4: koppel de behandeling aan de Verklaring van Toepasselijkheid
Het Enterprise Beleid inzake risicobeheer, sectie “Afstemming op de Verklaring van Toepasselijkheid (SoA)”, clausule 6.5.1, bepaalt:
“Besluiten over beheersmaatregelen die voortvloeien uit het risicobehandelingsproces moeten in de SoA worden weerspiegeld.”
Hier wordt het financiële model auditgeschikt. Het scenario van leveranciersuitval wordt gekoppeld aan ISO/IEC 27001:2022 Annex A-beheersmaatregelen voor leveranciers, cloud, continuïteit, incidenten en verstoringen. Het wordt ook gekoppeld aan NIS2-beveiliging van de toeleveringsketen en bedrijfscontinuïteit, DORA ICT-risico’s van derde partijen en weerbaarheidstesten, GDPR-beveiliging en beoordeling van inbreuken als persoonsgegevens worden geraakt, en NIST CSF-governance, supply chain, respons- en herstelresultaten.
De Zenith Blueprint, fase Risicobeheer, stap 13, “Planning van risicobehandeling en Verklaring van Toepasselijkheid”, legt de traceerbaarheid uit:
“De SoA is in feite een overbruggingsdocument: het koppelt uw risicobeoordeling/-behandeling aan de daadwerkelijke beheersmaatregelen die u heeft. Door het in te vullen controleert u ook of u beheersmaatregelen hebt gemist.”
Een sterke SoA-onderbouwing kan luiden: “Van toepassing omdat uitval van het beheerde databaseplatform kritieke klantdienstverlening, ICT-afhankelijkheid van derde partijen, contractuele klantverplichtingen, continuïteitsverplichtingen en mogelijke beschikbaarheid van persoonsgegevens raakt. Beheersmaatregelen zijn geselecteerd om een gekwantificeerde jaarlijkse blootstelling van €152.500 te verlagen en een door het management goedgekeurd restrisico te ondersteunen.”
Stap 5: escaleer op basis van drempelwaarden
Het Enterprise Beleid inzake risicobeheer, sectie “Governancevereisten”, clausule 5.6, vereist:
“De risicobevoegdhedenmatrix moet duidelijk drempelwaarden definiëren voor escalatie naar Topmanagement of het bestuur.”
Een jaarlijkse blootstelling van €152.500 kan de lokale managementtolerantie overschrijden. Een risico met een lagere waarde kan nog steeds escalatie vereisen als het een kritieke of belangrijke functie raakt, DORA-verwachtingen activeert, persoonsgegevens omvat, klantverplichtingen bedreigt of verantwoordingsplicht van het bestuursorgaan onder NIS2 creëert.
Cross-compliance mapping: één gekwantificeerd risico, veel verplichtingen
Een gekwantificeerd cyberrisico mag niet worden gekopieerd naar vijf afzonderlijke compliancespreadsheets. Het moet één risico-object worden met meerdere complianceperspectieven.
| Complianceperspectief | Wat het gekwantificeerde risico moet aantonen | Bewijsartefact |
|---|---|---|
| ISO/IEC 27001:2022 | Risicocriteria, eigenaar, waarschijnlijkheid, gevolg, behandeling, acceptatie van restrisico, SoA-koppeling en operationeel bewijsmateriaal | Risicoregister, behandelplan, SoA, directiebeoordeling, auditregistraties |
| NIS2 | Passende en evenredige maatregelen, goedkeuring en toezicht door het bestuursorgaan, incident- en continuïteitsoverwegingen, maatregelen voor de toeleveringsketen | Bestuursnotulen, trainingsregistraties, goedkeuringen van risicobehandeling, incidentworkflow |
| DORA | ICT-risicogovernance, kritieke of belangrijke functies, ICT-afhankelijkheden van derde partijen, testen, incidentclassificatie en weerbaarheidsstrategie | ICT-risicokader, informatieregister, testresultaten, incidentclassificatie, exitplan |
| GDPR | Reikwijdte van persoonsgegevens, beveiligingsmaatregelen, implicaties van inbreuken, verantwoordingsplicht van verwerkingsverantwoordelijke of verwerker, context van rechtmatige verwerking | RoPA-koppeling, DPIA waar van toepassing, beoordeling van inbreuken, beveiligingsbewijsmateriaal |
| NIST CSF 2.0 | Risicobereidheid, gestandaardiseerde prioritering, governance, leveranciersrisico, detectie-, respons- en herstelresultaten | Current en Target Profiles, actieplan, POA&M, registraties van leveranciersrisico’s |
| COBIT 2019 | Governancedoelstellingen, prestatiemonitoring, risico-optimalisatie, besluiten over middelen en assurance | Governancerapportage, prestatiemetrieken van beheersmaatregelen, assurancerapportages |
NIS2 Article 21 is bijzonder relevant omdat het risicoanalyse, beveiligingsbeleid, incidentafhandeling, bedrijfscontinuïteit, back-up, herstel na verstoringen, crisismanagement, beveiliging van de toeleveringsketen, veilige ontwikkeling, afhandeling van kwetsbaarheden, beoordeling van doeltreffendheid, cyberhygiëne, training, cryptografie, HR-beveiliging, toegangscontrole, beheer van bedrijfsmiddelen en authenticatie omvat.
