N2
Nis2You
Inloggen Gratis starten
Risico's

Een risico is een potentiële gebeurtenis die uw bedrijf kan schaden. Het risicoregister maakt ze zichtbaar, rangschikt ze, en dwingt een keuze af voor elk.

De risicoformule

Elk risico wordt gescoord op twee dimensies: de kans dat het zich voordoet en de impact als het gebeurt. De score is gewoon hun product.

Kans × Impact = Score

Schalen 1-5, score van 1 (verwaarloosbaar) tot 25 (existentieel).

Inherent vs rest

U scoort elk risico twee keer:

Inherent (naakt)

Kans × impact ALSOF u geen controles had. Uw basisblootstelling, zonder uw verdediging.

Rest (met controles)

Wat overblijft met uw controles in werking. Het risico dat u werkelijk draagt vandaag.

Als rest niet lager is dan inherent, doen uw controles hun werk niet — of worden ze niet toegepast. Dat is precies wat auditors controleren.
De kans × impact heatmap

Visualiseer uw risico's op een 5×5-raster. Rode zones (score ≥ 12) vereisen onmiddellijke behandeling; groene (score ≤ 4) kunnen aanvaard worden.

K1
K2
K3
K4
K5
I5
5
10
15
20
25
I4
4
8
12
16
20
I3
3
6
9
12
15
I2
2
4
6
8
10
I1
1
2
3
4
5
1-4 verwaarloosbaar 5-8 matig 9-14 hoog 15-25 kritiek
De 4 behandelingsstrategieën
Beperken — Controles uitrollen om kans of impact te verlagen. Standaardkeuze voor de meeste risico's.

Bv. MFA uitrollen om phishing te beperken.

Aanvaarden — Met het risico leven. Gerechtvaardigd wanneer behandeling duurder is dan de verwachte impact, of het risico intrinsiek laag is.

Bv. een AWS-prijsstijging van 5% aanvaarden.

Overdragen — Het risico bij een derde leggen. Typisch via verzekering, onderaanneming, of contractclausule.

Bv. cyberverzekering om losgeldkosten over te dragen.

Vermijden — De activiteit die het risico genereert stopzetten. Drastisch maar soms juist.

Bv. stoppen met opslaan van gevoelige data die u niet hoeft op te slaan.

Goede praktijken
  • Mik op 10-20 belangrijke risico's, niet 200 micro-risico's.
  • Koppel elk risico aan minstens één controle (anders, waarom staat het in het register?).
  • Documenteer de motivatie wanneer u aanvaardt of overdraagt — dat is wat auditors lezen.
  • Herbeoordeel cyberrisico's elk kwartaal: ze evolueren snel.
Terug naar index Volgende : Controles