Kantyra Kantyra

← Alle artikelen

Algemeen

Hoe bestuur je informatiebeveiliging met risicomanagement?

Alain Rees · 11-07-2026 · 13 min leestijd

Hoe strategisch, tactisch en operationeel risicomanagement samen één doorlopende besturing vormen, van bestuur tot werkvloer

Risicomanagement is geen losse activiteit naast informatiebeveiliging, maar het besturingsmechanisme ervan. Het vertaalt de vraag "wat kan er misgaan" naar "wat doen we eraan, wat accepteren we, en wie beslist daarover". Toch zie je in veel organisaties dat risicomanagement blijft hangen in een jaarlijkse invuloefening: een register dat na de audit weer een jaar dichtgaat. Dat komt bijna altijd doordat de drie besturingsniveaus niet met elkaar verbonden zijn. In dit artikel lees je hoe strategisch, tactisch en operationeel risicomanagement zich tot elkaar verhouden, en hoe je het geheel aansluit op de andere processen in je organisatie.

In het kort

  • Risicomanagement bestuurt de informatiebeveiliging op drie niveaus: strategisch stelt de kaders, tactisch beoordeelt en behandelt, operationeel voert uit en signaleert.
  • De cyclus volgt ISO 31000 en ISO 27005: context, identificatie, analyse en evaluatie vormen samen de risicobeoordeling, gevolgd door behandeling en doorlopende monitoring.
  • De vier behandelopties zijn verminderen, vermijden, overdragen en accepteren; acceptatie boven de tolerantie is een bestuursbesluit.
  • Kaders dalen af en risico-informatie stijgt op; zonder die routes veroudert het register tot papier.
  • Het risicomanagementproces valt samen met de vier fasen van het Kantyra-model: signaleren, beoordelen, oplossen en aantonen.

De drie niveaus verschillen niet in methode maar in vraagstelling, tijdshorizon en eigenaarschap. Strategisch gaat over hoeveel risico de organisatie wil lopen. Tactisch gaat over het systematisch beoordelen en behandelen van risico's. Operationeel gaat over het dagelijks beheersen en signaleren. De niveaus zijn verbonden via een doorlopende cyclus: kaders dalen af en risico-informatie stijgt op.

Strategisch niveau: hoeveel risico willen wij lopen?

Op strategisch niveau, bij bestuur en directie, draait alles om één vraag: hoeveel risico willen en mogen wij lopen, gegeven onze doelen en onze wettelijke plichten? De tijdshorizon is hier één tot vier jaar.

De kernproducten zijn de risicobereidheid en de risicotolerantie. De risicobereidheid is een kwalitatieve uitspraak per domein, bijvoorbeeld: "wij accepteren vrijwel geen risico rond persoonsgegevens van klanten, maar zijn bereid gematigd risico te nemen bij innovatieve proefprojecten". De tolerantie maakt dat meetbaar: boven welke restrisicoscore is bestuurlijke acceptatie verplicht? Zonder deze kaders is elke risicoanalyse stuurloos, want dan bepaalt de analist impliciet zelf wat acceptabel is.

Daarnaast hoort hier de governance. De risico-eigenaar zit altijd in de lijn, nooit bij de CISO. De tweede lijn (de CISO-functie, de centrale privacy officer en de risicofunctie) toetst en adviseert, en de derde lijn (interne audit) geeft onafhankelijke zekerheid. De functionaris gegevensbescherming staat daar als onafhankelijke interne toezichthouder naast: hij adviseert wel, maar werkt niet mee in de lijn. Onder de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn, is dit niet vrijblijvend meer: het bestuur draagt een expliciete zorgplicht, moet de risicobeheersmaatregelen aantoonbaar goedkeuren en er toezicht op houden, en is verplicht opgeleid te zijn. Risicoacceptatie boven de tolerantie is daarmee een bestuursbesluit geworden, met persoonlijke aansprakelijkheid als sluitstuk.

Het strategisch niveau ontvangt periodiek, meestal per kwartaal, een geaggregeerd risicobeeld: de toprisico's, de trend, de status van behandelplannen en de formeel geaccepteerde restrisico's. De Cbw legt de lat daarbij hoger dan een vast rapportagemoment: het bestuur keurt de maatregelen niet alleen goed, maar ziet ook toe op de uitvoering en moet zich actief laten informeren over risico's, maatregelen en incidenten. Een ernstig incident of een restrisico dat boven de tolerantie uitkomt, wacht dus niet op de kwartaalrapportage, maar bereikt het bestuur direct. Het stuurt bij via beleid, budget en prioritering.