DORA creëert vergelijkbare discipline voor financiële entiteiten, maar met een sectorspecifieke focus. Het vereist een intern governance- en beheersingskader voor ICT-risico, waarbij het bestuursorgaan eindverantwoordelijk is. Het verwacht goedkeuring van en toezicht op ICT-beleid, rollen, strategie voor digitale operationele weerbaarheid, ICT-risicotolerantie, continuïteits- en responsplannen, auditplannen, budgetten, training, beleid voor ICT-diensten van derde partijen en rapportagekanalen.
DORA geeft kwantitatieve risicobeoordeling ook een directe operationele trigger: incidentclassificatie. Majeure ICT-gerelateerde incidenten moeten worden geclassificeerd aan de hand van criteria zoals getroffen klanten, tegenpartijen en transacties, duur, uitvaltijd, geografische spreiding, gegevensverliezen die beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid raken, criticaliteit van getroffen diensten en economische impact. Als het risicomodel al uitvaltijd, klantimpact, gegevensimpact en economisch verlies schat, ondersteunt het incidentclassificatie wanneer zich een echt incident voordoet.
De control crosswalk die bestuursverantwoordelijkheid auditeerbaar maakt
In Zenith Controls koppelt Clarysec ISO/IEC 27002:2022 beheersmaatregel 5.4, “Managementverantwoordelijkheden”, als governance-anker voor verantwoordingsplicht op het gebied van informatiebeveiliging. De gids behandelt deze als preventief, ondersteunend aan vertrouwelijkheid, integriteit en beschikbaarheid, afgestemd op het cybersecurityconcept “Identify”, met governance als operationele capaciteit en governance plus ecosysteem als beveiligingsdomeinen.
Dat is belangrijk omdat financiële cyberblootstelling thuishoort in managementbesluitvorming. Zenith Controls koppelt ISO/IEC 27002:2022 beheersmaatregel 5.4 aan meerdere ondersteunende beheersmaatregelen:
| Relatie met ISO/IEC 27002:2022-beheersmaatregel | Waarom dit belangrijk is voor gekwantificeerd risico |
|---|---|
| 5.2 Rollen en verantwoordelijkheden voor informatiebeveiliging | Risico-eigenaren, eigenaren van beheersmaatregelen en escalatiebevoegdheden moeten zijn gedefinieerd |
| 5.1 Beleid voor informatiebeveiliging | Besluiten over gekwantificeerde risico’s moeten aansluiten op goedgekeurde beleidsverplichtingen |
| 5.35 Onafhankelijke beoordeling van informatiebeveiliging | Onafhankelijke beoordeling geeft het management objectieve assurance over risicobehandeling |
| 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging | Nalevingsmonitoring toont aan of behandelingen werken zoals bedoeld |
| 5.8 Informatiebeveiliging in projectmanagement | Nieuwe producten en wijzigingen moeten cyberrisico en financiële blootstelling vroegtijdig meenemen |
Zenith Controls koppelt managementverantwoordelijkheden ook aan ISO/IEC 27001:2022 clauses 5.1, 5.2 and 9.3, waarmee leiderschap, beleid en directiebeoordeling worden verbonden. Het koppelt verder aan ISO/IEC 27014:2020 clauses 6 and 7, die zich richten op governancekaders en processen voor het evalueren, sturen, monitoren en communiceren van informatiebeveiliging.
De bewijsketen is overzichtelijk:
- Het management definieert risicobereidheid, tolerantie en escalatiedrempels.
- Risico-eigenaren kwantificeren de belangrijkste cyberrisico’s.
