Risicomanagement-frameworks: de complete gids voor 2026 (7 vergeleken)

Published 2 jun 2026

By Orbiq Team

Risicomanagement-frameworks: de complete gids voor 2026 (7 vergeleken)

Q: Welke soorten risicomanagement-frameworks zijn er?

Er zijn drie families. (1) Organisatiebrede, principegebaseerde frameworks (ISO 31000, COSO ERM) sturen alle risicotypes en staan bovenaan de hiërarchie. (2) IT- en informatiebeveiligingsframeworks (NIST RMF, ISO/IEC 27005, COBIT 2019) beheersen technologie- en cyberrisico in detail. (3) Kwantitatieve frameworks (FAIR) drukken risico uit in financiële termen voor bestuursbesluiten. De meeste volwassen organisaties stapelen ze: een overkoepelend framework plus één of meer domeinspecifieke frameworks.

Q: Wat is het verschil tussen ISO 31000 en NIST RMF?

ISO 31000 is een brede, principegebaseerde norm die geldt voor elk type risico — strategisch, financieel, operationeel of compliance — en aangeeft hoe je over risico moet denken zonder specifieke maatregelen voor te schrijven. Het NIST Risk Management Framework (NIST SP 800-37) is een voorschrijvend zevenstappenproces specifiek voor informatiesystemen en cyberrisico, gekoppeld aan de maatregelencatalogus NIST SP 800-53. Organisaties gebruiken ISO 31000 vaak als organisatiebrede paraplu en NIST RMF voor het technische proces op systeemniveau.

Q: Hoe sluiten NIS2 en DORA aan op ISO 27005?

Artikel 21(2)(a) van NIS2 vereist 'beleid inzake risicoanalyse en beveiliging van informatiesystemen', en Uitvoeringsverordening (EU) 2024/2690 werkt de technische risicomanagementeisen voor veel entiteiten uit. ISO/IEC 27005 levert de methodologie voor de beoordeling van informatiebeveiligingsrisico's die aan deze verplichtingen voldoet en een ISO 27001-ISMS voedt. Artikel 6 van DORA vereist van financiële entiteiten een 'solide, alomvattend en goed gedocumenteerd ICT-risicobeheerkader' dat minstens jaarlijks wordt herzien; ISO 27005 levert het ICT-risicobeoordelingsproces, doorgaans gecombineerd met COBIT 2019 voor governance.

Q: Welk risicomanagement-framework is het beste voor ISO 27001?

ISO/IEC 27005 is de natuurlijke keuze. ISO 27001 clausule 6.1 vereist de beoordeling en behandeling van informatiebeveiligingsrisico's, maar schrijft bewust geen methode voor — ISO 27005 vult dit gat met gedetailleerde richtlijnen voor context, identificatie, analyse, evaluatie en behandeling. Organisaties met bedrijfsrisico buiten informatiebeveiliging voegen vaak ISO 31000 toe als overkoepelend framework.

Q: Kun je meerdere risicomanagement-frameworks tegelijk gebruiken?

Ja, en de meeste gereguleerde organisaties doen dat. Een veelvoorkomend Europees patroon is ISO 31000 als paraplu, COBIT 2019 voor IT-governance (vooral onder DORA), ISO 27005 of NIST RMF voor het informatiebeveiligingsproces, en FAIR om de paar meest kritieke risico's financieel te kwantificeren. Cruciaal zijn heldere governance en één risicoregister, zodat de frameworks elkaar aanvullen in plaats van dupliceren.

Q: Hoe verschilt een risicomanagement-framework van een maatregelenframework?

Een risicomanagement-framework geeft aan hoe je risico's identificeert, beoordeelt en behandelt — het is de proces- en governancelaag. Een maatregelenframework (zoals ISO 27001 Bijlage A of NIST SP 800-53) is de catalogus van concrete maatregelen die je selecteert om die risico's te behandelen. In de praktijk werken beide samen: het framework levert het risicoregister en behandelplan, en de maatregelen vormen het 'wat je implementeert'.

Q: Hebben kleine bedrijven een formeel risicomanagement-framework nodig?

Kleinere bedrijven hoeven niet elk framework over te nemen, maar hebben wel een gedocumenteerd, herhaalbaar risicoproces nodig — vooral als ze als 'belangrijke entiteit' onder NIS2 vallen, grootzakelijke klanten bedienen die ISO 27001 eisen, of ICT-leverancier zijn van een door DORA gereguleerde financiële entiteit. ISO/IEC 27005 of een lichte toepassing van ISO 31000 is meestal het meest proportionele startpunt, dat alleen naar COBIT 2019 of FAIR uitbreidt naarmate de governance- en rapportage-eisen groeien.

