Risico’s worden vastgelegd in het risicoregister. Per risico is een inschatting gemaakt van de kans dat het risico zich voordoet en de financiële gevolgen ervan. Deze inschatting is in lijn met het beleid vertaald naar een risicoscore. De risico’s zijn ingedeeld op incidenteel/structureel risico (I/S).
De benodigde weerstandscapaciteit is als volgt berekend:
| Nr. | Kwantificeerbare risico's | Effect | Type | Kans | Gevolg | Risico score | Impact | Kans op optreden in jaar |
|---|---|---|---|---|---|---|---|---|
|
1 |
Uitval van kritische applicaties/systemen door een cyberaanval |
Extra lasten, niet begroot |
I |
30% |
2.500.000 |
10 |
750.000 |
2026 e.v. |
|
2 |
Personele knelpunten door een krappe arbeidsmarkt in combinatie met duurdere inhuur. |
Extra lasten, niet begroot |
S |
30% |
600.000 |
10 |
180.000 |
2026 e.v. |
|
3 |
Inbreuk op datasoevereiniteit |
Extra lasten, niet begroot |
I |
10% |
5.000.000 |
5 |
500.000 |
2026 |
Totaal risico's met een impact vanaf het jaar 2026 € 1.430.000.
Uitval van kritische applicaties/systemen in verband met een cyberaanval
Het risico op schade door een cyberaanval is nog steeds groot. Een cyberaanval kan bestaan uit een gijzeling van data (ransomware) of diefstal en mogelijke publicatie van privacygevoelige informatie. Als gevolg van genomen maatregelen in onze beveiliging schatten we kans op een succesvolle dreiging lager in dan afgelopen jaar (we verlagen de kans van 50 naar 30%). Uit penetratietesten is gebleken dat de kans op een geslaagde aanval van buitenaf zeer klein is. De kans op een geslaagde aanval van binnenuit, bijvoorbeeld door een combinatie van een gestolen laptop en een minder sterk wachtwoord is groter. Ook de inschatting van de impact van dit risico hebben we naar beneden bijgesteld. Als gevolg van verdergaande versaasing zijn nagenoeg al onze procesapplicaties ondergebracht bij leveranciers. Hierdoor wordt bij een aanval op één van de procesapplicaties niet het hele landschap geraakt. We verlagen daarom de ingeschatte gevolgschade van €5 naar €2,5 miljoen. Om dit risico verder te beheersen stellen we hoge eisen aan onze ICT-partners, investeren we in een informatiebeveiliging management systeem, nemen we goede cybersecuritymaatregelen en investeren we in de bewustwording van onze medewerkers.
Personele knelpunten door een krappe arbeidsmarkt, langdurig ziekteverzuim in combinatie met duurdere inhuur
Ondanks de krapte op de arbeidsmarkt weten we vacatures goed te vervullen en is de bezettingsgraad hoger dan ooit. Recruitment is een vast onderdeel geworden van onze organisatie. Door de aanhoudende krapte op de arbeidsmarkt blijft er echter een kans bestaan dat er meer dan gewenst en begroot moet worden ingehuurd tegen hoge tarieven. Dit betekent dat het risico dat de personeelskosten worden overschreden blijft bestaan. We hebben het kanspercentage verlaagd van 50 naar 30%. De impact is onveranderd gebleven.
Inbreuk op datasoevereiniteit
De betrouwbaarheid van de Verenigde Staten neemt steeds verder af. Het risico dat Microsoft de opdracht krijgt om de toegang tot Microsoft te beëindigen voor bepaalde landen is niet meer denkbeeldig. De kans hierop wordt wel zeer klein geacht. Omdat de afhankelijkheid van Microsoft erg groot is, is de impact wel erg groot. Alle bestaande documenten zijn dan immers niet meer raadpleegbaar. Op korte termijn willen we investeren in back-up-systemen die niet afhankelijk zijn van de Verenigde Staten. We verwachten daarmee dat dit risico tijdelijk zal zijn.