Risicoanalyse en monitoring Cyberbeveiligingswet 2026
In de Cyberbeveiligingswet draait het niet om een dik document, maar om aantoonbaar risicobeheer en continue bewaking. Risicoanalyse bepaalt wat voor jouw organisatie passend en evenredig is. Monitoring laat zien dat je afwijkingen tijdig ziet, opvolgt en verbetert. Op deze pagina krijg je een praktische aanpak, een monitoring blueprint, checklists, templates en een quickscan die je direct kunt gebruiken.
Wat je aantoonbaar wil hebben
Praktische nuance
Tip visual: links risicoanalyse stappen, rechts monitoring loop met detectie, triage, respons, verbeteracties
Het overzicht in gewone taal
De wet vraagt dat je cyberrisicos beheert en dat je maatregelen aantoonbaar werken. Risicoanalyse is de motor voor keuzes. Monitoring is de feedback loop die laat zien of je controle echt werkt. Hieronder staat een compact overzicht dat je zo kunt gebruiken in een overleg met directie, IT en compliance.
Wat risicoanalyse echt is
Een herhaalbaar proces waarmee je bepaalt wat jouw grootste risico’s zijn, hoe groot de impact is, en welke keuzes je maakt over mitigeren, overdragen of accepteren. Het eindproduct is geen rapport, maar een lijst beslissingen met eigenaren en deadlines.
-
InputKernprocessen, assets, afhankelijkheden, dreigingen, kwetsbaarheden.
-
OutputTop risico’s, impact, prioriteit, eigenaar, keuze en acties.
Wat monitoring echt is
Continue of periodieke bewaking die afwijkingen zichtbaar maakt en een triage en opvolgproces heeft. Niet alleen logs verzamelen, maar signalen omzetten naar tickets, beslissingen en verbeteringen.
-
DoelAfwijkingen vroeg zien en incidenten beperken.
-
BewijsAlerts, tickets, responstijden, trends, management review.
Inspectie logica
Toezicht kijkt naar samenhang: risico bepaalt controles, monitoring bewijst werking, opvolging bewijst verbetering.
- RisicoWaarom is dit belangrijk en wat kan er misgaan.
- BewakingHoe merk je het op tijd en wie pakt het op.
- VerbeteringWelke structurele actie voorkomt herhaling.
Minimale deliverables
Vier items waarmee je in de meeste audits al volwassen overkomt, ook als je klein bent.
- Top 10 risico’sMet eigenaar en status per risico.
- Top 12 alertsUse cases die passen bij jouw kernprocessen.
- Triage procesWie doet wat binnen 30 tot 60 minuten.
- Maandelijkse reviewTrend, incidenten, acties, prioriteiten.
Veelgemaakte fouten
Dit zijn de patronen waardoor organisaties auditstress krijgen.
- Alles loggenMaar geen use cases en geen opvolging.
- Risicoanalyse 1 keerMaar geen update ritme of owners.
- Tool gedrevenMaar geen verhaal over kernprocessen.
- Geen trendGeen KPI of management review bewijzen.
Praktische regel
Als je risicoanalyse klaar is, moet je kunnen aanwijzen welke drie monitoring use cases direct aansluiten op jouw top risico’s. Dat is de snelste route naar aantoonbaarheid.
Stappenplan risicoanalyse dat je kunt herhalen
Dit stappenplan is bewust eenvoudig gehouden, zodat het uitvoerbaar blijft. Het doel is niet perfectie, maar een consistente methodiek met eigenaarschap, updates en bewijs. Werk altijd vanuit kernprocessen en afhankelijkheden, niet vanuit losse systemen.
Stap 1 scope en assets
Maak een top lijst met kernprocessen, ondersteunende systemen, data, identiteiten, leveranciers en koppelingen.
- PraktischTop 10 processen, top 20 assets, top 10 leveranciers.
- OwnerPer proces een business eigenaar en een IT eigenaar.
Stap 2 scenario en impact
Definieer je top scenario’s per kernproces. Denk aan ransomware, uitval, datalek, supply chain compromittering en identity takeover.
- Impact per uurFinancieel, operationeel, juridisch en reputatie.
- ClassificatieWat is significant voor jullie context.
Stap 3 kans en prioriteit
Je hoeft kans niet academisch te maken. Werk met bandbreedtes en onderbouw met signalen zoals incidenten, exposure en kwetsbaarheden.
- SignaleringOpenstaande kwetsbaarheden, misconfiguraties, phishing.
- PrioriteitKies top 10 risico’s en maak die zichtbaar in board updates.
Stap 4 keuze en acties
Per risico maak je een keuze: mitigeren, accepteren, overdragen of vermijden. Elke keuze krijgt acties en meetpunten.
- MitigatieControl, eigenaar, deadline, bewijs item.
- AcceptatieExpliciet besluit met rationale en review datum.
Stap 5 update ritme
Maak risicoanalyse levend. Nieuwe systemen, nieuwe leveranciers, incidenten en veranderingen triggeren een update.
- Kwartaal reviewRisico’s, acties, trends en prioriteiten.
- Change triggerNieuwe kritieke leverancier of grote wijziging in IT.
