De CISO in beweging tussen compliance, toezicht en leiderschap

Geplaatst op: 13/11/2025
Geschreven door: Erik Post

De rol van de CISO draaide ooit om technische maatregelen en awareness. Informatiebeveiliging was vooral een IT-aangelegenheid. Nieuwe wet- en regelgeving dwingt het onderwerp nu terecht naar de bestuurstafel.

Met de komst van de cyberbeveiligingswet (NIS2), DORA, de herziening van ISO 27001:2022 en de BIO 2 worden bestuursverantwoordelijkheid, aantoonbaar risicomanagement en onafhankelijke controle verplicht.

De druk komt van boven: wetgevers, bestuurders en ketenpartners verlangen niet langer ‘een plan’, maar eisen bewijs dat maatregelen effectief zijn.

De rol van de CISO verschuift van uitvoerder naar hoeder  van bestuurlijke verantwoordelijkheid.

De CISO als satéprikker door de Three Lines

In theorie is de governance helder:

  • Eerste lijn voert uit en beheert risico’s.
  • Tweede lijn adviseert en toetst.
  • Derde lijn auditeert onafhankelijk.

In de praktijk moet de CISO dwars door die lagen heen mogen bewegen. Als een satéprikker verbindt de CISO strategie, operatie en toezicht:

  • In de eerste lijn adviseert de CISO over security by design, security by default en risicobeheersing.
  • In de tweede lijn stelt de CISO beleid, kaders en rapportages op.
  • In de derde lijn levert de CISO input voor audits en herbeoordelingen.

Die verbindende rol maakt de CISO uniek én kwetsbaar. De CISO moet onafhankelijk adviseren, en  is tegelijk afhankelijk van informatie uit de operatie. De CISO moet risico’s agenderen, én werkt in een systeem dat die risico’s liever beperkt tot “voldaan/niet voldaan”.

De kracht van een volwassen CISO ligt precies in dat spanningsveld: niet vasthouden aan één lijn, én de dialoog afdwingen tussen alle drie.

De verleiding van de derde lijn

Steeds vaker klinkt het argument om de CISO in de derde lijn te plaatsen;  “dan is de CISO echt onafhankelijk”. Dat lijkt logisch, maar het ondermijnt de werking van de governance.
De derde lijn toetst achteraf en  de CISO moet juist sturen!
Wie de CISO buiten de operatie zet, verliest zijn binding met de operatie en maakt van security een auditproces in plaats van een risicodialoog.

De juiste positie ligt in de tweede lijn, dicht bij bestuur en operatie, maar met expliciet mandaat om te signaleren, te adviseren en als het moet te escaleren. De uitdaging is op gepaste afstand invloed behouden zonder in de uitvoering te verzanden. Daarin schuilt de kern van de spanning: te ver van de operatie en je verliest relevantie, te dicht erop en je verliest onafhankelijkheid.

Van compliance naar governance

De CISO van vandaag balanceert tussen wettelijke compliance en bestuurlijke volwassenheid.
De CISO vertaalt verplichtingen naar beleid, maakt risico’s zichtbaar en dwingt besluitvorming af over prioriteit en proportionaliteit. Een organisatie kan pas compliant worden als ze begrijpt waarom ze compliant moet zijn.

De CISO helpt dat bewustzijn ontwikkelen door het gesprek over risico’s te verankeren in beleid en strategie: Geen vinklijstjes én vertalen naar benodigd gedrag!

CISO centraal in de organisatie

De komende jaren wordt de positie van de CISO niet bepaald door techniek, maar door governance.
De vraag is niet langer of de CISO onafhankelijk moet zijn, maar hoe die onafhankelijkheid vorm te geven zonder de verbinding met de operatie te verliezen.

De sterkste CISO’s staan niet aan de zijlijn, maar midden in het speelveld.
Niet als controleur, maar als constante prikker door de lijnen heen, richtinggevend, toetsend en verbindend tegelijk.