Vergelijk de 7 belangrijkste risicomanagement-frameworks — ISO 31000, NIST RMF, COSO ERM, COBIT 2019, FAIR, ISO 27005 en ENISA — en kies het juiste voor NIS2, DORA en ISO 27001.

risicomanagement

frameworks

iso-31000

nist-rmf

coso-erm

cobit

iso-27005

nis2

dora

compliance

Risicomanagement-frameworks: de complete gids voor 2026 (7 vergeleken)

Kort antwoord: Een risicomanagement-framework is een gestructureerd geheel van principes, processen en praktijken om risico's systematisch te identificeren, te beoordelen, te behandelen, te monitoren en te rapporteren. De zeven meest gebruikte frameworks in 2026 zijn ISO 31000, het NIST Risk Management Framework, COSO ERM, COBIT 2019, FAIR, ISO/IEC 27005 en het Interoperabele EU-risicomanagement-framework van ENISA. Elk is gebouwd voor een ander bereik: organisatiebrede governance, IT en cyberbeveiliging, financiële kwantificering of EU-regelgevende interoperabiliteit. Met artikel 21 van de NIS2-richtlijn en artikel 6 van DORA is het hanteren van een gedocumenteerd framework niet langer optioneel voor betrokken Europese organisaties.

Het kiezen van een risicomanagement-framework is een van de meest bepalende compliancebeslissingen die een organisatie neemt. Het gekozen framework bepaalt hoe je elke dreiging beoordeelt, hoe je elke maatregel onderbouwt en — steeds vaker — hoe je toezichthouders, auditors en grootzakelijke kopers bewijst dat je risicobesluiten verdedigbaar zijn.

Deze gids vergelijkt de zeven belangrijkste risicomanagement-frameworks diepgaand, brengt ze in kaart tegen de EU-regelgeving die ze nu verplicht stelt (NIS2, DORA, AVG) en biedt een keuzegids per sector, omvang en regelgevende blootstelling. Hij is geschreven voor het Europese compliancelandschap — EU-27, EER en het Verenigd Koninkrijk na de Brexit — waar dezelfde organisatie vaak meerdere overlappende regimes tegelijk moet vervullen.

Belangrijkste punten

Een framework is het proces, niet de maatregelen. Het geeft aan hoe je risico identificeert, beoordeelt, behandelt en monitort. Maatregelen (encryptie, MFA, back-ups) zijn het wat dat je implementeert om de door het framework blootgelegde risico's te behandelen.
De zeven frameworks vallen in drie families: organisatiebreed/principegebaseerd (ISO 31000, COSO ERM), IT en informatiebeveiliging (NIST RMF, ISO/IEC 27005, COBIT 2019) en kwantitatief (FAIR) — met het ENISA-framework als EU-interoperabiliteitslaag erboven.
NIS2 en DORA eisen nu frameworks, niet alleen maatregelen. Artikel 21(2)(a) van NIS2 vereist beleid voor risicoanalyse; Uitvoeringsverordening (EU) 2024/2690 werkt de technische eisen uit; artikel 6 van DORA vereist een gedocumenteerd ICT-risicobeheerkader dat minstens jaarlijks wordt herzien [⁴][⁶].
ISO/IEC 27005 is de praktische standaardkeuze voor ISO 27001-implementeerders omdat het direct voldoet aan de risicobeoordelingseis van clausule 6.1 en netjes aansluit op NIS2 en DORA.
De meeste gereguleerde organisaties stapelen frameworks: ISO 31000 als paraplu → COBIT 2019 voor IT-governance → ISO 27005 / NIST RMF voor het cyberproces → FAIR voor de paar risico's die een financieel getal nodig hebben.
Een framework op papier is geen bewijs. Je hebt een levend risicoregister, gedocumenteerde behandelbesluiten en toezicht op bestuursniveau nodig — én een manier om dat bewijs beschikbaar te stellen aan de stakeholders die erom vragen.

Wat is een risicomanagement-framework?

Een risicomanagement-framework is een gestructureerd, herhaalbaar systeem om risico te beheersen. Welke norm je ook kiest, elk geloofwaardig framework definieert vijf capaciteiten:

Identificeren — wat er mis kan gaan en waar (assets, dreigingen, kwetsbaarheden, afhankelijkheden)
Beoordelen — hoe waarschijnlijk elk risico is en hoe ernstig de impact zou zijn
Behandelen — het besluit om elk risico te mitigeren, over te dragen, te accepteren of te vermijden
Monitoren — doorlopende opvolging, zodat het risicobeeld actueel blijft als de omgeving verandert
Rapporteren — risico communiceren aan leiding, toezichthouders, klanten en auditors

De reden hiervoor is consistentie. Zonder framework beoordelen twee teams hetzelfde risico verschillend, ontstaan documentatiegaten en kun je niet het samenhangende, verdedigbare bewijs leveren dat NIS2-toezichthouders, DORA-bevoegde autoriteiten of een ISO 27001-certificerende instelling willen zien.

Een framework verschilt ook van een maatregelenframework. ISO 27001 Bijlage A en NIST SP 800-53 zijn catalogi van maatregelen — het 'wat je implementeert'. Een risicomanagement-framework is het 'hoe je beslist'. Beide vullen elkaar aan: het framework levert het risicoregister en behandelplan; de maatregelen behandelen de geïdentificeerde risico's.

