Het Centrum voor Criminaliteitspreventie en Veiligheid de Risicoklassenindeling Digitale Veiligheid

Sebastiaan Zaal van Zaal Risicomanagement

Het Centrum voor Criminaliteitspreventie en Veiligheid de Risicoklassenindeling Digitale Veiligheid

In januari 2021 lanceerde Het Centrum voor Criminaliteitspreventie en Veiligheid de Risicoklassenindeling Digitale Veiligheid. Met dit hulpmiddel kunnen ondernemers in het midden- en kleinbedrijf hun risico op een cyberincident in kaart brengen. Assurantiemakelaars en risicomanagers kunnen de leidraad gebruiken bij hun adviezen op het gebied van cyberrisico’s. Wij vroegen Sebastiaan Zaal van Zaal Risicomanagement naar zijn ervaringen. “De tool geeft bedrijven een goede indicatie hoe het met hun digitale veiligheid is gesteld.”

Het is niet de vraag óf je (bedrijf) wordt gehackt maar wannéér, wordt vaak gezegd. De Risicoklassenindeling Digitale Veiligheid geeft aan de hand van elf vragen (zie kader) een inschatting hoe groot het risico is op een cyberincident. Er zijn vier risicoklassen, met per risicoklasse concrete aanbevelingen om de digitale veiligheid te verbeteren.

Vrij compleet verhaal 

Sebastiaan Zaal startte in 2019 Zaal Risicomanagement, waarmee hij zich richt op het in kaart brengen én oplossen van cyberrisico’s. Sebastiaan, die de Master Risicomanagement aan de Universiteit Twente heeft behaald en in het bezit is van het diploma CISM (ISACA), is best te spreken over de Risicoklassenindeling Digitale Veiligheid. “Ik vind het een goed initiatief en een vrij compleet verhaal. De tool geeft bedrijven een duidelijke indicatie hoe het met hun digitale veiligheid is gesteld en de geboden oplossingen zijn prima. Het is voor mijn gevoel bovendien het eerste middel die volledig in het Nederlands is, dus ik begrijp heel goed dat bedrijven de Risicoklassenindeling Digitale Veiligheid gebruiken.” Toch plaatst Sebastiaan ook een aantal kritische punten. “Geen enkele verzekeraar vraagt bij de beoordeling en acceptatie van een risico naar de risicoklassenindeling. Zij stellen hun eigen eisen en dat maakt de tool enigszins overbodig. Verder is het best lastig om bij alle vragen het juiste antwoord te bedenken. Ik kan mij daarom voorstellen dat iemand tijdens het invullen van de antwoorden denkt: ‘laat maar zitten’. Bij een lage klassenindeling krijg je mogelijk ook het gevoel dat de zaken voor een groot gedeelte op orde zijn. Schijnveiligheid ligt dan op de loer. Daarnaast is de tool vooral gericht op het nemen van maatregelen op de risico’s, terwijl ik liever naar de risico’s zélf kijk. En wat ik ook mis, is een

"De tool is vooral gericht op het nemen van maatregelen op de risico’s, terwijl ik liever naar de risico’s zélf kijk"

“Goed initiatief en vrij compleet verhaal”

Risicocarrousel 

Sebastiaan gebruikt bij de advisering van zijn klanten de risicocarrousel van risico-expert Martin van Staveren. Bij deze methode worden de doelen en risico’s van een bedrijf vanuit verschillende invalshoeken en belangen bekeken. “Directieleden hebben een andere perceptie van risico’s dan IT-beheerders, medewerkers van bijvoorbeeld de juridische afdeling, de afdeling finance of de mensen op de werkvloer. In onze risicomanagement-analyse kijken we samen met die stakeholders naar onderdelen als processen, software, apps, techniek, machines, contracten en documenten. Zo brengen we gestructureerd in kaart welke risico’s het bedrijf nu én in de toekomst loopt. Pas daarna classificeren we de risico’s, kijken we welke maatregelen we kunnen nemen ter bescherming van cyberrisico’s en welke restrisico’s we gaan verzekeren.”

Raamwerk 

Sebastiaan ziet niets in een aanpassing van de huidige Risicoklassenindeling Digitale Veiligheid, zodat die voor iedere partij in de cyberverzekeringsbranche dé standaard wordt. “De ontwikkelingen op het gebied van cyber gaan daarvoor veel te snel. Vanuit mijn kennis, ervaring en achtergrond kies ik voor een andere, meer op het unieke karakter van een onderneming toegespitste, benadering. Maar het zou zeker helpen als verzekeraars hun klanten voortdurend herinneren aan bijvoorbeeld het updaten van antivirusprogramma’s en het draaien van back-ups.”

11 vragen

De Risicoklassenindeling Digitale Veiligheid is onder leiding van het Centrum voor Criminaliteitspreventie en Veiligheid opgezet door VNO-NCW, MKB-Nederland, het Verbond van Verzekeraars, de Nationale Politie, Cyberveilig Nederland, NLdigital, het CIO Platform Nederland, Online Trust Coalitie, het Digital Trust Center en het Ministerie van Economische Zaken en Klimaat. Dit zijn de 11 vragen die leiden tot indeling in één van de vier risicoklassen. 

1. Tot welke categorie behoort je onderneming, gelet op het aantal medewerkers en de jaaromzet? 

2. Als ondernemer ben je in het bezit van data. Je bezit gegevens van medewerkers, klanten, leveranciers van producten/ grondstoffen, enzovoorts. De soort data die je hebt maakt dat je in meer of mindere mate aantrekkelijk bent voor cybercriminelen. Welke gegevens/data heb je? 

3. Beschikken medewerkers of klanten over een online account waarin hun persoonsgegevens zijn geregistreerd? 

4. Waar wordt de data van je onderneming verwerkt? 

5. Kunnen medewerkers op afstand werken? 

6. Kunnen derden op afstand inloggen op jouw bedrijfssysteem? 

7. Zijn je (kritieke) bedrijfsprocessen gekoppeld aan het bedrijfsnetwerk of het internet? Het gaat hier bijvoorbeeld om: productiemachines, order pick systemen, webshop. 

8. Stel: Je wordt getroffen door een cyberincident en de systemen (ICT en/of productiemachines) zijn niet beschikbaar voor gebruik. Wanneer komen je (kritieke) bedrijfsprocessen in gevaar? 

9. Is de sector waarbinnen je werkzaam bent gevoelig voor (politiek) activisme? 

10. Verkoop je producten of diensten via een webshop? 

11. Heb je een vestiging in en/of behaal je omzet uit de Verenigde Staten, Canada en/of Australië?

Zoeken binnen VNAB