TL;DR
Een cybersecurity risicoanalyse identificeert welke digitale bedreigingen uw bedrijf raken, hoe waarschijnlijk ze zijn, en welke impact ze hebben. Sinds de Belgische NIS2-wet van 26 april 2024 is dit geen optionele oefening meer maar een wettelijke verplichting onder artikel 21. Een werkbare aanpak doorloopt zes stappen: assets inventariseren, dreigingen identificeren, kwetsbaarheden in kaart brengen, impact en waarschijnlijkheid scoren, en risico’s prioriteren in een matrix. Voor een middelgrote KMO is dit haalbaar in 4 tot 8 weken.
Veel IT-managers kennen het gevoel: de directie vraagt naar “het cybersecurity-budget voor volgend jaar”, maar er ligt geen onderbouwd verhaal. Welke risico’s zijn het urgentst? Waar gaat de eerste euro naartoe? Zonder een gestructureerde risicoanalyse blijft elk antwoord een gok.
Sinds de inwerkingtreding van de Belgische NIS2-wet op 18 oktober 2024 is die gok ook juridisch onhoudbaar. Artikel 21 lid 2 punt a verplicht essentiële en belangrijke entiteiten expliciet om een beleid voor risicoanalyse en informatiebeveiliging te voeren. De eerste conformiteitsbeoordelingsdeadline van 18 april 2026 maakt dat veel Vlaamse bedrijven nu in een sprint zitten om hun risicobeheer formeel op orde te krijgen.
Dit artikel is een praktische handleiding. Geen consultancy-pitch, maar een werkbaar 6-stappen-proces, een vergelijking van drie internationale frameworks, een ingevulde 5×5-matrix en een sjabloon met tien voorbeeld-risico’s. Bedoeld voor IT-managers en compliance-verantwoordelijken die zelf aan de slag willen.
Wat NIS2 expliciet eist op het vlak van risicoanalyse
De Belgische wet van 26 april 2024 tilt risicoanalyse van een best practice naar een wettelijke kernverplichting. Artikel 21 lid 2 punt a stelt dat passende maatregelen “ten minste” een beleid omvatten “inzake risicoanalyse en beveiliging van informatiesystemen”. De wet eist een all-hazards benadering, wat betekent dat u ook fysieke, menselijke en supply chain-risico’s mee moet wegen, niet alleen pure cyberdreigingen.
Concreet verwacht een conformiteitsbeoordelingsorgaan (CAB) bij een audit drie zaken op tafel: een gedocumenteerd risicobeheerbeleid dat door de directie is goedgekeurd, een levend risicoregister waarin per scenario de impact op vertrouwelijkheid, integriteit en beschikbaarheid is vastgelegd, en een Verklaring van Toepasselijkheid (Statement of Applicability) die argumenteert waarom bepaalde controles wel of niet relevant zijn voor uw context.
Belangrijk om te onthouden: een risicoanalyse is niet hetzelfde als een gap-analyse. Een gap-analyse vergelijkt uw huidige controles met een framework (bv. CyberFundamentals) en toont wat ontbreekt. Een risicoanalyse bepaalt waarom die controles überhaupt nodig zijn voor uw specifieke organisatie. De gap-analyse is een vervolgstap, geen vervanging. Voor de inhoudelijke verdieping op NIS2 zelf verwijzen we naar onze complete NIS2-gids voor Vlaamse bedrijven.
Qua frequentie: de wet vraagt herziening bij significante wijzigingen in infrastructuur of dreigingslandschap. Voor essentiële entiteiten geldt daarnaast een driejaarlijkse hercertificeringscyclus. Voor een gezonde KMO-praktijk is een jaarlijkse herziening, gekoppeld aan de budgetcyclus, het minimum.
Drie frameworks om uit te kiezen: ISO 27005, NIST SP 800-30, ENISA
U hoeft niet vanaf nul te beginnen. Er bestaan drie volwassen frameworks die elk een ander accent leggen. De keuze hangt af van uw ambitieniveau en de aanwezige expertise.
ISO/IEC 27005:2022 is de internationale standaard voor risicobeheer binnen een Information Security Management System (ISMS). Het sluit naadloos aan op ISO 27001 en biedt een zeer gestructureerd proces van contextbepaling tot risicobehandeling. Voordeel: wereldwijde erkenning. Nadeel: de norm is niet gratis en kan bureaucratisch aanvoelen voor een KMO zonder gespecialiseerd personeel.
