Good practices op basis van risico-inspecties bij energieproducenten
In 2023 en 2024 hebben we onderzoek gedaan naar risicomanagement in de energiesector vanuit de in 2023 geformuleerde speerpunten. Het doel was om te onderzoeken hoe energieproducenten actief inzetten op risicomanagement als onderdeel van hun digitale weerbaarheid, zodat de maatschappij kan vertrouwen op de continuïteit van hun dienstverlening.
Risicomanagement op verschillende niveau’s
In de energiesector wordt gebruik gemaakt verschillende risicomanagement niveaus:
- Enterprise Risk Management (ERM), waarmee u op organisatieniveau kijkt naar risico’s. Denk aan kijken naar de governance, toprisico’s en verantwoording.
- Information Security Management System (ISMS), waarmee u meer specifiek naar security-risico’s kijkt op basis van een plan-do-check-act cyclus.
Good practices Enterprise Risk Management
Voor de inrichting van ERM zagen we tijdens de inspecties verschillende goede voorbeelden. De onderzochte energieproducenten gebruiken bijvoorbeeld COSO of ISO31000 of hanteren vergelijkbare methoden. We waren ook positief over het gebruik van het Three lines of defence-model en over het vastleggen van de mate waarin het bestuur bereid is risico te lopen. En we zagen dat verschillende organisaties hun top-risico’s in kaart hebben gebracht en deze ook verbonden met de operationele risico’s. Dat is belangrijk, omdat op deze wijze de security risico’s op bestuursniveau aansluiten met de security risico’s op operationeel niveau. Belangrijk vinden we ook dat er over de operationele security risico’s (ISMS) verantwoording wordt afgelegd op bestuursniveau als eindverantwoordelijke.
Good practices Information Security Management System
We zien dat de onderzochte energieproducenten ISO27001 gebruiken voor hun ISMS en de scope uitbreiden naar de netwerk- en informatiesystemen (IT en OT), die onderdeel uitmaken van de essentiële dienst. Zij krijgen door het doen van businessanalyses inzicht in hun netwerk- en informatiesystemen en nemen op basis van dreiginganalyses passende maatregelen. Goed om te zien dat de energieproducten hun key controls bepalen en uitvoeren voor de essentiële dienst en verantwoording afleggen over de resultaten en ook verbeteringen formuleren en monitoren. Tot slot is het een good practice dat restrisico’s ook echt formeel worden geaccepteerd.
Handelingsperspectief
De hierboven beschreven voorbeelden beschouwen wij als goede praktijkvoorbeelden. Daarbij is natuurlijk altijd zo dat er ook andere goede methoden zijn, afhankelijk van de context waarin de organisatie opereert.
Hoe richt u goed risicomanagement in?
- Richt risicomanagement in op tactisch- en bestuursniveau in de organisatie.
- Breng top-risico’s voor de organisatie in kaart en onderzoek de relatie met operationele security risico’s.
- Zorg voor verantwoording van operationele security risico’s (ISMS) op bestuursniveau.
- Betrek bij risicomanagement volgens het Information Security Management System, zowel de IT als OT.
- Voer business en dreigingsanalyses uit en neem op basis daarvan passende maatregelen.
- Bepaal uw key controls, voer deze uit, leg verantwoording af over de resultaten, bepaal verbeterpunten en monitor de realisatie ervan.
- Accepteer restrisico’s formeel.