- Beheersmaatregelen worden geselecteerd en weerspiegeld in de SoA.
- Behandelacties worden uitgevoerd en gevolgd.
- Onafhankelijke beoordeling en nalevingsmonitoring toetsen de doeltreffendheid.
- De directiebeoordeling evalueert prestaties, incidenten, auditresultaten, middelen en verbeteracties.
- Het bestuur ontvangt financiële blootstelling, restrisico en verantwoordingsbewijsmateriaal in zakelijke termen.
Het mkb-Beleid inzake risicobeheer van Clarysec, sectie “Rollen en verantwoordelijkheden”, clausule 4.1.1, versterkt deze governancerol:
“Stelt de risicobereidheid van de organisatie vast en keurt het risicobeheerkader goed.”
Voor een mkb-organisatie kan dit de algemeen directeur of eigenaar zijn. Voor een gereguleerde financiële entiteit kan dit het bestuursorgaan zijn. Het verantwoordingsprincipe is hetzelfde.
Hoe auditors en toezichthouders uw cijfers toetsen
Kwantitatieve cyberrisicobeoordeling zal niet worden geaudit als perfecte actuariële wetenschap. Zij zal worden geaudit op methode, consistentie, traceerbaarheid, governance en bewijsmateriaal.
| Perspectief van auditor of beoordelaar | Wat zij zullen toetsen | Verwacht bewijsmateriaal |
|---|---|---|
| ISO/IEC 27001:2022 | Clause 6.1.2 risicobeoordeling, clause 6.1.3 risicobehandeling, SoA-besluiten, goedkeuring door risico-eigenaren en clause 9.3 directiebeoordeling | Risicocriteria, register, behandelplan, SoA, goedkeuringen, notulen van directiebeoordeling |
| Bevoegde autoriteit onder NIS2 | Goedkeuring en toezicht door het bestuursorgaan, maatregelen onder Article 21, proportionaliteit, gereedheid voor incidenten en training | Bestuurspakketten, trainingsregistraties, risicogoedkeuringen, incidentprocedures, continuïteitsbewijsmateriaal |
| DORA-toezichthouder of interne auditor | ICT-risicokader, ICT-risicotolerantie, kritieke of belangrijke functies, testen, incidentclassificatie en ICT-risico’s van derde partijen | ICT-risicoregister, weerbaarheidsstrategie, informatieregister, testresultaten, exitplannen |
| NIST CSF 2.0-beoordelaar | GOVERN-resultaten, waaronder GV.RM-02 risicobereidheid en tolerantie en GV.RM-06 gestandaardiseerde prioritering | Current Profile, Target Profile, actieplan, koppeling met Enterprise Risk Register |
| COBIT 2019-beoordelaar | Governance over bedrijfs-IT, risico-optimalisatie, beslissingsrechten, toewijzing van middelen en assurance | Governancerapportage, prestatiemetrieken, assurancerapportages |
Het Clarysec Beleid voor audit en compliancemonitoring - mkb Beleid voor audit en compliancemonitoring - mkb, sectie “Governancevereisten”, clausule 5.4.3, maakt de auditlus expliciet:
“Auditbevindingen en statusupdates moeten worden opgenomen in het ISMS-directiebeoordelingsproces.”
Dit is cruciaal. Als het risicomodel €500.000 blootstelling schat, maar interne audit vaststelt dat de hersteltest is mislukt, moet het restrisico wijzigen. Als het exitplan voor leveranciers niet is getest, mag de organisatie het restrisico niet accepteren alsof de beheersmaatregel volwassen is. Als DORA-testen een kritisch hiaat identificeren, moet die bevinding doorwerken in behandeling, budget en directiebeoordeling.
De Zenith Blueprint, fase Audit, Review & Improvement, stap 28, “Directiebeoordeling”, ondersteunt dit door input voor directiebeoordelingen aan te bevelen, zoals wijzigingen in interne en externe kwesties, regelgevende eisen, auditresultaten, monitoring en meting, doelstellingen, incidenten, non-conformiteiten, verbetermogelijkheden en benodigde middelen. In een programma voor gekwantificeerd cyberrisico moet het pakket voor directiebeoordeling de belangrijkste financiële blootstellingen, de trend sinds de vorige beoordeling, voortgang van behandelingen, achterstallige acties, restrisico boven tolerantie en vereiste besluiten bevatten.
