Categoriearchief: Risicoanalyse

Implementatie Wwke vertraagd: Wat betekent dit voor u?

Geef een reactie

De Europese richtlijn CER is op 17 oktober 2024 in de EU van kracht gegaan. Nederland heeft echter de omzetting in nationale wetgeving nog niet kunnen afronden. Hierdoor zal de beoogde Wet weerbaarheid kritieke entiteiten (Wwke) waarschijnlijk pas in het derde kwartaal van 2025 ingaan.

Tot de inwerkingtreding van deze wet geldt er geen directe verplichting voor organisaties. Een organisatie wordt pas na formele aanwijzing als ‘kritieke entiteit’ verplicht om te voldoen aan specifieke zorg- en meldplichten. Vanaf het moment van deze aanwijzing krijgen organisaties 10 maanden om te voldoen aan de nieuwe verplichtingen.

Wat kunt u doen ter voorbereiding op de Wwke?

Hoewel er nog geen verplichte naleving is, biedt de overgangsperiode een kans voor organisaties om zich voor te bereiden op de aankomende regels. Het uitvoeren van een All-Hazards risicoanalyse wordt aanbevolen. Deze analyze wort t.z.t. verplicht en moet periodiek worden geactualiseerd. Kwetsbaarheden kunnen door deze analyse aan het licht komen. Het adequaat adresseren van deze kwetsbaarheden kan niet snel genoeg gebeuren. Dit kan bovendien helpen om een vlotte aanpassing te verzekeren zodra de wet in werking treedt medio 2025.

Graag ondersteunen wij u bij het uitvoeren van een risicoanalyse.

Daarbij werken wij volgens de leidraad: Leidraad All-Hazard Risicoanalyse – Zicht op veerkracht van de organisatie

All-Hazards Risicoanalyse

Geef een reactie

De Wet weerbaarheid kritieke entiteiten (Wwke) schrijft het regelmatig uitvoeren van een All-Hazards Risicoanalyse voor. Daarmee zullen vitale organisaties in 2026 moeten beginnen en iedere vier jaar actualiseren.

All-Hazards Risicoanalyse terminologie

Het doel van een All-Hazard risicoanalyse is zicht krijgen op de weerbaarheid en veerkracht (resilience in het Engels) van organisaties. Het definiëren van realistische scenario’s is daarbij cruciaal. Een realistisch scenario zal namelijk de aandacht vestigen op organisatiebelangen die bescherming behoeven, bedreigingen die geadresseerd moeten worden en mitigerende maatregelen die getroffen kunnen worden.

Bovendien is een (All-Hazards) risicoanalyse een noodzakelijk onderdeel van ieder veiligheidsmanagementsysteem.

Zie hieronder de links naar de “Leidraad All-Hazard Risicoanalyse – Zicht op de weerbaarheid en veerkracht van de organisatie”. Een digitaal document op Books.Google .nl en een paper back op Lulu.com.

USMS Security Management Standard Digitale versie op Google Books – Leidraad All-Hazard Risicoanalyse

SMS RA lulu Hard copy via uitgeverij Lulu.com – Leidraad All-Hazard Risicoanalyse

Wwke, CER en NIS2 richtlijn

Geef een reactie

Professionele Ondersteuning voor de Implementatie van de Wet weerbaarheid kritieke entiteiten (Wwke)

Vanwege toenemende dreigingen is het noodzakelijk dat bedrijven hun weerbaarheid steeds aanpassen en voldoen aan de nieuwste regelgeving om hun belangen te beschermen. De recente herziening van de Europese NIS2 richtlijn legt strengere normen op en breidt het toepassingsgebied van de NIS(1) uit naar nieuwe sectoren. Daarnaast stelt de Wet weerbaarheid kritieke entiteiten (Wwke), de omzetting van de Critical Entities Resilience (CER) Richtlijn voor Nederland, eisen aan de weerbaarheid en veerkracht van bedrijven (kritieke entiteiten) die essentiële diensten verlenen. Zo worden onder andere periodieke All-Hazard risicoanalyses verplicht.

