Dit document beschrijft de VCWG‑domeinen, KPI’s en kleurduidingen voor bestuur en directie.
VCWG staat voor Veiligheid, Continuïteit, Weerbaarheid en Governance. Het model biedt een compact, bestuurbaar overzicht van de belangrijkste digitale en organisatorische risicodomeinen. Elk domein heeft vijf KPI’s die in het Executive Dashboard worden getoond.
De kleuren groen, oranje en rood geven de mate van beheersing aan en vormen de basis voor bestuurlijke sturing, prioritering en interventies.
Richt zich op informatiebeveiliging, cyberveiligheid, fysieke veiligheid en procesveiligheid. Doel: incidenten voorkomen, schade beperken en voldoen aan relevante normen en wetgeving.
Richt zich op de beschikbaarheid van kritieke processen en systemen, uitwijk, back‑ups en ketenafhankelijkheden. Doel: verstoringen opvangen zonder onaanvaardbare impact op klanten, operatie en reputatie.
Richt zich op het vermogen om aanvallen, incidenten en crises tijdig te detecteren, erop te reageren en ervan te leren. Doel: snel herstellen en de organisatie adaptief en veerkrachtig houden.
Richt zich op besturing, rollen en verantwoordelijkheden, compliance, interne beheersing en risicomanagement. Doel: voorspelbare besluitvorming, duidelijke verantwoording en aantoonbare beheersing van risico’s.
Domein: Veiligheid (V)
Definitie: Geeft aan hoeveel veiligheidsincidenten de organisatie belasten en of er sprake is van structurele patronen.
Groen: Incidenten zijn laag en stabiel; geen structurele patronen.
Oranje: Incidenten nemen toe of herhalen zich; oorzaken nog niet volledig beheerst.
Rood: Hoge incidentdruk; operationele verstoringen en risico op escalatie.
Definitie: Laat zien in hoeverre systemen up‑to‑date zijn en bekende kwetsbaarheden zijn gedicht.
Groen: Kritieke systemen zijn actueel; bekende kwetsbaarheden zijn verholpen.
Oranje: Enkele achterstanden; verhoogde kans op misbruik.
Rood: Structurele achterstanden; systemen lopen aantoonbaar risico.
Definitie: Meet hoe goed toegang tot systemen en informatie is geregeld en afgestemd op functies en rollen.
Groen: Toegang is strikt geregeld; rechten kloppen met functies.
Oranje: Enkele afwijkingen; risico op misbruik of fouten.
Rood: Onvoldoende controle; ongeautoriseerde toegang mogelijk.
Definitie: Toont in hoeverre systemen volgens afgesproken veiligheidsstandaarden zijn ingericht.
Groen: Systemen voldoen aan de afgesproken standaarden.
Oranje: Afwijkingen die beheersbaar zijn maar aandacht vragen.
Rood: Configuraties zijn inconsistent; verhoogd risico op fouten en uitval.
Definitie: Geeft inzicht in de hoeveelheid en ernst van gevonden zwakke plekken in systemen en applicaties.
Groen: Weinig kwetsbaarheden; geen kritieke issues.
Oranje: Meerdere kwetsbaarheden; mitigatie loopt.
Rood: Kritieke kwetsbaarheden aanwezig; directe actie vereist.
Domein: Continuïteit (C)
Definitie: Geeft aan in hoeverre kritieke processen en systemen dubbel zijn uitgevoerd en uitwijk beschikbaar is.
Groen: Kritieke processen hebben robuuste uitwijk en redundantie.
Oranje: Enkele single points of failure.
Rood: Geen redundantie; uitval leidt direct tot stilstand.
Definitie: Toont hoe kwetsbaar de organisatie is door afhankelijkheden in de keten (leveranciers, partners, diensten).
Groen: Leveranciersrisico’s zijn laag en beheerst.
Oranje: Enkele kwetsbare afhankelijkheden.
Rood: Kritieke afhankelijkheden bedreigen de continuïteit.
Definitie: Meet hoe snel de organisatie na een verstoring weer operationeel is (fit met RTO‑normen).
Groen: Hersteltijden liggen binnen de afgesproken normen.
Oranje: Hersteltijden lopen op; risico op klantimpact.
Rood: Hersteltijden overschrijden normen; grote operationele schade.
Definitie: Laat zien of back‑ups daadwerkelijk werken wanneer herstel nodig is.
Groen: Back‑ups werken aantoonbaar; herstel is betrouwbaar.
Oranje: Enkele tests falen; herstel is onzeker.
Rood: Back‑ups falen structureel; data‑verlies dreigt.
Definitie: Geeft aan of continuïteitsplannen actueel, getest en organisatiebreed bekend zijn.
Groen: Plannen zijn actueel en getest.
