CYRA: voorbeeld van een groeigericht risicomanagementraamwerk
De CYRA-methode wordt als voorbeeld genoemd in het recent gepubliceerde risicomanagementraamwerk van het Nationaal Cyber Security Centrum (NCSC). Het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) heeft de methode sinds januari 2025 in beheer en werkt aan de doorontwikkeling ervan.
Digitale veiligheid
Het NCSC werkt vanuit de overheid aan de digitale veiligheid in ons land. Deze publicatie biedt securitymanagers richtlijnen voor het kiezen van een model dat aansluit bij de informatiebeveiligingsrisico’s van hun organisatie. De publicatie bevat handvatten voor waarom, wanneer en met welk doel je raamwerken toepast.
Daarnaast biedt het een keuzeproces om te helpen bij het selecteren van een raamwerk. Daarvoor zijn de raamwerken onderverdeeld in vier categorieën:
Holistische raamwerken
Kwadrantspecifieke raamwerken
Specialistische raamwerken
Groeigerichte raamwerken
De CYRA-methode wordt als voorbeeld van een groeigericht raamwerk vermeld, zie hoofdstuk vier. De methode biedt namelijk een instap- en groeimodel dat aansluit op de behoeften van elke organisatie. Bedrijven kunnen kiezen voor een niveau dat past bij de risico’s van hun onderneming en hun positie in de leveranciersketen.
Over de CYRA-methode
CYRA begint met een risicoanalyse, deze is online in te vullen door de ondernemer. Opdrachtgevers kunnen dat ook doen, als onderdeel van hun leveranciersmanagement. De risicoanalyse geeft inzicht in welk niveau van CYRA passend is.
CYRA bestaat uit vier niveaus: Entry, Basic, Intermediate en Advanced. Daardoor is de methode toepasbaar voor elke specifieke cybersecurity uitdaging, in elke sector. De methode kan ook worden gebruikt als groeimodel richting een ISO 27001-certificering of als voorbereiding op de Cyberbeveiligingswet.
NIS2-richtlijn
Deze wet is een uitwerking van de NIS2-richtlijn. Daarnaast biedt CYRA de mogelijkheid om de zelfbeoordeling te laten certificeren door een onafhankelijke partij. Daarmee kunnen bedrijven die in een toeleveranciersketen werken aantonen dat zij de cyberweerbaarheid goed hebben geregeld.