NIST SP 800-30 Rev. 1 is een Amerikaanse standaard die diepgaand inzoomt op dreigingsbronnen, aanvalsvectoren en kwetsbaarheidsernst. Het is gratis beschikbaar en bevat zeer concrete scoringstabellen. Nadeel: de focus ligt sterk op technische systemen, waardoor menselijke en organisatorische factoren minder uitgewerkt zijn.
ENISA Risk Management Framework is de Europese tegenhanger, met een sterke nadruk op aansluiting bij EU-regelgeving zoals NIS2 en GDPR. Voordeel: gericht op praktische toepasbaarheid voor middelgrote organisaties, vaak ondersteund met gratis tools en actuele dreigingslandschap-rapporten.
Voor een Vlaamse KMO is er nog een vierde, vaak betere optie: het CyberFundamentals (CyFun®) framework van het Centrum voor Cybersecurity België. Volgens het CCB is dit framework specifiek ontworpen om de Belgische NIS2-wet te implementeren en biedt het een directe mapping naar zowel ISO 27001 als NIST CSF. Door CyFun te gebruiken spreekt u “de taal van de toezichthouder”, wat een audit-traject aanzienlijk vereenvoudigt. Het CyberFundamentals framework onderscheidt drie maturiteitsniveaus (Basic, Important, Essential) die rechtstreeks aan uw risicoprofiel gekoppeld zijn.
| Framework | Geschikt voor KMO | Kostprijs | Aansluiting NIS2 |
|---|---|---|---|
| ISO 27005:2022 | Gemiddeld (vereist expertise) | Hoog (licentie + implementatie) | Zeer hoog |
| NIST SP 800-30 | Lager (technisch zwaar) | Gratis | Hoog |
| ENISA RMF | Goed | Gratis | Hoog |
| CyberFundamentals | Zeer hoog (op maat voor BE) | Gratis (CCB-tools) | Optimaal |
Het 6-stappen risicoanalyse-proces
Een eerste volledige cyclus is voor een typisch middelgroot bedrijf doorloopbaar in 4 tot 8 weken, mits de juiste stakeholders aan tafel zitten. De zes stappen hieronder vormen de gemene deler van alle bovenstaande frameworks.
Stap 1: Asset-identificatie en classificatie
Voordat u risico’s kunt scoren, moet u weten wat u beschermt. Dit gaat verder dan hardware: software, data, processen en menselijke expertise zijn allemaal assets. CIS Control #1 (hardware-inventaris) en #2 (software-inventaris) zijn een logisch startpunt. Classificeer data op basis van kritiekheid (Openbaar, Intern, Vertrouwelijk, Strikt Vertrouwelijk) en wijs per asset een eigenaar aan. Deliverable: een Asset Register. Doorlooptijd: 1 tot 2 weken.
Stap 2: Dreigingsidentificatie
Welke krachten kunnen uw assets schaden? Combineer interne kennis met externe bronnen. Het ENISA Threat Landscape (jaarlijks bijgewerkt) is voor Europese organisaties de standaardreferentie. Identificeer dreigingsbronnen (cybercriminelen, malafide insiders, hacktivisten, natuurrampen) en koppel ze aan concrete scenario’s per asset. Deliverable: een Threat Library. Doorlooptijd: ongeveer 1 week.
Stap 3: Kwetsbaarhedenidentificatie
Een kwetsbaarheid is een zwakte die door een dreiging kan worden uitgebuit. U haalt de input uit drie hoeken: technische zwakheden via vulnerability scans, organisatorische gaten via auditbevindingen, en menselijke risico’s via phishing-simulaties of awareness-metingen. Eerdere incidenten en near-misses zijn een onderschatte bron. Wie het verschil tussen scan- en testtechnieken wil scherpstellen, vindt verdieping in pentest vs vulnerability scan. Doorlooptijd: 1 tot 2 weken.
Stap 4: Impactbepaling (CIA-triade)
Hier evalueert u de gevolgen van een incident voor de Confidentiality, Integrity en Availability (CIA-triade) van uw informatie. Scoor de impact op een schaal van 1 tot 5 op drie domeinen: financieel (omzetverlies, herstelkosten, boetes), operationeel (productiestilstand, dienstonderbreking) en reputatie (klantverlies, mediadekking). De hoogste score van de drie domeinen is de impactscore voor het scenario. Doorlooptijd: ongeveer 1 week.
Stap 5: Likelihood-bepaling
Hoe groot is de kans dat het scenario zich daadwerkelijk voordoet? Combineer historische data van uw eigen organisatie (incidentregister, helpdesk-tickets), sectorale incidentrapporten en de huidige staat van uw beveiligingscontroles. Een goed geconfigureerde MFA verlaagt de likelihood van credential-diefstal aanzienlijk. Voor een KMO is een kwalitatieve 5-puntsschaal effectiever en even acceptabel voor toezichthouders als een complex kwantitatief model. Doorlooptijd: ongeveer 1 week.