Oranje: Plannen zijn deels verouderd of onvoldoende getest.
Rood: Geen actuele plannen; organisatie is onvoorbereid.
Domein: Weerbaarheid (W)
Definitie: Meet hoe snel dreigingen of afwijkingen worden opgemerkt.
Groen: Dreigingen worden snel opgemerkt.
Oranje: Detectie vertraagt; risico op grotere impact.
Rood: Aanvallen blijven lang onopgemerkt.
Definitie: Meet de effectiviteit van de reactie op incidenten.
Groen: Incidenten worden effectief ingedamd.
Oranje: Reacties zijn wisselend; risico op escalatie.
Rood: Reacties falen; incidenten lopen uit de hand.
Definitie: Toont hoe goed actuele dreigingen worden gevolgd en beoordeeld.
Groen: Dreigingen worden actief gevolgd.
Oranje: Monitoring is beperkt; risico op verrassingen.
Rood: Geen structurele monitoring; blinde vlekken.
Definitie: Geeft aan hoe snel en gestructureerd de organisatie handelt bij incidenten.
Groen: Snel, gestructureerd en effectief.
Oranje: Onregelmatig of vertraagd.
Rood: Chaotisch of afwezig; grote schade mogelijk.
Definitie: Meet in hoeverre aanvallen tijdig worden herkend.
Groen: Aanvallen worden vroegtijdig herkend.
Oranje: Detectie is inconsistent.
Rood: Aanvallen worden pas laat of niet gezien.
Domein: Governance (G)
Definitie: Geeft aan hoe volwassen besturing, besluitvorming en verantwoording zijn ingericht.
Groen: Besturing is volwassen en voorspelbaar.
Oranje: Enkele hiaten in rollen of processen.
Rood: Governance is onvoldoende; risico op mismanagement.
Definitie: Toont het aantal en de ernst van bevindingen uit interne en externe audits.
Groen: Weinig bevindingen; processen onder controle.
Oranje: Meerdere bevindingen; verbeteringen nodig.
Rood: Ernstige bevindingen; directe actie vereist.
Definitie: Meet in hoeverre de organisatie voldoet aan wet‑ en regelgeving, normen en interne afspraken.
Groen: Voldoet aan normen en wetgeving.
Oranje: Enkele tekortkomingen.
Rood: Niet‑compliant; risico op sancties.
Definitie: Geeft aan hoe effectief interne beheersmaatregelen werken.
Groen: Beheersmaatregelen werken effectief.
Oranje: Gedeeltelijke werking; risico op fouten.
Rood: Controls falen; risico op fraude of verstoringen.
Definitie: Toont hoe goed de belangrijkste risico’s worden beheerst.
Groen: Belangrijkste risico’s zijn beheerst.
Oranje: Risico’s nemen toe; mitigatie loopt achter.
Rood: Kritieke risico’s zijn onbeheerst.
De Risk Matrix in het Executive Dashboard vertaalt de onderliggende KPI‑kleuren per domein naar een samengevat risicobeeld: Laag, Middel of Hoog.
Per domein wordt een gemiddelde risicoscore berekend op basis van de KPI‑kleuren. Meerdere rode signalen leiden tot een hoge risicoscore; een mix van oranje en enkele rode signalen leidt tot een middelhoog risicoprofiel.
De Risk Matrix ondersteunt bestuurders bij het snel identificeren van domeinen waar directe aandacht of interventie nodig is.
Per domein kan een bestuurlijke prioriteit worden ingesteld: Hoog, Midden of Laag. Deze prioriteit geeft aan hoeveel aandacht, capaciteit en middelen het domein de komende periode vraagt.
De prioriteit wordt niet automatisch bepaald, maar bewust gekozen door bestuur of directie, op basis van:
De prioriteit helpt om VCWG‑domeinen expliciet te positioneren in de bestuurlijke agenda.
De Narrative Engine genereert automatisch een bestuurlijke duiding op basis van de VCWG‑KPI’s. Zij signaleert onder andere:
De Narrative Engine is bedoeld als startpunt voor gesprek en besluitvorming, niet als vervanging van bestuurlijk oordeel. Zij maakt patronen zichtbaar en helpt om de juiste vragen te stellen.
De VCWG‑score in het Executive Dashboard geeft een samenvattend beeld van de algehele staat van Veiligheid, Continuïteit, Weerbaarheid en Governance. Hoe lager de score, hoe beter de beheersing.
De score is gebaseerd op de onderliggende KPI‑kleuren per domein en is bedoeld als bestuurlijke thermometer: een snelle indicatie, geen vervanging van de detailinformatie.
De VCWG‑score helpt bestuurders om in één oogopslag te zien of de trend positief, stabiel of zorgelijk is.