Alain Rees · 07-07-2026 · 2 min leestijd
Elke beveiligingsstrategie rust op een simpele vraag: wat hebben we eigenlijk, en wie raakt eraan? Zolang die vraag onbeantwoord blijft, is elk risicoregister giswerk en elke maatregel een gok. Signaleren, de eerste fase van het model, draait daarom om drie registraties die samen het fundament vormen: je bedrijfsmiddelen, je leveranciers en je incidenten.
Een bruikbare inventarisatie hoeft niet volledig te zijn; ze moet eerlijk zijn. Begin met de systemen en processen waarvan de organisatie werkelijk afhankelijk is, en geef elk daarvan een eigenaar, een classificatie en een waardering op beschikbaarheid, integriteit en vertrouwelijkheid. Die waardering voelt in het begin grof, en dat geeft niets: een grove waardering die er is, stuurt beter dan een verfijnde die nog moet komen. Vergeet de processen niet; juist een bedrijfsproces als orderverwerking of facturatie is straks het vertrekpunt voor je continuïteitsanalyse.
De Cyberbeveiligingswet legt de verantwoordelijkheid voor de toeleveringsketen nadrukkelijk bij jou. In de praktijk komt de vraag echter zelden van de toezichthouder als eerste: het is je grootste klant die een leveranciersbeoordeling stuurt, of een verzekeraar die om een overzicht vraagt. Registreer daarom je kritieke leveranciers met de dienst die ze leveren, hun kritikaliteit en de afspraken die op papier staan, en geef elke leverancier een reviewcyclus. Wie zijn keten kent, beantwoordt zulke vragen binnen een dag in plaats van binnen een maand.
Het derde register vangt wat er misgaat. Een organisatie die incidenten laagdrempelig laat melden, ziet eerder waar het knelt; een organisatie die meldingen ontmoedigt, ontdekt haar zwakke plekken pas als een buitenstaander ze vindt. Leg per incident vast welke middelen geraakt zijn en aan welk risico het raakt. Dat laatste is essentieel: een incident is het bewijs dat een risico zich in de praktijk voordoet, en hoort de inschatting van dat risico dus te beïnvloeden.
Na deze fase weet je wat er is, wie ervoor verantwoordelijk is en wat er in de praktijk gebeurt. Dat lijkt bescheiden, en het is beslissend: elke fase die volgt, van risicobeoordeling tot auditbewijs, verwijst terug naar wat je hier hebt vastgelegd. Signaleren is daarmee geen administratie, maar de zintuigen van je managementsysteem.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demo