Risicobeheersing

Bedrijfsstrategie en beheersing

Onze bedrijfsstrategie bepaalt waar we als organisatie heen gaan. NS focust zich tot 2035 op drie strategische speerpunten:

  1. het uitvoeren van een betrouwbare dienstverlening

  2. het bieden van een betaalbaar product

  3. en maatschappelijke betrokkenheid.

De risicostrategie bepaalt vervolgens hoeveel risico en onzekerheid we daarbij accepteren (onze risicobereidheid). Het geeft een kader bij strategische keuzes en bij investeringsbeslissingen. Ook stelt het ons in staat om bewust om te gaan met risico’s en onzekerheden die een negatieve invloed kunnen hebben op het realiseren van onze strategische doelstellingen.

Risicobereidheid

NS werkt met een risicobereidheid per risicothema. Deze risicobereidheid wordt jaarlijks door de raad van bestuur bekeken en waar nodig aangepast. Voor 2025 blijft de risicobereidheid grotendeels gelijk aan 2024, behalve voor reputatie, waar deze is verhoogd naar neutraal. De definities die wij hierbij hanteren:

  • we accepteren minimale risico’s bij een besluit, investering of uitvoering van de bedrijfsvoering.

  • we accepteren beperkte risico’s wanneer het potentiële voordeel van een besluit, investering of bedrijfsvoering in redelijke verhouding staat tot de mogelijke nadelige gevolgen.

  • we accepteren verhoogde risico’s bij een besluit, investering of bedrijfsvoering wanneer de potentiële bijdrage aan het realiseren van strategische doelstellingen, groei of waardecreatie ook groot is.

Thema

Risicobereidheid

Veiligheid

We accepteren minimale risico's

Compliance

We accepteren minimale risico's

Operatie

We accepteren minimale risico's

Financiën

We accepteren minimale risico's

Reputatie

We accepteren beperkte risico's

MVO

We accepteren verhoogde risico's

Risicomanagementsysteem

De belangrijkste doelstellingen van risicomanagement zijn het waarborgen van bedrijfscontinuïteit, ondersteunen van de besluitvorming, voldoen aan wettelijke eisen, waken voor financiële stabiliteit en beschermen van de reputatie.

Hiervoor heeft NS een risicomanagementsysteem ingericht. Dit is gebaseerd op het COSO/ERM raamwerk dat organisaties helpt bij het beheersen van risico's om hun doelstellingen te bereiken. Het biedt een gestructureerde aanpak voor het identificeren, beoordelen en beheersen van risico's, waarbij strategie, prestaties en risico’s op een integrale manier worden gemanaged. Het richt zich op het creëren van waarde en helpt bij het bewaken van efficiëntie, naleving van wet- en regelgeving, betrouwbare rapportages en het realiseren van strategische doelstellingen. 

NS gebruikt het 'three lines model':

  • De eerste lijn (lijnmanagement) is direct verantwoordelijk voor het beheersen van risico’s binnen hun processen.

  • De tweede lijn, zoals Risk & Compliance, ondersteunt en bewaakt deze beheersing.

  • De derde lijn, NS Audit, controleert onafhankelijk of het risicobeheersingssysteem goed functioneert.

Risico’s en onzekerheden worden zowel kwalitatief als kwantitatief in kaart gebracht. Bij het businessplan, de strategische asset plannen en materieelprojecten zijn kwantitatieve modellen opgezet en gebruikt om de effecten van risico’s en onzekerheden in kaart te brengen. Zo krijgt NS een beter beeld van de betrouwbaarheid van plannen, beleidskeuzes en risicoreserveringen bij projecten. Dit ondersteunt de besluitvorming.

Daarnaast heeft NS een procedure die tot doel heeft om te leren van incidenten om daarmee de risicobeheersing continu te verbeteren.

De raad van bestuur rapporteert en legt verantwoording af over het systeem van risicobeheersing en interne controle aan de raad van commissarissen. Dit gebeurt na bespreking daarvan in de Risk- en Auditcommissie.

