Wat is een Risicoregister?
Een Risicoregister (Risk Register) is een gestructureerd overzicht van alle geïdentificeerde risico’s binnen een organisatie, inclusief hun beoordeling, impact, kans, beheersmaatregelen en verantwoordelijkheden.
Het is een levend document dat je helpt risico’s inzichtelijk, beheersbaar en aantoonbaar te maken — essentieel voor onder andere ISO 27001, NIS2, GMP en IEC 62443.
🎯 Doel van een risicoregister
- Inzicht krijgen in bedreigingen en kwetsbaarheden
- Beoordelen van impact en waarschijnlijkheid (risk scoring)
- Plannen en volgen van beheersmaatregelen
- Ondersteunen van audits en compliance
- Basis voor continue verbetering en risicogestuurd werken
📄 Wat staat er in een risicoregister?
| Kolom | Beschrijving |
|---|---|
| Risico-ID | Unieke aanduiding (bijv. RISK-001) |
| Beschrijving | Wat is het risico of scenario? |
| Oorzaak | Waardoor kan dit risico ontstaan? |
| Gevolg | Wat is de impact (bijv. datalek, stilstand, letsel)? |
| Kans | Hoe waarschijnlijk is het dat het gebeurt? |
| Impact | Wat is de ernst van het gevolg? |
| Risicoscore | Kans × impact (bijv. 3 × 4 = 12) |
| Classificatie | Hoog / midden / laag / acceptabel |
| Maatregelen | Welke controls of acties zijn gepland of uitgevoerd? |
| Verantwoordelijke | Wie beheert dit risico? |
| Status / deadline | Wanneer wordt dit geëvalueerd of opgelost? |
🔐 Risicoregister in OT en IT
In industriële en hybride omgevingen bevat het register vaak risico’s zoals:
- Uitval van PLC, SCADA of Historian
- Ransomware via remote access of updateproces
- Ongeautoriseerde toegang tot productienetwerk
- Verlies van batchdata of Tracking and Tracing-informatie
- Overtreden van normen zoals GMP, SIL, ISO 27001
📊 Risicomatrix
Vaak wordt een risicomatrix (heatmap) gebruikt om risico’s te classificeren:
| Kans ↓ / Impact → | Laag (1) | Middel (2) | Hoog (3) | Kritiek (4) |
|---|---|---|---|---|
| Zeer laag (1) | 1 | 2 | 3 | 4 |
| Laag (2) | 2 | 4 | 6 | 8 |
| Middel (3) | 3 | 6 | 9 | 12 |
| Hoog (4) | 4 | 8 | 12 | 16 |
De risicoscore bepaalt of actie vereist is.
✅ Voordelen van een risicoregister
- Transparantie over waar risico’s zich bevinden
- Meetbare en herhaalbare risicobeoordeling
- Beheersmaatregelen zijn traceerbaar en toetsbaar
- Helpt bij besluitvorming en prioritering
- Verplicht of aanbevolen bij ISMS, GxP, ISO 9001, ISO 27001
🛠 Tools en formats
- Excel/Sheets (eenvoudig en snel)
- GRC-platforms (ServiceNow, Riskonnect, LogicGate)
- ISMS-tools met automatische risicologica
- OT-tools zoals Tenable.ot of Claroty kunnen risico’s automatisch voeden
📌 Samengevat
Een risicoregister brengt dreigingen, kwetsbaarheden en gevolgen in kaart — en helpt bij het systematisch beheersen van risico’s binnen je IT/OT-omgeving.