Wat zijn de meest gebruikte risicomanagement-frameworks?

De meest gebruikte risicomanagement-frameworks zijn: ISO 31000 (algemeen toepasbaar op elk type risico), NIST Risk Management Framework (gericht op cybersecurity, oorsprong bij de Amerikaanse overheid), COSO ERM (enterprise-risicomanagement voor corporate governance), ISO 27005 (informatiebeveiliging-risicomanagement, aanvullend op ISO 27001) en FAIR (kwantitatieve cyberrisico-analyse). De juiste keuze hangt af van uw branche, regelgevingsvereisten en risicoscope.

Wat is het verschil tussen ISO 31000 en NIST RMF?

ISO 31000 is een breed, op principes gebaseerd framework dat toepasbaar is op elk type risico (financieel, operationeel, strategisch, compliance). NIST RMF is specifiek gericht op informatiesystemen en cybersecurityrisico, met voorgeschreven stappen voor federale systemen. ISO 31000 vertelt u hoe u over risico's moet nadenken; NIST RMF vertelt u precies wat u moet doen voor IT-systemen. Veel organisaties gebruiken ISO 31000 als overkoepelend framework en NIST RMF voor cybersecurity-specifieke processen.

Hoe verhouden risicomanagement-frameworks zich tot NIS2 en DORA?

NIS2 Artikel 21 vereist dat organisaties risicoanalyse en informatiebeveiligingsbeleid implementeren — in feite een verplichting voor een risicomanagement-framework. DORA Artikelen 5-16 vereisen dat financiële entiteiten uitgebreide ICT-risicomanagement-frameworks opzetten. Beide regelgevingen verwachten gedocumenteerde risicobeoordelingsprocessen, regelmatige evaluaties en bewijs van risico-gebaseerde besluitvorming. Het gebruik van een erkend framework zoals ISO 27005 of NIST RMF helpt bij het aantonen van naleving.

Heb ik een risicomanagement-framework nodig als ik al ISO 27001 heb?

ISO 27001 bevat risicomanagement als kernvereiste (Clausule 6.1), maar schrijft geen specifieke methodologie voor. Veel organisaties combineren ISO 27001 met ISO 27005 (dat gedetailleerde richtlijnen biedt voor informatiebeveiligingsrisicobeoordeling) of nemen ISO 31000 aan voor bedrijfsbrede risico's buiten informatiebeveiliging. Uw ISMS bevat al een risicomanagementproces — een framework formaliseert en breidt dit uit.

Wat is het FAIR-risicomanagement-framework?

FAIR (Factor Analysis of Information Risk) is een kwantitatief risicomanagement-framework dat cyberrisico in financiële termen uitdrukt. In tegenstelling tot kwalitatieve frameworks die hoog/midden/laag-beoordelingen gebruiken, berekent FAIR de waarschijnlijke frequentie en omvang van verliesgebeurtenissen in geldwaarden. Het helpt organisaties investeringen te prioriteren door de kosten van maatregelen af te wegen tegen de verwachte verliesvermindering.

Hoe kies ik het juiste risicomanagement-framework?

Overweeg vier factoren: (1) Regelgevingsvereisten — NIS2, DORA en SOX verwachten elk specifieke benaderingen; (2) Risicoscope — alleen informatiebeveiliging (ISO 27005, NIST RMF) of bedrijfsbreed (ISO 31000, COSO ERM); (3) Organisatievolwassenheid — op principes gebaseerde frameworks (ISO 31000) bieden flexibiliteit terwijl prescriptieve (NIST RMF) stapsgewijze begeleiding bieden; (4) Branche — financiële dienstverlening gebruikt vaak COSO ERM plus DORA-specifieke vereisten, terwijl technologiebedrijven doorgaans NIST CSF of ISO 27005 hanteren.

Kan ik meerdere risicomanagement-frameworks gebruiken?

Ja, en de meeste organisaties doen dat. Een gangbare aanpak is het gebruik van ISO 31000 als overkoepelend enterprise-risico-framework, ISO 27005 of NIST RMF voor cybersecurityrisico, en FAIR voor kwantitatieve analyse van specifieke risico's met grote impact. De sleutel is het opzetten van duidelijke governance zodat frameworks elkaar aanvullen in plaats van met elkaar in conflict komen.

Risicomanagement-frameworks: Uitgebreide Gids voor 2026

Published 7 mrt 2026

Updated 9 apr 2026

By Emre Salmanoglu

Risicomanagement-frameworks: Uitgebreide Gids voor 2026

Q: Wat is een risicomanagement-framework?