De 7 belangrijkste risicomanagement-frameworks

1. ISO 31000 — Organisatiebreed risicomanagement, principegebaseerd

Doel & bereik: Een universele, principegebaseerde norm voor het beheersen van elk type risico — strategisch, financieel, operationeel, compliance of cyber. ISO 31000:2018 levert principes, een kader en een generiek proces; het schrijft bewust geen specifieke maatregelen voor [⁵].

Belangrijkste gebruikers: Besturen en risicofuncties die één organisatiebrede referentie willen. Het is de minst frictievolle weg naar organisatiebreed risicomanagement voor niet-Amerikaanse en middelgrote bedrijven, en in tientallen landen als nationale norm overgenomen [¹].

EU-adoptie: Zeer hoog. ISO 31000 is het standaard-parapluframework voor EU-fabrikanten, scale-ups en ISO-verankerde organisaties in heel Europa, en bepaalt de risicoterminologie van veel nationale omzettingsgidsen.

Sterktes: Flexibel, sectoronafhankelijk, internationaal erkend; werkt als top van een gelaagde frameworkstapel. Beperkingen: Hoog niveau — het zegt hoe je over risico denkt, niet welke maatregelen je inzet. Vereist domeinspecifieke aanvulling voor cyberbeveiliging of IT-governance.

2. NIST Risk Management Framework (RMF)

Doel & bereik: Een voorschrijvend zevenstappenproces om beveiliging en risicomanagement te integreren in informatiesystemen, gedefinieerd in NIST SP 800-37: Prepare, Categorize, Select, Implement, Assess, Authorize, Monitor. Het is gekoppeld aan de maatregelencatalogus NIST SP 800-53 [¹].

Belangrijkste gebruikers: Organisaties die informatiesystemen beheren, vooral die afgestemd zijn op Amerikaanse federale standaarden, NIST CSF, FedRAMP of CMMC — en steeds vaker Europese technologieteams die een gedetailleerd stapsgewijs cyberrisicoproces willen.

EU-adoptie: Gemiddeld. Van Amerikaanse oorsprong en geen certificeringsnorm, maar breed gebruikt door EU-bedrijven met Amerikaanse klanten of federale blootstelling, en vaak gecombineerd met ISO 31000 op organisatieniveau.

Sterktes: Voorschrijvend, uitgebreid gedocumenteerd, gratis en strak geïntegreerd met de NIST-maatregelencatalogus. Beperkingen: VS-gericht en systeemgericht; zwaar voor kleinere organisaties en zonder dekking van organisatiebreed niet-IT-risico.

3. COSO ERM — Organisatiebreed risicomanagement voor governance

Doel & bereik: Het dominante framework voor organisatiebreed risicomanagement in een context van corporate governance en financiële verslaggeving. De update van 2017 ordent risico over vijf componenten: Governance & cultuur; Strategie & doelstelling; Prestatie; Evaluatie & herziening; en Informatie, communicatie & rapportage [¹].

Belangrijkste gebruikers: Besturen, auditcommissies en beursgenoteerde ondernemingen — de standaard voor SEC-registranten, prudentieel onder Amerikaans toezicht staande banken en SOX-gedreven internecontroleprogramma's.

EU-adoptie: Selectief. Gangbaar bij EU-financiële dienstverleners en beursgenoteerde multinationals, vooral met Amerikaanse rapportageverplichtingen; minder gangbaar bij EU-mkb, dat ISO 31000 meestal lichter vindt.

Sterktes: Sterke focus op governance op bestuursniveau; sluit natuurlijk aan op SOX en internecontrolerapportage. Beperkingen: Breed en governancegericht; vereist aanvulling voor cyber en IT, en kan abstract aanvoelen voor operationele teams.

4. COBIT 2019 — IT-governance en -management

Doel & bereik: Het framework van ISACA voor governance en management van bedrijfs-IT. Het bevat 40 governance- en managementdoelstellingen verdeeld over vijf domeinen: EDM (Evaluate, Direct, Monitor), APO (Align, Plan, Organize), BAI (Build, Acquire, Implement), DSS (Deliver, Service, Support) en MEA (Monitor, Evaluate, Assess) [³].

Belangrijkste gebruikers: IT-governance-, interne-audit- en risicoteams — vooral financiële entiteiten onder DORA, waar IT-governance op bestuursniveau verplicht is.

EU-adoptie: Snel groeiend in de financiële sector. ISACA publiceerde in 2025 richtsnoeren voor het gebruik van COBIT bij NIS2 en DORA, en de EDM/APO-domeinen sluiten direct aan op de governanceverplichtingen van DORA [²].