Stap 6: Risicomatrix opstellen en prioriteren
De risicoscore is het product van impact en likelihood. Plot de resultaten in een 5×5-matrix om visueel te bepalen welke risico’s onmiddellijke actie vereisen. Een risico met score 20 (impact 4, likelihood 5) krijgt voorrang op een risico met score 6 (impact 2, likelihood 3). Deliverable: een geprioriteerd Risk Register. Consolidatie kost enkele dagen.
De 5×5 risicomatrix uitgewerkt
Een matrix heeft alleen waarde als iedereen binnen de organisatie dezelfde definitie hanteert van wat een “4” op impact betekent. Spreek de schalen daarom expliciet af en leg ze vast in uw risicobeleid. Hieronder een voorbeeld van werkbare definities voor een middelgrote Vlaamse onderneming.
| Score | Impact (operationeel) | Impact (financieel) | Likelihood |
|---|---|---|---|
| 1 | Geen merkbare impact | < €5.000 | Zeer onwaarschijnlijk (eens per 10 jaar) |
| 2 | Onderbreking < 4 uur | €5.000 – €25.000 | Onwaarschijnlijk (eens per 5 jaar) |
| 3 | Onderbreking 1 werkdag | €25.000 – €100.000 | Mogelijk (jaarlijks) |
| 4 | Meerdaagse onderbreking | €100.000 – €500.000 | Waarschijnlijk (maandelijks) |
| 5 | Permanente schade of faillissementsrisico | > €500.000 | Bijna zeker (dagelijkse pogingen) |
Risicozones na vermenigvuldiging: 1-4 laag (accepteerbaar), 5-9 middel (mitigeren binnen 12 maanden), 10-14 hoog (mitigeren binnen 6 maanden), 15-25 kritiek (onmiddellijke actie). Pas de zonegrenzen aan uw risk appetite aan, mits gedocumenteerd en bestuurlijk goedgekeurd.
Risk treatment: wat doet u met de geïdentificeerde risico’s?
Zodra de risico’s geprioriteerd zijn, beslist het management hoe ze worden behandeld. Onder NIS2 is dit een expliciete bestuurlijke verantwoordelijkheid: artikel 31 legt persoonlijke aansprakelijkheid voor het bestuursorgaan vast. Er zijn vier strategieën.
Mitigate (beperken) is de standaardreactie voor de meeste hoge en middelhoge risico’s: u implementeert controles om impact of likelihood te verlagen. Transfer (overdragen) verschuift het financiële risico naar een derde partij, bijvoorbeeld via een cyberverzekering of door IT uit te besteden. Belangrijke nuance: de wettelijke aansprakelijkheid blijft altijd bij uw organisatie. Avoid (vermijden) betekent dat u de activiteit of het systeem stopzet omdat het risico economisch niet verantwoord beveiligbaar is. Accept (accepteren) is de bewuste keuze om geen verdere maatregelen te nemen, meestal omdat de kost van mitigatie hoger ligt dan het risico zelf.
Elke acceptatie van een restrisico moet schriftelijk gedocumenteerd en door de directie ondertekend zijn (management sign-off). Zonder die handtekening is de risicoanalyse formeel niet compliant onder NIS2.
Tien risico’s die elke Vlaamse middelgrote KMO zou moeten evalueren
Uw eigen risicoregister is altijd context-afhankelijk, maar de volgende tien scenario’s komen we steevast tegen bij middelgrote bedrijven. Volgens het ENISA Threat Landscape (2024) zijn ransomware en social engineering de meest dominante categorieën voor Europese organisaties. Gebruik onderstaande tabel als startpunt of validatielijst, niet als kant-en-klare oplossing.
