Bruto risico is het risiconiveau van een dreiging voordat je rekening houdt met genomen beveiligingsmaatregelen, ook wel inherent risico genoemd in risicomanagement.

Wat is bruto risico?

Bruto risico, ook wel inherent risico genoemd, is het risiconiveau dat een organisatie loopt voordat er beveiligingsmaatregelen zijn getroffen. Het geeft aan hoe groot de potentiele schade en de waarschijnlijkheid van een dreiging zijn als je puur kijkt naar de activiteiten die je uitvoert, zonder rekening te houden met firewalls, encryptie, procedures of andere beschermende maatregelen. In het cybersecuritydomein vormt bruto risico het vertrekpunt voor elke risicoanalyse. Pas wanneer je het bruto risico kent, kun je bepalen welke maatregelen nodig zijn en hoeveel risico er overblijft na implementatie, het zogenaamde netto risico of restrisico. Het onderscheid tussen bruto en netto risico is fundamenteel in frameworks als ISO 27005, het NIST Cybersecurity Framework en de NOREA Inherente Cyber Risicoanalyse.

Waarom is bruto risico belangrijk?

Het bepalen van bruto risico is essentieel omdat het je dwingt om eerlijk te kijken naar de dreigingen waarmee je organisatie te maken heeft, los van de maatregelen die je al hebt genomen. Veel organisaties overschatten hun beveiliging en onderschatten de onderliggende risico's. Door bruto risico expliciet in kaart te brengen, voorkom je blinde vlekken in je beveiligingsstrategie. Een firewall die al jaren draait, geeft een gevoel van veiligheid, maar het bruto risico van de achterliggende dreiging is onveranderd hoog.

Voor Nederlandse organisaties die vallen onder NIS2 of de AVG is het documenteren van bruto risico's een belangrijk onderdeel van de verplichte risicoanalyse. De NCSC routekaart risicomanagement benadrukt dat risicobeoordeling begint bij het identificeren van dreigingen zonder rekening te houden met bestaande maatregelen. Het NOREA Cyber Security Assessment-raamwerk gebruikt het inherente risicoprofiel specifiek als basis voor de beoordeling van cybersecurity bij financiele instellingen en andere gereguleerde sectoren.

Bruto risico helpt bovendien bij het prioriteren van investeringen. Als het bruto risico van een bepaalde dreiging laag is, zijn uitgebreide maatregelen mogelijk niet kosteneffectief. Is het bruto risico daarentegen zeer hoog, dan weet je dat er stevige bescherming nodig is, zelfs als je huidige maatregelen al redelijk effectief lijken. Het voorkomt ook de valkuil van schijnveiligheid: wanneer een maatregel faalt of wordt omzeild, staat je plotseling bloot aan het volledige bruto risico.

Hoe pas je bruto risico toe?

Het berekenen van bruto risico doe je door twee factoren te combineren: de waarschijnlijkheid dat een dreiging zich voordoet en de impact als dat gebeurt. Gebruik een risicomatrix waarin je beide factoren scoort op een schaal van bijvoorbeeld 1 tot 5. Een dreiging met hoge waarschijnlijkheid (score 5) en hoge impact (score 5) levert een maximaal bruto risico op van 25. Een dreiging met lage waarschijnlijkheid (score 2) en beperkte impact (score 2) scoort slechts 4.

In de praktijk inventariseer je eerst alle relevante dreigingen voor je organisatie. Voor een e-commercebedrijf kan dat een DDoS-aanval op de webshop zijn, een ransomware-infectie van het ordersysteem, of het lekken van klantgegevens via een kwetsbaarheid. Voor elke dreiging bepaal je het bruto risico alsof er geen enkele maatregel is getroffen. Dit vereist eerlijkheid en discipline: je moet abstraherend van je huidige beveiliging nadenken over de naakte dreiging.

Vervolgens breng je de bestaande maatregelen in kaart en beoordeel je hun effectiviteit. Het verschil tussen bruto risico en de effectiviteit van je maatregelen levert het netto risico op. Dit netto risico vergelijk je met je risicobereidheid, de hoeveelheid risico die je als organisatie acceptabel vindt. Is het netto risico hoger dan je risicobereidheid, dan zijn aanvullende beveiligingsmaatregelen nodig. Is het lager, dan kun je de huidige maatregelen als voldoende beschouwen.

