Wat is Technology Risk?
Technology Risk — in het Nederlands technologierisico of IT-risico — is het vakgebied dat zich bezighoudt met alle risico's die voortkomen uit het gebruik van informatietechnologie. Waar een organisatie vroeger vooral aan financiële en operationele risico's dacht, is technologie inmiddels zó verweven met de bedrijfsvoering dat een storing, datalek of mislukte migratie het hele bedrijf kan platleggen. Technology Risk maakt die risico's expliciet, beoordeelt hoe groot ze zijn en zorgt dat ze beheerst worden.
Concreet gaat het om risico's als:
- Beschikbaarheid en continuïteit — uitval van systemen, datacenters of clouddiensten en het vermogen om daarvan te herstellen.
- Integriteit en vertrouwelijkheid — datalekken, ongeautoriseerde toegang, manipulatie van gegevens en cyberaanvallen.
- Verandering en projecten — fouten bij IT-changes, releases, migraties en grote transformatieprogramma's.
- Cloud, AI en opkomende technologie — nieuwe risico's die met cloud en kunstmatige intelligentie meekomen.
- Derde partijen en de keten — afhankelijkheid van IT-leveranciers en uitbestede dienstverlening (third party risk).
- Compliance — het niet voldoen aan wet- en regelgeving en interne normen.
Een Technology Risk-professional doorloopt voor deze risico's steeds dezelfde cyclus: identificeren, beoordelen, behandelen, monitoren en rapporteren. Het doel is dat het bestuur aantoonbaar "in control" is over de technologie waarop de organisatie draait.
Waarom Technology Risk nu een eigen vakgebied is
Technologierisico bestond altijd al, maar werd lange tijd verdeeld over de IT-afdeling, de auditor en de risicomanager. Dat de discipline nu als zelfstandig vakgebied wordt erkend — met eigen functietitels en afdelingen — heeft een aantal duidelijke oorzaken:
- Strengere regelgeving. De DORA-verordening verplicht financiële instellingen aantoonbaar weerbaar te zijn tegen ICT-verstoringen, en de NIS2-richtlijn en de Cyberbeveiligingswet leggen de eindverantwoordelijkheid voor digitale weerbaarheid expliciet bij het bestuur. Beide vragen om een gestructureerd technologierisicobeheer.
- Toenemende afhankelijkheid van IT-leveranciers. Cloud, SaaS en uitbestede dienstverlening maken organisaties afhankelijk van partijen die ze niet zelf beheren. Het beoordelen van dat leveranciersrisico is een vak apart geworden.
- Cyberdreiging en complexiteit. Ransomware, supply chain-aanvallen en een groeiend aanvalsoppervlak maken IT-risico tot een bestuurlijk onderwerp in plaats van een technisch detail.
- Opkomst van AI. Met de AI Act en de norm ISO 42001 ontstaat een nieuwe categorie technologierisico's rond modellen, data en geautomatiseerde besluitvorming.
Het gevolg op de arbeidsmarkt is goed zichtbaar: naast de klassieke IT-auditor verschijnen functietitels als Technology Risk Consultant, Cyber & IT Risk Manager en Technology Risk Assurance Manager — precies de rollen die advieskantoren en grote organisaties vandaag actief werven.
Technology Risk versus aangrenzende vakgebieden
De meeste verwarring ontstaat doordat Technology Risk overlapt met IT-audit, informatiebeveiliging en algemeen risicomanagement. Ze zijn nauw verwant, maar hebben elk een eigen invalshoek.
| Vakgebied | Kernvraag | Positie |
|---|---|---|
| Technology Risk | Welke technologierisico's loopt de organisatie en hoe beheersen we ze? | Vooral tweede lijn (en advies/assurance) |
| IT-audit | Werken de beheersmaatregelen aantoonbaar zoals bedoeld? | Derde lijn of externe assurance |
| Informatiebeveiliging | Hoe beschermen we de vertrouwelijkheid, integriteit en beschikbaarheid? | Eerste en tweede lijn |
| Operationeel risicomanagement | Welke operationele risico's bedreigen de doelen, inclusief IT? | Tweede lijn |
Kort gezegd: informatiebeveiliging bouwt en beheert de maatregelen, Technology Risk beoordeelt en stuurt op het risico dat overblijft, en IT-audit toetst onafhankelijk of het geheel werkt. In de praktijk lopen mensen geregeld tussen deze vakgebieden door — een carrière die start in de IT-audit eindigt vaak in een bredere Technology Risk- of IT Risk Officer-rol.
De rollen binnen Technology Risk
Technology Risk is geen losse functie maar een heel spectrum aan rollen. Hieronder lopen we ze langs, van instapfunctie tot eindverantwoordelijke. Titels verschillen per werkgever, maar dit is het palet dat je in de vacatures tegenkomt.