Vastlegging en rapportage

Significante risico’s zijn vastgelegd in risicoregisters en zijn ingeschat met behulp van een uniforme NS risicomatrix. De risicobereidheid is doorvertaald naar concrete waarden in deze risicomatrix. Per kwartaal rapporteert NS de voornaamste risico’s voor het Reizigersbedrijf, NS Stations en NS Groep in de kwartaalrapportages. Deze worden besproken in de Raad van Bestuur als onderdeel van de planning- en control cyclus.

Daarnaast worden veiligheidsrisico’s, maatregelen en uit te voeren acties vastgelegd in de veiligheidsrapportage en op kwartaalbasis besproken in het veiligheidsoverleg.

Ook wordt op kwartaalbasis een Risk rapportage opgesteld welke wordt besproken in de RvB en RvC. Hierin staan de belangrijkste risico’s en de ontwikkelingen, maar ook de risk appetite thema’s en toleranties. Daar waar de waarden buiten de toleranties vallen, wordt nagegaan welke extra maatregelen genomen kunnen worden (tegen acceptabele kosten). 

Risicorapportage

NS heeft te maken met strategische-, externe- en interne risico’s. De belangrijkste strategische/externe risico’s:

  • Voor NS is het verliezen van onderdelen van het HRN als gevolg van de uitspraak van het CbB over noordelijke lijnen (stoptreinen) en verwijzingsuitspraak over gunning HRN een strategisch risico. Wij blijven proactief meedenken wat het beste is voor de bereikbaarheid van Nederland en waarom NS daar een belangrijke rol in heeft.

  • Economische vertraging of recessie waardoor het aantal reizigerskilometers fors daalt. In de concessie is een risicoverdelingsafspraak opgenomen om significante dalingen in reizigerskilometers op te vangen.

Naast deze strategische / externe risico’s kent NS risico’s die direct de bedrijfsvoering raken.

De genoemde risico’s zijn de risico’s die aan het einde van het verslagjaar van toepassing zijn. De geopolitieke ontwikkelingen wereldwijd en de onzekerheid die daarmee gepaard gaat, kunnen impact hebben op het risicoprofiel van NS in de komende jaren.

De individuele toprisico’s zijn gescoord (kans x impact) aan de hand van de NS Risicomatrix en worden hierna verder toegelicht. Hoe verder naar rechts een risico staat (van A tot F), des te groter de kans van optreden. Hoe verder naar boven (van 1 tot 7), des te groter de impact op de doelstellingen van NS als het risico optreedt. De kleuren geven aan hoe het risico zich verhoudt tot de risicobereidheid en op welk niveau binnen NS het eventuele restrisico moet worden geaccepteerd indien niet meer mitigerende maatregelen (kunnen) worden genomen.

Legenda Toprisico’s en scores:

  • 1. Infrastructuur E7

  • 2. Kosten E6

  • 3. Materieel C6

  • 4. Cyber C6

  • 5. Omzet E5

  • 6. Psychisch verzuim C5

  • 7. IT D4

  • 8. Sociale veiligheid D4

  • 9. Personeel C4

Belangrijkste ontwikkelingen in risicoprofiel ten opzichte van 2024

Het risicoprofiel binnen de thema’s operatie, financiën en veiligheid blijft hoog. De in 2025 toegepaste maatregelen binnen de thema’s reputatie en MVO zorgen voor een stabiel risicoprofiel. Het komende jaar neemt het risicoprofiel voor het thema compliance toe door nieuwe wet- en regelgeving zoals Corporate Sustainability Reporting Directive (CSRD), Cyber Beveiligingswet (Cbw) en Wet Weerbaarheid Kritieke Entiteiten (Wwke).

  • Operatie: het grootste risico voor het uitvoeren van de treindienst blijft het infra risico. Dit leidt tot hinder voor de treinreiziger en uitstel van productstappen. Naar verwachting zal dit de komende jaren toenemen. Hier ligt een grote afhankelijkheid van ProRail. Het risico op personeelstekort is kleiner geworden, maar het risico op een tekort aan materieel blijft groot. Daarnaast signaleren we een toenemende kwetsbaarheid van IT wat kan leiden tot ernstige verstoringen in kernprocessen.

  • Financiën: onvoldoende nieuwe reizigers kunnen aantrekken als gevolg van structureel thuiswerken, duurdere treinkaartjes en een dalende koopkracht blijft een significant risico. Genomen besparingsmaatregelen verlagen de kosten, maar aan de andere kant stegen de kosten voor salarissen, materieel, materialen, onderdelen en financiering in 2025. De inflatie is weliswaar gedaald, maar nog boven de gewenste 2% waardoor dit in de komende jaren mogelijk nog impact kan hebben op het kostenniveau.