Een risicomanagement-framework is een gestructureerde aanpak voor het identificeren, beoordelen, behandelen en monitoren van risico's binnen een organisatie. Het biedt principes, processen en terminologie die organisaties helpen consistente, geïnformeerde beslissingen over risico's te nemen. Veelvoorkomende voorbeelden zijn ISO 31000, NIST RMF, COSO ERM en ISO 27005.

Vergelijk ISO 31000, NIST RMF, COSO ERM, COBIT 2019, ISO 27005 en FAIR — de belangrijkste risicomanagement-frameworks voor NIS2, DORA en ISO 27001 in 2026.

Risicomanagement

Frameworks

ISO 31000

NIST RMF

COSO ERM

COBIT

ISO 27005

Compliance

Risicomanagement-frameworks: Uitgebreide Gids voor 2026

Een risicomanagement-framework biedt uw organisatie een gestructureerde manier om risico's te identificeren, beoordelen en behandelen — in plaats van ad-hocbeslissingen te nemen wanneer er iets voorvalt. Of u nu ISO 27001 implementeert, zich voorbereidt op NIS2 of een enterprise-risicoprogramma opzet, u heeft een framework nodig dat past bij uw regelgevingscontext en organisatievolwassenheid.

Deze gids behandelt de belangrijkste frameworks, hoe ze zich verhouden en hoe u de juiste kiest.

Wat is een risicomanagement-framework?

Een risicomanagement-framework is een verzameling principes, processen en praktijken voor het systematisch beheren van risico's. Het definieert:

Hoe risico's te identificeren — wat kan er misgaan, en waar
Hoe risico's te beoordelen — waarschijnlijkheid, impact en prioriteit
Hoe risico's te behandelen — accepteren, mitigeren, overdragen of vermijden
Hoe risico's te monitoren — doorlopende tracking en evaluatie
Hoe over risico's te rapporteren — communicatie naar stakeholders en toezichthouders

Zonder een framework wordt risicomanagement inconsistent — verschillende teams beoordelen risico's anders, documentatielacunes ontstaan en regelgevingsbewijs is moeilijk te leveren.

De belangrijkste risicomanagement-frameworks

ISO 31000: Risicomanagement — Principes en Richtlijnen

Het beste voor: Organisaties die een universele risicomanagementbenadering nodig hebben die op alle typen risico's toepasbaar is.

ISO 31000 is de internationale standaard voor risicomanagement, toepasbaar op elke organisatie ongeacht omvang, branche of sector. Het biedt principes en een generiek proces — geen prescriptieve maatregelen.

Kernelementen:

Integratie in governance en besluitvorming
Risicobeoordelingsproces: identificatie → analyse → evaluatie
Risicobehandeling met continue monitoring en evaluatie
Communicatie en consultatie gedurende het hele proces

Sterktes: Flexibel, branche-onafhankelijk, breed erkend. Werkt als overkoepelend framework.

Beperkingen: Op hoog niveau — vertelt u niet welke specifieke maatregelen u moet implementeren. Moet worden aangevuld voor specifieke domeinen.

NIST Risk Management Framework (RMF)

Het beste voor: Organisaties die informatiesystemen beheren, met name die aansluiten bij Amerikaanse cybersecurity-standaarden of NIST CSF.

Het NIST RMF (SP 800-37) biedt een gestructureerd proces in zeven stappen voor het integreren van beveiliging en risicomanagement in informatiesystemen:

Voorbereiden — Context en prioriteiten vaststellen
Categoriseren — Informatiesystemen classificeren op impactniveau
Selecteren — Beveiligingsmaatregelen kiezen uit NIST SP 800-53
Implementeren — Maatregelen uitrollen
Beoordelen — Effectiviteit van maatregelen evalueren
Autoriseren — Risico-gebaseerde beslissing om in gebruik te nemen
Monitoren — Doorlopende beoordeling en respons

Sterktes: Prescriptief, goed gedocumenteerd, integreert met NIST CSF en SP 800-53 maatregelencatalogus. Gratis en openbaar beschikbaar.

Beperkingen: Amerikaans georiënteerd. Kan complex zijn voor kleinere organisaties. Primair gericht op informatiesystemen in plaats van bedrijfsbreed risico.

COSO ERM (Enterprise Risk Management)

Het beste voor: Organisaties gericht op corporate governance, financiële rapportage en risico-overzicht op bestuursniveau.

