Er is een scène die zich keer op keer afspeelt in organisatie na organisatie, een scène die eerlijk gezegd irritant en frustrerend is voor mij als cybersecurity-expert.
Een vergaderruimte. Een whiteboard. Iemand heeft een spreadsheet geopend met de naam "Risicoregister 2026 FINAL v7". De koffie is sterk, de tijd beperkt en de sfeer vreemd vertrouwd. Niet omdat de situatie veilig is, maar omdat het proces bekend is, net als de kaneelbroodjes van de lokale bakker. Er wordt een risicomatrix getekend met rood, geel en groen. Men bespreekt "waarschijnlijkheid" en "gevolg" op een schaal van vijf punten. Er wordt overeenstemming bereikt over een paar formuleringen die volwassen klinken:"Bewustzijn vergroten","Procedures herzien","Jaarlijkse oefening uitvoeren". Daarna wordt het opgeslagen, gearchiveerd en verder gegaan.
Het ziet er serieus uit. Het voelt als sturing. Maar wanneer het volgende incident zich voordoet, bijvoorbeeld ransomware, leveranciersproblemen of een fout in de cloudconfiguratie, een DDoS-aanval of een verkeerde toegangsinstelling, blijkt vaak dat de organisatie tijdens de koffiepauze een kaart heeft gemaakt van een landschap dat inmiddels van vorm is veranderd en niet eens meer klopt.
Welkom bij de voorstelling van vandaag van "risicotheater" door Circus Risk. Hier wordt het verschil belicht tussen gedocumenteerde veiligheid en op bewijs gebaseerdecapaciteit.
Risicotheater in de praktijk: een brandblusser die alleen op een powerpoint bestaat
De risicomatrix en het risicoregister uit het bovenstaande voorbeeld zijn niet "fout". Het probleem is dat ze worden gebruikt als vervanging voor operationele weerbaarheid, de risicomethode is een afgevinkte gebeurtenis geworden.
Traditionele risicomatrices zijn vaak gebaseerd op ordinale schalen (1–5) die vervolgens worden behandeld alsof ze wiskundig exact zijn. Dit leidt tot bekende en goed beschreven problemen. Rangordes kunnen worden omgedraaid, verschillen kunnen worden samengeperst en onzekerheden verdwijnen in de kleuren. Het resultaat kan er mooi uitzien, maar is niet robuust. Het is het oude gezegde: leugen, grove leugen en statistiek.
In detail is het vergelijkbaar met koorts meten met een kleurenschaal ("best rood"), patiënten vergelijken op basis van een "gevoel" en dat medische precisie noemen. Wat er in de risicomatrix lijkt op controle, is in werkelijkheid valse controle zonder effectieve sensoren vanuit een allriskperspectief.
Waarom risicotheater blijft bestaan: psychologie, governance en sociale prikkels
Als risicotheater zo zwak is, waarom doen zoveel organisaties het dan toch? Het antwoord is eenvoudiger dan velen denken.
Het geeft direct een geruststellend gevoel. Een heatmap werkt als een weerkaart: het geeft het brein snel een overzicht. Bestuurders houden van snelheid. Het probleem is dat het vaak meer retoriek dan realiteitscontrole is.
Het geeft een gevoel van objectiviteit. Vijfpuntsschalen voelen "eerlijk" aan. Iedereen kan zijn mening geven. Maar het is vaak meer een compromis tussen meningen dan een afspiegeling van werkelijke capaciteiten.
Het sluit aan bij bureaucratische beloningssystemen. Het proces beloont degene die het beste schrijft en "het plaatje compleet maakt". Het beloont niet per se degene die ervoor zorgt dat men kan herstellen, kan detecteren, kan isoleren, kan communiceren en de bedrijfsvoering kan voortzetten.
Het past bij een wereld van audit trails, maar op de verkeerde manier. Veel mensen denken dat compliance = documenten. Maar moderne regelgeving en goede praktijken wijzen in een andere richting: systematiek, testbaarheid en voortdurende verbetering, niet een jaarlijkse ritueel.
Waarom het faalt bij echte veerkracht en continuïteit
Cyberincidenten zijn in feite onderbrekingen in capaciteit, onderbrekingen in beschikbaarheid, integriteit, vertrouwelijkheid en traceerbaarheid. Concreet betekent dit een verstoring van de bedrijfsvoering.
De meest voorkomende incidentpatronen in recente rapportages zijn sterk verbonden aan:
Social engineering en phishing.
Ransomware/extortion.
Risico's in leveranciers- en ecosysteemketens.
Beschikbaarheidsstoringen.
De boodschap is duidelijk. De dreigingen zijn reëel, terugkerend en veranderen snel. Wanneer men dan "risico" meet als een jaarlijkse temperatuur op een vijfpuntschaal, krijgt men een stuurmodel dat is ontworpen voor een wereld waarin niets verandert. Maar digitale ecosystemen zijn juist het tegenovergestelde. Ze veranderen continu. En daarom creëert risicotheater een vals gevoel van veiligheid. Men denkt "controle te hebben" omdat men heeft beoordeeld, maar men heeft niet bewezen dat men kan.