  • Veiligheid: de toenemende verruwing en polarisatie van de samenleving raakt de veiligheid van reizigers en medewerkers en verplaatst zich steeds vaker naar de treinstations en zorgt daar voor onrust. Het aantal agressie incidenten stijgt licht, maar het aantal letselgevallen daalt. Cyberaanvallen stonden al hoog op de agenda, maar door de geopolitieke ontwikkelingen neemt dit risico verder toe.

Toelichting toprisico's

Concernrisico

Ontwikkeling 2025

Beheersmaatregelen

1. Infrastructuur 
  
Het risico op onvoldoende kwaliteit of beschikbaarheid van infra.

2025: E7 (donkerrood) 
2024: E7 (donkerrood)

De kwaliteit en beschikbaarheid van de infrastructuur stonden in 2025 onder grote druk. Problemen zoals tijdelijke snelheidsbeperkingen (TSB), baanstabiliteit en veilige berijdbaarheid namen toe. Ook het aantal en de duur van buitendienststellingen nam toe, wat leidde tot volle programmeringen met weinig ruimte voor tegenvallers, terwijl projecten vaak vertraagden door stapelende ambities, aannemerskrapte, budgettekorten en de implementatie van ERTMS. Zonder fundamentele herziening van prioriteiten blijft de druk op de infrastructuur groeien.

  • Gesprekken met ProRail en IenW: onderhoudsplannen en ambities afstemmen om de druk op de infrastructuur te verminderen.

  • Aandacht voor specifieke problemen zoals de baanstabiliteit, TSB's, en aantoonbare veilige berijdbaarheid, met focus op herstel en onderhoud.

  • Samenwerken met ProRail aan oplossingen voor capaciteits- en tijdsdruk: aandacht voor de krapte aan aannemers, buitendienststellingen, en issues met ERTMS en Prestatie Gerichte Onderhoudscontracten.

2. Kosten 
  
Het risico op kostenstijgingen of het niet halen van besparingen. 
  
2025: E6 (rood) 
2024: D6 (rood)

In 2025 stond het financiële resultaat van NS onder druk door stijgende kosten voor salarissen, materieel, materialen, onderdelen en financiering. Sinds 2020 zijn besparingsinitiatieven gestart, aangevuld met extra besparingsdoelstellingen als onderdeel van de nieuwe HRN-concessie. In het businessplan en door middel van portfolio resets zijn keuzes gemaakt binnen de resultaatgebieden. Ondanks deze keuzes bestaat er onzekerheid of de beoogde besparingen tijdig worden gerealiseerd. Vooral IT-kosten en uitgavenbeheer vragen hierbij extra aandacht.

  • Besparingsinitiatieven sinds 2020.

  • Extra besparingsdoelstellingen, die deels voortkomen uit de afspraken voor de nieuwe HRN concessie en ter beheersing van de IT-kosten en andere uitgaven.

  • Keuzes maken welke projecten worden uitgevoerd.

  • De energiekosten worden 3 jaar vooruit (gedeeltelijk) afgedekt.

3. Materieel 
  
Het risico op tekorten in materieel: bestaand materieel, instroom nieuw materieel en tekort onderhoudscapaciteit.

2025: C6 (rood) 
2024: C6 (rood)

De materieelbeschikbaarheid was in 2025 grotendeels op peil, met voldoende treinen om de dienstregeling te rijden, ook met een verlaagd aantal treinstellen. Wel bleef de robuustheid kwetsbaar, vooral op piekmomenten in het najaar en voor de langere termijn. De leveringsplanning van de ICNG werd aangepast in samenwerking met Alstom, en aanvullende maatregelen zijn genomen. Toch bleven risico’s bestaan, zowel bij de levering als bij het onderhoud van ICNG-treinen en later instromend nieuw materieel. Onderhoud en herstelcapaciteit van nieuwe treinen wordt uitgebreid met extra hoogwerkvoorzieningen. Er bestaat echter een kans dat die extra capaciteit niet tijdig gereed is.