Bruto risico in de praktijk

Stel dat een MKB-bedrijf een bruto risicobeoordeling uitvoert voor e-maildreigingen. Zonder enige beveiligingsmaatregel is de waarschijnlijkheid van een succesvolle phishingaanval zeer hoog (score 5) en de potentiele impact aanzienlijk door mogelijke ransomware of datadiefstal (score 4). Het bruto risico is dan 20 op een schaal van 25, dat is kritiek en vraagt om directe actie.

Nu brengt het bedrijf de bestaande maatregelen in kaart: e-mailfiltering reduceert de waarschijnlijkheid, meerfactor authenticatie beperkt de impact van gestolen credentials, en security awareness training verlaagt het succespercentage van phishing. Na deze maatregelen daalt het netto risico naar bijvoorbeeld 8 van 25, dat valt binnen de risicobereidheid van de meeste organisaties.

Dit voorbeeld toont de kracht van bruto risico als vertrekpunt. Zonder die hoge bruto risicoscore zou het bedrijf mogelijk niet hebben geinvesteerd in alle drie de maatregelen. Het maakt ook zichtbaar welke maatregelen het meest bijdragen aan risicobeheersing, waardevolle informatie bij budgetdiscussies met het management. Als de directie vraagt waarom er drie maatregelen nodig zijn tegen e-maildreigingen, toon je het bruto risico van 20 en de reductie naar 8. Dat is een concreet, overtuigend verhaal dat elke bestuurder begrijpt. Het helpt ook bij het bepalen van de risicoperceptie van het management en het kalibreren daarvan met objectieve data.

Een belangrijk aspect van bruto risico dat organisaties vaak over het hoofd zien, is de dynamiek ervan in relatie tot technologische veranderingen. Wanneer een organisatie nieuwe technologie adopteert, zoals cloud computing, IoT-apparaten of AI-systemen, verandert het bruto risicoprofiel fundamenteel. De introductie van een nieuw systeem brengt nieuwe dreigingen met zich mee die moeten worden meegenomen in de risicobeoordeling, zelfs als het bruto risico van bestaande systemen ongewijzigd blijft.

De relatie tussen bruto risico en verzekerbaarheid wordt steeds relevanter. Cyberverzekeraars gebruiken het inherente risicoprofiel van een organisatie om premies en dekkingsvoorwaarden te bepalen. Een organisatie met een hoog bruto risico die onvoldoende maatregelen treft, betaalt hogere premies of krijgt geen verzekering. Steeds meer verzekeraars eisen een gedocumenteerde risicoanalyse inclusief bruto risicobeoordeling als voorwaarde voor dekking. Dit maakt het bepalen van bruto risico niet alleen een beveiligingsoefening maar ook een financiele noodzaak die direct van invloed is op je verzekeringskosten en bedrijfscontinuiteit.

Veelgestelde vragen over bruto risico

Wat is het verschil tussen bruto risico en netto risico?

Bruto risico is het risico zonder rekening te houden met beheersingsmaatregelen. Netto risico, ook wel restrisico genoemd, is het risico dat overblijft nadat je maatregelen hebt toegepast. Het verschil toont de effectiviteit van je beveiliging.

Is bruto risico hetzelfde als inherent risico?

Ja, bruto risico en inherent risico worden door elkaar gebruikt. Beide termen verwijzen naar het risiconiveau voordat beheersingsmaatregelen worden meegewogen. In Engelstalige frameworks zie je meestal inherent risk.

Hoe vaak moet je bruto risico opnieuw beoordelen?

Minimaal jaarlijks, of vaker bij significante veranderingen in je organisatie, IT-omgeving of dreigingslandschap. NIS2 vereist dat risico-assessments actueel blijven en worden bijgewerkt bij materiele wijzigingen.

Kan bruto risico veranderen zonder dat je iets doet?

Ja, bruto risico verandert wanneer het dreigingslandschap verschuift. Nieuwe kwetsbaarheden, opkomende aanvalstechnieken of veranderingen in je bedrijfsactiviteiten beinvloeden het bruto risico onafhankelijk van je maatregelen.

Welk framework gebruik je voor bruto risicobeoordeling?

Veelgebruikte frameworks zijn ISO 27005, NIST SP 800-30 en de NCSC routekaart risicomanagement. Voor de financiele sector is het NOREA Cyber Security Assessment specifiek ontworpen voor inherente risicoanalyse.

Meer weten over risicomanagement? Bekijk Governance, Risk & Compliance op IBgidsNL.