1. Technology Risk Analyst & Consultant — de instap
De Technology Risk Analyst of Technology Risk Consultant is voor velen de toegangspoort tot het vakgebied. Je ondersteunt risicoanalyses, test beheersmaatregelen, brengt IT-processen in kaart en stelt rapportages op. Bij advieskantoren heet deze rol vaak (Junior) Consultant Technology Risk of Associate Technology Risk Assurance; in-house spreekt men eerder van IT Risk Analyst. Het is een uitstekende leerschool, omdat je in korte tijd veel verschillende organisaties en risico's van binnenuit ziet.
2. De IT-auditor binnen Technology Risk Assurance
Veel IT-auditfuncties vallen organisatorisch onder een Technology Risk- of Risk Assurance-praktijk. De (senior) IT-auditor toetst IT general controls, applicatiecontroles en beheersmaatregelen, vaak in het kader van de jaarrekeningcontrole, een SOC-rapportage of een ISAE 3402-traject. In de vacatures zie je dit terug als Technology Risk Assurance, Risk & Controls Assurance en IT Audit & Assurance.
3. De IT Risk Officer & IT Risk Manager — de tweede lijn
De IT Risk Officer en IT Risk Manager vormen het hart van de in-house tweede lijn. Zij onderhouden het IT-risicoregister, voeren risicoanalyses uit op systemen en projecten, stellen risk appetite en normenkaders op en adviseren de business hoe risico's te beheersen. Waar de auditor achteraf toetst, stuurt de risk officer continu en vooraf. Werkgevers werven deze rol als IT Risk Officer, Information Security Risk Specialist en Technology Risk Manager.
4. De Cyber & IT Risk Manager — specialisatie cyber
Door de toenemende dreiging ontstaat een gespecialiseerde tak die technologierisico vanuit een cyberinvalshoek benadert. De Cyber & IT Risk Manager beoordeelt de weerbaarheid tegen aanvallen, stuurt op cyberrisico's en vertaalt dreigingsinformatie naar bestuurlijke beslissingen. In de vacatures herken je dit als Manager Cyber & IT Risk, Cybersecurity GRC Manager en Senior Manager Cyber Security & Privacy — functies die vooral bij banken, verzekeraars en advieskantoren veel voorkomen.
5. De Technology Risk Assurance Manager — leiding bij advies
Aan de advieskant groeit de consultant door naar (Assistant) Manager Technology Risk Assurance en daarna manager of senior manager. In deze rol leid je opdrachtteams, ben je het aanspreekpunt voor de klant, bewaak je kwaliteit en commercie en vertaal je bevindingen naar de directie van de klant. Vacatures als Assistant Manager, Technology Risk Assurance, Manager IT Audit — Technology Risk Services en IT Controls, Risk & Audit Assurance Manager horen hierbij.
6. De specialist derde-partijen- en ICT-leveranciersrisico
Mede door DORA is het beoordelen van risico's bij IT-leveranciers uitgegroeid tot een eigen specialisme. Deze professional beoordeelt cloud- en uitbestedingscontracten, voert leveranciersbeoordelingen uit en bewaakt het register van uitbestede dienstverlening. Het sluit nauw aan op Third Party Risk Management en komt terug in rollen als Third Party Risk Specialist en ICT Vendor Risk Manager.
7. Head of Technology Risk & Technology Risk Director — de top
Aan de top staat de Head of Technology Risk of Technology Risk Director, die het hele technologierisicobeheer aanstuurt, de strategie bepaalt en aan het bestuur en toezichthouders rapporteert. In financiële instellingen valt deze rol vaak onder de Chief Risk Officer (CRO). Het is een logisch eindstation voor wie via audit, risk of security is doorgegroeid — en grenst aan rollen als IT Audit Manager en CISO.
Op zoek naar een rol in Technology Risk?
Of je nu Technology Risk Analyst, IT Risk Officer, Cyber & IT Risk Manager of Technology Risk Assurance Manager wilt worden — op IT Compliance Jobs vind je de nieuwste vacatures in IT-risk, audit en assurance bij banken, verzekeraars, overheden en toonaangevende advieskantoren.
Bekijk alle Risk Management-vacaturesTwee werelden: consultancy versus de in-house tweede lijn
Een belangrijk onderscheid in dit vakgebied is wáár je werkt. Technology Risk-professionals zitten grofweg in twee kampen:
- Advies en assurance. Bij accountants- en advieskantoren — de Big Four en gespecialiseerde bureaus — werk je projectmatig voor wisselende klanten onder noemers als Technology Risk, Technology Risk Assurance of Technology Risk Services. Je ziet veel organisaties, bouwt snel ervaring op en werkt richting een titel als manager of director. Dit is voor veel mensen de springplank.
- In-house tweede lijn. Bij banken, verzekeraars, energiebedrijven, overheden en grote corporates zit je in een vaste risk- of securityafdeling. Je bent dieper betrokken bij één organisatie, werkt langduriger aan dezelfde risico's en stuurt mee op strategische keuzes. Veel professionals maken na enkele jaren consultancy juist de overstap naar deze kant.
