Wie AI-governance serieus neemt, komt al snel twee namen tegen: het NIST AI Risk Management Framework en ISO/IEC 42001. Organisaties vragen ons regelmatig welk van de twee ze moeten kiezen. Het antwoord is genuanceerder dan een keuze: de twee raamwerken hebben een verschillend karakter en werken juist goed samen.
Het NIST AI RMF in het kort
Het NIST AI Risk Management Framework, versie 1.0 verschenen in januari 2023, is een vrijwillig raamwerk uit de Verenigde Staten. Het is opgebouwd rond vier functies: Govern, Map, Measure en Manage, met daaronder een uitgewerkte set subcategorieën. Govern gaat over cultuur, rollen, beleid en governance-structuur. Map brengt de context en de mogelijke impact van een AI-systeem in kaart. Measure analyseert en meet de geïdentificeerde risico's, kwalitatief en kwantitatief. Manage prioriteert risico's en handelt erop, door ze te beperken, over te dragen, te vermijden of te accepteren.
De kracht van het NIST-raamwerk zit in de risicomethodiek. Het geeft een concrete, herkenbare manier om AI-risico's te identificeren, te beoordelen en te beheersen. Het is geen norm waartegen je je laat certificeren; het is een operationeel model dat je naar eigen inzicht toepast.
ISO 42001 in het kort
ISO/IEC 42001 is een certificeerbare managementsysteemnorm voor AI, opgebouwd volgens de klassieke ISO-structuur die ook ISO 27001 kenmerkt. De norm vraagt om een AI-managementsysteem, een AIMS, met beleid, doelstellingen, rollen, risicobeoordeling, controls en een cyclus van continue verbetering. Omdat het een certificeerbare norm is, kan een externe auditor toetsen of de organisatie eraan voldoet en een certificaat afgeven.
De kracht van ISO 42001 zit in de organisatorische structuur. Het zorgt dat AI-governance ingebed raakt in de bedrijfsvoering, met duidelijke verantwoordelijkheden en een aantoonbaar systeem. Het certificaat is bovendien een tastbaar bewijs richting klanten en toezichthouders.
Risicomethodiek versus managementsysteem
Hier zit het wezenlijke onderscheid. NIST AI RMF levert de risicomethodiek; ISO 42001 levert de operationele structuur. Het ene zegt vooral hoe je over AI-risico's nadenkt, het andere hoe je het beheer ervan organiseert en aantoonbaar maakt. Ze opereren op verschillende niveaus en bijten elkaar daarom niet.
Veel organisaties die wij begeleiden gebruiken het NIST-raamwerk als risicomodel binnen een ISO 42001-managementsysteem. De vier functies van NIST vullen dan de risicobeoordeling en risicobehandeling in die ISO 42001 vereist, terwijl ISO 42001 zorgt voor de bredere governance, het beleid en de certificeerbaarheid. NIST heeft zelf een crosswalk gepubliceerd die laat zien hoe de twee op elkaar aansluiten, wat de combinatie nog praktischer maakt.
Welke kies je?
De keuze hangt af van je doel. Wil je vooral grip krijgen op AI-risico's en heb je geen behoefte aan een certificaat, dan is het NIST-raamwerk een uitstekend startpunt: laagdrempelig, vrijwillig en direct toepasbaar. Wil je AI-governance verankeren in je organisatie en dat ook kunnen aantonen richting klanten, of bereid je je voor op de EU AI Act, dan biedt ISO 42001 de structuur en het bewijs dat daarbij past.
In de praktijk is het zelden een echte of-of. Een organisatie die ambitieus is met AI doet er goed aan om de risicodenkwijze van NIST te combineren met de managementstructuur van ISO 42001. Zo krijg je het beste van twee werelden: een scherpe manier om risico's te beoordelen, ingebed in een systeem dat de organisatie houvast en certificeerbaarheid geeft.
Hoe Secure Audit hierin ondersteunt
Wij helpen organisaties bij het kiezen en combineren van het juiste raamwerk, afgestemd op hun ambitie, sector en compliance-verplichtingen. Of dat nu begint met een NIST-gebaseerde risicobeoordeling of met een ISO 42001-implementatie, wij vertalen het raamwerk naar de eigen context. Neem contact op voor een oriënterend gesprek.
Veelgestelde vragen
Wat is het verschil tussen NIST AI RMF en ISO 42001?+
NIST AI RMF is een vrijwillig risicomodel met de functies Govern, Map, Measure en Manage. ISO 42001 is een certificeerbare managementsysteemnorm. NIST levert de risicomethodiek, ISO 42001 de organisatorische structuur en de certificeerbaarheid.
Kun je NIST AI RMF en ISO 42001 combineren?+
Ja. Veel organisaties gebruiken het NIST-raamwerk als risicomodel binnen een ISO 42001-managementsysteem. NIST heeft zelf een crosswalk gepubliceerd die laat zien hoe de twee op elkaar aansluiten.
Kun je je laten certificeren tegen NIST AI RMF?+
Nee. Het NIST AI RMF is een vrijwillig raamwerk en niet certificeerbaar. Alleen ISO 42001 kent een formele certificering, waarbij een externe auditor toetst of de organisatie aan de norm voldoet.
Lees ook
ISO 42001 biedt richtlijnen voor het beheren van AI-systemen op een veilige en verantwoorde manier. Ontdek wat dit betekent voor jouw organisatie.
Steeds meer bedrijven willen ISO 42001-gecertificeerd worden. Maar de praktijk is weerbarstiger dan de theorie. Dit zijn de zeven dingen die wij tegenkomen bij organisaties die hun AI-governance op orde willen brengen.
ISO/IEC 42005:2025 is de eerste internationale standaard die specifiek gaat over het uitvoeren van AI-systeem impactassessments. De standaard helpt organisaties om de gevolgen van hun AI-systemen voor individuen, groepen en de samenleving gestructureerd in kaart te brengen. Geen certificeerbare norm, maar een praktische leidraad die naadloos aansluit op ISO 42001 en de EU AI Act.
Een sterke IT-interne controle framework is essentieel voor betrouwbare operaties. Dit artikel gidst je door COSO en COBIT.
Over de auteur
Partner | IT-auditor