COSO ERM is het dominante framework voor enterprise-risicomanagement in corporate governance-contexten. Bijgewerkt in 2017, organiseert het risicomanagement rondom vijf componenten:

Governance en Cultuur — Bestuurstoezicht en risicocultuur
Strategie en Doelstelling — Risicobereidheid en afstemming op bedrijfsstrategie
Prestatie — Risico-identificatie, -beoordeling en -respons
Evaluatie en Herziening — Monitoring en verbetering
Informatie, Communicatie en Rapportage — Stakeholdercommunicatie

Sterktes: Sterk governance- en bestuursfocus. Breed toegepast in financiële dienstverlening en beursgenoteerde bedrijven. Sluit aan bij SOX-nalevingsvereisten.

Beperkingen: Breed en governance-gericht — heeft aanvulling nodig voor specifieke domeinen zoals cybersecurity. Kan abstract zijn voor operationele teams.

ISO 27005: Informatiebeveiliging-risicomanagement

Het beste voor: Organisaties die ISO 27001 implementeren of onderhouden.

ISO 27005 biedt gedetailleerde richtlijnen voor informatiebeveiliging-risicomanagement, ontworpen als aanvulling op ISO 27001. Het behandelt:

Contextvaststelling (scope, criteria, organisatie)
Risico-identificatie (assets, dreigingen, kwetsbaarheden, impact)
Risicoanalyse (kwalitatief, kwantitatief of semi-kwantitatief)
Risico-evaluatie (vergelijking met acceptatiecriteria)
Risicobehandeling (selectie van maatregelen en acceptatie van restrisico)
Risicomonitoring en -evaluatie

Sterktes: Ondersteunt rechtstreeks ISO 27001 Clausule 6.1-vereisten. Praktisch en specifiek voor informatiebeveiliging. Gevestigde methodologie.

Beperkingen: Beperkt tot informatiebeveiliging — dekt geen enterprise-risico's. Vereist ISO 27001-context om het meest nuttig te zijn.

FAIR (Factor Analysis of Information Risk)

Het beste voor: Organisaties die cyberrisico in financiële termen moeten kwantificeren voor bestuursrapportage of investeringsbeslissingen.

FAIR is een kwantitatief risicoanalyse-framework dat risico uitdrukt als waarschijnlijk financieel verlies:

Verliesgebeurtenisfrequentie — Hoe vaak een dreigingsgebeurtenis resulteert in verlies
Verliesomvang — Hoeveel elke verliesgebeurtenis kost

FAIR ontleedt deze in meetbare factoren: dreigingsgebeurtenisfrequentie, kwetsbaarheid, primair/secundair verlies en responskosten.

Sterktes: Levert financiële cijfers op die bestuurders en directie begrijpen. Maakt kosten-batenanalyse van beveiligingsinvesteringen mogelijk. Vult kwalitatieve frameworks aan.

Beperkingen: Vereist betrouwbare gegevens voor nauwkeurigheid. Complexer te implementeren dan kwalitatieve benaderingen. Werkt het beste als aanvulling op een structureel framework, niet als zelfstandige oplossing.

COBIT 2019: IT-governance en -management

Het beste voor: organisaties die gestructureerde IT-governance nodig hebben — met name financiële entiteiten onder DORA, of elke organisatie waarbij de afstemming van IT-strategie op bedrijfsdoelstellingen een prioriteit op bestuursniveau is.

COBIT 2019, gepubliceerd door ISACA, is het toonaangevende framework voor IT-governance en -management. Anders dan de bovenstaande frameworks die risicomanagement in brede zin behandelen, richt COBIT zich specifiek op hoe IT waarde creëert en beschermt in een organisatie. Het bevat 40 governance- en managementdoelstellingen verdeeld over vijf domeinen [1]:

EDM — Evalueer, Stuur, Monitor: Het bestuursorgaan evalueert strategische opties, stuurt de implementatie aan en bewaakt de prestaties. Omvat risicooptimalisatie (EDM03).
APO — Stem af, Plan, Organiseer: Structureert IT-strategie, risicomanagement en resourceallocatie. APO12 richt zich direct op enterprise-risicomanagement.
BAI — Bouw, Verwerf, Implementeer: Beheert de verwerving, ontwikkeling en integratie van IT-oplossingen in bedrijfsprocessen.
DSS — Lever, Ondersteun, Beheer diensten: Behandelt operationele levering, incidentbeheer en bedrijfscontinuïteit.
MEA — Monitor, Evalueer, Beoordeel: Omvat prestatiebewaking en beoordeling van regelgevingsnaleving.

COBIT en DORA: DORA vereist van financiële entiteiten ICT-risicomanagement-frameworks met verantwoording op bestuursniveau, gedocumenteerde governancestructuren en continue monitoring. De EDM- en APO-domeinen van COBIT 2019 sluiten hier direct op aan. ISACA heeft in 2025 specifieke richtlijnen gepubliceerd over het gebruik van COBIT voor NIS2- en DORA-vereisten [2].

