NIS2 Boardroom Training

Risicoanalyse

All hazards en NIS2: waarom cyberbeveiliging breder is dan IT alleen

NIS2 vraagt om een beoordeling van digitale én fysieke verstoringen, van brand en uitval tot leveranciersincidenten, sabotage en operationele afhankelijkheden.

De all hazards-benadering helpt bestuur, directie, RvC en RvT om NIS2 niet te reduceren tot een lijst technische maatregelen. Het vertrekpunt is breder: welke verstoringen kunnen de continuïteit, veiligheid, maatschappelijke taak of reputatie van uw organisatie raken?

De aangeleverde SDV-documentatie laat die breedte goed zien. Daarin worden naast klassieke cyberincidenten ook fysieke en operationele scenario’s genoemd, zoals brand, overstroming, sabotage, uitval van datacenters, verstoringen in logistiek en falende technische installaties. Voor governance is dat relevant, omdat het primaire proces meestal niet uitvalt door één laptop, maar door een verstoring in een keten of faciliteit.

Wat met all hazards wordt bedoeld

Een all hazards-aanpak kijkt niet alleen naar malware of phishing, maar naar alle verstoringen die netwerk- en informatiesystemen of afhankelijke processen kunnen raken. In de SDV-informatie wordt dat expliciet uitgewerkt als een combinatie van digitale, fysieke en ketengerelateerde dreigingen.

Waarom dit bestuurlijk relevant is

Een bestuur dat uitsluitend op technische kwetsbaarheden stuurt, loopt het risico maatschappelijke of operationele effecten te missen. Denk aan verstoring van drinkwater, uitval van HVAC-systemen in zorgomgevingen, stilvallende logistiek of falende toegangssystemen. De feitelijke vraag in de bestuurskamer luidt daarom: welke verstoring raakt onze kernverantwoordelijkheden het snelst en het zwaarst?

Gebruik scenario’s in plaats van alleen control-lijsten

De aangeleverde scenario’s rond een containerterminal, een wasserij in de zorg en de zogenoemde kaashack maken zichtbaar hoe indirecte verstoringen rechtstreeks kunnen doorwerken naar continuïteit, publieke dienstverlening en reputatie. Zulke scenario’s werken in een bestuurs- of auditcommissie vaak beter dan een technische control-lijst, omdat zij de impact tastbaar maken.

Vragen die in de risicoanalyse thuishoren

  • Welke processen zijn maatschappelijk, operationeel of financieel kritiek?
  • Welke digitale, fysieke en ketenafhankelijke verstoringen kunnen die processen raken?
  • Welke leveranciers, installaties of locaties vormen een single point of failure?
  • Welke fallback- en continuïteitsmaatregelen zijn formeel vastgesteld?
  • Wordt hierover periodiek gerapporteerd aan bestuur en toezicht?

Van dreigingsbeeld naar interne beheersing

De meerwaarde van all hazards zit uiteindelijk in prioritering. Niet elk risico vraagt om dezelfde diepgang. Wel vraagt elk materieel risico om een passende eigenaar, een beheersmaatregel, een rapportagelijn en een besluit over restrisico. Daarmee verschuift NIS2 van incidentgedreven naar bestuurlijk beheerst.

Veelgestelde vragen over risicoanalyse

Is all hazards niet te breed om werkbaar te blijven?

Ja, mits het abstract blijft. Werk daarom met een beperkt aantal scenario’s die direct aansluiten op uw kritieke processen en afhankelijkheden.

Hoort een fysieke storing zoals brand of overstroming hier echt bij?

Ja. De SDV-informatie benoemt expliciet dat fysieke gevaren deel uitmaken van de bredere risicobeoordeling rond netwerk- en informatiesystemen en afhankelijke processen.

Is dit vooral iets voor IT of juist voor bestuur?

Juist voor bestuur. IT levert input, maar het bestuur bepaalt prioriteiten, risicobereidheid en de aanvaardbaarheid van restrisico’s.

Volgende stap

Maak de risicoanalyse bestuurlijk hanteerbaar

Wilt u het gesprek over all hazards en bestuurlijke prioriteiten concreet maken? Gebruik de NIS2 quickscan of bespreek dit onderwerp in een NIS2 boardroom training.