Wij bieden professionele ondersteuning bij de implementatie van zowel de Wwke als de NIS2 richtlijnen in uw bedrijf. Wij begrijpen dat elke organisatie uniek is. Daarom bieden wij op maat gemaakte oplossingen die aansluiten bij uw behoeften en uitdagingen.

Onze Diensten

  1. Gap Analyse: We beginnen met een evaluatie van uw huidige weerbaarheid (van locaties, belangrijke bedrijfsprocessen, afhankelijkheden, veiligheidssystemen en getroffen mitigerende maatregelen). Hiermee identificeren we eventuele lacunes in de naleving van de Wwke en NIS2-richtlijn.
  2. Strategische Planning: Op basis van deze bevindingen maken we in goed overleg een actieplan. Hiermee kunt u voldoen aan de vereisten van de genoemde regelgeving.
  3. Implementatie: Desgewenst kunnen wij u begeleiden bij de implementatie van het actieplan, inclusief het opstellen van een All-Hazard risicoanalyse, het kiezen van effectieve en efficiënte maatregelen, het afstemmen en bijstellen van maatregelen en het oefenen en testen van de veiligheidsorganisatie.
  4. Voortdurende Ondersteuning: Na de implementatie blijven we beschikbaar voor ondersteuning en advies. Hiermee blijft uw bedrijf anticiperen op veranderende dreigingen en regelgeving.

Met onze hulp kunt u erop vertrouwen dat uw bedrijf voldoet aan de Wwke en de NIS2 richtlijnen. Bovendien is uw organisatie beter voorbereid op toekomstige dreigingen. Neem vandaag nog contact met ons op om te bespreken hoe we u kunnen helpen.

Security Paradigma 3

2 reacties

Ook in deze blog een veranderend Security Paradigma uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie ook Paradigma 1).

Security Paradigma: Standaardisatie versus Creativiteit

Het oude paradigma zegt dat de kwetsbaarheidsanalyse volgens en vaste procedure en aan de hand van vastgestelde prestatie-eisen moet gebeuren. Het proces en de resultaten moeten objectief en reproduceerbaar zijn. Zo moet bijvoorbeeld een gebouwschil aantoonbaar braakwerend zijn (denk hierbij aan gecertificeerde gevelelementen met BORG-B weerstandstijden van 3, 5 of 10 minuten). Of wachtwoorden die minstens 4 verschillende soorten tekens moeten bevatten (hoofdletter, kleine letter, cijfer en leesteken) en periodiek (per maand of kwartaal) gewijzigd moeten worden. De vereiste maatregelen zijn bijvoorbeeld in security baselines vastgelegd. Daar waar de beveiliging niet aan dergelijke objectieve eisen voldoet wordt een kwetsbaarheid gesignaleerd die naar aanleiding van het te beschermen belang ook een mate van risico kan vormen. De kwetsbaarheden met de hoogste risico’s moeten vervolgens worden gerepareerd.


Het nieuwe paradigma legt de nadruk op het beschouwen van de gerealiseerde beveiliging vanuit het perspectief van de ‘aanvaller’. De kwetsbaarheidsanalyse probeert dus de zwaktes van de organisatie te identificeren die door kwaadwillenden kunnen en wellicht zullen worden misbruikt. Van de betrokken security professionals wordt daarbij vooral gevraagd of hij zich kan verplaatsen in die aanvallers. Deze professional moet daarom een actueel beeld van en voldoende inlevingsvermogen in die potentiële aanvallers hebben. Niet van één of enkele, niet van de uitzondering maar van de meest waarschijnlijke aanvallers. De professional kijkt dus naar de organisatie vanuit de ogen van de geïnteresseerde, creatieve en adaptieve kwaadwillenden en ontdekt zo reële aanvalsopties die wellicht mitigatie behoeven.
Ook bij deze, wellicht meer subjectieve en intuïtieve benadering van security kunnen vastgestelde procedures, normatieve kaders en aandachtspuntenlijsten het analyseproces ondersteunen en versterken. De nadruk ligt echter op de details van de lokale situatie die door kwaadwillenden succesvol kunnen worden misbruikt.