Een cyberrisicopakket maken dat geschikt is voor het bestuur
Een cyberrisicopakket voor het bestuur moet bestuurders niet overspoelen met aantallen kwetsbaarheden, FAIR-variabelen of control-ID’s. Het moet cyberrisico vertalen naar besluiten.
Neem voor elk belangrijk gekwantificeerd risico op:
- Scenarionaam en getroffen bedrijfsdienst
- Criticaliteit van de dienst of functie
- Markeringen voor persoonsgegevens, gereguleerde dienst en leveranciersafhankelijkheid
- Huidige schatting van Single Loss Impact
- Huidige schatting van Annual Rate of Occurrence
- Huidige Annualized Loss Expectancy
- Aannames en betrouwbaarheidsniveau
- Huidige beheersmaatregelen en bekende hiaten
- Behandelopties en kosten
- Verwachte resterende blootstelling na behandeling
- Relevantie voor ISO/IEC 27001:2022, NIS2, DORA en GDPR
- Risico-eigenaar en benodigd besluit
- SoA- en beleidsverwijzingen
- Deadline en beoordelingsdatum
Een vereenvoudigd bestuursoverzicht kan er zo uitzien:
| Risicoscenario | Huidige ALE | Behandelingskosten | Resterende ALE | Regelgevende aanleiding | Besluit |
|---|---|---|---|---|---|
| Uitval van beheerde database die transactieverwerking raakt | €152.500 | €82.000 | €35.000 | DORA ICT-risico, ISO-risicobehandeling, leverancierscontinuïteit | Behandeling goedkeuren |
| Ransomware die het klantdataplatform raakt | €372.000 | €100.000 | €95.000 | GDPR-risico op inbreuk, NIS2 incidentafhandeling, ISO-incidentbeheersmaatregelen | EDR en onveranderbare back-ups goedkeuren |
| Compromittering van geprivilegieerde toegang in cloudbeheerconsole | €260.000 | €58.000 | €72.000 | ISO toegangscontrole, NIS2 authenticatie, DORA gegevensintegriteit | MFA en PAM-verbetering goedkeuren |
| Concentratierisico bij kritieke SaaS-aanbieder | €190.000 | €45.000 | €95.000 | DORA-risico van derde partijen, NIS2-toeleveringsketen, ISO-leveranciersbeheersmaatregelen | Testen van exitplan goedkeuren |
De cijfers zijn schattingen, maar de governancewaarde is reëel. Het bestuur kan prioriteiten vergelijken. De CISO kan uitgaven onderbouwen. Finance kan aannames valideren. Compliance kan besluiten aan verplichtingen koppelen. Auditors kunnen het bewijstraject volgen.
Veelgemaakte fouten bij het kwantificeren van cyberrisico
De eerste fout is schijnnauwkeurigheid. Een model dat een verlies van €487.239,17 claimt zonder duidelijke aannames is minder geloofwaardig dan een bandbreedte met gedocumenteerde basis. Gebruik waar passend bandbreedtes en beoordeel aannames opnieuw na incidenten, audits, wijzigingen bij leveranciers en majeure architectuurbesluiten.
De tweede fout is alleen technische kosten tellen. Een majeur cyberincident kan omzetverlies, klantcompensatie, operationele verstoring, regelgevende rapportage, juridisch advies, forensische ondersteuning, communicatiekosten, contractuele boetes, churn, managementtijd en reputatie-impact omvatten.
De derde fout is het negeren van regelgevende ernst. Een inbreuk in verband met persoonsgegevens kan groot zijn, ook wanneer het directe operationele verlies bescheiden lijkt. Een DORA-incident kan significant zijn vanwege de criticaliteit van de dienst, uitvaltijd, gegevensverlies of getroffen klanten. Een NIS2-incident kan materieel zijn omdat het ernstige operationele verstoring, financieel verlies of aanzienlijke schade aan anderen veroorzaakt.
De vierde fout is het niet bijwerken van de SoA. Als besluiten over behandeling leiden tot leveranciersmonitoring, planning voor cloudexit, verzameling van incidentbewijsmateriaal, ICT-gereedheid voor bedrijfscontinuïteit of beheersmaatregelen voor verstoringen, moet de SoA de toepasselijke beheersmaatregelen en implementatiestatus weerspiegelen.
De vijfde fout is finance buiten beschouwing laten. Kwantitatieve cyberrisicobeoordeling is het sterkst wanneer beveiliging, finance, juridische zaken, operations, product en compliance overeenstemming bereiken over impactaannames. De CISO moet omzetverliescijfers niet alleen verzinnen.
