Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

ISO 31000

Compliance

Internationale norm met richtlijnen voor risicomanagement. Helpt organisaties bij het identificeren, beoordelen en beheersen van risico’s.

ISO 31000 is de internationale norm voor risicomanagement. De standaard biedt principes, een raamwerk en een proces voor het identificeren, analyseren, evalueren en behandelen van risico's. In tegenstelling tot veel andere normen is ISO 31000 geen certificeerbare norm, maar een richtlijn die organisaties helpt om risicomanagement systematisch in te richten en te integreren in hun bedrijfsvoering.

De huidige versie, ISO 31000:2018, is toepasbaar op elke organisatie, ongeacht omvang, sector of type risico. De norm is generiek van opzet en kan worden toegepast op financiele risico's, operationele risico's, projectrisico's, strategische risico's en cybersecurityrisico's. Dit maakt ISO 31000 het overkoepelende framework waarbinnen specifiekere risicomanagementnormen zoals ISO 27005 (informatiebeveiliging) passen.

In de context van cybersecurity biedt ISO 31000 de methodologische basis voor het uitvoeren van risicobeoordelingen. De norm helpt organisaties om cyberdreigingen op een gestructureerde manier te identificeren, de waarschijnlijkheid en impact te beoordelen, en op basis daarvan proportionele maatregelen te nemen. Dit voorkomt zowel onder- als overinvestering in beveiliging.

ISO 31000 werkt naadloos samen met andere managementsysteemnormen. Organisaties die ISO 27001 voor informatiebeveiliging implementeren, gebruiken ISO 31000 als basis voor hun risicoanalyse. Ook ISO 9001 voor kwaliteitsmanagement en ISO 22301 voor business continuity sluiten aan bij de risicomanagementprincipes van ISO 31000.

Voor wie geldt ISO 31000?

ISO 31000 is niet verplicht en niet sectorspecifiek. Het is een vrijwillige richtlijn die elke organisatie kan toepassen. Toch zijn er situaties waarin de norm bijzonder relevant is.

Organisaties die een ISO 27001-certificering nastreven of onderhouden, hebben een gestructureerde risicomanagementaanpak nodig. ISO 31000 biedt het raamwerk dat voldoet aan de eisen van ISO 27001 voor het uitvoeren van risico identificatie en risicobeoordeling. Veel certificeringsauditors verwachten dat de risicomanagementaanpak in lijn is met ISO 31000.

Financiele instellingen die onder DORA vallen, moeten een robuust ICT-risicomanagementraamwerk hebben. ISO 31000 biedt de methodologische basis die voldoet aan de eisen van DORA voor het identificeren, classificeren en monitoren van ICT-risico's.

Overheidsorganisaties die werken volgens de Baseline Informatiebeveiliging Overheid (BIO) gebruiken ISO 31000 als referentie voor hun risicomanagementproces. De BIO schrijft een risicogestuurde aanpak voor die goed aansluit bij de principes van ISO 31000.

Het mkb profiteert van ISO 31000 als pragmatisch kader voor het structureren van risicomanagement zonder een volledig managementsysteem te hoeven implementeren. De norm biedt een flexibel model dat je kunt schalen naar de omvang en complexiteit van je organisatie.

Risicomanagementprofessionals en CISO's gebruiken ISO 31000 als gemeenschappelijke taal om risico's te communiceren naar het management. De norm biedt een gestandaardiseerd vocabulaire en proces dat de dialoog over risico's binnen de organisatie vergemakkelijkt.

Wat zijn de vereisten van ISO 31000?

ISO 31000 is opgebouwd uit drie kerncomponenten: principes, een raamwerk en een proces. Samen vormen ze een samenhangend geheel voor effectief risicomanagement.

Principes (het waarom). ISO 31000 definieert acht principes die het fundament vormen van effectief risicomanagement. Risicomanagement moet geintegreerd zijn in alle bedrijfsprocessen, gestructureerd en alomvattend, aangepast aan de context van de organisatie, inclusief (alle stakeholders betrekken), dynamisch (meebewegen met veranderingen), gebaseerd op de best beschikbare informatie, rekening houdend met menselijke en culturele factoren, en gericht op continue verbetering.

Raamwerk (het hoe op organisatieniveau). Het raamwerk beschrijft hoe je risicomanagement inbedt in de organisatie. Dit omvat leiderschap en commitment van het topmanagement, integratie van risicomanagement in de governance-structuur, ontwerp van het risicomanagementframework, implementatie, evaluatie en continue verbetering. Het raamwerk zorgt ervoor dat risicomanagement niet een losstaande activiteit is maar verweven met de dagelijkse bedrijfsvoering.