  • Maatregelen voor risicovermindering en robuustheid van (onderhoud en herstel van) materieel.

  • TRAXX inzet wordt 2025 beëindigd. Eind 2025 volledige inzet ICNG op HSL.

  • Intensieve aansturing en monitoring Alstom; verbeterde productie en retrofitprocessen.

  • ICNG-België: Succesvolle inzet in Eurocity Direct (ex-IC Brussel).

  • Onderhoud en spoorcapaciteit: uitbreiding onderhouds- en herstelcapaciteit ICNG/DDNG loopt volgens planning.

4. Cyber 
  
Het risico op uitval processen door een cybersecurity incident.

2025: C6 (rood) 
2024: C6 (rood)

NS heeft in 2025 wederom aanzienlijke stappen gemaakt om de robuustheid van haar digitale weerbaarheid te vergroten en de risico’s te beheersen. Tegelijk is het dreigingsniveau toegenomen door geopolitieke spanningen en zagen we het aantal cyberaanvallen toenemen. Daarbij komt dat het aanvalsoppervlak van NS vergroot wordt door toenemende digitalisering. Ook zien we toenemende compliance druk door cyberwetgeving uit Europa en vanuit onze zakelijke klanten. Cybersecurity verdient en krijgt daardoor onverminderd aandacht.

  • Systematische implementatie wet- en regelgeving van o.a. NIS2, CER en AI ACT.

  • Continueren van compliance vereisten zoals ISO27001 en SOC2 type2.

  • Verder vormgeven van de cybersecurity organisatie conform het drie lijnen model.

  • Implementatie van een Cyber Security Framework met betere interne controle.

  • Plannen en prioriteren van verbeteringen in de beveiliging op basis van risico’s.

  • Het meenemen van strikte cybersecurity eisen in de (her)aanbesteding van IT en assurance hierover.

  • Bewaking van cyberrisico’s in de supply chain (onze leveranciers).

  • Uitbreiding en verbetering van centrale cybersecurity faciliteiten in het landelijke NS-netwerk.

  • Verhogen van bewustzijn bij medewerkers en leveranciers ten aanzien van cyberveilig werken.

  • Verhoging van de paraatheid en anticiperen op triggering events op basis van actuele Cyber Threat Intel.

5. Omzet 
  
Het risico dat we onvoldoende klanten weten aan te trekken.

2025: E5 (rood) 
2024: E6 (rood)

Het risico dat de reizigersgroei vertraagt, doordat mensen structureel thuiswerken, treinkaartjes duurder worden en koopkracht daalt. Om financieel gezond te blijven is er een balans nodig tussen tariefstijgingen en kostenbeheersing. In 2025 ontving NS nog een bijdrage van de Overheid waardoor de prijsstijging kon worden gedempt tot 6,18%. Voor de komende jaren is deze bijdrage vervallen. Daarnaast waren er in 2025 lagere opbrengsten uit het studentenreisproduct door de herijking hiervan. Deze lagere opbrengst werd in 2025 niet gecompenseerd, in 2024 was dit nog wel het geval.

  • Zakelijk platform NS GO is ISO 9001 en ISO 27001 gecertificeerd.

  • Introductie van NS PrijsTijd Deals om de treinreis betaalbaar te houden door klanten die minimaal een dag van tevoren een treinkaartje kopen in de daluren, extra korting te geven.

  • Groeistrategie tot 2035 is uitgewerkt.

  • Digitale strategie is herijkt.

6. Psychisch verzuim 
  
Het risico op psychosociale klachten door werkstress. 
  
2025: C5 (geel) 
2024: C5 (geel)

Over de gehele linie nam het verzuim toe, waarin ook het psychisch verzuim steeg van 2,38% in 2024 naar 2,95% in 2025. In de MBO Check van november 2025 gaf 62% van de collega's een 8 of hoger aan het werken bij NS.

  • Uitvoeren van de bedrijfsbrede Risico-Inventarisatie en -Evaluatie Psychosociale Arbeidsbelasting voor trein- en wal personeel, Meldkamer NS medewerkers en V&S medewerkers.

  • Vitaliteitsplannen per bedrijfsonderdeel in uitvoering in samenwerking met medezeggenschap en arbodienst.

  • Vitaliteit ingevoerd als onderdeel van Management Leertraject.