COBIT en NIS2: De risicomanagementdoelstelling APO12 van COBIT ondersteunt de vereiste van NIS2 Artikel 21(2)(a) inzake risicoanalysebeleid. Organisaties die COBIT gebruiken kunnen hun bestaande governancedoelstellingen koppelen aan de tien risicomanagementmaatregelen van NIS2.

Sterktes: Uitgebreide IT-governance-scope. Duidelijke koppeling aan regelgevingsvereisten zoals DORA en NIS2. Sterke focus op governance op bestuursniveau. 40 goed gedocumenteerde doelstellingen met meetbare resultaten.

Beperkingen: Complex om volledig te implementeren — niet alle 40 doelstellingen zijn relevant voor elke organisatie. IT-gericht, vereist aanvulling met ISO 31000 voor niet-IT-risico's. Volledige toegang tot richtlijnen vereist ISACA-lidmaatschap of aankoop.

Frameworkvergelijking

Framework	Scope	Benadering	Het beste voor	Regelgevingsaansluiting
ISO 31000	Alle typen risico	Op principes gebaseerd	Bedrijfsbreed risicoprogramma	Algemeen (ondersteunt elke regelgeving)
NIST RMF	Informatiesystemen	Prescriptief, stapsgewijs	Cybersecurity-risicomanagement	NIST CSF, FedRAMP, CMMC
COSO ERM	Enterprise-risico	Governance-gericht	Risico-overzicht op bestuursniveau	SOX, corporate governance
COBIT 2019	IT-governance en -management	Doelstellingsgebaseerd, 40 doelstellingen	DORA-naleving, IT-governance	DORA, NIS2, SOX (IT-beheersmaatregelen)
ISO 27005	Informatiebeveiliging	Methodologie-gericht	ISO 27001-implementatie	ISO 27001, NIS2, DORA
FAIR	Cyberrisico (kwantitatief)	Datagedreven, financieel	Risicokwantificering en ROI	Bestuursrapportage, investeringsbeslissingen

Hoe risicomanagement-frameworks aansluiten bij regelgeving

NIS2

NIS2 Artikel 21(2)(a) vereist expliciet "beleid inzake risicoanalyse en informatiesysteembeveiliging." Dit betekent dat getroffen organisaties een gedocumenteerd risicomanagementproces moeten hebben. ISO 27005 of NIST RMF ondersteunt deze vereiste rechtstreeks.

Naast risicoanalyse definiëren de tien risicomanagementmaatregelen van NIS2 (Artikel 21) de beheersdomeinen die uw framework moet bestrijken. De doelstelling APO12 van COBIT 2019 biedt een gestructureerd proces om deze maatregelen te implementeren en het auditbewijs op te bouwen dat NIS2-toezichthouders verwachten.

DORA

DORA Artikelen 5–16 verplichten een uitgebreid ICT-risicomanagement-framework voor financiële entiteiten. DORA is prescriptiever dan NIS2 — het specificeert governancevereisten (verantwoordelijkheid van het leidinggevend orgaan, Artikel 5), risico-identificatieprocessen (Artikel 8) en verplichtingen voor continue monitoring (Artikel 10). Afzonderlijke testvereisten verschijnen later in DORA, onder meer in Artikelen 24–25.

Financiële entiteiten gebruiken doorgaans COBIT 2019 voor de governance- en managementlaag (EDM- en APO-domeinen), gecombineerd met ISO 27005 of NIST RMF voor het ICT-specifieke risicobeoordelingsproces. De ISACA-richtlijnen van 2025 over DORA zijn een bruikbaar referentiepunt voor het mappen van de governancevereisten uit Artikelen 5 en 6, maar COBIT moet worden gepositioneerd als een sterke optie en niet als een formeel verplicht model [2].

ISO 27001

ISO 27001 Clausule 6.1 vereist dat organisaties "de risico's en kansen bepalen" en acties plannen om deze aan te pakken. Het schrijft geen specifieke risicobeoordelingsmethodologie voor — dit is waar ISO 27005 de leemte opvult.

SOC 2

De Trust Services Criteria van SOC 2 vereisen risicobeoordeling als onderdeel van de gemeenschappelijke criteria. Organisaties gebruiken vaak COSO ERM-concepten voor de governancelaag en NIST of ISO 27005 voor de technische risicobeoordeling.

