NIST AI RMF vs de EU AI-wet: Een praktische crosswalk
Het NIST AI Risk Management Framework is een vrijwillig Amerikaans kader gebouwd rond vier functies — GOVERN, MAP, MEASURE en MANAGE. De EU AI-wet is bindende, risicogeclassificeerde EU-wetgeving. De NIST-functies kaarten schoon op veel EU AI-wet-verplichtingen, waardoor het kader een excellent operatiemodel voor conformiteit is — maar het volgen ervan voldoet op zichzelf niet aan je EU-wettelijke plichten. Hier is de crosswalk.
NIST AI RMF vs de EU AI-wet: Een praktische crosswalk
Het NIST AI Risk Management Framework is een vrijwillig Amerikaans kader gebouwd rond vier functies — GOVERN, MAP, MEASURE en MANAGE. De EU AI-wet is bindende, risicogeclassificeerde EU-wetgeving. De NIST-functies kaarten schoon op veel EU AI-wet-verplichtingen, waardoor het kader een excellent operatiemodel voor conformiteit is — maar het volgen ervan voldoet op zichzelf niet aan je EU-wettelijke plichten. Hier is de crosswalk.
Laatst bijgewerkt: 4 juli 2026
Wat elk ervan is
Een vrijwillig kader en een bindende wet, ontworpen voor verschillende doeleinden:
- Het NIST AI RMF (AI 100-1, uitgegeven in januari 2023) is een vrijwillig kader van het Amerikaanse National Institute of Standards and Technology. Het helpt organisaties AI-risico's te beheren via vier functies en is ontworpen om flexibel, sectoragnostisch en niet-prescriptief te zijn. Er is geen certificering en geen wettelijke verplichting om het te gebruiken.
- De EU AI-wet (Verordening (EU) 2024/1689) is rechtstreeks toepasselijke EU-wetgeving. Het sorteert AI-systemen in risicoklassen en legt concrete, afdwingbare verplichtingen op aanbieders en deployers, ondersteund door boetes.
- Het NIST RMF vertelt je hoe je risicobeheer moet organiseren; de EU AI-wet vertelt je wat je moet doen en bewijzen voor specifieke systemen.
Vrijwillig kader vs bindende wet: De vier functies
De vier functies van het RMF vormen een continue cyclus. Het begrijpen van elk is de sleutel tot de crosswalk:
- GOVERN — overkoepelende cultuur, beleid, rollen en verantwoordelijkheid voor AI-risico's. Het ondersteunt de andere drie functies.
- MAP — stel context in en categoriseer het AI-systeem: zijn doel, zijn setting en de risico's die daaruit voortkomen.
- MEASURE — analyseer, beoordeel, benchmark en monitor AI-risico's met behulp van kwantitatieve en kwalitatieve methoden.
- MANAGE — prioriteer en handel risico's af: wijs middelen toe, reageer, herstel en documenteer beslissingen over de levenscyclus van het systeem.
Crosswalk: NIST-functies naar EU AI-wet-verplichtingen
Waar elke NIST-functie de werkzaamheden doet die de EU AI-wet vereist. Gebruik deze om bestaand RMF-bewijs te hergebruiken tegen EU-artikel-specifieke plichten:
- GOVERN → Artikel 17 (kwaliteitsmanagementsysteem) en organisatorische verantwoordelijkheid — het governance-laag dat de EU AI-wet verwacht achter elk hoogrisicosysteem.
- MAP → Artikel 9 (risicoidentificatie en beoogd doel) en Artikel 13 (transparantie over beoogd gebruik, capaciteiten en beperkingen voor deployers).
- MEASURE → Artikel 9 (risicoanalyse en -evaluatie) en Artikel 15 (nauwkeurigheid, robustheid en cybersecuritytesten en -metrieken).
- MANAGE → Artikel 9 (risicobeheer en -mitigatie), Artikel 12 (record-keeping/logging van operatie), en Artikel 14 (menselijke toezicht en interventie).
- Documentatie over alle vier functies → Artikel 11 en Bijlage IV (technische documentatie) — de RMF-nadruk op documenteren van beslissingen kaart op de Act-documentatieplichten.
Dit is een directionele crosswalk om gap-analyse te ondersteunen, geen officiële equivalentietabel. NIST publiceert zijn eigen crosswalks tussen het AI RMF en andere kaders; behandel deze mapping als een startpunt, dan bevestig je elk EU-artikel-specifiek bewijs voor elk systeem in het kader.