Tactisch niveau: welke risico's lopen wij en hoe behandelen we die?

Op tactisch niveau, bij de CISO, de informatiebeveiligingsfunctionarissen en de proces- en systeemeigenaren, wordt het risicomanagementproces zelf ingericht en uitgevoerd. De tijdshorizon loopt van drie tot achttien maanden.

De cyclus volgt in essentie ISO 27005 en bestaat uit vier stappen. De eerste stap is context en scope: welk proces of systeem beoordeel je, welke afhankelijkheden spelen er, en welke BIV-classificatie geldt? De classificatie op beschikbaarheid, integriteit en vertrouwelijkheid vormt de brug tussen bedrijfsbelang en beveiligingseis, en bepaalt de diepgang van de analyse. De tweede stap is de risico-identificatie en -analyse: welke dreigingen kunnen via welke kwetsbaarheden welke impact veroorzaken? Je waardeert dit langs een vaste kans- en impactmatrix, zodat de scores organisatiebreed vergelijkbaar blijven.

De derde stap is de risicobehandeling, met de vier klassieke opties. Je kunt een risico verminderen met maatregelen, vermijden door de activiteit te stoppen of anders in te richten, overdragen via een verzekering of contractuele borging bij een leverancier, of formeel accepteren wanneer het binnen de tolerantie valt en de risico-eigenaar tekent. De vierde stap is de vastlegging in het risicoregister, met per risico een eigenaar, een restrisicoscore, een behandelplan en een herbeoordelingsdatum.

In Kantyra is dat register het hart van het platform. Elk risico heeft een eigenaar, een behandelaar, een categorie, een bruto- en een restscore en een herbeoordelingsdatum, en je koppelt het aan de bedrijfsmiddelen, maatregelen, leveranciers en incidenten waar het bij hoort. De matrix is instelbaar van 3×3 tot 5×5, met je eigen schaalbenamingen, en desgewenst dwingt het platform bij elke score een onderbouwing af. De risicotolerantie leg je vast als instelling: risico's met een restscore boven die grens markeert het platform, op het register én op het dashboard, totdat er een formele acceptatie tegenover staat. Die acceptatie loopt via het uitzonderingenregister, dat het vier-ogenprincipe afdwingt: de aanvrager kan zijn eigen risicoacceptatie niet goedkeuren, elke acceptatie krijgt een einddatum, en het platform bewaakt die vervaldatum met een taak zodra de herbeoordeling nadert.

Werk je met ISO 27001, dan leg je de maatregelselectie vast in de Verklaring van Toepasselijkheid: welke maatregelen uit Annex A pas je toe, welke niet, en waarom. Dat document is het scharnier tussen de risicoanalyse en het managementsysteem. In Kantyra koppel je risico's en maatregelen aan diezelfde Annex A-maatregelen, zodat de verklaring niet naast maar op je risicoanalyse rust, en exporteer je die als PDF voor de auditor. Een risicoanalyse zelf doorloopt bovendien een reviewronde volgens het vier-ogenprincipe: de opsteller dient haar in en een ander keurt goed of stuurt terug met commentaar.

Het tactisch niveau bewaakt ook de methodische consistentie: één matrix, één register, één acceptatieprocedure. Zonder die consistentie zijn risico's over afdelingen heen niet optelbaar en kun je het bestuur geen betrouwbaar beeld geven.

Operationeel niveau: werkt het, en wat zien we gebeuren?

Op operationeel niveau, bij beheerders, het securityteam en teamleiders, draait het om uitvoering en signalering, in een ritme van dagelijks tot maandelijks. De maatregelen uit de behandelplannen worden hier geïmplementeerd en in stand gehouden: patchen, toegangsbeheer, logging, back-ups, hardening. Tegelijk levert dit niveau de zintuigen van het risicomanagement: kwetsbaarhedenbeheer, incidentregistratie, bewaking en risico-indicatoren zoals patchachterstand, het aantal accounts zonder MFA en de meldingsbereidheid bij phishing.