| Scenario | Asset | Likelihood | Impact | Score | Behandeling |
|---|---|---|---|---|---|
| Ransomware-gijzeling van ERP-data via phishing-e-mail | ERP-systeem | 4 | 5 | 20 | Mitigate: offline back-ups + MFA + EDR |
| Manipulatie van productieparameters via OT-netwerk | PLC/SCADA | 2 | 5 | 10 | Mitigate: netwerksegmentatie IT/OT |
| Diefstal van klantgegevens door spear phishing | CRM-database | 3 | 4 | 12 | Mitigate: awareness training + DLP |
| DDoS-aanval op B2B-portaal | Webserver | 3 | 3 | 9 | Transfer: anti-DDoS bij ISP |
| Verlies van on-site servers door brand of waterschade | Serverruimte | 1 | 5 | 5 | Mitigate: cloud back-up + DR-plan |
| CEO-fraude via deepfake voice op de boekhouding | Bankportaal | 3 | 4 | 12 | Mitigate: 4-ogen-principe + verificatie-procedure |
| Datalek via verloren of gestolen laptop | Lokale data | 3 | 4 | 12 | Mitigate: full disk encryption + remote wipe |
| Ongeautoriseerde toegang door ex-werknemer | Active Directory | 2 | 4 | 8 | Mitigate: gestandaardiseerd offboarding-proces |
| Onbeschikbaarheid door faillissement IT-leverancier | MSP-diensten | 2 | 4 | 8 | Avoid/Transfer: vendor assessment + exit-strategie |
| Misconfiguratie cloud leidt tot publieke data-blootstelling | Azure/M365 | 2 | 3 | 6 | Mitigate: periodieke cloud security audit |
Voor elk hoog of kritiek risico in uw eigen register hoort een toegewezen Risk Owner, een concrete deadline en een vrijgemaakt budget. Plannen zonder eigenaar of zonder financiering zijn de eerste rode vlag voor een auditor.
Zeven fouten die we steevast tegenkomen bij risicoanalyses
In de praktijk lopen organisaties vaak vast op dezelfde valkuilen. Het zijn ook de zaken waar een CAB-auditor of CCB-inspecteur direct doorheen prikt.
Te technische focus. De analyse wordt opgevat als een IT-project in plaats van een business-risicoproject. Zonder koppeling aan productie-impact of omzetverlies maakt de directie minder snel budget vrij.
Generieke templates. Een standaardlijstje invullen zonder de specifieke context van uw bedrijf, sector of installaties levert een papieren tijger op die geen werkelijke bescherming biedt.
Geen koppeling met het Asset Register. Risico’s worden in het luchtledige benoemd (“er is een hackrisico”) in plaats van specifiek per kritiek systeem of dataset.
Verwarring tussen risk assessment en gap-analyse. Veel bedrijven leveren een ingevulde controle-checklist en denken dat dat hun risicoanalyse is. Een gap-analyse toont wat ontbreekt, een risicoanalyse legt uit waarom het ertoe doet.
Te lage scope. De focus ligt vaak alleen op kantoor-IT, terwijl operationele technologie (OT) in een productieomgeving en risico’s bij toeleveranciers vaak veel grotere bedreigingen vormen voor de continuïteit.
Geen link met threat modeling op systeemniveau. Risicoanalyse op organisatieniveau bepaalt welke systemen kritiek zijn. Threat modeling op systeemniveau gebruikt vervolgens technieken als STRIDE en attack trees om de architectuur van die systemen te beveiligen. De twee versterken elkaar; ze vervangen elkaar niet.
Geen management sign-off op restrisico’s. Als de directie niet aantoonbaar betrokken is geweest bij de acceptatie van het restrisico, beschouwt een auditor de analyse niet als compliant onder NIS2.
Het verschil tussen risicoanalyse en threat modeling
Veel IT-managers vermengen deze twee. Het onderscheid is praktisch belangrijk omdat ze op verschillende niveaus opereren en op verschillende momenten ingezet worden.
Een risicoanalyse op organisatieniveau (het onderwerp van dit artikel) focust op zakelijke impact, compliance en de prioritering van budgetten over de hele onderneming. Het beantwoordt: welke risico’s bedreigen onze bedrijfsdoelstellingen, en in welke volgorde pakken we ze aan?
Threat modeling op systeemniveau is een technische exercitie gericht op een specifiek systeem, applicatie of netwerksegment. Het identificeert aanvalspaden op basis van dataflows en architectuur om beveiligingslekken in het ontwerp te vinden, vaak met methodieken als STRIDE.
De gezonde volgorde: voer een risicoanalyse uit om te bepalen welke systemen kritiek zijn, en pas vervolgens op die specifieke systemen threat modeling toe om de technische beveiliging te verfijnen.
Hoe een auditor het verschil ziet
Wanneer een conformiteitsbeoordelaar uw dossier doorneemt, zoeken zij bewijs van due diligence. Vijf signalen onderscheiden een volwassen aanpak van administratie-voor-de-vorm.
