Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Belang(en)

Concepten

Waarden, verworvenheden, materiële en immateriële zaken waaraan schade kan ontstaan als een cyberincident zich voordoet en het gewicht dat de maatschappij of een partij aan de verdediging ervan toekent.

In cybersecurity verwijst het begrip belangen naar alle waarden, verworvenheden en zaken, zowel materieel als immaterieel, waaraan schade kan ontstaan als een cyberincident plaatsvindt. Dit worden ook wel te beschermen belangen (TBB) genoemd en ze vormen het vertrekpunt van elke beveiligingsstrategie. Het gaat om de kroonjuwelen van je organisatie: de data, systemen, processen, intellectueel eigendom en reputatie die je koste wat het kost wilt beschermen tegen digitale dreigingen. Het in kaart brengen van deze belangen is de allereerste stap van elk serieus cybersecuritytraject en vormt de basis voor alle vervolgbeslissingen over beveiligingsmaatregelen en investeringen.

Waarom is het belangrijk?

Het inventariseren van je belangen is de meest fundamentele stap in cybersecurity. Zonder helder overzicht van wat je beschermt, kun je geen effectieve beveiligingsstrategie opzetten en investeer je mogelijk in de verkeerde maatregelen die geen bescherming bieden voor je werkelijke kroonjuwelen. Het NCSC benadrukt dat organisaties hun te beschermen belangen moeten identificeren en waarderen om beter zicht te krijgen op de risico's die ze lopen. Je kunt pas bepalen welke maatregelen nodig zijn en hoeveel budget je eraan besteedt als je weet wat er op het spel staat en welke impact een compromittering zou hebben op de continuiteit van je bedrijfsvoering.

Belangen zijn niet alleen technisch van aard maar omvatten het hele spectrum van organisatiewaarden en bedrijfsmiddelen. Denk aan klantgegevens die onder de AVG vallen en bij een datalek tot forse boetes en juridische claims kunnen leiden, intellectueel eigendom dat jarenlange R&D-investeringen vertegenwoordigt en bij diefstal jaren voorsprong op concurrenten kan kosten, financiele systemen die de bedrijfsvoering draaiende houden en bij uitval direct omzetverlies veroorzaken, en de reputatie die jarenlange opbouw vertegenwoordigt maar in een dag kan worden beschadigd door een publiek datalek. Een risicoanalyse begint altijd met de kernvraag: wat zijn de kroonjuwelen van de organisatie en welke systemen en data zijn zo belangrijk dat verlies of compromittering de continuiteit direct bedreigt?

De NIS2-richtlijn en de aankomende Cyberbeveiligingswet verplichten organisaties in kritieke sectoren om hun belangen systematisch te inventariseren en adequaat te beschermen met passende technische en organisatorische maatregelen. Dit is geen eenmalige exercitie maar een doorlopend proces, omdat belangen veranderen naarmate de organisatie groeit, digitaliseert, nieuwe diensten ontwikkelt, nieuwe partnerships aangaat en haar IT-landschap moderniseert. PwC benadrukt dat effectieve cybersecuritymaatregelen niet alleen essentieel zijn voor het beschermen van belangen, maar ook voor het creeren van waarde, het winnen van klantvertrouwen en het behouden van concurrentievoordeel in een steeds digitalere markt waar cybersecurity een onderscheidende factor wordt.

Hoe pas je het toe?

Het inventariseren van belangen verloopt in drie stappen die elk hun eigen diepgang en aanpak vragen. Eerst breng je alle assets in kaart: informatiesystemen, databases, applicaties, netwerken, fysieke infrastructuur, cloudresources, SaaS-diensten en de data die ze verwerken en opslaan. Zowel operationele technologie (OT) als informatietechnologie (IT) vallen hieronder, evenals de steeds groeiende categorie van IoT-apparaten die vaak over het hoofd worden gezien. Vervolgens classificeer je deze assets op basis van hun waarde voor de organisatie en de impact bij verlies, onbeschikbaarheid of compromittering. Tot slot koppel je de belangen aan specifieke dreigingen en kwetsbaarheden via een risicofactoranalyse die de waarschijnlijkheid en impact van elk risicoscenario systematisch beoordeelt en prioriteert.

Het NCSC hanteert een onderscheid tussen bedrijfsbelangen en technische belangen dat helpt om het gesprek met verschillende stakeholders binnen de organisatie effectief te voeren. Bedrijfsbelangen zijn abstractere waarden zoals continuiteit van dienstverlening, compliance met wet- en regelgeving, klantvertrouwen, merkwaarde en concurrentiepositie. Technische belangen zijn concreter en tastbaarder: specifieke servers, databases, applicaties, netwerkcomponenten, API-koppelingen en de data die ze bevatten en verwerken. Je hebt beide niveaus nodig voor een compleet beeld dat zowel het management als de IT-afdeling aanspreekt en richting geeft aan beveiligingsprioriteiten en budgetallocatie.