  • Meer aandacht voor kennis over psychosociale klachten bij leidinggevenden.

  • Preventieve en curatieve hulp bij werkstress beschikbaar voor alle medewerkers NS.

  • Verbeteringen doorgevoerd in opvang- en nazorgproces.

  • Weerbaarheidstrainingen voor medewerkers Veiligheid & Service, hoofdconducteurs, trainmanagers en servicemedewerkers.

7. IT 
  
Het risico op uitval van cruciale IT infrastructuur  
  
2025: D4 (geel)

De operatie is in grote mate afhankelijk van IT systemen, waaronder enkele belangrijke leveranciers van buiten Europa. Uitval daarvan door fouten, falende processen, technische problemen of cyberaanvallen op NS of bij leveranciers kan een grote impact hebben.
Een groot deel van de IT is uitbesteed. In de periode 2025 tot 2027 worden deze IT diensten opnieuw aanbesteed. Het opknippen in meerdere kavels, nieuwe contractpartijen en de coördinatie daarvan zorgen voor een verhoogd risico op verstoringen.

  • De missie-kritische systemen worden door een Nederlands bedrijf geleverd.

  • De IT regie-organisatie van NS wordt versterkt met extra capaciteit.

  • Inrichten van een nieuw OSI model, dat communicatie tussen de verschillende IT-systemen regelt.

  • Tevens vinden diverse vernieuwende initiatieven plaats in de infrastructuur waardoor er een robuustere technische omgeving wordt gerealiseerd.

8. Sociale veiligheid 
  
Het risico van toenemende agressie in de samenleving. 
  
2025: D4 (geel) 
2024: D4 (geel)

De reizigersbeleving rond sociale veiligheid steeg in 2025, maar de veiligheidsbeleving van medewerkers daalde. Het aantal agressie-incidenten is 3,4% gestegen ten opzichte van 2024. Het aantal letselgevallen dat hieruit voortkwam, is met 3% licht gedaald. Binnen de letselgevallen zagen we een duidelijke verschuiving van treinpersoneel naar de medewerkers Veiligheid & Service.  Professionalisering van V&S en trainingen in de-escalatie voor rijdend en Retail personeel lijken effect te hebben. Het aanspreken op het gedrag en controle op het vervoersbewijs blijven de grootste aanleiding voor geweld. Het is een breder maatschappelijk probleem, waarbij maatregelen en ondersteuning vanuit de overheid cruciaal zijn.

  • Intensieve aanpak op focusgebieden.

  • Verhoogde controle en handhaving.

  • Inzet bij grootschalige evenementen; controle op vervoerbewijzen voor reizigers de trein instappen.

  • Aangescherpte afspraken met beveiligingsleverancier; experiment met preventiemedewerkers op Utrecht en Rotterdam; meer cameratoezicht.

  • Opleiding V&S aangescherpt met focus op vakmanschap en operationele scenario’s.

  • Pilot met wapenstok vanaf 2026.

9. Personeel 
  
Het risico van personeelstekorten op cruciale plekken. 
  
2025: C4 (geel) 
2024: D6 (rood)

NS ziet nu al een positief effect van de maatregelen van de afgelopen jaren op het personeelstekort in 2025. De wervingsinitiatieven van afgelopen jaren hebben ervoor gezorgd dat we voldoende rijdend personeel hebben om de komende jaren de dienstregeling volgens plan uit te voeren. De personeelsuitdagingen blijven echter aanhouden, vooral door structurele arbeidsmarktkrapte, pensionering en verminderde inzetbaarheid van medewerkers. Voor monteurs wordt een aanhoudend tekort verwacht tot in elk geval 2027. Bij Veiligheid & Service moeten we veel inspanning leveren om tekorten te voorkomen. Er zijn extra maatregelen getroffen om de instroom van nieuw personeel te vergroten en om de uitstroom te verminderen. Momenteel worden structurele en regio-specifieke oplossingen onderzocht om personeelstekort verder tegen te gaan.

  • Extra inspanning op werving en behoud op relevante functies en het aanbieden van een inhouse opleidingstraject.

  • Specifieke maatregelen op het gebied van onderhoud & service via het ’Masterplan Monteurs’.