Cruciaal is de terugkoppelroute omhoog. Een operationele bevinding, zoals een kritieke kwetsbaarheid die niet binnen de termijn gepatcht kan worden of een reeks vergelijkbare incidenten, is geen losse melding maar een signaal dat een risicoscore in het register mogelijk niet meer klopt. Operationeel escaleert naar tactisch wanneer een maatregel structureel niet werkt of niet haalbaar blijkt. Tactisch escaleert naar strategisch wanneer het restrisico boven de tolerantie uitkomt. Zonder die routes veroudert het risicoregister tot een papieren werkelijkheid, en dat is in de praktijk de meest voorkomende faalwijze.

In Kantyra is die terugkoppelroute ingebouwd, zodat ze niet afhangt van goede voornemens. Een incident koppel je aan het risico dat zich voordeed, en bij een hoog of kritiek incident zet het platform automatisch een taak klaar om dat risico te herbeoordelen. Maatregelen kennen een eigen effectiviteitstest met een geplande datum; nadert die datum of is de uitkomst onvoldoende, dan verschijnt dat vanzelf in de takenlijst. Zo houdt de werkvloer het register actueel zonder een apart rapportagecircuit.

De verbindende cyclus

De drie niveaus vormen samen een doorlopende verbetercyclus. Strategisch stelt de kaders, tactisch analyseert en behandelt, operationeel voert uit en meet, en de rapportagelijn omhoog voedt de bijsturing, waarna het bestuur de kaders herijkt. Een gezond ritme ziet er zo uit: continu operationeel signaleren, per kwartaal het register actualiseren en tactisch rapporteren, en jaarlijks (en bij grote wijzigingen) de risicoanalyses en de risicobereidheid herijken via de directiebeoordeling.

Voor die directiebeoordeling bundelt Kantyra het beeld in een managementrapportage die op elk moment een actueel overzicht geeft: de toprisico's en risiconiveaus, de voortgang op de Verklaring van Toepasselijkheid, de incidenttrend van de afgelopen twaalf maanden en de openstaande en achterstallige taken.

Waar zit risicomanagement in het Kantyra-model?

Het klassieke procesmodel uit ISO 31000 en ISO 27005 tekent risicomanagement als een gelaagde cyclus. Binnenin zit de risicobeoordeling: de context vaststellen, risico's identificeren, ze analyseren en ze evalueren. Daaromheen volgen de risicobehandeling en de doorlopende monitoring en herbeoordeling, en langs de hele lus loopt één as die alles verbindt: risicocommunicatie en informatie over risico's.

Wie dat procesmodel naast het Kantyra-model legt, ziet dat het dezelfde cyclus is met andere etiketten. De risicobeoordeling, van context tot evaluatie, is de fase beoordelen. De risicobehandeling, met de vier behandelopties en de maatregelen die eruit volgen, is de fase oplossen. De monitoring en herbeoordeling, gevoed door incidenten, kwetsbaarheden en indicatoren, is de fase signaleren. En de communicatie-as, het doorlopend informeren van bestuur, toezichthouder en auditor, is de fase aantonen.

Het risicomanagementproces uit ISO 31000 en ISO 27005 naast de vier fasen van het Kantyra-model: monitoring hoort bij signaleren, de risicobeoordeling bij beoordelen, de risicobehandeling bij oplossen en de risicocommunicatie bij aantonen

Er is één wezenlijk verschil, en dat zit in het startpunt. Het ISO-model begint bovenaan, bij de context: het redeneert van de analyse naar de praktijk. Het Kantyra-model begint onderaan, bij signaleren: het redeneert van de praktijk naar de analyse. Dat is een bewuste keuze, want het meest voorkomende gebrek in risicomanagement is niet een ontbrekende analyse, maar een analyse die niet meer gevoed wordt door wat er werkelijk gebeurt. Risicomanagement zit in het Kantyra-model dus niet in één fase; het ís de cyclus van het model, toegepast op risico's.

Aansluiting op andere processen

Risicomanagement staat of valt met de verbinding naar de processen eromheen. Een handig ontwerpprincipe: elk proces hoort input te leveren aan het risicoregister, of er behandeling uit te voeren. Zodra een proces geen van beide doet, is het losgezongen van de risicosturing.

