Risico’s worden vastgelegd in het risicoregister. Per risico is een inschatting gemaakt van de kans dat het risico zich voordoet en de financiële gevolgen ervan. Deze inschatting is in lijn met het beleid vertaald naar een risicoscore. De risico’s zijn ingedeeld op incidenteel/structureel risico (I/S).
De benodigde weerstandscapaciteit is als volgt berekend:
| Nr. | Kwantificeerbare risico's | Effect | Type | Kans | Gevolg | Risico score | Impact | Kans op optreden in jaar |
|---|---|---|---|---|---|---|---|---|
|
1 |
Uitval van kritische applicaties/systemen door een cyberaanval |
Extra lasten, niet begroot |
I |
30% |
2.500.000 |
10 |
750.000 |
2027 e.v. |
|
2 |
Personele knelpunten door een krappe arbeidsmarkt in combinatie met duurdere inhuur. |
Extra lasten, niet begroot |
S |
30% |
600.000 |
15 |
180.000 |
2027 e.v. |
De gekwantificeerde risico’s leiden tot een totale benodigde weerstandscapaciteit van € 2,8 miljoen. De belangrijkste risico’s zijn:
- Uitval van kritische applicaties en systemen als gevolg van een cyberaanval.
- Personele knelpunten door arbeidsmarktkrapte en hogere kosten voor inhuur.
Ten opzichte van de begroting 2026 is de kans op optreden voor beide risico’s verlaagd van 50% naar 30%, onder andere door genomen beheersmaatregelen.
-
Uitval van kritische applicaties/systemen in verband met een cyberaanval
Het risico op schade door een cyberaanval is nog steeds groot. Een cyberaanval kan bestaan uit een gijzeling van data (ransomware) of diefstal en mogelijke publicatie van privacygevoelige informatie. Als gevolg van genomen maatregelen in onze beveiliging schatten we kans op een succesvolle dreiging lager in dan in de begroting van 2026 (we hebben de kans verlaagd van 50 naar 30%). Uit penetratietesten is gebleken dat de kans op een geslaagde aanval van buitenaf zeer klein is. De kans op een geslaagde aanval van binnenuit, bijvoorbeeld door een combinatie van een gestolen laptop en een minder sterk wachtwoord is groter. Ook de inschatting van de impact van dit risico hebben we naar beneden bijgesteld. Als gevolg van verdergaande ver-SaaS-ing zijn nagenoeg al onze procesapplicaties ondergebracht bij leveranciers. Hierdoor wordt bij een aanval op één van de procesapplicaties niet het hele landschap geraakt. We verlagen daarom ten opzichte van de vorige begroting de ingeschatte gevolgschade van € 5 naar € 2,5 miljoen. Om dit risico verder te beheersen stellen we hoge eisen aan onze ICT-partners, investeren we in een informatiebeveiligingsmanagementsysteem, nemen we goede cybersecuritymaatregelen en investeren we in de bewustwording van onze medewerkers. -
Personele knelpunten door een krappe arbeidsmarkt, langdurig ziekteverzuim in combinatie met duurdere inhuur
Ondanks de krapte op de arbeidsmarkt weten we vacatures goed te vervullen en is de bezettingsgraad hoger dan ooit. Recruitment is een vast onderdeel geworden van onze organisatie. Door de aanhoudende krapte op de arbeidsmarkt blijft er echter een kans bestaan dat er meer dan gewenst en begroot moet worden ingehuurd tegen hoge tarieven. Dit betekent dat het risico dat de personeelskosten worden overschreden blijft bestaan. We hebben ten opzichte van de vorige begroting het kanspercentage verlaagd van 50 naar 30%. De impact is onveranderd gebleven.