Sterktes: Volledig IT-governancebereik; heldere regelgevende afbeelding (DORA, NIS2, SOX IT-controls); meetbare doelstellingen. Beperkingen: Complex om volledig te implementeren; IT-gericht, dus aan te vullen met ISO 31000 voor niet-IT-risico en met toegang tot ISACA-materiaal.

5. FAIR — Kwantitatieve cyberrisicoanalyse

Doel & bereik: Factor Analysis of Information Risk is een kwantitatief model dat cyberrisico uitdrukt als waarschijnlijk financieel verlies, opgesplitst in frequentie van verliesgebeurtenissen en omvang van verlies. The Open Group formaliseerde FAIR in 2013 als de Open FAIR Body of Knowledge (de O-RT-risicotaxonomie en O-RA-risicoanalysestandaarden) [⁷].

Belangrijkste gebruikers: CISO's en risicoanalisten die beveiligingsinvesteringen aan een bestuur in euro's moeten onderbouwen in plaats van in rood/oranje/groen.

EU-adoptie: Nichegebonden maar stijgend, vooral bij grotere EU-financiële instellingen en verzekeraars die cyberrisico in monetaire waarden willen uitdrukken voor kapitaal- en bestuursbesluiten.

Sterktes: Levert financiële metrics die bestuurders begrijpen; maakt echte kosten-batenanalyse van maatregelen mogelijk. Beperkingen: Datahongerig en complexer dan kwalitatieve methoden; werkt het best als aanvulling op een structureel framework, niet zelfstandig.

6. ISO/IEC 27005 — Informatiebeveiligingsrisicomanagement

Doel & bereik: Gedetailleerde richtlijnen voor informatiebeveiligingsrisicomanagement, ontworpen als aanvulling op ISO/IEC 27001. ISO/IEC 27005:2022 dekt contextbepaling, risico-identificatie (assets, dreigingen, kwetsbaarheden, impact), analyse, evaluatie, behandeling en doorlopende monitoring [⁶].

Belangrijkste gebruikers: Elke organisatie die ISO 27001 implementeert of onderhoudt — het is de methodologie die voldoet aan clausule 6.1.

EU-adoptie: Zeer hoog. Omdat ISO 27001 de feitelijke Europese beveiligingsbasis is en door NIS2 en DORA wordt aangehaald, is ISO 27005 de meest gebruikte methodologie voor informatiebeveiligingsrisico in de EU, de EER en het VK.

Sterktes: Ondersteunt ISO 27001 direct; praktisch, specifiek en goed gevestigd; sluit netjes aan op de risicoverplichtingen van NIS2 en DORA. Beperkingen: Beperkt tot informatiebeveiliging; het nuttigst binnen een ISO 27001-context.

7. Het Interoperabele EU-risicomanagement-framework van ENISA

Doel & bereik: Geen concurrerende norm maar een EU-interoperabiliteitslaag. ENISA, het EU-Agentschap voor cyberbeveiliging, publiceerde het Interoperabele EU-risicomanagement-framework (2022) en de Interoperabele EU-risicomanagement-toolbox (2023) om lidstaten, bedrijven en mkb een gedeelde methodologie en terminologie te geven en bestaande frameworks (ISO 27005, NIST, IT-Grundschutz, EBIOS) op elkaar af te beelden [⁸].

Belangrijkste gebruikers: EU-autoriteiten, instanties van lidstaten en grensoverschrijdende organisaties die een gemeenschappelijke referentie voor NIS2 nodig hebben.

EU-adoptie: Toenemend via NIS2. ENISA leverde de technische implementatierichtsnoeren achter Uitvoeringsverordening (EU) 2024/2690, die de technische en methodologische eisen van de NIS2-maatregelen uit artikel 21(2) vastlegt voor betrokken entiteiten [⁸][⁴].

Sterktes: Vermindert grensoverschrijdende en sectoroverschrijdende coördinatiefrictie; direct afgestemd op de NIS2-uitvoeringsverordening. Beperkingen: Een coördinatielaag in plaats van een zelfstandige methode — je implementeert nog steeds een onderliggend framework zoals ISO 27005.

Risicomanagement-frameworks vergeleken (naast elkaar)

Framework	Doel / Bereik	Aanpak	Belangrijkste gebruikers	EU-adoptie
ISO 31000	Alle risicotypes, organisatiebreed	Principegebaseerd, flexibel	Besturen, risicofuncties	Zeer hoog — standaardparaplu
NIST RMF	Informatiesystemen & cyber	Voorschrijvend, 7 stappen	IT/beveiligingsteams, VS-gericht	Gemiddeld — gangbaar met VS-blootstelling
COSO ERM	Organisatie- & financiële-rapportagerisico	Governancegericht, 5 componenten	Besturen, auditcommissies, beursgenoteerd	Selectief — financiële sector & beursgenoteerd
COBIT 2019	IT-governance & -management	Doelstellinggebaseerd, 40 doelstellingen	IT-governance, DORA-financiële entiteiten	Snel groeiend in de financiële sector
FAIR	Kwantitatief cyberrisico	Datagedreven, financieel	CISO's, risicoanalisten, verzekeraars	Niche maar stijgend
ISO/IEC 27005	Informatiebeveiligingsrisico	Methodologie, vult ISO 27001 aan	ISO 27001-implementeerders	Zeer hoog — EU-beveiligingsbasis
ENISA EU RMF	EU-interoperabiliteit / NIS2	Coördinatie- & afbeeldingslaag	EU-autoriteiten, grensoverschrijdende orgs	Toenemend via NIS2

Bereik en adoptie weerspiegelen de praktijk van 2026 in de EU-27, de EER en het VK. De meeste gereguleerde organisaties hanteren er twee of meer in een gelaagd model in plaats van er één geïsoleerd te kiezen.

