Leestijd: 10 minuten

De dreigingsdriehoek is een analysemethode gebaseerd op de harde fragiliteit van het Crisis Awareness Framewerk. Het uitgangspunt is daarbij een verregaande staat van onvree. Je wil voorkomen dat boeven bij jou de boel plat leggen, maar je reguliere risicomanagementsysteem werkt eigenlijk niet zoals je het zou willen. In dit blog laat ik zien wat je dan kan doen.

In ieder geval op hoofdlijnen

Want je moet nog wel veel zelf uitzoeken. In dit blog laat ik eerst zien hoe ik via zachte fragiliteit naar harde fragiliteit schuif met de Dreigingsdriehoek. Daarna leg ik de driehoek uit en ga vervolgens dieper in op elk van de hoofdelementen. Ik sluit af met een korte beschrijving van triggerscenario’s.

Zachte fragiliteit

Misschien is het omdat ik psychologie heb gestudeerd dat ik in de loop der jaren vooral geïnteresseerd ben geraakt in de zachte fragiliteit en robuustheid van organisaties. Ook al benoem ik dat pas expliciet op die manier sinds ik het Crisis Awareness Framewerk (CAF) heb beschreven.

Daarvoor zag ik het natuurlijk al wel in de praktijk. Zelden gingen dingen verkeerd door een foute risico inventarisatie of een harde veiligheidsanalyse. Wat er mis gaat komt vaak door een gebrek aan soft skills: slecht communiceren, grote ego’s, gebrek aan ervaring en teveel vertrouwen op snelle expertise.

Om er maar eens een paar te noemen.

Naar mijn idee kon ik meer aan het vak toevoegen door daar over te schrijven, in plaats van weer een nieuwe kijk op risico’s, veiligheidsmanagementsystemen en besluitvormingsmodellen te presenteren. Want die zijn zo uitontwikkeld dat ik daar niet zo veel aan toe te voegen heb.

Het CAF gaat dan ook voornamelijk over de zachte kant van fragiliteit en territory. Over kwetsbaarheden, domheid en zwarte eenden. Allemaal onderwerpen die je slecht kunt meten, maar als je goed kijkt wel zichtbaar zijn. En waar je dus wat aan kan doen, alleen meer situationeel bepaald dan systematisch.

Tot nu toe.

Dreigingsdriehoek

Want met de dreigingsdriehoek voeg ik een vorm van harde resilience toe aan het CAF. Het is een systematische manier om te kijken naar de fragiliteit en territory van je organisatie, waar je uiteindelijk je eigen triggerscenario’s in benoemt: ongewenste gebeurtenissen die mogelijk een triggerincident kunnen worden.

De drie kernelementen van de dreigingsdriehoek: dreigingen, kwetsbaarheid en weerbaarheid.

De kern wordt gevormd door drie elementen: dreiging, kwetsbaarheid en weerbaarheid. Niet toevallig onderwerpen die ook passen in het stramien van de Wet Weerbaarheid Kritieke Entiteiten, zoals waarschijnlijk in Q3 van 2025 wordt vastgesteld. Naar mijn bescheiden mening is de dreigingsdriehoek ook te gebruiken voor de vereisten uit die wet.

Goed.

We beginnen met dreigingen. Die komen voornamelijk van buiten, uit de territory. Dat kan van alles zijn: bijvoorbeeld sabotage, natuurrampen, stroomuitval en grote branden. Welke dreigingen relevant zijn is afhankelijk van je organisatie. Ik zal er straks nog een paar noemen, ter illustratie, maar dat lijstje is verre van volledig. Kennis van je eigen bedrijf en sector is dus essentieel.

Soms komen dreigingen ook van binnen, dan heet het insider threat. Als het niet gaat over rancune of wraak, dan is de insider threat vaak toch gestuurd vanuit de territory. Daarom zie ik het vooral als externe dreiging die als modus operandi van binnenuit de organisatie optreedt.