De zesde fout is verzekering behandelen als volledige risico-overdracht. Verzekering kan financiële impact verlagen, maar neemt regelgevende verantwoordingsplicht, verstoring van dienstverlening, schade aan klantvertrouwen of managementverantwoordelijkheid niet weg.
Waar Clarysec past
Clarysec helpt organisaties een cyberrisicoprogramma op te bouwen dat praktisch genoeg is voor mkb-organisaties en robuust genoeg voor gereguleerde omgevingen.
De Zenith Blueprint begeleidt de organisatie van scope en context via risicocriteria, kwalitatieve en kwantitatieve beoordeling, planning van behandeling, SoA-traceerbaarheid, audit, directiebeoordeling en verbetering. Zenith Controls helpt verwachtingen voor beheersmaatregelen uit ISO/IEC 27001:2022 en ISO/IEC 27002:2022 te koppelen aan andere raamwerken, audits en governanceverplichtingen. Clarysec-beleid levert de taal die auditors verwachten, waaronder risicobereidheid, bevoegdhedenmatrices, behandelopties, complianceregisters, SoA-afstemming en integratie met directiebeoordeling.
Het mkb-Beleid inzake juridische en regelgevende naleving Beleid inzake juridische en regelgevende naleving - mkb, sectie “Governancevereisten”, clausule 5.1.1, begint met een eenvoudige verplichting:
“De GM moet een eenvoudig, gestructureerd nalevingsregister onderhouden waarin is opgenomen:”
Dat eenvoudige register doet ertoe. Wettelijke, regelgevende en contractuele verplichtingen moeten zichtbaar zijn binnen het ISMS. Voor kwantitatief risico betekent dit dat NIS2, DORA, GDPR, klantcontracten, SLA’s, uitbestedingsverplichtingen, verplichtingen voor incidentmelding en auditverplichtingen impact, behandelprioriteit en escalatie vormgeven.
Het Enterprise Beleid inzake risicobeheer, sectie “Referentienormen en -raamwerken”, clausule 11.9.1, weerspiegelt ook rechtstreeks governance in DORA-stijl:
“Article 5: Vereist een gedocumenteerd ICT-risicobeheerkader, volledig gedekt door de structuur van dit beleid, inclusief SoA-koppeling en KRI’s.”
Dat is het Clarysec-model in één zin: gedocumenteerd ICT-risicobeheer, gekoppeld aan beheersmaatregelen, gemeten via indicatoren, beoordeeld door het management en onderbouwd voor audit.
Volgende stappen: maak uw cyberrisicoregister voor 2026 financieel verdedigbaar
Als uw huidige cyberrisicoregister nog steeds “hoog” zegt zonder financiële blootstelling, behandelingseconomie of regelgevende impact uit te leggen, start dan dit kwartaal met vijf acties:
- Selecteer uw belangrijkste 5 tot 10 cyberrisicoscenario’s op basis van bedrijfsimpact.
- Definieer financiële impactdrempels voor Klein, Matig, Groot en Ernstig.
- Schat Single Loss Impact, Annual Rate of Occurrence en Annualized Loss Expectancy voor elk topscenario.
- Koppel elk besluit over behandeling aan ISO/IEC 27001:2022-beheersmaatregelen, de SoA, NIS2- of DORA-verplichtingen waar van toepassing, GDPR-implicaties en NIST CSF-governanceresultaten.
- Presenteer restrisico, behandelingskosten en escalatiedrempels tijdens de directiebeoordeling.
Clarysec kan u helpen dit om te zetten in een herhaalbaar bewijssysteem met behulp van de Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, het Enterprise Beleid inzake risicobeheer Beleid inzake risicobeheer, het mkb-Beleid inzake risicobeheer Beleid inzake risicobeheer - mkb en ondersteunende audit- en compliancesjablonen.
Het doel is niet om cyberrisico perfect voorspelbaar te maken. Het doel is om het uitlegbaar, vergelijkbaar, financieel betekenisvol en auditeerbaar te maken.
Download de Clarysec-sjablonen voor risico- en compliancebeleid, verken de Zenith Blueprint, of boek een Clarysec-assessment om uw cyberrisicoregister voor 2026 om te zetten in bestuursgeschikt bewijsmateriaal voor ISO/IEC 27001:2022, NIS2, DORA en GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
