Wat is het Three Lines Model?
Het Three Lines Model is een raamwerk van het Institute of Internal Auditors (IIA) dat beschrijft hoe een organisatie haar governance, risicobeheersing en interne controle kan organiseren. Het verdeelt de rollen rond risico over drie "lijnen", die elk een eigen verantwoordelijkheid hebben maar nadrukkelijk met elkaar samenwerken. Het doel is simpel: zorgen dat een organisatie haar risico's beheerst zónder dat taken dubbel worden gedaan of juist tussen wal en schip vallen.
De kracht van het model zit in de heldere scheiding van verantwoordelijkheden. De mensen die de risico's nemen en beheersen, de mensen die daarop toezien en adviseren, en de mensen die onafhankelijk vaststellen of het geheel werkt, zijn niet dezelfde personen. Die functiescheiding is precies waarom veel van de rollen die je in securityvacatures en auditvacatures tegenkomt, naast elkaar bestaan.
Van "Three Lines of Defence" naar "Three Lines Model"
Het model is niet nieuw, maar wel vernieuwd. In juli 2020 actualiseerde het IIA het bekende Three Lines of Defence-model tot het Three Lines Model. De belangrijkste verandering is meer dan een naamswijziging:
- "Defence" is geschrapt. Het oude woord wekte de indruk dat risicobeheersing alleen over verdedigen en blokkeren gaat. Het nieuwe model benadrukt dat governance ook draait om het creëren én beschermen van waarde — kansen pakken hoort er net zo goed bij.
- Minder harkmodel, meer samenwerking. Waar de oude versie de lijnen vrij rigide scheidde, legt het nieuwe model de nadruk op afstemming, coördinatie en communicatie tussen de lijnen.
- Principegericht in plaats van voorschrijvend. Het model geeft principes en laat organisaties vrij in hoe ze die precies invullen, passend bij hun omvang en context.
Inhoudelijk zijn de drie lijnen — uitvoering, risk/compliance en interne audit — grotendeels hetzelfde gebleven. In de praktijk gebruiken veel professionals de termen "Three Lines of Defence" en "Three Lines Model" nog door elkaar.
De eerste lijn: eigenaar van het risico
De eerste lijn bestaat uit het management en de operationele teams die het werk daadwerkelijk doen. Zij bezitten de risico's en zijn er ook verantwoordelijk voor om die te beheersen. Een IT-afdeling die toegangsrechten inricht, een ontwikkelteam dat veilige software bouwt of een proceseigenaar die controles uitvoert: dat is allemaal eerste lijn.
In de eerste lijn vind je rollen die dicht op de uitvoering zitten. Denk aan systeembeheerders, DevOps-engineers, security engineers en proceseigenaren. Ook een deel van de securityrollen hoort hier thuis, bijvoorbeeld een operational security officer of een security engineer die zelf maatregelen implementeert en beheert. Het kernpunt: de eerste lijn maakt risicobeheersing concreet in het dagelijks werk.
De tweede lijn: toezicht, advies en uitdaging
De tweede lijn ondersteunt en bewaakt de eerste lijn. Deze functies bezitten de risico's niet zelf, maar zorgen ervoor dat de eerste lijn ze goed beheerst: ze stellen beleid en kaders op, adviseren, monitoren en dagen de business uit (het zogeheten challengen). Ze rapporteren over de risicopositie aan het management en het bestuur.
Dit is de lijn waar veel van de bekende IT-compliancefuncties thuishoren. In de vacatures op ons platform zie je ze volop terug:
- de Information Security Officer (ISO) die het beveiligingsbeleid bewaakt en de organisatie adviseert;
- de IT risk officer of information security risk specialist die risico's identificeert, weegt en rapporteert;
- de compliance officer en risk & compliance manager die naleving van wet- en regelgeving bewaken;
- de privacy officer die toeziet op de naleving van de AVG;
- de GRC-manager die governance, risk en compliance bij elkaar brengt.
De tweede lijn heeft een onafhankelijke blik ten opzichte van de business, maar is er nog wel onderdeel van: deze functies vallen doorgaans onder het management. Dat onderscheidt ze van de derde lijn.
De derde lijn: onafhankelijke zekerheid
De derde lijn is de interne auditfunctie. Die geeft het bestuur en het audit committee onafhankelijke en objectieve zekerheid (assurance) over de vraag of de governance, het risicomanagement en de interne controle van de eerste én tweede lijn daadwerkelijk werken. De interne auditor onderzoekt, toetst en rapporteert — maar ontwerpt of beheert zelf géén maatregelen.
Hier zit de IT-auditor: van de junior IT-auditor tot de IT audit manager en de internal IT auditor. Cruciaal is de onafhankelijkheid: de interne auditfunctie rapporteert rechtstreeks aan het bestuur of het audit committee, niet aan het management dat zij beoordeelt. Zou de auditor zelf controles inrichten of in de tweede lijn meewerken, dan verliest zijn oordeel zijn waarde. Daarom is de derde lijn strikt gescheiden van de eerste en de tweede.
Op zoek naar een rol in IT-governance, risk of compliance?
Of je nu in de eerste, tweede of derde lijn thuishoort — van Information Security Officer en IT risk officer tot compliance officer en IT-auditor: op IT Compliance Jobs vind je de nieuwste vacatures bij toonaangevende organisaties en advieskantoren.
