Tag archieven: risicoanalyse

Implementatie Wwke vertraagd: Wat betekent dit voor u?

Geef een reactie

De Europese richtlijn CER is op 17 oktober 2024 in de EU van kracht gegaan. Nederland heeft echter de omzetting in nationale wetgeving nog niet kunnen afronden. Hierdoor zal de beoogde Wet weerbaarheid kritieke entiteiten (Wwke) waarschijnlijk pas in het derde kwartaal van 2025 ingaan.

Tot de inwerkingtreding van deze wet geldt er geen directe verplichting voor organisaties. Een organisatie wordt pas na formele aanwijzing als ‘kritieke entiteit’ verplicht om te voldoen aan specifieke zorg- en meldplichten. Vanaf het moment van deze aanwijzing krijgen organisaties 10 maanden om te voldoen aan de nieuwe verplichtingen.

Wat kunt u doen ter voorbereiding op de Wwke?

Hoewel er nog geen verplichte naleving is, biedt de overgangsperiode een kans voor organisaties om zich voor te bereiden op de aankomende regels. Het uitvoeren van een All-Hazards risicoanalyse wordt aanbevolen. Deze analyze wort t.z.t. verplicht en moet periodiek worden geactualiseerd. Kwetsbaarheden kunnen door deze analyse aan het licht komen. Het adequaat adresseren van deze kwetsbaarheden kan niet snel genoeg gebeuren. Dit kan bovendien helpen om een vlotte aanpassing te verzekeren zodra de wet in werking treedt medio 2025.

Graag ondersteunen wij u bij het uitvoeren van een risicoanalyse.

Daarbij werken wij volgens de leidraad: Leidraad All-Hazard Risicoanalyse – Zicht op veerkracht van de organisatie

All-Hazards Risicoanalyse

Geef een reactie

De Wet weerbaarheid kritieke entiteiten (Wwke) schrijft het regelmatig uitvoeren van een All-Hazards Risicoanalyse voor. Daarmee zullen vitale organisaties in 2026 moeten beginnen en iedere vier jaar actualiseren.

All-Hazards Risicoanalyse terminologie

Het doel van een All-Hazard risicoanalyse is zicht krijgen op de weerbaarheid en veerkracht (resilience in het Engels) van organisaties. Het definiëren van realistische scenario’s is daarbij cruciaal. Een realistisch scenario zal namelijk de aandacht vestigen op organisatiebelangen die bescherming behoeven, bedreigingen die geadresseerd moeten worden en mitigerende maatregelen die getroffen kunnen worden.

Bovendien is een (All-Hazards) risicoanalyse een noodzakelijk onderdeel van ieder veiligheidsmanagementsysteem.

Zie hieronder de links naar de “Leidraad All-Hazard Risicoanalyse – Zicht op de weerbaarheid en veerkracht van de organisatie”. Een digitaal document op Books.Google .nl en een paper back op Lulu.com.

USMS Security Management Standard Digitale versie op Google Books – Leidraad All-Hazard Risicoanalyse

SMS RA lulu Hard copy via uitgeverij Lulu.com – Leidraad All-Hazard Risicoanalyse

Security Paradigma 3

2 reacties

Ook in deze blog een veranderend Security Paradigma uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie ook Paradigma 1).

Security Paradigma: Standaardisatie versus Creativiteit

Het oude paradigma zegt dat de kwetsbaarheidsanalyse volgens en vaste procedure en aan de hand van vastgestelde prestatie-eisen moet gebeuren. Het proces en de resultaten moeten objectief en reproduceerbaar zijn. Zo moet bijvoorbeeld een gebouwschil aantoonbaar braakwerend zijn (denk hierbij aan gecertificeerde gevelelementen met BORG-B weerstandstijden van 3, 5 of 10 minuten). Of wachtwoorden die minstens 4 verschillende soorten tekens moeten bevatten (hoofdletter, kleine letter, cijfer en leesteken) en periodiek (per maand of kwartaal) gewijzigd moeten worden. De vereiste maatregelen zijn bijvoorbeeld in security baselines vastgelegd. Daar waar de beveiliging niet aan dergelijke objectieve eisen voldoet wordt een kwetsbaarheid gesignaleerd die naar aanleiding van het te beschermen belang ook een mate van risico kan vormen. De kwetsbaarheden met de hoogste risico’s moeten vervolgens worden gerepareerd.