Hoe u het juiste framework kiest

Stap 1: Identificeer uw regelgevingsdrijfveren

Als u moet voldoen aan...	Overweeg...
NIS2	ISO 27005 + ISO 31000
DORA	COBIT 2019 + ISO 27005
ISO 27001	ISO 27005
SOX	COSO ERM
NIST CSF	NIST RMF
Meerdere EU-regelgevingen	ISO 31000 (overkoepelend) + COBIT 2019 + ISO 27005

Stap 2: Bepaal uw risicoscope

Alleen informatiebeveiliging → ISO 27005 of NIST RMF
IT-governance en -management → COBIT 2019 (met name voor DORA-gereguleerde entiteiten)
Bedrijfsbreed → ISO 31000 of COSO ERM
Financiële kwantificering → Voeg FAIR toe als aanvullende benadering

Stap 3: Overweeg uw volwassenheid

Begin: ISO 27005 biedt de meest gestructureerde, praktische benadering voor ISO 27001 en NIS2
Gemiddeld: ISO 31000 als overkoepelend met COBIT voor IT-governance en ISO 27005 voor informatiebeveiliging
Gevorderd: Multi-framework-benadering met COBIT 2019 op governanceniveau en FAIR voor kwantitatieve analyse

Veelgemaakte fouten

Risicobeoordeling als afvinkoefening behandelen. Jaarlijkse risicobeoordelingen die in een la verdwijnen verminderen geen risico. Effectieve frameworks integreren risicomanagement in dagelijkse operaties en besluitvorming.
Eén framework voor alles gebruiken. Enterprise-risico, informatiebeveiligingsrisico en financieel risico hebben verschillende dynamieken. Een gelaagde aanpak (overkoepelend framework + domeinspecifieke frameworks) is effectiever.
Frameworks verwarren met maatregelen. Een framework vertelt u hoe u risico's beheert. Maatregelen (zoals MFA, encryptie of back-upbeleid) zijn wat u implementeert om specifieke risico's te behandelen. Sla het framework niet over en ga niet direct naar maatregelen.
Risicomanagement niet koppelen aan nalevingsbewijs. Uw risicoregister, behandelplannen en restrisicobesluiten zijn nalevingsbewijs. Als ze niet gedocumenteerd en toegankelijk zijn, kunnen toezichthouders en auditors uw aanpak niet verifiëren.

Van framework naar operationeel bewijs

De kloof tussen het hebben van een risicomanagement-framework en het aantonen ervan aan stakeholders — klanten, auditors, toezichthouders — is waar veel organisaties moeite mee hebben. Een framework op papier moet worden ondersteund door:

Een levend risicoregister met actuele beoordelingen
Gedocumenteerde behandelbesluiten en de onderbouwing daarvan
Bewijs van regelmatige evaluatie en toezicht op bestuursniveau
Bewijs dat risicobereidheid overeenkomt met de feitelijke praktijk

Dit is waar een Trust Center de extern gerichte bewijslaag wordt — die uw beveiligingshouding, nalevingsstatus en risicomanagementbenadering publiceert naar de stakeholders die dit moeten zien.

Hoe Orbiq risicomanagement ondersteunt

Trust Center: Publiceer uw beveiligingshouding, certificeringen en nalevingsstatus als een koopklaar bewijspakket
Continue monitoring: Volg de effectiviteit van uw maatregelen en breng veranderingen aan het licht die uw risicolandschap beïnvloeden
Bewijsbeheer: Geautomatiseerde verzameling van nalevingsbewijs voor audits en regelgevingsinspecties
Leveranciersrisicomonitoring: Beoordeel en monitor risico's van derden als onderdeel van uw toeleveringsketenrisicomanagement

Verder lezen

NIS2-naleving: De Uitgebreide Gids — Risicomanagementvereisten onder NIS2
DORA-nalevingsgids — ICT-risicomanagement voor financiële dienstverlening
Wat is een Trust Center? — Externe bewijslaag voor uw risicoprogramma
Beveiligingsvragenlijst-software — Hoe risicoframeworks moderne leveranciersbeoordelingen vormgeven

Bronnen en referenties

ISACA - COBIT 2019 Framework: Introduction and Methodology
ISACA - Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements
Europees Parlement, "Richtlijn (EU) 2022/2555 (NIS2)," Artikel 21, eur-lex.europa.eu
Europees Parlement, "Verordening (EU) 2022/2554 (DORA)," Artikelen 5–16, eur-lex.europa.eu
ISO, "ISO 31000:2018 Risicomanagement — Richtlijnen," iso.org
ISO, "ISO/IEC 27005:2022 Informatiebeveiligingsrisicomanagement," iso.org

Deze gids wordt onderhouden door het Orbiq-team. Laatst bijgewerkt: april 2026.