Wat is CRISC?
CRISC staat voor Certified in Risk and Information Systems Control en is een certificering van ISACA, dezelfde internationale beroepsorganisatie die ook achter CISA en CISM zit. De certificering is volledig toegespitst op IT-risicomanagement: het identificeren en beoordelen van risico's, het bepalen van een passende risicorespons en het opzetten en onderhouden van zogenoemde information systems controls. CRISC verbindt daarmee de wereld van techniek met die van governance en bedrijfsdoelstellingen.
Waar een IT-auditor vooral terugkijkt en beoordeelt of beheersmaatregelen werken, kijkt een CRISC-professional juist vooruit: welke risico's loopt de organisatie, hoe groot is de impact, en welke maatregelen zijn proportioneel? Sinds de lancering in 2010 is CRISC uitgegroeid tot een van de meest gevraagde risk-certificeringen ter wereld, en de certificering wordt in Nederlandse vacatures voor risk- en GRC-functies steeds vaker expliciet genoemd.
CRISC vs. CISA vs. CISM: wat is het verschil?
De drie ISACA-certificeringen worden vaak in één adem genoemd, maar ze bedienen elk een andere rol. Het helpt om ze te zien als drie complementaire invalshoeken op dezelfde digitale wereld.
| Certificering | Aanbieder | Focus | Typische rol |
|---|---|---|---|
| CRISC | ISACA | IT-risicomanagement en controls | IT Risk Manager, GRC-specialist |
| CISA | ISACA | Auditen en beoordelen van IT | IT-auditor |
| CISM | ISACA | Management van informatiebeveiliging | Security Manager, CISO |
Kort gezegd: CRISC is voor wie risico's beheerst, CISA voor wie het toetst en CISM voor wie de securityfunctie aanstuurt. Heb je een audit-achtergrond, dan is de CISA-certificering vaak de logische eerste stap; wil je doorgroeien naar een leidende securityrol, dan ligt CISM meer voor de hand. CRISC is de natuurlijke keuze voor risk managers, GRC-professionals en business-analisten die risico en compliance willen combineren. Veel ervaren professionals stapelen uiteindelijk meerdere certificeringen, omdat ze elkaar inhoudelijk versterken.
De vier CRISC-domeinen
Het CRISC-examen is opgebouwd rond vier kerndomeinen die samen de volledige IT-risicocyclus beslaan. Op 3 november 2025 voerde ISACA een ingrijpende herziening door, waarbij vooral de nadruk op risicorespons en rapportage verder is verzwaard. De actuele weging van de domeinen ziet er als volgt uit:
| Domein | Waar het over gaat | Weging |
|---|---|---|
| 1. Governance | Het inrichten van risicogovernance: risk appetite, rollen, beleid en de afstemming op de organisatiedoelen. | 26% |
| 2. Risk Assessment | Het identificeren, analyseren en evalueren van IT-risico's en het bepalen van hun impact en waarschijnlijkheid. | 22% |
| 3. Risk Response and Reporting | Het kiezen van een passende risicorespons, het inrichten van controls en het rapporteren over risico's. | 32% |
| 4. Technology and Security | De technische kennis van systemen, beveiliging en opkomende technologie die nodig is om risico's te begrijpen. | 20% |
Het domein Risk Response and Reporting weegt met 32% het zwaarst, een duidelijk signaal dat ISACA waarde hecht aan professionals die niet alleen risico's kunnen benoemen, maar ook concrete maatregelen kunnen kiezen en daarover begrijpelijk kunnen rapporteren aan het management. Wie zich na september 2025 voorbereidt, doet er goed aan met de meest actuele review manuals en oefenvragen te werken, omdat de oude lesstof niet meer volledig aansluit op de herziene weging.
Op zoek naar een functie in IT Risk & Compliance?
Vind de beste vacatures op het gebied van IT-risicomanagement, GRC en compliance in Nederland. Van risk analyst tot manager.
Bekijk Risk & Compliance vacaturesExamen en eisen
Het CRISC-examen bestaat uit 150 meerkeuzevragen die je binnen vier uur (240 minuten) beantwoordt. De vragen zijn sterk scenariogericht: je krijgt een situatie voorgelegd en moet de meest passende handelwijze kiezen. Je legt het examen af via computer-based testing, online met remote proctoring of op een erkende testlocatie. Om te slagen heb je een geschaalde score van ten minste 450 op een schaal van 200 tot 800 nodig.
Slagen voor het examen is echter niet hetzelfde als gecertificeerd zijn. Voor de titel geldt een aparte ervaringseis:
- Werkervaring: minimaal drie jaar relevante werkervaring in IT-risicomanagement en information systems control, opgedaan binnen ten minste twee van de vier domeinen.
- Verplichte domeinen: voor kandidaten die na november 2025 slagen, moet de ervaring de domeinen Risk Assessment (domein 2) en Risk Response and Reporting (domein 3) omvatten.
- Geen vrijstellingen: anders dan bij CISA en CISM levert een vooropleiding of andere certificering géén vrijstelling op. De drie jaar praktijkervaring is altijd vereist.
- Termijn: de ervaring moet zijn opgedaan binnen de tien jaar vóór de aanvraag of binnen vijf jaar ná het slagen voor het examen.
Je mag het examen dus al afleggen voordat je aan de volledige ervaringseis voldoet, wat handig is voor wie nog ervaring opbouwt. Je hebt vervolgens vijf jaar de tijd om de certificering definitief aan te vragen.
Wat kost de CRISC-certificering?