Het managementsysteem voor informatiebeveiliging

Risicomanagement is de motor van het ISMS, geen aanpalend proces. ISO 27001:2022 eist in hoofdstuk 6 dat je de risicobeoordeling en de risicobehandeling inricht, met het behandelplan en de Verklaring van Toepasselijkheid (die risico's met maatregelen verbindt) als verplichte uitkomsten, en in hoofdstuk 8 dat je die beoordeling ook periodiek en bij grote wijzigingen uitvoert. De directiebeoordeling uit hoofdstuk 9 is het formele moment waarop het risicobeeld bestuurlijke opvolging krijgt.

Incidentmanagement

Incidenten zijn gematerialiseerde risico's. Elk significant incident hoort te leiden tot de vraag: stond dit risico in het register, klopte de kansinschatting, en werkten de maatregelen? Omgekeerd bepalen risicoscores de prioritering en de escalatiedrempels bij de incidentafhandeling. Onder de Cbw komt daar de wettelijke meldplicht bij, met een vroegtijdige waarschuwing binnen 24 uur, een melding binnen 72 uur en een eindrapport binnen één maand, en dat stelt eisen aan de operationele detectie- en triageketen. In Kantyra markeer je zo'n incident als meldplichtig: het register rekent de termijnen uit vanaf het moment van optreden en signaleert wanneer een termijn verstrijkt zonder dat de bijbehorende stap is vastgelegd.

Wijzigingsbeheer

Elke significante wijziging hoort een risicobeoordeling te doorlopen voordat zij wordt goedgekeurd. Dit is de plek waar "security by design" praktisch wordt: een wijziging die de BIV-classificatie of het dreigingsprofiel raakt, leidt tot een aanvullende risicoanalyse op de verschillen, in plaats van een volledig nieuwe analyse.

Bedrijfscontinuïteit en crisismanagement

De bedrijfsimpactanalyse (BIA) en de risicoanalyse zijn zusterinstrumenten. De BIA bepaalt wat de organisatie maximaal kan missen, uitgedrukt in hersteltijden en maximaal gegevensverlies. De risicoanalyse bepaalt hoe waarschijnlijk een verstoring is. Beschikbaarheidsrisico's uit het register voeden de continuïteitsplannen, en oefeningen leveren omgekeerd bevindingen terug aan het register. In Kantyra staan beide analyses als sjabloon in dezelfde assessmentsmodule en delen ze hetzelfde risicoregister, waarin continuïteitsrisico's hun eigen categorie hebben.

Leveranciers- en ketenmanagement

Uitbesteden verplaatst een risico, maar neemt het niet weg. Inkoop en contractmanagement zijn daarom uitvoeringskanalen van risicobehandeling: classificatie-afhankelijke eisen in aanbestedingen, verwerkersovereenkomsten, exit-afspraken en een periodieke beoordeling van kritieke leveranciers. De Cbw legt ketenbeveiliging expliciet bij de organisatie zelf neer, dus leveranciersrisico's horen als volwaardige regels in het register, en niet in een apart lijstje bij inkoop. In Kantyra koppel je leveranciers daarom rechtstreeks aan de risico's in het register, en krijgt elke leverancier een periodieke beoordeling die automatisch als taak terugkeert.

Privacy en de AVG

De DPIA is methodisch een risicoanalyse vanuit het perspectief van de betrokkene in plaats van de organisatie. Wie dit slim inricht, laat de DPIA en de risicoanalyse voor informatiebeveiliging dezelfde intake, classificatie en registerstructuur delen, met de centrale privacy officer als tweedelijnsrol naast de CISO en de functionaris gegevensbescherming als onafhankelijke toetser. In Kantyra staan beide als sjabloon in dezelfde assessmentsmodule, met dezelfde reviewronde. Datalekken lopen via hetzelfde incidentproces, met een eigen meldroute naar de Autoriteit Persoonsgegevens; in het incidentenregister leg je vast of een incident een datalek was en of het bij de toezichthouder is gemeld.

Compliance en audit

Compliance vertaalt wettelijke en contractuele eisen, zoals de Cbw, de AVG en waar van toepassing DORA, naar verplichte maatregelen en minimale risicokaders. Audit toetst onafhankelijk of het risicoproces werkt zoals beschreven. Auditbevindingen zijn een structurele voedingsbron voor het register; in Kantyra hebben ze een eigen register voor bevindingen en hun opvolging.