Bij het waarderen van belangen gebruik je criteria als vertrouwelijkheid, integriteit en beschikbaarheid (de BIV-classificatie, internationaal bekend als CIA-triad). Een klantdatabase met persoonsgegevens scoort hoog op vertrouwelijkheid vanwege de strenge AVG-vereisten en de potentiele boetes bij een lek. Een productiesysteem dat 24/7 moet draaien scoort hoog op beschikbaarheid vanwege de directe omzetimpact en klantimpact bij uitval. Een financieel systeem waar nauwkeurigheid cruciaal is scoort hoog op integriteit vanwege de verregaande consequenties van incorrecte transacties of manipulatie. Deze classificatie bepaalt welke beveiligingsmaatregelen je neemt, hoeveel budget je investeert en welke prioriteiten je stelt bij incidentrespons en disaster recovery.

In de praktijk

In de praktijk zien we dat veel organisaties hun belangen onderschatten of onvolledig inventariseren, waardoor kritieke assets onbeschermd of onvoldoende beschermd blijven totdat een incident de lacune pijnlijk blootlegt. Shadow IT, oftewel systemen en diensten die buiten de IT-afdeling om worden aangeschaft en gebruikt, is een veelvoorkomend probleem dat de inventarisatie bemoeilijkt en blinde vlekken creëert. Medewerkers gebruiken eigen cloudopslagdiensten, ongeautoriseerde SaaS-applicaties voor projectmanagement of communicatie, of persoonlijke apparaten voor werkdoeleinden, waardoor bedrijfsdata en belangen buiten het zicht van de beveiligingsorganisatie vallen en niet worden meegenomen in de risicoanalyse. Dit is een aanzienlijke risicofactor die bij penetratietests en security audits regelmatig aan het licht komt.

Een effectieve aanpak combineert technische asset discovery tools die automatisch systemen, applicaties en diensten op het netwerk detecteren en inventariseren, met interviews en workshops waarin proceseigenaren en afdelingshoofden hun kritieke systemen en data identificeren vanuit bedrijfsperspectief. Het Digital Trust Center adviseert om minimaal jaarlijks een volledige inventarisatie uit te voeren en deze te koppelen aan het risicomanagementproces van de organisatie. Bij elke significante verandering in de IT-infrastructuur, organisatiestructuur of bedrijfsprocessen voer je een tussentijdse herbeoordeling uit om nieuwe belangen te identificeren en bestaande te herwaarderen op basis van de veranderde context en dreigingssituatie.

De toeleveringsketen vormt een extra dimensie bij het inventariseren van belangen die steeds belangrijker en complexer wordt. Je data en processen zijn niet alleen afhankelijk van je eigen systemen, maar ook van die van leveranciers, cloudproviders, managed service providers en partners waarmee je data en systemen deelt via API's en netwerkkoppelingen. Een compromittering bij een leverancier kan via gedeelde systemen, API-koppelingen of vertrouwde netwerken direct impact hebben op jouw belangen en daarmee op de continuiteit van je dienstverlening aan klanten. De NIS2-richtlijn erkent dit groeiende risico en verplicht organisaties om ook de cybersecurityrisico's in hun toeleveringsketen te beoordelen en te beheersen. Dit betekent dat je belangen-inventarisatie verder reikt dan de grenzen van je eigen digitale omgeving en de hele keten moet omvatten.

Veelgestelde vragen

Wat zijn te beschermen belangen in cybersecurity?

Het zijn alle waarden, systemen, data en processen waaraan schade kan ontstaan door een cyberincident.

Hoe classificeer je belangen?

Gebruik de BIV-classificatie op vertrouwelijkheid, integriteit en beschikbaarheid om prioriteiten te bepalen.

Waarom is een belangen-inventarisatie verplicht?

De NIS2-richtlijn en Cyberbeveiligingswet verplichten organisaties in kritieke sectoren tot systematische inventarisatie.

Hoe vaak moet je belangen opnieuw inventariseren?

Minimaal jaarlijks en bij elke significante verandering in IT-infrastructuur of bedrijfsprocessen.

Wat is het verschil tussen bedrijfsbelangen en technische belangen?

Bedrijfsbelangen zijn abstracte waarden zoals continuiteit, technische belangen zijn concrete assets zoals servers.

Wil je jouw te beschermen belangen professioneel in kaart brengen? Vind een specialist via IBgidsNL.