  • De vraag naar arbeid verlagen, bijvoorbeeld door materieelinspecties door camera’s.

  • Planaanpassingen om de maakbaarheid van de dienstregeling te verhogen.

We begonnen de paragraaf met de relatie tussen de bedrijfsstrategie en risicomanagement. Hieronder worden de belangrijkste risico’s getoond in relatie tot de belangrijkste strategische speerpunten.

Verklaring Omtrent Risicobeheersing

Het bestuur is van mening dat het verslag voldoende inzicht geeft in eventuele tekortkomingen in de werking van de interne risicobeheersings- en controlesystemen en dat voldoende inzicht is gegeven in de operationele, compliance en verslaggevingsrisico’s waar NS mee te maken heeft. Hieronder specificeren wij dit nog.

Financiële verslaggeving

Het bestuur is van oordeel dat het interne beheersingssysteem ten aanzien van de financiële verslaggeving gedurende het verslagjaar een redelijke mate van zekerheid geeft dat de financiële verslaggeving geen onjuistheden van materieel belang bevat. De raad van bestuur verklaart dat, voor zover bekend:

  • de jaarrekening een getrouw beeld geeft van de activa, de passiva, de financiële positie en de winst van NS, en de gezamenlijk in de consolidatie opgenomen ondernemingen;

  • het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar;

  • het naar de huidige stand van zaken gerechtvaardigd is dat de financiële verslaggeving is opgesteld op going concern basis;

  • in het jaarverslag de materiële risico’s en onzekerheden zijn vermeld die relevant zijn ter zake van de verwachting van de continuïteit van de vennootschap voor een periode van twaalf maanden na opstelling van het verslag.

Duurzaamheidsverslaggeving

Het bestuur is van oordeel dat het interne beheersingssysteem rondom de totstandkoming van duurzaamheidsinformatie een beperkte mate van zekerheid geeft dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat.

Operationele en complianceprocessen

De afdelingen binnen NS werken volgens het riskmanagementbeleid waardoor de belangrijkste binnen de organisatie bekende risico’s van processen, IT systemen en programma’s tevens bij het management bekend zijn. Hierover wordt op kwartaalbasis gerapporteerd en periodiek worden deze risico’s besproken met de riskmanagers.

NS kent een Veiligheid Beheer Systeem en een Kwaliteitsmanagementsysteem waar diverse certificeringen onder vallen (VBS, ECM, ISO 55001, ISO 9001). Om voor de belangrijkste operationele en compliance processen ook aantoonbaar in control te zijn, zet NS een internal control framework op. Dit interne beheersingsraamwerk bevindt zich in verschillende stadia van uitwerking. Voor een aantal processen is het framework reeds ingericht en ligt de nadruk op testen, monitoring en de beoordeling van de effectiviteit van controls. Voor andere processen en compliance frameworks worden de deelraamwerken de komende twee tot drie jaar verder ontwikkeld en geïmplementeerd. Het bestuur volgt de voortgang en beoordeelt minimaal jaarlijks de effectiviteit van de getroffen maatregelen. Het bestuur is er niet mee bekend dat de interne risicobeheersings- en controlesystemen in 2025 niet voldoende zekerheid gaven dat de hierboven genoemde operationele- en compliancerisico's effectief werden beheerst, waarbij ‘voldoende zekerheid’ betekent: zekerheid passend bij onze risicobereidheid, de complexiteit van onze onderneming, inherente beperkingen aan deze systemen en andere informatie over deze systemen in dit verslag.

Het bestuur heeft de opzet en werking van de interne risicobeheersings- en controlesystemen besproken met de Raad van Commissarissen, inclusief de interne auditfunctie.

Opgemerkt moet worden dat het bovenstaande niet betekent dat deze systemen en procedures absolute zekerheid bieden over de realisatie van operationele en strategische doelstellingen, of dat deze alle risico’s, onjuistheden, fouten, fraude en niet-naleving van wetgeving, regels en voorschriften kan voorkomen. Ze kunnen evenmin zekerheid bieden dat we onze doelstellingen zullen bereiken.

Gelet op het bovenstaande is de raad van bestuur van mening dat deze verklaring voldoet aan de vereisten van best practice bepaling 1.2 en 1.4 van de Nederlandse Corporate Governance Code.

Print pagina