Skip to main content
27 januari 2025
Samenvatting
Het Three Lines Model helpt organisaties duidelijk te maken wie verantwoordelijk is voor risicobeheer en controles. In deze blog lees je hoe het model werkt en welke verschillende typen CISO’s er zijn.
Volg qeep

De CISO in het Three Lines Model

Verschillende soorten CISO’s
27 januari 2025

De CISO is onmisbaar als het gaat om informatiebeveiliging, maar waar hoort deze rol precies thuis in het Three Lines Model? Het antwoord verschilt per organisatie en hangt af van de verantwoordelijkheden van de CISO. In deze blog leg ik uit hoe het Three Lines Model werkt en welke verschillende typen CISO’s er zijn.

Wat is het Three Lines model?

Ook wel het Three Lines of Defense Model

Het Three Lines Model, ook wel bekend als het Three Lines of Defense Model, is ontwikkeld door het Institute of Internal Auditors (IIA). Het model helpt organisaties duidelijk te maken wie verantwoordelijk is voor risicobeheer en controles. Door de verantwoordelijkheden op te delen in drie lagen, of ‘linies’, weet iedereen beter wat zijn of haar rol is bij het beheersen van risico’s en beschermen van de organisatie. De drie lagen zijn: 

  1. Eerste lijn: uitvoerende teams en afdelingen
    De eerste lijn bestaat uit de mensen die dagelijks met het operationele werk bezig zijn. Denk aan projectmanagers, teamleiders of IT-medewerkers. Zij zijn verantwoordelijk voor het herkennen en beheersen van risico’s in hun eigen werk. Denk aan het waarborgen van veilige processen, onderhouden van systemen of uitvoeren van beveiligingscontroles. Voor informatiebeveiliging kunnen deze taken ook technische rollen omvatten, zoals het monitoren van beveiligingsmeldingen, het uitvoeren van forensisch onderzoek en het implementeren van beveiligingsmaatregelen. In veel organisaties worden deze taken deels door IT uitgevoerd, en deels door de Chief Information Security Officer (CISO). Bij grotere organisaties zal de rol van de CISO hier gering zijn.
  2. Tweede lijn: risico- en compliancefuncties
    De tweede lijn ondersteunt en controleert de eerste lijn. Deze lijn richt zich op het beheren van risico’s op strategisch niveau en zorgt dat interne processen in lijn zijn met de wet- en regelgeving. Taken van de tweede lijn omvatten onder andere het opstellen en implementeren van beleid en richtlijnen, Het in kaart brengen van risico’s en prioriteiten, het adviseren van de eerste lijn over risicobeheersing en toezicht houden op de naleving van regels. Binnen informatiebeveiliging zorgt de tweede lijn voor de kaders en strategieën. Een CISO in deze rol heeft vaak een adviserende taak en houdt toezicht op het naleven van beveiligingsstandaarden zoals ISO 27001/2 of BIO2/NIS2 (Cbw).
  3. Derde lijn: Interne audit
    De derde lijn staat los van de operationele en strategische verantwoordelijkheden van de eerste en tweede lijn. Het is een onafhankelijke functie die controleert of risico’s goed worden beheerst en of de maatregelen effectief zijn. Ofwel: nemen risico’s ook af door de getroffen maatregelen. Een interne audit onderzoekt bijvoorbeeld of de organisatie voldoet aan beveiligingsstandaarden, of processen zoals incidentrespons goed zijn ingericht en of er effectief wordt samengewerkt tussen de eerste en tweede lijn. De derde lijn rapporteert meestal rechtstreeks aan de directie en is volledig onafhankelijk, maar wel onderdeel van de dezelfde organisatie.

Het Three Lines Model geeft structuur en voorkomt misverstanden of dubbel werk. Iedereen weet wat er van hen wordt verwacht, wat belangrijk is als je risico’s goed wilt beheersen. In dit model kan de CISO op verschillende manieren een rol spelen, afhankelijk van waar de nadruk van de functie ligt.

“Het Three Lines Model geeft structuur en voorkomt misverstanden of dubbel werk.”

De CISO en een managementsysteem

Hoe meer de CISO een overkoepelende of ‘beheersende’ rol heeft, hoe belangrijker het hebben van een Information Security Management System (ISMS) wordt. Een ISMS is een systematisch kader van beleid, processen en procedures waarmee je risico’s beheert en informatie beveiligt. Het ISMS stelt de CISO in staat om toezicht te houden op de effectiviteit van beveiligingsmaatregelen en om te controleren of deze voldoen aan de vastgestelde normen en regelgeving. Volgens de Baseline Informatiebeveiliging Overheid (BIO) 2 is het voor overheidsorganisaties verplicht om een ISMS in te richten volgens de ISO 27001-norm.