Waar NIST RMF stopt en EU-wetgeving begint
Het RMF ondersteunt EU AI-wet-werk, maar vervult het nooit. Houd deze grenzen duidelijk:
- Geen wettelijke werking. Het RMF is vrijwillige Amerikaanse richtlijnen; het creëert geen rechten of verplichtingen onder EU-wetgeving en kan niet worden aangehaald als conformiteit.
- Geen conformiteitsroute. Het volgen van het RMF produceert geen CE-markering, conformiteitsbeoordeling, EU-databaseregistratie of een EU-geautoriseerde vertegenwoordiger — allemaal vereist door de EU AI-wet voor hoogrisicosystemen.
- Systeemspecifiek bewijs is nog steeds nodig. Het RMF is bewust flexibel; de EU AI-wet is prescriptief. Je moet nog steeds artikel-specifiek bewijs produceren (Artikelen 9–15) voor elk specifiek hoogrisicosysteem, niet een algemeen risicopostuur.
- Veronderstelling van conformiteit komt van EU-standaarden. Alleen geharmoniseerde Europese standaarden — niet het NIST RMF — kunnen een veronderstelling van conformiteit onder de wet geven.
Hoe AIAgentree helpt
AIAgentree produceert de traceerbare records die zowel de NIST MEASURE- en MANAGE-functies als de EU AI-wet logging- en toezichtsplichten ondersteunen — dezelfde onderliggende gegevens die beide modellen bedienen (AIAgentree is niet NIST- of EU-AI-wet-'gecertificeerd'; het genereert het bewijs):
- Tamper-evidente beslissingsrecords vangen elke agentbeslissing en zijn uitkomst — het operationele bewijs dat MANAGE vereist en het record-keeping Artikel 12 vereist — met precedentzoek en uitkomstvolging zodat risicotrends meetbaar zijn (MEASURE).
- Menselijke toezicht- en goedkeuringsworkflows loggen wie een beslissing heeft beoordeeld, overschreden of goedgekeurd en waarom — rechtstreeks bewijs van MANAGE's responsstap en Artikel 14 menselijke toezicht.
- Python- en TypeScript-SDK's plus REST, MCP, A2A en OpenTelemetry-interfaces voeden dit bewijs in je bestaande RMF-programma, GRC of SIEM-hulpmiddelen. EU-gegevensresidencie in Duitsland, audit-fit retentie (minstens 6 maanden), sub-10ms asynchrone capture en een 25-trace gratis laag om te starten. (SOC 2 is in uitvoering.)
Veelgestelde vragen
Maakt het gebruik van de NIST AI RMF me EU AI Act-conform?
Nee. De NIST AI RMF is vrijwillige Amerikaanse richtlijn met geen juridische kracht in de EU. Het is een uitstekend operationeel model — de vier functies komen goed overeen met de verplichtingen van de EU AI Act — maar het levert geen conformiteitsbeoordeling, CE-markering, EU-databaseregistratie of artikel-niveau-bewijs dat de wet vereist. Het ondersteunt compliance-werk; het voldoet er niet aan.
Hoe komen de vier NIST-functies overeen met de EU AI Act?
GOVERN komt overeen met de verwachtingen van de wet met betrekking tot kwaliteitsbeheer en aansprakelijkheid (Artikel 17). MAP komt overeen met risicoidentificatie en transparantie over het beoogde gebruik (Artikelen 9 en 13). MEASURE komt overeen met risicoanalyse en de taken met betrekking tot nauwkeurigheid/robustheid/cyberbeveiliging (Artikelen 9 en 15). MANAGE komt overeen met risicobehandeling, logging en menselijke toezicht (Artikelen 9, 12 en 14). Documentatie over alle vier ondersteunt Artikel 11 en Bijlage IV.
Is de NIST AI RMF verplicht?
Nee. De RMF is vrijwillig voor organisaties. Sommige Amerikaanse federale agentschappen worden geïnstrueerd om NIST-richtlijnen te gebruiken, maar voor de meeste bedrijven is het een aangenomen beste praktijk in plaats van een wettelijke vereiste. De EU AI Act is daarentegen verplichte wet waar deze van toepassing is.