Welk framework past bij mijn bedrijf? Een keuzegids

Er is geen enkel 'beste' framework — het juiste antwoord hangt af van je sector, omvang en regelgevende blootstelling. Gebruik de drie invalshoeken hieronder.

Per regelgevende driver

Als je moet voldoen aan…	Hanteer dan…
NIS2 (essentiële / belangrijke entiteit)	ISO/IEC 27005 + ISO 31000, afgestemd op het ENISA-framework en Vo. (EU) 2024/2690
DORA (financiële entiteit / ICT-leverancier)	COBIT 2019 (governance) + ISO/IEC 27005 (ICT-risicoproces)
ISO 27001-certificering	ISO/IEC 27005
SOX / financiële verslaggeving	COSO ERM
NIST CSF / Amerikaans federaal	NIST RMF
Meerdere EU-regimes tegelijk	ISO 31000 (paraplu) + COBIT 2019 + ISO/IEC 27005

Per risicobereik

Alleen informatiebeveiliging → ISO/IEC 27005 of NIST RMF
IT-governance en -management → COBIT 2019 (essentieel voor DORA-gereguleerde entiteiten)
Organisatiebreed, alle risicotypes → ISO 31000 of COSO ERM
Een financieel getal voor het bestuur nodig → voeg FAIR toe bovenop je structurele framework

Per organisatieomvang en volwassenheid

Beginnend / mkb / eerste ISO 27001: ISO/IEC 27005 is het meest proportionele, gestructureerde startpunt. Een 'belangrijke entiteit' onder NIS2 of een ICT-onderaannemer onder DORA in deze categorie heeft toch een gedocumenteerd proces nodig — maar niet alle 40 COBIT-doelstellingen.
Groeiend / multi-regelgeving: ISO 31000 als paraplu, met ISO 27005 voor het cyberproces en COBIT voor IT-governance waar DORA van toepassing is.
Groot / gereguleerd / bestuursrapportage: Een volledig gelaagd model — ISO 31000 + COSO ERM aan de top, COBIT 2019 voor IT-governance, ISO 27005 / NIST RMF voor het cyberproces, en FAIR om de meest impactvolle risico's te kwantificeren.

Voor een dieper beeld van waar één informatiebeveiligingsplatform in deze stapel past, lees onze vergelijking van de beste ISMS-software in 2026 en onze gids over wat ISO 27001 eigenlijk is.

Hoe NIS2 en DORA aansluiten op ISO 27005 (de EU-onderscheider)

Hier wijken Europese organisaties sterk af van een VS-gerichte frameworkkeuze. In de EU hebben twee verordeningen 'een risicomanagement-framework hebben' veranderd van best practice in een wettelijke verplichting — en beide sluiten aan op ISO/IEC 27005.

NIS2 artikel 21 → ISO 27005

Artikel 21(2)(a) van de NIS2-richtlijn (Richtlijn (EU) 2022/2555) vereist van betrokken essentiële en belangrijke entiteiten 'beleid inzake risicoanalyse en beveiliging van informatiesystemen'. Vervolgens worden tien minimale risicomanagementmaatregelen opgesomd die incidentafhandeling, bedrijfscontinuïteit, toeleveringsketenbeveiliging en meer omvatten [⁴].

In oktober 2024 legde Uitvoeringsverordening (EU) 2024/2690 de technische en methodologische eisen van de maatregelen uit artikel 21(2) vast voor relevante entiteitscategorieën (zoals DNS-aanbieders, cloud- en datacenterdiensten en managed-serviceproviders), waarbij ENISA de technische implementatierichtsnoeren leverde [⁴][⁸].

ISO/IEC 27005 levert de risicobeoordelingsmethodologie die de door NIS2 vereiste gedocumenteerde 'risicoanalyse' produceert: context, identificatie van assets/dreigingen/kwetsbaarheden, analyse, evaluatie tegen acceptatiecriteria en behandeling. Omdat ISO 27005 een ISO 27001-ISMS voedt, produceert een organisatie met een op 27001 afgestemd programma al een groot deel van het bewijs dat een NIS2-toezichthouder zal vragen — met dien verstande dat de 24-uurs vroege waarschuwing van NIS2 en de aansprakelijkheid van bestuursorganen buiten elk ISMS vallen en aanvullende implementatie vergen. Zie onze gids over de NIS2-richtlijn voor de volledige uitsplitsing van artikel 21.