Kwetsbaarheid gaat over de fragiliteit van je organisatie. Het zijn de zwakke plekken in je bedrijf, soms omdat er achterstallig onderhoud is, je onvoldoende vakbekwaamheid in dienst hebt of slechte besluitvormingsstructuren hanteert. Maar het kan ook zijn dat je organisatie zo strak in zijn bedrijfsvoering zit dat alle redundantie is verdwenen en elke verstoring een groot effect heeft.

Of, ook niet ondenkbaar, dat je zo afhankelijk bent van anderen dat een storing bij hen het einde van jouw proces is.

Weerbaarheid tenslotte is de som van maatregelen die je neemt om de dreigingen en kwetsbaarheden te managen. Door ongewenste gebeurtenissen te voorkomen, te bestrijden en op te ruimen.

Als het goed is houden de dreigingen, kwetsbaarheden en weerbaarheid elkaar in evenwicht. Vaak afgezet tegen reguliere normeringen die volgen uit een risicomatrix. Daarmee zou de veiligheid, continuïteit en reputatie van je bedrijf voldoende geborgd moeten zijn, ondanks problemen als geelwassen en fundamental risk.

Onvree

Maar daar gaat het nu niet over.

De volgende stap van de dreigingsdriehoek is de toevoeging van triggerscenario’s en het weerbaarheidsprofiel.

Met de toenemende polarisatie in onze samenleving, de veranderingen in het klimaat en de geopolitieke ontwikkelingen komt het evenwicht in je dreigingsdriehoek onder druk te staan. Er zijn hybride dreigingen ontstaan die tornen aan de weerbaarheid van je organisatie. Extremer klimaat zorgt voor escalatiefactoren, waardoor je geïnventariseerde scenario’s erger uitpakken dan gedacht. En als het echt mis gaat komen we zelfs in een artikel 5 situatie terecht; onvree of zelfs oorlog.

Dan raakt je dreigingsdriehoek uit evenwicht. Net zoals in de reguliere CAF moeten de ontwikkelingen in de territory, fragiliteit en weerbaarheid elkaar in evenwicht houden om in control te blijven over je processen. Binnen die context is het steeds belangrijker om vast te stellen welke triggerscenario’s je bedrijf of organisatie plat kunnen leggen.

Ongeacht de kans. Het gaat puur om het effect.

Die triggerscenario’s moeten een passend weerbaarheidsprofiel hebben. Ze zijn maatgevend voor alle maatregelen die je neemt. Pas bij de keuze van de maatregelen komt de kans om de hoek kijken, in de afweging tussen kosten en effectiviteit. Want omdat je niet alles kunt oplossen moet je kijken hoe je de meeste hoeveelheid zinvolle veiligheid koopt.

Daarmee is de hele dreigingsdriehoek wel in beeld gebracht op hoofdlijnen. Ik zet nu nog één stapje verder, waarbij ik iets dieper inga op de systematiek achter dreiging, kwetsbaarheid en weerbaarheid.

Dreigingsdriehoek
Totaaloverzicht van de dreigingsdriehoek

Dreigingen

Om te beginnen met dreigingen.

Veel organisaties beschikken al over een regulier risk- & safetymanagement, sommigen zelfs ook nog over business continuity- en securitymanagement. Daar komen al heel veel dreigingen uit die je kunt toepassen in de dreigingsdriehoek. Kijk daarbij in eerste instantie vooral naar de effecten. De kans is pas iets wat je later toevoegt bij het zoeken naar een efficiënte benadering van dreiging, kwetsbaarheid en weerbaarheid.

Wat hier weerbaarheidsanalyse is genoemd, is losjes gebaseerd op de WWKE. Daarin moeten kritieke entiteiten kijken naar de factoren die de continuïteit van de bedrijfsvoering bedreigen, en wel zodanig dat de functionaliteit voor de samenleving niet meer beschikbaar is.

Als de boel plat gaat, dus.

Achter hybride dreiging zitten boeven. Types die het op jouw bedrijf gemunt hebben. Denk dan aan zaken als cyberattacks, sabotage, afdreiging, desinformatie, chantage, vernieling, spionage, bedreiging, smokkel, oplichterij en ondermijning, die passen bij een staat van onvree. In een verder geëscaleerde situatie zou het zelfs kunnen leiden tot aanslagen en terrorisme.