Proces (het hoe op operationeel niveau). Het risicomanagementproces beschrijft de stappen: scope en context vaststellen, risico's identificeren, risico's analyseren (waarschijnlijkheid en impact), risico's evalueren (prioriteren op basis van risicocriteria), risico's behandelen (vermijden, verminderen, overdragen of accepteren), monitoring en review, en communicatie en consultatie gedurende het hele proces.

Een belangrijk verschil met certificeerbare normen is dat ISO 31000 geen verplichte documentatie of specifieke maatregelen voorschrijft. De norm geeft richting, geen voorschriften. Dit biedt flexibiliteit maar vereist ook dat de organisatie zelf keuzes maakt over de invulling.

Wat gebeurt er bij niet-naleving?

Omdat ISO 31000 een richtlijn is en geen certificeerbare norm, bestaan er geen directe sancties voor niet-naleving. Je kunt niet "zakken" voor een ISO 31000-audit, want die bestaat niet. Toch heeft het ontbreken van een gestructureerde risicomanagementaanpak wel degelijk consequenties.

Indirect via andere normen en regelgeving. ISO 27001 vereist een systematische risicobeoordeling. Als je risicomanagement niet op orde is, kun je geen ISO 27001-certificering behalen of behouden. Hetzelfde geldt voor ISO 22301 en andere managementsysteemnormen die een risicogestuurde aanpak voorschrijven.

Onder de AVG moet je een Data Protection Impact Assessment (DPIA) uitvoeren voor verwerkingen met een hoog risico. Een gestructureerd risicomanagementproces conform ISO 31000 helpt om deze verplichting adequaat in te vullen. Zonder dit risiceer je boetes van de Autoriteit Persoonsgegevens.

De NIS2-richtlijn en DORA vereisen dat organisaties een risicomanagementraamwerk hebben. Hoewel ze niet expliciet naar ISO 31000 verwijzen, verwachten toezichthouders een aanpak die aan de principes van de norm voldoet. Niet voldoen aan deze regelgeving kan leiden tot substantiele boetes.

Op operationeel niveau leidt het ontbreken van gestructureerd risicomanagement tot slechte besluitvorming, inefficiente besteding van beveiligingsbudget, onverwachte incidenten en het missen van kansen. Organisaties zonder risicomanagement reageren reactief op problemen in plaats van proactief te sturen op risico's.

In aanbestedingen en leveranciersbeoordelingen wordt steeds vaker gevraagd naar een aantoonbare risicomanagementaanpak. Organisaties die dit niet kunnen aantonen, worden uitgesloten van opdrachten of scoren lager in de beoordeling.

Veelgestelde vragen over ISO 31000

Kun je gecertificeerd worden voor ISO 31000?

Nee, ISO 31000 is een richtlijn, geen certificeerbare norm. Er bestaan geen ISO 31000-certificeringen voor organisaties. Wel kun je als professional een ISO 31000 Risk Manager-certificering behalen via opleidingsinstituten. De norm dient als referentiekader, niet als certificeringsstandaard.

Wat is het verschil tussen ISO 31000 en ISO 27005?

ISO 31000 is de generieke risicomanagementnorm die op alle typen risico's toepasbaar is. ISO 27005 is een specifieke norm voor risicomanagement in informatiebeveiliging, gebaseerd op de principes van ISO 31000. ISO 27005 vertaalt de generieke aanpak naar de context van informatiebeveiligingsrisico's.

Hoe verhoudt ISO 31000 zich tot het NIST Cybersecurity Framework?

Beide frameworks bevatten risicomanagementcomponenten, maar vanuit een ander perspectief. ISO 31000 is een breed risicomanagementframework. Het NIST CSF is specifiek gericht op cybersecurity en biedt concrete functies (Identify, Protect, Detect, Respond, Recover, Govern). Ze zijn complementair en kunnen naast elkaar worden gebruikt.

Is ISO 31000 geschikt voor kleine organisaties?

Ja. ISO 31000 is bewust generiek en schaalbaar opgezet. Een klein bedrijf kan de principes en het proces toepassen zonder een uitgebreid managementsysteem in te richten. Begin met het identificeren van de belangrijkste risico's en bouw geleidelijk een meer gestructureerde aanpak op naarmate de organisatie groeit.

Hoe begin je met ISO 31000?

Start met het lezen van de norm (beschikbaar via NEN). Breng de context van je organisatie in kaart: wat zijn je doelen, wie zijn je stakeholders, welke risico's spelen er? Voer een eerste risico identificatie en -beoordeling uit en bespreek de resultaten met het management. Integreer risicomanagement geleidelijk in bestaande processen.

Structureer je risicomanagement en vind een specialist via Risk Assessment aanbieders op IBgidsNL.