DORA artikel 6 → ISO 27005 (+ COBIT)

Artikel 6 van DORA (Verordening (EU) 2022/2554) vereist van elke betrokken financiële entiteit een 'solide, alomvattend en goed gedocumenteerd ICT-risicobeheerkader als onderdeel van [haar] algehele risicobeheersysteem', dat haar in staat stelt ICT-risico 'snel, efficiënt en alomvattend' aan te pakken. Het kader moet een strategie voor digitale operationele weerbaarheid bevatten, minstens eenmaal per jaar worden herzien (en na elk groot ICT-incident) en — voor niet-micro-ondernemingen — onderworpen worden aan onafhankelijke interne audit door auditors met ICT-expertise [⁶].

DORA is voorschrijvender dan NIS2. Financiële entiteiten implementeren het doorgaans in twee lagen: COBIT 2019 voor de governance- en managementlaag (waarvan de EDM- en APO-domeinen direct aansluiten op DORA's eisen rond bestuursverantwoordelijkheid en toezicht), en ISO/IEC 27005 voor het onderliggende ICT-risicobeoordelingsproces. De ISACA-richtsnoeren van 2025 behandelen COBIT als een sterke geschiktheid voor DORA en NIS2, niet als een verplicht model [²]. Onze DORA-compliancegids behandelt het kader van artikelen 5–16 volledig.

Wie het handhaaft: nationale bevoegde autoriteiten

Cruciaal: noch NIS2 noch DORA wordt gecontroleerd door één centrale EU-toezichthouder — beide worden gehandhaafd en gecontroleerd door nationale bevoegde autoriteiten die elke lidstaat aanwijst. In Nederland is voor NIS2 de Rijksinspectie Digitale Infrastructuur (RDI) de toezichthouder onder de Cyberbeveiligingswet, met het NCSC-NL als operationeel CSIRT voor incidentrespons; voor DORA ligt het toezicht bij De Nederlandsche Bank (DNB) voor het prudentiële deel en de AFM voor het gedrags- en markttoezicht [¹⁰][¹¹]. Hetzelfde patroon geldt EU-breed: NIS2-toezicht door het BSI in Duitsland (onder het NIS2-Umsetzungsgesetz / NIS2UmsuCG) en ANSSI in Frankrijk; DORA-toezicht door BaFin in Duitsland en de ACPR (met de AMF) in Frankrijk [¹⁰][¹¹]. Een op ISO 27005 gebaseerd risicoprogramma levert dezelfde gedocumenteerde bewijsbasis op, ongeacht welke van deze autoriteiten aanklopt.

Het compliancedividend

Het praktische gevolg: een organisatie die haar risicoproces bouwt op ISO/IEC 27005 binnen een ISO 27001-ISMS creëert één risicoregister en bewijsbasis die tegelijk kan voldoen aan artikel 21 van NIS2, artikel 6 van DORA en de 'passende technische en organisatorische maatregelen' van artikel 32 AVG — het bewijs wordt eenmaal in kaart gebracht in plaats van driemaal.

Risicomanagement voorbij de EU-27: VK en Noorwegen/EER

Een pan-Europees risicoprogramma moet rekening houden met de EER en het VK na de Brexit, waar de bestemming vergelijkbaar is maar de route verschilt.

Verenigd Koninkrijk (divergentie na de Brexit)

Het VK heeft DORA niet overgenomen. Financiële bedrijven volgen in plaats daarvan het operationele-weerbaarheidsregime van de FCA/PRA op grond van Policy Statement PS21/3, dat van firma's vereiste belangrijke bedrijfsdiensten te identificeren, impacttoleranties te bepalen en uiterlijk 31 maart 2025 volledig compliant te zijn [⁹]. De FCA is sindsdien verder gegaan met PS26/2 over de melding van operationele incidenten en derden, wat de kloof met DORA verkleint — maar niet dicht [⁹].

Voor cyberrisico breder verwijzen Britse toezichthouders naar het Cyber Assessment Framework (CAF) van het NCSC [⁹]. De op uitkomsten gerichte principes van het CAF sluiten nauw aan op ISO 27001 Bijlage A, zodat ISO 31000 + ISO 27005 de meest pragmatische basis blijft over meerdere jurisdicties. Het komende UK Cyber Security and Resilience Bill zal het VK naar verwachting dichter bij NIS2 brengen zonder het volledig over te nemen.