De eerstelijns CISO

Voor de uitwerking van de CISO types heb ik gebruik gemaakt van deze blog van Jerry Perullo. Veel organisaties hebben een eerstelijns CISO aangesteld als reactie op beveiligingsincidenten of datalekken. Dit betekent dat deze CISO verantwoordelijk is voor operationele taken, zoals:

  • Incidentrespons
  • Beheer van security tools en monitoring
  • Ontwerp en implementatie van beveiligingsmaatregelen

In de context van het Three Lines Model richt de eerstelijns CISO zich op operationele risico’s en controles. Deze rol hoort thuis in de eerste lijn, waar het werk direct bijdraagt aan de veiligheid van de organisatie. Strategische of controlerende taken, zoals het evalueren van risico’s of het monitoren van compliance, vallen buiten deze rol.

De eerstelijns CISO rapporteert meestal aan de Chief Information Officer (CIO) – of: informatiemanager – en werkt nauw samen met IT-teams om de technische beveiliging van de organisatie te waarborgen. Strategische risicoanalyses vallen hier vaak buiten, omdat deze verantwoordelijkheid dan ligt bij een Chief Risk Officer (CRO) of een risicomanagementteam. In sommige organisaties ontbreekt echter een duidelijke rol of functie die zich specifiek bezighoudt met strategisch risicomanagement. Het kan ook gaan om een rol van risicomanager.

De tweedelijns CISO

In andere organisaties wordt de CISO gepositioneerd in de tweede lijn. Dit komt vaak door externe eisen, zoals audits, klantvragen of wet- en regelgeving. De tweedelijns CISO richt zich vooral op:

  • Het identificeren en prioriteren van risico’s
  • Adviseren over beveiliging en controles
  • Toezicht houden op naleving van wet- en regelgeving

In het Three Lines Model hoort de tweedelijns CISO thuis in de tweede lijn, waar de focus ligt op het ontwikkelen van strategieën en richtlijnen, zoals securitybeleid en het uitvoeren van risicoanalyses. De operationele uitvoering van beveiligingstaken (zoals incidentrespons of het beheren van security tools) blijft bij IT-teams, die onder de eerste lijn vallen. De tweedelijns CISO rapporteert meestal aan een Chief Risk Officer (CRO) en speelt een belangrijke rol in governance en risicobeheer.

De executive CISO

Sommige organisaties kiezen voor een ‘executive CISO’ die zowel de eerste als tweede lijn overziet. Deze CISO rapporteert vaak direct aan de directie en heeft een coördinerende rol. Overigens geven organisaties zelden deze specifieke titel aan de CISO. De verantwoordelijkheden zijn dan als volgt verdeeld:

  • De eerstelijns-teams voeren beveiligingscontroles uit en beheren systemen.
  • De tweedelijns-teams analyseren risico’s en houden toezicht op compliance.

In het Three Lines Model vervult de executive CISO een coördinerende rol tussen de eerste en tweede lijn. Deze CISO zorgt ervoor dat strategie en uitvoering goed op elkaar aansluiten. Daarnaast bewaakt de executive CISO een duidelijke scheiding tussen operationele taken (eerste lijn) en strategische, controlerende taken (tweede lijn). Dit houdt in dat de executive CISO verantwoordelijk is voor het bevorderen van effectieve samenwerking tussen beide lijnen en het duidelijk verdelen van verantwoordelijkheden. Hoewel de executive CISO een overkoepelende functie heeft, behoort deze niet tot de derde lijn (onafhankelijke audit). De derde lijn blijft volledig onafhankelijk en controleert zowel de activiteiten van de executive CISO, als de effectiviteit van de eerste en tweede lijn.

“Voor een CISO is het belangrijk om te weten welke lijn(en) onder zijn of haar verantwoordelijkheid vallen.”

Wat betekent dit voor jou(w organisatie)?

Verwachtingen kunnen nogal uiteen lopen

Het Three Lines Model helpt om rollen en verantwoordelijkheden duidelijk te maken. Voor een CISO is het belangrijk om te weten welke lijn(en) onder zijn of haar verantwoordelijkheid vallen. Dit voorkomt overlap in taken en zorgt voor een duidelijke scheiding tussen operationeel werk en strategisch risicobeheer. Waar de CISO past in jouw organisatie hangt af van hoe risicobeheer en governance zijn ingericht. Of je nu een eerstelijns CISO hebt die zich richt op de technische uitvoering, een tweedelijns CISO die (primair) risicobeheer aanstuurt, of een executive CISO die zowel de eerste als tweede lijn overziet, het is belangrijk dat taken goed worden afgebakend en dat er afstemming is tussen alle betrokkenen.

Maar let op: het komt regelmatig voor dat er een mismatch is tussen de verwachtingen en de werkelijke rol van een CISO. Bijvoorbeeld wanneer een CISO zichzelf ziet als strategisch adviseur (tweede lijn) of onafhankelijke controleur (derde lijn), terwijl de organisatie vooral operationele taken (eerste lijn) verwacht. Zo’n mismatch leidt vaak tot onduidelijkheid en (wederzijdse) frustratie.

Wil je weten waar jij als CISO staat? Begin dan met een analyse van je huidige verantwoordelijkheden en rapportagelijnen. Door dit samen af te stemmen, kun je zorgen voor meer duidelijkheid, draagvlak en een effectievere aanpak van informatiebeveiliging. En waarschijnlijk minder frustratie en meer werkplezier.


Senior Adviseur Security & Privacy bij qeep IT safe.
r.schoemaker@qeep.nl