Bedrijfsmiddelenbeheer

Zonder actueel overzicht van systemen, gegevens en eigenaren analyseer je risico's op een onvolledig speelveld. Dit is in de praktijk de meest onderschatte afhankelijkheid: de kwaliteit van je risicobeeld is nooit beter dan de kwaliteit van je administratie van bedrijfsmiddelen en verwerkingen. In Kantyra geef je elk bedrijfsmiddel daarom een eigenaar, een dataclassificatie en een BIV-score, en koppel je het aan de risico's die erop rusten.

Awareness en HR

De mens is in vrijwel elke risicoanalyse een dominante factor. Awareness-programma's zijn daarmee een volwaardige risicobehandelmaatregel, mits je ze op het juiste niveau meet: deelnamecijfers bewijzen alleen dat de training is gevolgd, niet dat het gedrag verandert. Onderzoek naar het meten en rapporteren van security awareness laat zien dat meldingsbereidheid de beste voorspeller van risicoreductie is, met klikgedrag als aanvullende maar troebele maat. Ook HR-processen zoals indiensttreding, uitdiensttreding en screening zijn operationele maatregelen die rechtstreeks uit het register volgen.

Veelgestelde vragen over risicomanagement

Wat is het verschil tussen risicobereidheid en risicotolerantie? De risicobereidheid is de kwalitatieve uitspraak van het bestuur over hoeveel risico de organisatie per domein wil lopen. De risicotolerantie maakt dat meetbaar: de grens waarboven een restrisico alleen met formele bestuurlijke acceptatie mag blijven bestaan.

Wat zijn de vier behandelopties voor een risico? Je kunt een risico verminderen met maatregelen, vermijden door de activiteit te stoppen of anders in te richten, overdragen via een verzekering of een leverancier, of formeel accepteren wanneer het binnen de tolerantie valt en de risico-eigenaar tekent.

Hoe vaak moet je een risicoanalyse actualiseren? Een gezond ritme is continu signaleren op operationeel niveau, per kwartaal het register actualiseren en rapporteren, en jaarlijks (en bij grote wijzigingen) de analyses en de risicobereidheid herijken via de directiebeoordeling.

Wat is het verschil tussen een risicoanalyse, een BIA en een DPIA? De risicoanalyse beoordeelt wat er mis kan gaan met de informatievoorziening van de organisatie. De BIA bepaalt wat de organisatie maximaal kan missen bij een verstoring, uitgedrukt in hersteltijden. De DPIA beoordeelt dezelfde soort vragen, maar vanuit het perspectief van de betrokkene wiens persoonsgegevens worden verwerkt. Methodisch zijn het zusterinstrumenten die één registerstructuur kunnen delen.

Is een risicomatrix eigenlijk wel betrouwbaar? Een matrix heeft bekende beperkingen, maar blijft het meest werkbare instrument om risico's organisatiebreed vergelijkbaar te maken, mits je één vaste schaal hanteert en de scores onderbouwt. In een apart artikel gaan we dieper in op wat het onderzoek daarover zegt.

Tot slot

Wanneer je risicomanagement inricht langs deze drie niveaus, met werkende escalatie- en rapportageroutes ertussen en heldere koppelvlakken naar de omliggende processen, verandert het van een jaarlijkse verplichting in het besturingsmechanisme van je informatiebeveiliging. Het register wordt dan geen archiefstuk voor de auditor, maar het levende document waarop bestuur, CISO en beheerorganisatie dezelfde werkelijkheid delen. En precies dat is wat de Cbw van organisaties vraagt: aantoonbare, bestuurlijk gedragen risicosturing die doorloopt tot op de werkvloer.

Aan de slag met risicomanagement in Kantyra

Wil je je risicoregister niet in losse bestanden beheren, maar in één omgeving waarin risico's, maatregelen, incidenten en de Verklaring van Toepasselijkheid aan elkaar gekoppeld zijn? In Kantyra rekent het register de scores automatisch uit, bewaakt het platform herbeoordelingen en acceptaties, en levert de managementrapportage het bestuurlijke beeld voor de directiebeoordeling. Vraag een demo aan en ontdek hoe de cyclus van signaleren tot aantonen in de praktijk werkt.


Kantyra is een Nederlands ISMS- en GRC-platform waarmee organisaties hun informatiebeveiliging, risicomanagement en continuïteit aantoonbaar beheren, in lijn met ISO 27001, ISO 22301 en de Cyberbeveiligingswet.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen