Vanaf 2026 wordt risicomanagement geen vinkje meer, maar een voorwaarde. De Europese NIS2-richtlijn (in Nederland vertaald naar de Cyberbeveiligingswet (Cbw)) verplicht organisaties om aantoonbaar te werken aan de veiligheid van hun informatiesystemen. En dat begint bij een cruciaal punt: beleid voor risicoanalyse en beveiliging.
Dit is een gastblog van Richard Kranendonk - Thinking Security Works
De wet vraagt niet alleen om technische maatregelen, maar om een robuust proces waarin risico’s continu worden herkend, beoordeeld en verbeterd. Of, zoals in artikel 21.3 staat: een “benadering die alle gevaren omvat”, met maatregelen die “zijn afgestemd op de risico’s”.
Klinkt logisch, maar in de praktijk is dat nog best een uitdaging.
De praktijk: waar risicomanagement vaak stokt
Veel organisaties herkennen dit beeld: de risicoanalyse wordt één keer per jaar ingevuld, vaak door IT of compliance. De rest van de organisatie kijkt toe.
Er verschijnen rapporten met woorden als phishing, ransomware en datalekken, maar de risico’s uit de dagelijkse praktijk (systemen en processen die niet op elkaar aansluiten, onbeheerde opslag van gevoelige informatie, onduidelijke verantwoordelijkheden) blijven onder de radar.
Het gevolg? Nieuwe risico's worden niet gesignaleerd en bestaande risico's blijven onbehandeld. Risicomanagement wordt een jaarlijks project voor de auditor, zonder borging in de organisatie.
NIS2 vraagt juist om het tegenovergestelde: een continu proces waarin risico’s vanuit de hele organisatie worden herkend en aangepakt.
De Canvas Methode: risico’s zie je beter samen
De Canvas Methode biedt precies die aanpak. Het is een workshopmethode waarin teams samen hun werkprocessen in kaart brengen, risico’s benoemen en maatregelen afspreken. Geen spreadsheets of eindeloze checklists, maar een visuele dialoog waarin medewerkers actief meedenken.
Tijdens drie korte sessies doorloopt een team de PDCA-cyclus:
- Breng omgeving en processen in kaart;
- Identificeer risico’s en eigenaars;
- Kies maatregelen en bepaal succescriteria;
- Bespreek incidenten en verbeterpunten.
Door dit cyclisch te herhalen ontstaat eigenaarschap, bewustzijn en structurele verbetering. Medewerkers herkennen zichzelf in de risico’s, en managers krijgen grip op de voortgang en effectiviteit.
Of zoals een deelnemer het verwoordde: “We ontdekten risico's die elke dag voorkwamen, maar nooit de rapportages haalden.”
Slimmer samenwerken: de Canvas Methode en TrustBound
Tot nu toe was voor de Canvas-methode een fysieke workshop nodig: mensen tegelijkertijd in dezelfde ruimte, met whiteboards, post-its en rapportages achteraf. Met TrustBound kun je nu diezelfde interactie digitaal creëren en borgen in je risicomanagementsysteem:
- samen online risico’s te identificeren, ook op afstand;
- resultaten direct te koppelen aan risico’s, maatregelen en opvolgacties;
- de PDCA-cyclus te verankeren binnen de GRC-omgeving.
Dan combineer je de menselijke kracht van de Canvas Methode met de slimme structuur van TrustBound: stap voor stap, samen met de werkvloer zelf.
Checklist: hoe volwassen is jouw risicomanagement?
Ben je klaar voor NIS2? Beantwoord deze vijf vragen:
- Is risicomanagement bij jullie een continu proces, of een periodieke oefening?
- Is de eerste lijn (de werkvloer) actief betrokken bij het signaleren en aanpakken van risico's?
- Zijn maatregelen gekoppeld aan duidelijke verantwoordelijken?
- Worden incidenten besproken én benut om te verbeteren?
- Kun je aantonen dat er een PDCA-cyclus is ingericht?
Als je één of meer vragen met ‘nee’ beantwoordt, dan is dit hét moment om te kijken hoe het slimmer kan.
Samen naar een robuuster proces: NIS2-proof
De NIS2 vraagt om risicomanagement dat leeft in de organisatie, niet alleen op papier.
Met de Canvas Methode leg je de basis: bewustzijn, eigenaarschap en dialoog.
Met TrustBound veranker je dat proces digitaal, zodat de inzichten niet verdwijnen maar doorwerken.