Kan ik mijn NIST AI RMF-werk hergebruiken voor de EU AI Act?
Ja — dat is de praktische waarde van de crosswalk. Risicobeoordelingen (MAP/MEASURE), governance-artefacten (GOVERN), mitigatie- en monitoringrecords (MANAGE) en de documentatie die de RMF aanmoedigt, kunnen allemaal worden hergebruikt als bewijs tegen EU AI Act-artikelen 9-15 en 17. U voegt dan de EU-specifieke, systeemniveau-verplichtingen toe die de RMF niet dekt.
Wat is beter, NIST AI RMF of de EU AI Act?
Ze zijn geen alternatieven. De NIST AI RMF is een vrijwillig kader voor het beheer van AI-risico; de EU AI Act is bindende wet die definieert wat u moet doen voor specifieke systemen. Als u in de EU opereert of deze bedient, is de wet niet optioneel — en de RMF is een van de meest effectieve manieren om de werkzaamheden te organiseren die nodig zijn om hieraan te voldoen.
Ga verder met het verkennen van de EU AI Act-gids
EU AI Act-nalevingsgids
De complete gids voor EU AI Act-naleving voor AI-agents — start hier.
Artikel 12 — Record-keeping & Logging
Wat elk hoogrisico AI-systeem moet loggen en hoe je het vastlegt.
Artikel 14 — Menselijke toezicht
Het ontwerpen van effectieve menselijke controles in de lus voor AI-beslissingen.
Bijlage III — Hoogrisico AI-systemen
Welke AI-gebruiksgevallen de wet classificeert als hoogrisico.
EU AI Act-nalevingscontrolelijst
Een stap-voor-stap controlelijst om naleving te bereiken en te documenteren.
Nalevingskostenberekenaar
Schat uw EU AI Act-nalevingsinspanning en -kosten.
Deadline & Tijdlijn
Belangrijke handhavingsdata, inclusief de deadline van 2 augustus 2026.
Boetes & Sancties
Boetetarieven tot €35M of 7% van de wereldwijde jaarlijkse omzet.
Transparantieverplichtingen (Art. 13 & 50)
Openbaarmakingsplichten voor AI-systemen en hun uitvoer.
Risicobeheer & Conformiteitsbeoordeling
Bouw een risicobeheersysteem en beoordeel de conformiteit.
GPAI-verplichtingen
Regels voor aanbieders van algemene AI-modellen.
EU AI Act voor Amerikaanse bedrijven
Extraterritoriale reikwijdte en wat Amerikaanse aanbieders moeten doen.
Omnibus-update
De laatste wijzigingen in de EU AI Act-tijdlijn en -regels.
BoetecalcULATOR
Schat uw maximale boete onder de artikel 99-tarieven.
Artikel 11 + Bijlage IV
Welke technische documentatie de EU AI-wet vereist.
Artikel 26: Verplichtingen van de implementer
Wat implementers van high-risk AI moeten doen, inclusief logretentie.
Artikel 17: Kwaliteitsbeheer
Het QMS dat aanbieders van high-risk AI moeten documenteren.
Artikel 10: Gegevensbeheer
Gegevenskwaliteit, mitigatie van vooringenomenheid en beheerstaken.
Artikel 4: AI-geletterdheid
De AI-geletterdheidsverplichting voor het personeel die sinds februari 2025 van kracht is.
Implementer vs Aanbieder
Wie draagt welke verplichting — en wanneer een implementer een aanbieder wordt.
FRIA (Artikel 27)
Wie een Fundamental Rights Impact Assessment moet uitvoeren, en hoe.
Wie Valt Hier Onder?
Reikwijdte, exploitanten en de extraterritoriale reikwijdte van de EU AI-wet.
Nasmarkttoezicht
Artikelen 72–73: voortdurend toezicht en incidentenrapportage.
ISO 42001 vs EU AI-wet
Hoe de vrijwillige norm en de bindende wet samenhangen.
EU AI-wet voor de Gezondheidszorg
High-risk medische AI, MDR/IVDR-interactie en clinici-toezicht.
EU AI-wet voor Financiële Diensten
Credit scoring, verzekeringsprijzen en bestaande financiële regelgeving.
EU AI-wet voor HR & Werkgelegenheid
Het aannemen van AI als high-risk, plus NYC LL144 en EEOC-overlapping.