De totale investering bestaat uit het examengeld, een eenmalige aanmeldfee, het jaarlijkse onderhoud en optioneel een training. Onderstaande bedragen zijn indicatief voor 2026.
| Onderdeel | Indicatieve kosten |
|---|---|
| Examen (ISACA-lid) | $ 575 |
| Examen (niet-lid) | $ 760 |
| Aanmeldkosten certificering | $ 50 (eenmalig) |
| Jaarlijkse onderhoudsbijdrage | $ 45 (lid) / $ 85 (niet-lid) |
| ISACA-lidmaatschap | ± $ 135 per jaar (excl. chapter) |
| Meerdaagse training (NL) | € 3.000 - € 3.500 (excl. btw) |
Een ISACA-lidmaatschap verdient zich vaak snel terug: leden betalen fors minder examengeld en krijgen korting op studiemateriaal. Een klassikale of online voorbereidingscursus is niet verplicht, maar veel kandidaten kiezen er wel voor vanwege het examenniveau. Studiematerialen zijn ook los te bestellen via het ISACA Netherlands Chapter. Werkgevers vergoeden de opleiding bovendien regelmatig als onderdeel van een ontwikkeltraject.
De certificering behouden: CPE en onderhoud
CRISC is geen eenmalig diploma maar een levende certificering. Om de titel te behouden moet je doorlopend aantonen dat je je kennis op peil houdt. Concreet betekent dit dat je ten minste 120 CPE-punten (Continuing Professional Education) per cyclus van drie jaar behaalt, met een minimum van 20 punten per jaar. Daarnaast betaal je de jaarlijkse onderhoudsbijdrage en houd je je aan de ethische gedragscode van ISACA. Houd je je niet aan deze eisen, dan kan de certificering vervallen.
CRISC, DORA en de Nederlandse compliance-praktijk
De CRISC-kennis sluit naadloos aan op de eisen van moderne wet- en regelgeving. De domeinen rond risk assessment en risk response lopen sterk parallel met de risicomanagementverplichtingen uit de DORA-verordening voor de financiële sector en de zorgplicht onder NIS2. Ook bij het opzetten van een managementsysteem voor informatiebeveiliging volgens ISO 27001 staat risicomanagement centraal: de risicobeoordeling vormt daar letterlijk het hart van de norm.
Voor organisaties die deze kaders moeten implementeren is een professional met CRISC een waardevolle aanwinst, omdat de certificering precies de gestructureerde aanpak behandelt die toezichthouders verwachten. Professionals die risk, governance en compliance willen bundelen, oriënteren zich vaak ook op de bredere rol van GRC Manager, waarin CRISC samen met CGEIT regelmatig als pré wordt genoemd.
Op zoek naar een baan in IT Compliance?
Bekijk onze vacatures en vind de perfecte match voor jouw carrière.
Bekijk vacaturesSalaris en carrièreperspectief
CRISC behoort wereldwijd tot de best betaalde IT-certificeringen, en ook op de Nederlandse arbeidsmarkt wordt de kwalificatie goed beloond. De certificering wordt vaak expliciet gevraagd in vacatures voor risk- en GRC-functies. De onderstaande bedragen geven een realistisch beeld van het bruto jaarsalaris in 2026; de exacte beloning hangt af van ervaring, sector en regio.
| Rol | Indicatief bruto jaarsalaris |
|---|---|
| IT Risk Analyst / Officer | € 55.000 - € 80.000 |
| IT Risk Manager | € 75.000 - € 105.000 |
| GRC Manager | € 80.000 - € 120.000 |
| Head of IT Risk / CISO | € 110.000 - € 160.000+ |
Sectoren als finance, energie en overheid betalen gemiddeld beter vanwege strengere compliance-eisen en hogere risico's. Een logisch carrièrepad loopt van IT Risk Analyst, via IT Risk Manager, naar een leidende rol als Head of IT Risk of zelfs CISO. Wie uit de auditwereld komt, vindt in CRISC bovendien een natuurlijke verbreding; lees daarover meer in onze gids over het IT auditor salaris en de bijbehorende doorgroeimogelijkheden.
Is CRISC iets voor jou?
CRISC is bij uitstek geschikt voor professionals die zich willen specialiseren in IT-risicomanagement en die de brug willen slaan tussen techniek, business en compliance. Heb je al enkele jaren ervaring met risicobeoordelingen, controls of GRC en wil je dat aantoonbaar maken? Dan is CRISC een logische en waardevolle stap. De certificering past goed bij (aankomende) risk managers, maar ook bij IT-auditors, security officers en consultants die hun risicoprofiel willen aanscherpen.
Een veelgemaakte fout is het halen van een certificering zonder voldoende praktijkervaring. CRISC is juist ontworpen voor mensen die al middenin de praktijk staan: de grootste waarde ontstaat wanneer je het examenmateriaal kunt koppelen aan risicoanalyses en beheersmaatregelen die je zelf hebt uitgevoerd. Combineer je voorbereiding daarom met betrokkenheid bij risk assessments en rapportages binnen je eigen organisatie. Zo verandert de certificering van een papieren bewijs in een echte versterking van je profiel op de arbeidsmarkt.
Klaar voor een rol in IT Risk & GRC?
Professionals met een CRISC-certificering zijn zeer gevraagd bij organisaties die grip willen krijgen op hun IT-risico's. Bekijk actuele vacatures voor IT Risk Managers en GRC-specialisten in Nederland.
Bekijk Risk Manager vacatures