De rol van Chief Information Security Officers (CISO’s) verandert ingrijpend door de toenemende digitalisering en complexiteit van bedrijfsrisico’s. Waar zij traditioneel vooral verantwoordelijk waren voor IT- en cybersecurityrisico’s, worden zij nu steeds vaker gezien als strategische spelers binnen het bredere risicomanagement van organisaties.

Nitin Raina, global chief information security officer bij technologieadviesbureau Thoughtworks, combineert sinds 2020 zijn CISO-functie met die van global head of enterprise risk. Hij benadrukt dat zijn vermogen om over risico’s in hun geheel te spreken hem deze gecombineerde rol heeft opgeleverd. Onder zijn leiding voert de organisatie uitgebreide risicobeoordelingen en gap-analyses uit om kwetsbaarheden en inefficiënties in kritieke bedrijfsprocessen, systemen en controles te identificeren en te mitigeren.

Volgens Raina is het logisch dat de rollen van CISO en enterprise risk management vaker worden samengevoegd. Hij stelt dat CISO’s de juiste positie en het platform hebben om het gesprek over risico’s binnen de organisatie te leiden. Hoewel de meeste CISO’s nog geen formele risicotitel dragen, nemen zij steeds meer taken op het gebied van enterprise risk management op zich. Dit sluit aan bij de jarenlange ontwikkeling waarin CISO’s zijn getraind om cyberrisico’s te vertalen naar bedrijfsrisico’s en te bepalen welke risico’s het meest kritisch zijn voor de organisatie.

De digitalisering van vrijwel alle bedrijfsprocessen maakt cyberrisico’s tot materiële risico’s voor de onderneming, waardoor veerkracht een operationele noodzaak is geworden. Paul Caron, hoofd cybersecurity voor de Amerika’s bij S-RM, stelt dat CISO’s zich steeds meer moeten richten op de risico’s voor het gehele bedrijf in plaats van alleen op IT- en cybersecurityrisico’s. Dit vraagt om een bredere blik en een nauwere samenwerking met andere leidinggevenden.

Uit het 2026 CISO Report van Splunk blijkt dat 78% van de CISO’s gezamenlijke verantwoordelijkheid draagt met andere technische C-level executives voor security operationele bedrijfsrisico’s. Daarnaast is 56% hiervan ook gezamenlijk verantwoordelijk met de CEO en 29% met andere C-suite rollen zoals CFO of chief legal officer. Bovendien is 96% van de CISO’s verantwoordelijk voor AI-governance en risicomanagement. Het Q1 2026 CISO Top 10 report van CyberRisk Alliance bevestigt dat governance, risk en compliance (GRC) de hoogste prioriteit heeft voor CISO’s. Organisaties staan onder druk om risicotoezicht continu, verdedigbaar en geïntegreerd in besluitvorming te laten zijn. CISO’s worden steeds vaker verwacht om regelgeving, risicotolerantie en beveiligingsmaatregelen te verenigen in een samenhangend model voor realtime governance.