Dan kruip je al langzaam richting artikel 5, de activering van de NAVO in een oorlogssituatie. Afhankelijk van je bedrijf of organisatie is die dreiging al dan niet realistisch. Daar ga ik hier nu niet verder op in.

Evert Reydon en Louw de Jager (werkzaam voor de Inlichtingendienst Buitenland) waren in 1961 in de Sovjet-Unie gearresteerd op beschuldiging van spionage en veroordeeld tot lange gevangenisstraffen. Ze werden vervroegd vrijgelaten en arriveerden uiteindelijk op 4 december 1963 op Schiphol. Foto ANP

De WWKE vraagt ook om te kijken naar de effecten van klimaat- en natuurrampen. Dan kom je al gauw bij extreem weer, overstromingen of juist veel droogte. Deze categorie kent een aantal dreigingen die op zichzelf staan, zoals overstromingen, windhozen en aardbevingen.

Maar sommige aspecten zijn vooral escalatiefactoren. Ze verergeren ‘normale’ disrupties, zoals bijvoorbeeld extreme hitte of kou tijdens vervoersstoringen.

Kwetsbaarheden

Dreigingen werken vervolgens in op kwetsbaarheden in en rondom je organisatie. Ik heb kwetsbaarheden onderverdeeld in vijf generieke categorieën:

  • Primair proces; de stappen in je productieproces
  • Ondersteunende processen; dat wat je nodig hebt om de primaire processen te laten functioneren. Denk aan nutsvoorzieningen zoals stroom, drinkwater en telecom. Heel vaak vinden we die zo vanzelfsprekend dat we er niet eens meer bij stil staan dat het uit kan vallen.
  • Kritieke derden en co-makers; dat zijn alle andere zelfstandige partijen die in jouw proces een vitale rol spelen.
  • Supply chain gaat over de kwetsbaarheden in alle toeleveranciers en contractors die je inhuurt. Welke daarvan zijn essentieel om je bedrijfsvoering overeind te houden en welke vormen mogelijk zelfs een dreiging bij wijze van spionage en insider threat?
  • Tot slot de kwetsbaarheden uit andere sectoren, zoals energiebedrijven.

Waar kun je bij kwetsbaarheden onder andere aan denken?

  • Achterstallig onderhoud
  • Gedateerde technologie
  • Onvoldoende gekwalificeerd personeel
  • JIT (Just In Time) productie
  • Halffabricaten uit veel verschillende landen
  • Beperkte noodstroomvoorzieningen
  • Data in beheer bij derden
  • Ligging onder in een dal of vlak naast een grote rivier
  • Gevaarlijke buren, bijvoorbeeld waar dangerous goods worden gebruikt of opgeslagen
  • Grote afhankelijkheid van brandstoffen

Weerbaarheid

Weerbaarheid is de manier waarop je de combinatie van dreigingen en kwetsbaarheid beheersbaar maakt. Ik hanteer daarbij een denkmodel met vier categorieën van lines of defense. Elke categorie kent zijn eigen bijdrage en meerwaarde in het gehele systeem. De totale weerbaarheid wordt uiteindelijk bepaald door de som van de maatregelen die je neemt om de dreigingen en kwetsbaarheden te managen.

Daarbij past ook de Strategie van het Zijn: Fleet in Being.

Verhoging dijk bij Rilland Bath op 22 februari 1953. Actieve respons op de Watersnoodramp.

Omdat achter de verschillende typen dreiging een boef kan zitten moet je er rekening mee houden dat een aanval kan bestaan uit het slopen van de weerbaarheid, net zo lang tot je maatregelen falen.

Anders gezegd: behalve bij voorkomen & vermijden verhoogt elk beroep op een line of defense de fragiliteit van je organisatie. Bijvoorbeeld als een stroomstoring leidt tot het aanspreken van je noodstroom is er (mogelijk) geen line of defense meer over als de noodstroom uitvalt of wordt gesaboteerd.