Wat regelgeving eigenlijk signaleert: van papier naar capaciteit
Twee duidelijke signalen uit de moderne EU-cyberregelgeving zouden nu helder moeten zijn:
Risicobeheer moet worden omgezet in passende en proportionele maatregelen en onderdeel zijn van een systematische aanpak. NIS2 benadrukt risicobeheer als cultuur en praktische capaciteit, niet als een eenmalige oefening. Risico's kunnen niet nul worden, maar wel verwaarloosbaar, overgedragen, beheerd, geaccepteerd… PROPORTIONEEL.
Operationele veerkracht en continuïteit zijn centraal, vooral duidelijk in DORA voor de financiële sector. De focus ligt op ICT-risicobeheer, incidenten, testen en robuustheid van de operatie.
In de praktijk betekent dit dat wetgeving organisaties verplicht aan te tonen dat ze capaciteiten hebben (beleid, processen, controles, testen, verbetering) en niet alleen een gedocumenteerd "risicoprofiel". Dit betekent niet dat "risico" verdwijnt. Het betekent dat risico een conclusie wordt uit capaciteit, niet een gok die men hoopt dat uitkomt.
Het betere alternatief: vervang "risicobeoordeling" door "kwetsbaarheidsbeeld gebaseerd op bewezen controlecapaciteit"
Hier komt de verschuiving die vaak disruptief aanvoelt, maar eigenlijk logisch is. Wie mij kent, weet dat ik inderdaad disruptief ben.
Wat gebeurt er als Circus Risk een nieuwe show brengt?
Circus Risk vraagt:
"Hoe groot is het risico (1–5) dat er iets gebeurt?"
Theater Weerbaarheid vraagt:
"Welke bekende dreigingen zijn relevant en welke controles moeten aanwezig zijn om kwetsbaarheid te verminderen? Wat ontbreekt bewijsbaar? Welke capaciteiten hebben we nodig?"
Het verschil is tussen:
een brandrisicokaart tekenen,
en daadwerkelijk controleren of branddeuren sluiten, oefeningen werken, de alarmketen intact is en herstel getest is.
Stap 1: Begin met erkende dreigingen, niet met abstracte risico's
Start met openbare dreigingsbeelden en incidentgegevens: bijvoorbeeld het dreigingslandschap van ENISA en branche-rapporten. Dit geeft een gedeelde feitenbasis: "dit gebeurt keer op keer".
Stap 2: Vertaal dreigingen naar vereiste controles
Voor elke dreiging is een klein, duidelijk "weerbaarheidspakket" nodig:
wat moet aanwezig zijn om kwetsbaarheid te verminderen?
wat is de minimumnorm ("baseline")?
wat is systematiek over tijd?
Er is ook ondersteuning in best practices en meta-analyses over welke controles daadwerkelijk effect hebben (niet altijd enorm, maar meetbaar en relevant).
Stap 3: Meet het gat als kwetsbaarheid (niet als "risico")
Dit is inzichtelijk voor management:
Dreiging: ransomware, phishing, cloudconfiguratiefouten, DDoS, ketenrisico's.
Vereiste capaciteit: een kleine selectie controles die minimaal aanwezig moeten zijn.
Kwetsbaarheid: het verschil tussen wat nodig is en wat er daadwerkelijk is.
Dit is een kwetsbaarheidsmodel dat begrijpelijk is: "Hier ontbreken X en Y, daarom zijn we blootgesteld."
Stap 4: Maak van de maatregelen een maturiteitstrap met tijdshorizon
Wat vaak ontbreekt in risicotheater is een uitvoerbare "volgende stap"-logica. In een capaciteitsmodel worden maatregelen vanzelfsprekend:
1–3 maanden: dicht de meest urgente gaten die snel kwetsbaarheid verminderen.
3–6 maanden: verbreed, standaardiseer en beveilig leveranciers.
6–12 maanden: systematiek, meten, herhaald testen en verbeteren.
Het wordt glashelder:
(1) waar het knelt,(2) wat dat betekent voor de organisatie,(3) wat nu gedaan moet worden, en(4) hoe wordt gevolgd of het echt is uitgevoerd.
"Maar we moeten risicoanalyses doen"
Ja, maar risicoanalyse hoeft niet te betekenen dat je een risicomatrix gebruikt. NIS2/DORA benadrukken risicobeheer als systematiek en acties. Wat je wilt bereiken is beheersbaar risico via bewezen capaciteit. DAN zijn kwetsbaarheden en capaciteiten effectiever dan risicomatrices.
Referenties
ENISA. (2023).ENISA Threat Landscape 2023.
Krisper, M. (2021).Problems with Risk Matrices Using Ordinal Scales.
National Institute of Standards and Technology. (2022).Secure Software Development Framework (SSDF) Version 1.1 (NIST SP 800-218).
National Institute of Standards and Technology. (2024).Incident Response Recommendations and Considerations for Cybersecurity Risk Management (NIST SP 800-61 Rev. 3).
Verizon. (2024).Data Breach Investigations Report (DBIR).
Zimmermann, V., & Renaud, K. (2021).The nudge puzzle: Matching nudge interventions to cybersecurity decisions.
Wiley (Risk Analysis). (2022/2023).How People Understand Risk Matrices, and How Matrix Design Can Improve Comprehension.
Bada, A. m.fl. (2024).Evidence-based cybersecurity policy? A meta-review of security controls.
Europese Unie. (2022).Richtlijn (EU) 2022/2555 (NIS2).
Europese Unie. (2022).Verordening (EU) 2022/2554 (DORA).