Ten eerste consistentie tussen assets en risico’s: elk kritiek systeem in het Asset Register komt terug in de risicoanalyse. Ten tweede de kwaliteit van de rationale: een sterke analyse onderbouwt scores met bronnen (“gebaseerd op 3 phishing-incidenten in het afgelopen jaar” of “ENISA Threat Landscape 2024”). Ten derde traceerbaarheid van de bestuurlijke goedkeuring: notulen of e-mailbevestigingen waaruit blijkt dat de directie de restrisico’s formeel heeft geaccepteerd. Ten vierde realisme van het behandelplan: deadlines die passen bij vrijgemaakt budget en personeel, niet “alles volgend kwartaal”. Ten vijfde bewijs van implementatie: voor CyFun Important en Essential niveau verwacht een CAB ook logs, configuratie-screenshots en trainingsrapporten die aantonen dat de maatregelen effectief werken.
Wie deze risicoanalyse als startpunt voor een breder traject wil gebruiken, vindt de logische vervolgstappen in onze gids over hoe een cybersecurity audit voor te bereiden en in de uitwerking van wat een audit kost en oplevert. Voor de keuze tussen een audit en een pentest als validatie-instrument is er een aparte vergelijking van audit versus pentest.
Veelgestelde vragen over cybersecurity risicoanalyse
Hoe vaak moet een risicoanalyse worden herzien?
Onder NIS2 moet de risicoanalyse worden bijgewerkt bij significante wijzigingen in infrastructuur of dreigingslandschap. Voor een gezonde KMO-praktijk is een jaarlijkse herziening, gekoppeld aan de budgetcyclus, het minimum. Essentiële entiteiten doorlopen daarnaast een driejaarlijkse hercertificeringscyclus.
Wat is het verschil tussen kwalitatieve en kwantitatieve risicoanalyse?
Een kwalitatieve analyse gebruikt schalen (bv. 1 tot 5) op basis van expertinzicht. Een kwantitatieve analyse rekent risico’s om naar exacte euro-bedragen, vaak via methodieken als FAIR. Voor de meeste KMO’s is een kwalitatieve aanpak met goed gedefinieerde schalen effectiever en wordt die door toezichthouders volledig geaccepteerd.
Welk framework kies ik voor een Vlaamse KMO?
Voor de meeste Vlaamse middelgrote KMO’s is CyberFundamentals (CyFun®) van het CCB de meest logische keuze. Het is specifiek ontworpen voor de Belgische NIS2-wet, gratis beschikbaar, en biedt een directe mapping naar ISO 27001 en NIST CSF. ISO 27005 is geschikt als u richting volledige ISO 27001-certificering werkt.
Hoeveel tijd kost een eerste risicoanalyse?
Voor een typisch middelgroot bedrijf (50-250 werknemers) is een eerste volledige cyclus haalbaar in 4 tot 8 weken. Dat veronderstelt dat de juiste stakeholders (IT, operations, finance, directie) beschikbaar zijn voor workshops en validatie. Pure documentatie zonder draagvlak gaat sneller maar levert geen werkbaar resultaat op.
Volstaat een Excel-sheet of heb ik een GRC-tool nodig?
Voor een eerste cyclus volstaan Excel-templates, waaronder de gratis CyFun Self-Assessment Tool van het CCB via het Safeonweb@Work-portaal. Voor organisaties die NIS2 of ISO 27001 op langere termijn willen aanpakken, bieden GRC-platforms (Governance, Risk, Compliance) automatisering van bewijslast en management-dashboards. Begin eenvoudig en schaal op wanneer de processen volwassen zijn.
Wat is de OWASP Risk Rating Methodology?
De OWASP Risk Rating Methodology is een gratis, transparant scoringskader specifiek nuttig voor organisaties met eigen softwareontwikkeling of complexe webapplicaties. Het scoort risico’s op basis van threat agent factors (skill, motive, opportunity) en technical impact factors. Voor algemene organisatie-brede risicoanalyse zijn ISO 27005 of CyFun beter geschikt.
Wie binnen het bedrijf moet de risicoanalyse uitvoeren?
De inhoudelijke uitvoering ligt typisch bij de IT-manager of CISO, in samenwerking met asset owners (productiemanager, finance manager, HR). De directie keurt de gekozen methodologie goed en accepteert formeel de restrisico’s. Onder NIS2 kan het bestuursorgaan persoonlijk aansprakelijk worden gesteld als het toezicht op deze processen tekortschiet.
Hulp nodig bij uw risicoanalyse?
Een eerste risicoanalyse uitvoeren met dit sjabloon is voor de meeste IT-teams een haalbare opdracht. Loopt u vast op de scoping, op de bestuurlijke validatie, of wilt u een externe blik die uw analyse aftoetst tegen de eisen van een NIS2-conformiteitsbeoordeling? Cyberplan begeleidt Vlaamse middelgrote bedrijven door het volledige traject, van asset-inventarisatie tot management sign-off. Boek een vrijblijvende kennismaking of bekijk onze cybersecurity audit-dienst als startpunt.