Dit zijn de vier categorieën:

  • Voorkomen & vermijden; daarmee wil je dat het risico zich niet voor kan doen. Iets wat in de arbostrategie bronbestrijding wordt genoemd. Als je wilt voorkomen dat mensen vallen, laat ze dan niet op hoogte werken. Denk in het kader van dit blog bijvoorbeeld aan opslag van data in eigen beheer in plaats van in the cloud, ga niet in een dal of uiterwaard bouwen, gebruik geen gevaarlijke stoffen, compartimenteer ruimtes en luchtbehandeling, enzovoorts.
  • Passieve respons richt zich op het aanbrengen van redundantie (in tijd en ruimte) en multifunctionaliteit. Leg systemen dubbel aan, leidt mensen voor meerdere taken op, regel noodstroom en uitwijkposities. Compartimentering is ook een passieve respons, net als afstand en afscherming. Passieve respons reageert automatisch en wordt direct toegepast als het nodig is.
  • Actieve respons is je calamiteitenorganisatie. Monteurs, BHV’ers, crisisteams, alles wat je nodig hebt om een bijdrage te leveren aan de incidentbeheersing. Dat is natuurlijk sterk afhankelijk van je totale risicoprofiel. Maar ook van de tijd dat je operationeel wilt blijven. In het stuk over fragiliteit heb ik dat adaptatie genoemd: de manier waarop de organisatie zich aan kan passen aan veranderende omstandigheden. Belangrijke vragen bij actieve respons liggen rondom paraatheid en opschaling. Wat is de startresponse in opkomsttijd en sterkte? En wat kan ik er nog bij organiseren met een opschaling? De ultieme actieve respons is trouwens sluiting: hoe ga je dicht, wie besluit dat en wat ga je daarna doen?
  • Dat is tevens het bruggetje naar recovery. Recovery wordt nog te weinig gezien als een waardevolle weerbaarheidsstrategie. Hoe overkom je de schade, hoe snel kun je weer produceren en wat heb ik daar voor nodig; dat is de centrale vraag. Wil je zelf kritieke assets op voorraad, of heb je een waakvlamovereenkomst? Kun je zelf repareren, of doet je maincontractor dat?

Als het gaat om weerbaarheid zeg ik vaak dat je eigenlijk een vergiet probeert te beveiligen. Je doet je best om alle gaatjes af te dichten, maar om te voorkomen dat de boel overloopt kun je niet alles afsluiten. Die gaten moeten dus optimaal gemonitord worden.

Dat is de vijfde line of defense: (shared) situational awareness. Op elk moment moet er een adequaat beeld van de situatie bestaan, zodat je weet dat je in control bent.

Meldkamer politie Amsterdam in 1951. Toen was shared situational awareness nog heel wat anders

Daarvoor heb je zaken nodig als een centrale meldkamer, camerabewaking, misschien aangevuld met infrarood of geluiddetectors. Je moet surveilleren, misschien zelfs wel playbook scenario’s aflopen. En je moet testen, redteamen en je systeem op de proef stellen. Werkt het zoals je wilt?

Triggerscenario’s

Het beschrijven van triggerscenario’s is de laatste stap in de analyse met de dreigingsdriehoek. Welke scenario’s leggen de boel plat? Wat zijn daarin de (single) points of failure? Hoe kunnen we dat voorkomen? Hoe robuust is het weerbaarheidsprofiel; kan het tegen een stootje of gaat het gelijk down?

Voor de meeste organisaties zal de uitval van stroom een triggerscenario zijn. Zeker als de storing meerdere uren tot misschien nog wel dagen aanhoudt. Om maar niet te spreken over weken.

En vergeet daarbij de Regel van Hermans niet: ook wat niet fout kan gaan, zal uiteindelijk fout gaan.

Verdeel het scenario zo nodig onder in subscenario’s, gebaseerd op de meest waarschijnlijke storingsoorzaken. Bijvoorbeeld een externe storing bij je leverancier, sabotage aan kabels, uitval eigen transformators, noem maar op. Beschrijf je beheersmaatregelen, test ze en bepaal of het totaal van dreigingen, kwetsbaarheden en weerbaarheid genoeg is op je triggerscenario.

Of dat er nog iets bij moet.

Meestal wel.

Succes!