Security Paradigma 2

Geef een reactie

Ook in deze blog een veranderend Security Paradigma over dreigingen versus kwetsbaarheden uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie hierover ook Paradigma 1).

Security Paradigma: Dreigingen versus Kwetsbaarheden

Het oude paradigma zegt dat de security manager vooral de dreigingen moet analyseren. Dus wie is de kwaadwillende, waar en wanneer zal die aanvallen, hoe zal het incident plaatsvinden en hoe waarschijnlijk is dat? De kwetsbaarheden in de beveiliging en het weerstandsvermogen van eigen organisatie worden onderbelicht. Te veel aandacht voor die kwetsbaarheden zouden immers het functioneren van de leiding en de security manager in een slecht daglicht kunnen zetten.

Daarom gaan veel dreigingsanalyses en risicoanalyses vooral over de ontwikkeling van de externe dreigingen en de veranderingen buiten de organisatie. Vaak wordt ook de ‘grote’ impact van security incidenten overmatig benadrukt. Tegelijkertijd worden de mogelijke tekortkomingen van de bestaande maatregelen onderbelicht. Evenmin is er aandacht voor dreigingen (en risico’s) die we als ‘calculated risk’ kunnen accepteren.

Het nieuwe paradigma legt de nadruk op het kennen en verminderen van de kwetsbaarheden van de eigen organisatie. Daar moet de meeste energie heengaan. Centraal staat de vraag of de kwetsbaarheden op een aanvaardbaar niveau zijn teruggebracht. Met een goed zicht op de kwetsbaarheden en mitigerende maatregelen die daarop zijn gericht, verminder de security manager de risico’s voor de organisatie; zelfs al zijn de dreigingen oppervlakkig of onevenwichtig ingeschat. En dat laatste komt nog al eens voor. De dreigingen etaleren zonder de eigen kwetsbaarheden te kennen, biedt geen soelaas en is een recept voor mislukking.

In de kwetsbaarheidsanalyses dient de security expert dus vooral de werking en de tekortkomingen van de organisatie te doorgronden. Daarbij zal hij naast de beveiligingsmaatregelen ook oog moeten hebben voor de cultuur en de management mores van de organisatie. De Security Management Systeem Norm 2017 kan daarbij een waardevol houvast bieden.

Risicoanalyse

Geef een reactie
risicoanalyse

Handreiking Integrale Risicoanalyse, Zicht op risico’s in 5 stappen

Risico’s en risicoanalyse horen bij ondernemen. Maar grote risico’s en verassingen moeten worden voorkomen. Daarom dient een bedrijf steeds zicht te hebben op haar risico’s. Dat inzicht motiveert om de juiste mitigerende maatregelen te treffen. En is de basis voor een verantwoorde investering in beveiliging en bedrijfscontinuïteit.

Een risicoanalyse kan dit inzicht opleveren. Daarom werken wij met een valide en gedocumenteerde onderzoeksmethodiek die de scenarioanalyse centraal stelt. Deze erkende methode hebben wij al vaak toegepast. Vraag ons gerust om referenties.

De risicoanalyse bestaat uit de volgende onderdelen:

• Belangen- en afhankelijkheidsanalyse: wat kunnen effecten van incidenten zijn (ook wel Impact Assessment genoemd)
• Dreigingsanalyse: wie kunnen een realistische bedreiging vormen en wat doen zij (ook wel Threat Assessment genoemd)
• Kwetsbaarheidsanalyse: hoe effectief is de beveiliging en waar is de organisatie nog kwetsbaar voor deze dreigingen (ook wel Vulnerability Assessment genoemd)
• Risicoweging: wat is de omvang en samenhang van de verschillende risico’s (ook wel Risk Assessment genoemd)

Niet alle risico’s kunnen worden uitgesloten. Beheersing van risico’s houdt daarom ook het accepteren van de restrisico’s in.

Graag ondersteunen wij u bij het inventariseren en waarderen van de risico’s van uw organisatie.

Onze Integrale Risicoanalyse Methodiek vindt u hier:

Handreiking op Lulu.com (reader)

Handreiking op Google.Play (PDF)