Beide kanten waarderen dezelfde basis — risicodenken, kennis van IT-controls en goede communicatie — en het is heel gangbaar om in de loop van je carrière tussen consultancy en de in-house tweede lijn te wisselen.
Waar in het Three Lines Model zit Technology Risk?
Technology Risk laat zich goed plaatsen in het Three Lines Model, het model dat verantwoordelijkheden voor risicobeheersing verdeelt over drie lijnen:
- Eerste lijn: de IT- en businessafdelingen die de risico's nemen en de maatregelen zelf bouwen en beheren.
- Tweede lijn: de Technology Risk-functie zelf — IT Risk Officers en risk managers die kaders stellen, risico's beoordelen en de eerste lijn uitdagen en adviseren. Dit is het zwaartepunt van het vakgebied.
- Derde lijn: de onafhankelijke interne IT-auditor, die toetst of de eerste én tweede lijn hun werk goed doen.
Externe Technology Risk Assurance — de advieskant — staat hier formeel buiten en levert onafhankelijke zekerheid aan opdrachtgevers en toezichthouders. Wie het model goed begrijpt, snapt meteen waarom een risk officer en een auditor nooit dezelfde maatregel mogen beoordelen vanuit dezelfde pet: dat zou de functiescheiding en onafhankelijkheid ondermijnen.
De raamwerken achter Technology Risk
Technology Risk leunt op een aantal internationale raamwerken en normen. Je hoeft ze niet allemaal uit je hoofd te kennen, maar herkenning ervan is in vrijwel elke vacature een pre:
- COBIT — het toonaangevende governance- en beheersingsraamwerk voor enterprise-IT, veel gebruikt als basis voor IT-risicobeheersing.
- ISO 27005 — de norm specifiek voor informatiebeveiligingsrisicomanagement, complementair aan ISO 27001.
- NIST Cybersecurity Framework — een breed gehanteerd raamwerk om cyberrisico's te identificeren, beschermen, detecteren en herstellen.
- COSO ERM — het overkoepelende raamwerk voor enterprise risk management waarin technologierisico zijn plek krijgt.
- DORA en NIS2 — de wettelijke kaders die concrete eisen stellen aan digitale weerbaarheid en ICT-risicobeheer.
Certificeringen voor Technology Risk
Welke certificering past, hangt af van de kant die je op wilt. De meest gevraagde in de vacatures:
- CRISC (Certified in Risk and Information Systems Control) — de meest gerichte certificering voor Technology Risk en IT-risicomanagement.
- CISA (Certified Information Systems Auditor) — toonaangevend voor de audit- en assurancekant van het vakgebied.
- CISM (Certified Information Security Manager) — sterk bij de cyber- en securitykant van technologierisico.
- CISSP — breed gewaardeerd en handig wanneer je richting cybersecurity en architectuur beweegt.
- RE (Register EDP-auditor) — de Nederlandse postdoctorale opleiding tot EDP-auditor, het zwaargewicht voor wie de auditkant in wil.
Wat verdient een Technology Risk-professional?
Salarissen lopen sterk uiteen, afhankelijk van ervaring, sector en of je aan de advies- of in-house kant zit. Onderstaande bandbreedtes geven een indicatie voor Nederland in 2026 (bruto jaarsalaris, exclusief bonussen):
| Rol | Niveau | Indicatie salaris |
|---|---|---|
| Technology Risk Analyst / Consultant | Instap | €38.000 – €50.000 |
| IT Risk Officer / Technology Risk Consultant | Medior | €60.000 – €85.000 |
| Cyber & IT Risk Manager / Assurance Manager | Senior / management | €85.000 – €120.000 |
| Head of Technology Risk / Director | Leiding | €130.000+ |
Financiële instellingen en de Big Four betalen doorgaans bovengemiddeld, en zelfstandige professionals hanteren dagtarieven die bij schaarste flink kunnen oplopen. Vergelijk dit eventueel met het IT-auditorsalaris en het CISO-salaris in Nederland.
Wat dit betekent voor jouw carrière
Technology Risk is een van de meest veelzijdige loopbaanpaden binnen IT-compliance, juist omdat het meerdere rollen verbindt. Een typisch pad ziet er zo uit:
- Instappen: als Technology Risk Analyst, junior IT-auditor of consultant bij een advieskantoor of in een risk-traineeship.
- Specialiseren: richting de audit- en assurancekant (IT-auditor, RE), de cyberkant (security en cyberrisk) of de governancekant (IT Risk Officer, GRC).
- Doorgroeien: via manager en senior manager naar Head of Technology Risk, of door te schuiven naar verwante toprollen als IT Audit Manager, CISO of Chief Risk Officer.
De grote kracht van het vakgebied is overdraagbaarheid: wie leert technologierisico te beoordelen, kan dat in vrijwel elke sector en in zowel advies- als in-house functies inzetten. Bekijk de actuele Risk Management-vacatures en IT-auditvacatures om te zien welke Technology Risk-rollen werkgevers vandaag aanbieden.