Het nieuwe paradigma legt de nadruk op het beschouwen van de gerealiseerde beveiliging vanuit het perspectief van de ‘aanvaller’. De kwetsbaarheidsanalyse probeert dus de zwaktes van de organisatie te identificeren die door kwaadwillenden kunnen en wellicht zullen worden misbruikt. Van de betrokken security professionals wordt daarbij vooral gevraagd of hij zich kan verplaatsen in die aanvallers. Deze professional moet daarom een actueel beeld van en voldoende inlevingsvermogen in die potentiële aanvallers hebben. Niet van één of enkele, niet van de uitzondering maar van de meest waarschijnlijke aanvallers. De professional kijkt dus naar de organisatie vanuit de ogen van de geïnteresseerde, creatieve en adaptieve kwaadwillenden en ontdekt zo reële aanvalsopties die wellicht mitigatie behoeven.
Ook bij deze, wellicht meer subjectieve en intuïtieve benadering van security kunnen vastgestelde procedures, normatieve kaders en aandachtspuntenlijsten het analyseproces ondersteunen en versterken. De nadruk ligt echter op de details van de lokale situatie die door kwaadwillenden succesvol kunnen worden misbruikt.

Security Paradigma 2

Geef een reactie

Ook in deze blog een veranderend Security Paradigma over dreigingen versus kwetsbaarheden uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie hierover ook Paradigma 1).

Security Paradigma: Dreigingen versus Kwetsbaarheden

Het oude paradigma zegt dat de security manager vooral de dreigingen moet analyseren. Dus wie is de kwaadwillende, waar en wanneer zal die aanvallen, hoe zal het incident plaatsvinden en hoe waarschijnlijk is dat? De kwetsbaarheden in de beveiliging en het weerstandsvermogen van eigen organisatie worden onderbelicht. Te veel aandacht voor die kwetsbaarheden zouden immers het functioneren van de leiding en de security manager in een slecht daglicht kunnen zetten.

Daarom gaan veel dreigingsanalyses en risicoanalyses vooral over de ontwikkeling van de externe dreigingen en de veranderingen buiten de organisatie. Vaak wordt ook de ‘grote’ impact van security incidenten overmatig benadrukt. Tegelijkertijd worden de mogelijke tekortkomingen van de bestaande maatregelen onderbelicht. Evenmin is er aandacht voor dreigingen (en risico’s) die we als ‘calculated risk’ kunnen accepteren.

Het nieuwe paradigma legt de nadruk op het kennen en verminderen van de kwetsbaarheden van de eigen organisatie. Daar moet de meeste energie heengaan. Centraal staat de vraag of de kwetsbaarheden op een aanvaardbaar niveau zijn teruggebracht. Met een goed zicht op de kwetsbaarheden en mitigerende maatregelen die daarop zijn gericht, verminder de security manager de risico’s voor de organisatie; zelfs al zijn de dreigingen oppervlakkig of onevenwichtig ingeschat. En dat laatste komt nog al eens voor. De dreigingen etaleren zonder de eigen kwetsbaarheden te kennen, biedt geen soelaas en is een recept voor mislukking.

In de kwetsbaarheidsanalyses dient de security expert dus vooral de werking en de tekortkomingen van de organisatie te doorgronden. Daarbij zal hij naast de beveiligingsmaatregelen ook oog moeten hebben voor de cultuur en de management mores van de organisatie. De Security Management Systeem Norm 2017 kan daarbij een waardevol houvast bieden.