Noorwegen (EER)

Noorwegen past het EU-cyberbeveiligingsrecht toe via de EER-overeenkomst. Opvallend is dat Noorwegen ervan heeft afgezien een eigen ISO 27001-variant te publiceren en in plaats daarvan nationale en sectorale regels op ISO/IEC 27001:2022 stapelt — een op 27001/27005 gebaseerd programma is dus de juiste basis voor Noorse activiteiten. De Nasjonal sikkerhetsmyndighet (NSM) publiceert de invloedrijke ICT Security Principles, en de Sikkerhetsloven (nationale veiligheidswet) regelt entiteiten die verband houden met fundamentele nationale functies. De Noorse omzetting van NIS2 via het kader van de digitale-veiligheidswet vordert, met de NSM als centrale autoriteit. De Noorse toezichthouder gegevensbescherming, Datatilsynet, houdt toezicht op de AVG-/personvern-dimensie van risico.

Conclusie voor Europese spelers: een ISO 31000-paraplu met een ISO/IEC 27005-informatiebeveiligingsrisicoproces biedt de sterkste enkele basis over de EU-27, de EER en het VK — daarop stapel je de jurisdictiespecifieke verplichtingen (NIS2-melding, DORA-audit, FCA-impacttoleranties).

Veelgemaakte fouten bij het invoeren van een framework

Risicobeoordeling als jaarlijkse afvinkoefening behandelen. Een risicoregister dat eenmaal per jaar wordt bijgewerkt en daarna opgeborgen, vermindert geen risico en doorstaat geen NIS2- of DORA-inspectie. Effectieve frameworks zijn continu.
Framework en maatregelen verwarren. Direct naar MFA en encryptie springen betekent dat je niet kunt uitleggen waarom je die maatregelen koos of ze je werkelijke risico's adresseren.
Eén framework voor alles overnemen. Organisatie-, IT-governance-, informatiebeveiligings- en kwantitatief risico hebben verschillende dynamieken. Een gelaagde aanpak wint bijna altijd.
Risico niet aan bewijs koppelen. Je risicoregister, behandelbesluiten en restrisicoacceptaties zijn je compliancebewijs. Als een toezichthouder, auditor of grootzakelijke koper ze niet kan zien, levert het framework geen zekerheidswaarde.

Van frameworkuitkomsten naar beheerd Trust Center-bewijs

Een risicomanagement-framework produceert precies de artefacten die klanten, auditors en toezichthouders willen zien: een actueel risicoregister, gedocumenteerde behandelbesluiten, bewijs van bestuurstoezicht en het bewijs dat het restrisico aansluit op de verklaarde risicobereidheid. Het terugkerende faalpatroon is dat deze uitkomsten in spreadsheets en presentaties leven waar niemand buiten het risicoteam bij kan.

Hier wordt een Trust Center de externe bewijslaag van je framework. In plaats van je ISO 27005-risicobehandelplan voor elke prospect over te tikken in een beveiligingsvragenlijst van 200 vragen, publiceer je beheerd, geversioneerd bewijs één keer — je ISO 27001-certificaat, je NIS2/DORA-risicomanagementhouding, je maatregelenstatus — en laat je kopers en hun AI-agents het zelf raadplegen.

Compliance-automatisering sluit de cirkel door het onderliggende bewijs continu te verzamelen en in die externe laag te voeden, zodat de kloof tussen 'we hebben een framework' en 'we kunnen het bewijzen' verdwijnt.

Veelgestelde vragen

Wat is een risicomanagement-framework?

Een risicomanagement-framework is een gestructureerd geheel van principes, processen en praktijken om risico's herhaalbaar te identificeren, te beoordelen, te behandelen, te monitoren en te rapporteren. Erkende voorbeelden zijn ISO 31000, NIST RMF, COSO ERM, COBIT 2019, FAIR en ISO/IEC 27005. Op grond van artikel 21 van NIS2 en artikel 6 van DORA moeten betrokken Europese organisaties een gedocumenteerd framework hanteren.

Welke soorten risicomanagement-frameworks zijn er?

Er zijn drie families: organisatiebreed/principegebaseerd (ISO 31000, COSO ERM), IT en informatiebeveiliging (NIST RMF, ISO/IEC 27005, COBIT 2019) en kwantitatief (FAIR). De meeste volwassen organisaties stapelen ze, met een overkoepelend framework plus domeinspecifieke.

Wat is het verschil tussen ISO 31000 en NIST RMF?

ISO 31000 is een brede, principegebaseerde norm voor elk type risico die aangeeft hoe je over risico denkt. NIST RMF (SP 800-37) is een voorschrijvend zevenstappenproces voor informatiesystemen en cyberbeveiliging, gekoppeld aan de catalogus SP 800-53. Veel organisaties gebruiken ISO 31000 als paraplu en NIST RMF voor het technische proces.

Hoe sluiten NIS2 en DORA aan op ISO 27005?

Artikel 21(2)(a) van NIS2 vereist beleid voor risicoanalyse, verder uitgewerkt door Uitvoeringsverordening (EU) 2024/2690; ISO/IEC 27005 levert de methodologie. Artikel 6 van DORA vereist een gedocumenteerd ICT-risicobeheerkader dat minstens jaarlijks wordt herzien; ISO 27005 levert het ICT-risicoproces, doorgaans met COBIT 2019 voor governance.