Stap 6 bewijs en review
Laat zien dat het werkt. Niet met mooie woorden, maar met tickets, rapportage, trend en verbeteracties.
- Evidence packRisico register, monitoring plan, incidenten, actions.
- Management reviewMaandelijks of per kwartaal, met besluiten.
Snelle reality check
Kun je voor elk top risico één owner noemen, één maatregel, één monitoring use case en één bewijsstuk. Als dat lukt, is je basis aantoonbaar.
Monitoring blueprint die audits snappen
Monitoring gaat over zicht en opvolging. Je maakt eerst keuzes: welke bronnen zijn kritiek, welke use cases zijn verplicht voor jouw risico’s, wie doet triage, welke responstijd is realistisch, en hoe meet je effectiviteit. Deze blueprint helpt je dat in één logica te zetten.
Logbronnen die bijna altijd tellen
Kies minimaal bronnen rondom identiteit, mail, endpoints, servers, cloud en netwerk. Zet ze in prioriteit volgorde.
- IdentityLogin events, MFA failures, privilege changes.
- EmailSuspicious rules, forwarding, OAuth grants, spam spikes.
- EndpointsEDR alerts, malware, persistence, credential dumping hints.
- Servers and cloudAdmin actions, config changes, unusual access patterns.
- NetworkFirewall denies, unusual egress, DNS anomalies.
Triage en opvolging in vier stappen
Maak het proces simpel en toetsbaar. Het moet in de praktijk draaien, ook als het druk is.
- 1 intakeAlert binnen, check context, duplicate, false positive.
- 2 classificatieSeverity, scope, systemen, data, mogelijke impact.
- 3 containmentAccount blokkeren, device isoleren, token revoken, rule aanpassen.
- 4 ticket en bewijsTicket, timeline, acties, outcome, lessons learned.
Meetpunten die echt bewijs leveren
Gebruik meetpunten die je kunt laten zien aan management en toezichthouder, zonder discussie.
- MTTATijd van gebeurtenis naar alert intake.
- MTTRTijd van alert naar containment of fix.
- CoverageWelke kritieke bronnen leveren echt logs.
- False positivePercentage noise per use case.
- TrendsTop 5 incidenttypen en terugkerende root causes.
Monitoring bij leveranciers
Als leveranciers toegang hebben of cruciaal zijn voor continuiteit, wil je monitoring afspraken, niet alleen contracttaal.
- ToegangWelke accounts, welke logs, welke alerts bij misbruik.
- MeldafspraakWie meldt wat, wanneer, via welk kanaal.
- EvidenceTicket logs, post incident review en verbeteracties.
- ExitPlan voor toegang intrekken en data overdracht.
Kleine organisatie aanpak
Als je geen SOC hebt, maak dan een slim minimum: een korte set use cases, vaste triage momenten per dag, en een escalatiepad voor echte signalen. Dit is vaak beter dan een groot logproject zonder opvolging.
Checklists voor risicoanalyse en monitoring
Vink aan wat je echt hebt en wat werkt. De status wordt lokaal opgeslagen in je browser, zodat je later verder kunt. Dit is bedoeld als praktische reality check.
Checklist risicoanalyse
Checklist monitoring
Hoe je dit morgen toepast
Plan 45 minuten. Kies drie kernprocessen. Bepaal top scenario per proces. Maak daarna per scenario twee monitoring use cases. Wijs een owner aan en zet responstijd afspraken neer. Dit geeft direct structuur.
Templates die je direct kunt kopieren
Deze templates zijn ontworpen voor aantoonbaarheid. Je kunt ze plakken in een memo, SharePoint map, GRC of ticketsysteem. Maak het niet perfect. Maak het juist en actueel.
Template risico register
Gebruik dit als structuur per risico. De kracht zit in owner, keuze, deadline en evidence.
CBW2026 Risico Register item 1 Kernproces - Proces naam - Business owner - IT owner - Kritikaliteit hoog midden laag 2 Asset en afhankelijkheden - Belangrijkste systemen - Belangrijkste data - Leveranciers en koppelingen - Toegangsmodel en admin accounts 3 Scenario - Scenario type ransomware uitval datalek supply chain identity - Korte beschrijving - Triggers of indicatoren 4 Impact - Operationeel effect - Financieel effect - Juridisch of contractueel effect - Reputatie effect - Impact per uur of per dag 5 Kans indicatie - Hoog midden laag - Onderbouwing incidenten exposure kwetsbaarheden 6 Risico score en prioriteit - Score methode eigen keuze - Prioriteit top 10 ja nee 7 Risicobehandeling keuze - Mitigeren accepteren overdragen vermijden - Rationale en acceptatie owner - Review datum 8 Acties - Actie 1 owner deadline status evidence - Actie 2 owner deadline status evidence 9 Monitoring koppeling - Monitoring use case 1 - Monitoring use case 2 - Triage owner en responstijd afspraak 10 Laatste review - Datum - Besluiten - Volgende review datum
Gebruik de knop om te kopieren.
Template monitoring plan
Dit is het document dat audits vaak zoeken: bronnen, use cases, triage, responstijden en meetpunten.
CBW2026 Monitoring Plan 1 Scope - Kernprocessen in scope - Kritieke assets en data - Kritieke leveranciers met toegang 2 Logbronnen - Identity platform logs - Email platform logs - Endpoint EDR logs - Server logs - Cloud audit logs - Network firewall and DNS logs - Applicatie logs waar nodig 3 Use cases top set - UC01 Admin login from unusual location - UC02 Multiple MFA failures then success - UC03 New forwarding rule or suspicious mailbox rule - UC04 OAuth app consent anomaly - UC05 Privilege escalation or role change - UC06 EDR high severity malware or persistence - UC07 Unusual data exfiltration indicators - UC08 Unusual outbound traffic or DNS anomaly - UC09 Backup deletion or tampering signals - UC10 New service account or token creation spike - Voeg 3 tot 5 use cases toe die direct passen bij jouw top risico’s 4 Triage proces - Intake binnen 30 minuten - Classificatie criteria - Containment acties lijst - Escalatie naar incidentrespons 5 Responstijd afspraken - Kritiek binnen 30 minuten - Hoog binnen 2 uur - Midden binnen 1 werkdag 6 Evidence en registratie - Ticket verplicht bij elke high en kritiek alert - Timeline en acties vastleggen - Lessons learned en verbeteractie 7 Meetpunten - MTTA - MTTR - Coverage van kritieke bronnen - False positive ratio per use case - Top trends per maand 8 Review ritme - Wekelijks operations review - Maandelijks management review - Kwartaal tuning en uitbreiding use cases
Gebruik de knop om te kopieren.
Template maandelijkse monitoring en risico review
Gebruik dit als vaste agenda. Dit is vaak het bewijs dat je stuurkracht hebt.
Maandelijkse Cyber Review agenda 1 Samenvatting - Belangrijkste veranderingen in IT of leveranciers - Top 3 risico verschuivingen 2 Monitoring prestaties - MTTA trend - MTTR trend - Coverage kritieke bronnen - Top 10 alerts op volume en op severity 3 Incidenten en bijna incidenten - Overzicht incidenten deze maand - Root cause patroon - Lessons learned - Open verbeteracties 4 Risico register update - Nieuwe risico’s - Gesloten risico’s - Risico acceptaties of herbeoordelingen - Top 10 prioriteiten status 5 Besluiten en acties - Actie lijst met owner en deadline - Budget of resource besluiten - Volgende review datum
Gebruik de knop om te kopieren.
Tip voor aantoonbaarheid
Koppel in je risico register expliciet een monitoring use case aan elk top risico. Dat maakt jouw verhaal logisch en toetsbaar. Een auditor ziet dan direct dat monitoring niet random is.
Quickscan in vijf minuten
Deze scan is geen juridisch oordeel. Het helpt je bepalen waar je snel compliance winst pakt: risico register, monitoring coverage, triage proces en management ritme.
Vul kort in
Jouw top acties
Vul minimaal risicoanalyse niveau en monitoring dekking in.
Tip
Zet je uitkomst om naar een actiesheet met owner en deadline. Bewaar daarna drie bewijsstukken per actie. Dat maakt toezicht makkelijk.
Veelgestelde vragen
Dit zijn de vragen die vaak terugkomen bij bestuur, IT en compliance. Alles is praktisch geschreven, zodat je sneller keuzes maakt en aantoonbaarheid bouwt.
Moet risicoanalyse een ingewikkelde methode zijn
Nee. De kern is een consistente aanpak met scope, scenario, impact, prioriteit, owners en een review ritme. Het moet uitvoerbaar blijven, anders sterft het na de eerste versie.
Is monitoring verplicht als je al antivirus hebt
Antivirus is één control. Monitoring gaat over zicht op afwijkingen over meerdere bronnen en vooral over opvolging. Zonder triage en tickets is er weinig aantoonbaarheid.
Hoe diep moet ik leveranciers meenemen
Werk met kritikaliteit. Voor de kleine set kritieke leveranciers wil je extra bewijs en afspraken, zeker rondom toegang, logging en incidentmelding. Voor niet kritieke leveranciers kan het lichter.
Wat willen auditors meestal als bewijs zien
Een actueel risico register, een monitoring plan, voorbeelden van alerts met tickets, responstijden, en bewijs van management review met besluiten en verbeteracties.
Interne links die hier logisch bij passen
Voeg interne links toe naar de reikwijdte pagina, de verplichtingen pagina, de maatregelen pagina, de meldplicht uitleg, een pagina over incidentrespons, en een pagina over leveranciers en ketenrisico.
Bronnen en officiële referenties
Dit is een selectie van openbare bronnen die de kernlogica onderbouwen: risicobeheer maatregelen, monitoring als onderdeel van detectie, en de Nederlandse implementatie context.
Officiële teksten
Disclaimer
Dit is informatief en praktisch bedoeld. De exacte plichten en toezichtdetails volgen uit de uiteindelijke Nederlandse wet en onderliggende regels. Gebruik dit als werkbaar startpunt voor beleid, uitvoering en aantoonbaarheid.