Bekijk alle vacaturesDe drie lijnen en hun rollen in één overzicht
Zet je de lijnen naast elkaar, dan valt de rolverdeling op zijn plek. De business neemt en beheerst risico's, risk en compliance houden toezicht en adviseren, en interne audit toetst onafhankelijk of het geheel klopt.
| Lijn | Rol in het model | Typische functies | Rapporteert aan |
|---|---|---|---|
| Eerste lijn | Eigenaar van de risico's; beheerst ze in het dagelijks werk | Management, security engineer, operational security officer, proceseigenaar | Lijnmanagement / directie |
| Tweede lijn | Toezicht, kaders, advies en uitdaging op risico's | Information Security Officer, IT risk officer, compliance officer, privacy officer, GRC-manager | Management / directie |
| Derde lijn | Onafhankelijke zekerheid over werking van lijn 1 en 2 | (IT-)auditor, internal auditor, IT audit manager | Audit committee / bestuur |
Daarnaast spreekt het IIA over het governing body (het bestuur of de raad van commissarissen) dat boven de drie lijnen staat en eindverantwoordelijk is, en over externe assuranceproviders zoals de externe accountant, die soms als "vierde lijn" worden aangeduid.
Waar zit de Information Security Officer nu precies?
Een veelgestelde vraag — en een waar zelfs ervaren professionals over discussiëren. Het antwoord: dat hangt af van de invulling. Werkt de ISO actief mee aan het opzetten en beheren van beveiligingsmaatregelen, dan zit hij of zij in de eerste lijn. Houdt de ISO vooral toezicht op het beleid, adviseert en challenged hij of zij de business, dan past de rol in de tweede lijn.
In de praktijk balanceert de ISO vaak op de grens tussen die twee. Belangrijk is vooral wat de rol niet mag zijn: de ISO hoort niet in de onafhankelijke derde lijn. In de vacatures zie je dit terug in titels als Security Officer, Adviseur Informatiebeveiliging en Coördinator Informatiebeveiliging — allemaal varianten die zich rond de eerste en tweede lijn bevinden. Wil je dieper in deze rollen duiken, lees dan onze gids over het verschil tussen CISO, ISO, BISO en TISO.
Waarom werkgevers steeds vaker volgens dit model organiseren
Het Three Lines Model is niet zomaar een theoretisch plaatje. Voor steeds meer organisaties is het de manier om aantoonbaar "in control" te zijn — iets wat toezichthouders en wetgeving nadrukkelijk eisen. Drie ontwikkelingen versterken dat:
- Wet- en regelgeving. De NIS2-richtlijn en de Cyberbeveiligingswet en, voor de financiële sector, de DORA-verordening leggen de eindverantwoordelijkheid voor digitale risico's expliciet bij het bestuur. Het Three Lines Model biedt een herkenbare structuur om die verantwoordelijkheid te beleggen.
- Normen en certificeringen. Een ISO 27001-certificering veronderstelt een duidelijke rolverdeling tussen wie maatregelen uitvoert, wie toeziet en wie onafhankelijk toetst.
- Toenemende complexiteit. Naarmate IT-landschappen en risico's complexer worden, kan één persoon of afdeling het niet meer overzien. Het model verdeelt de last logisch.
Het gevolg op de arbeidsmarkt: werkgevers zoeken niet langer "iemand die security doet", maar specifieke rollen op specifieke posities in dit model. Dat verklaart de groei van het aantal verschillende functietitels in IT-compliancevacatures.
Wat het Three Lines Model betekent voor jouw carrière
Het model is ook een handige kaart voor je loopbaan. Het laat zien hoe rollen zich tot elkaar verhouden — en hoe je kunt schakelen tussen lijnen:
- Van eerste naar tweede lijn: veel security engineers en IT'ers groeien door naar een toezichthoudende of adviserende rol als ISO, IT risk officer of GRC-manager.
- Binnen de tweede lijn specialiseren: richting privacy (privacy officer), risk (IT risk officer) of compliance (compliance officer), afhankelijk van waar je energie van krijgt.
- Naar de derde lijn: wie het leuk vindt om onafhankelijk te onderzoeken en te oordelen, beweegt richting de IT-auditor. Bekijk ook het bijbehorende IT-auditor salaris.
Omdat de lijnen samenwerken, is begrip van het hele model een onderscheidende vaardigheid. Een professional die snapt waar zijn of haar rol stopt en die van een ander begint — en hoe ze elkaar versterken — is veel effectiever dan iemand die alleen de eigen takenlijst kent.
Certificeringen per lijn
Voor wie zich in een bepaalde lijn wil verdiepen, sluiten verschillende certificeringen aan:
- Tweede lijn (risk & security): de CRISC (Certified in Risk and Information Systems Control) past goed bij de IT risk officer; voor securitymanagement is CISM een logische keuze.
- Derde lijn (audit): de CISA (Certified Information Systems Auditor) is de gouden standaard voor IT-auditors, naast het Nederlandse RE-pad van NOREA.
- Tweede lijn (privacy): voor privacyrollen zijn de IAPP-certificeringen zoals CIPP/E en CIPM toonaangevend.
Welke lijn ook bij je past: organisaties willen professionals die hun rol begrijpen binnen het grotere geheel van governance en risicobeheersing. Houd er rekening mee dat het bestuur uiteindelijk eindverantwoordelijk blijft — iets wat de juridische positie van de CISO en andere security-rollen steeds zwaarder maakt. Bekijk de actuele IT-compliancevacatures om te zien welke rollen werkgevers vandaag in welke lijn zoeken.