Welk risicomanagement-framework is het beste voor ISO 27001?

ISO/IEC 27005, omdat het direct voldoet aan de risicobeoordelingseis van clausule 6.1 van ISO 27001. Organisaties met bedrijfsrisico buiten informatiebeveiliging voegen vaak ISO 31000 toe als overkoepelend framework.

Kun je meerdere risicomanagement-frameworks tegelijk gebruiken?

Ja — de meeste gereguleerde organisaties stapelen ISO 31000 (paraplu), COBIT 2019 (IT-governance), ISO 27005 of NIST RMF (informatiebeveiligingsproces) en FAIR (kwantificering). Heldere governance en één risicoregister houden ze complementair.

Wat is het ENISA-risicomanagement-framework?

Het Interoperabele EU-risicomanagement-framework van ENISA (2022) en de toolbox (2023) leveren een gedeelde methodologie en terminologie voor EU-cyberrisico door bestaande frameworks op elkaar af te beelden. ENISA leverde ook de technische richtsnoeren achter de NIS2-Uitvoeringsverordening (EU) 2024/2690.

Hoe verschilt een risicomanagement-framework van een maatregelenframework?

Een risicomanagement-framework is de proces- en governancelaag (hoe je beslist). Een maatregelenframework, zoals ISO 27001 Bijlage A of NIST SP 800-53, is de catalogus van maatregelen (wat je implementeert). Beide werken samen.

Hebben kleine bedrijven een formeel risicomanagement-framework nodig?

Ze hebben een gedocumenteerd, herhaalbaar proces nodig — vooral als ze onder NIS2 vallen, klanten bedienen die ISO 27001 eisen, of ICT-leverancier zijn van een door DORA gereguleerde entiteit. ISO/IEC 27005 of een lichte toepassing van ISO 31000 is meestal het meest proportionele startpunt.

Verder lezen

Wat is ISO 27001? De complete gids voor 2026 — de norm waarvan clausule 6.1 door ISO 27005 wordt vervuld
10 beste ISMS-softwaretools in 2026 — de platforms die je risicoframework operationaliseren
Gids over de NIS2-richtlijn — de risicomanagementmaatregelen van artikel 21 in detail
DORA-compliancegids — het ICT-risicobeheerkader van artikelen 5–16
Risicomanagement-frameworks (woordenlijst) — de snelle referentiedefinitie
Compliance-automatisering — frameworkbewijs continu verzamelen

Bronnen & referenties

[¹] Moradi, P. — "COSO-ERM, NIST RMF, ISO 31000, COBIT" (frameworkvergelijking): https://www.linkedin.com/pulse/coso-erm-nist-rmf-iso-31000-cobit-pooyan-moradi

[²] ISACA — "Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements" (2025): https://www.isaca.org/resources/white-papers/2025/resilience-and-security-in-critical-sectors-navigating-nis2-and-dora-requirements

[³] ISACA — COBIT 2019 Framework (Governance and Management Objectives): https://www.isaca.org/resources/cobit

[⁴] EUR-Lex — Richtlijn (EU) 2022/2555 (NIS2), artikel 21; en Uitvoeringsverordening (EU) 2024/2690: https://eur-lex.europa.eu/eli/dir/2022/2555/oj | https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj

[⁵] ISO — ISO 31000:2018 Risicomanagement — Richtlijnen: https://www.iso.org/standard/65694.html

[⁶] EUR-Lex — Verordening (EU) 2022/2554 (DORA), artikel 6 (ICT-risicobeheerkader); ISO/IEC 27005:2022: https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng | https://www.iso.org/standard/80585.html

[⁷] The Open Group — Open FAIR Body of Knowledge (risicotaxonomie O-RT en risicoanalyse O-RA): https://www.opengroup.org/open-fair

[⁸] ENISA — Interoperable EU Risk Management Framework & Toolbox; technische implementatierichtsnoeren over risicomanagementmaatregelen: https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework | https://www.enisa.europa.eu/topics/risk-management

[⁹] FCA — PS21/3 Building Operational Resilience en PS26/2 Operational Incident & Third-Party Reporting; NCSC — Cyber Assessment Framework (CAF) v4.0: https://www.fca.org.uk/publications/policy-statements/ps21-3-operational-resilience | https://www.ncsc.gov.uk/collection/cyber-assessment-framework

[¹⁰] Nationale NIS2-toezichthouders — RDI en NCSC-NL (Nederland) plus NIS2-implementatiepagina's van de Europese Commissie (Duitsland / Frankrijk): https://www.rdi.nl/onderwerpen/cyberveiligheid | https://digital-strategy.ec.europa.eu/en/policies/nis2-directive-france

[¹¹] Nationale DORA-toezichthouders — DNB/AFM (Nederland), BaFin (Duitsland), ACPR/AMF (Frankrijk): https://www.dnb.nl/en/sector-information/open-book-supervision/laws-and-eu-regulations/dora/ | https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng