AI Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Compliance-platform Samenwerken LinkedIn NL·EN·DE
Analyse

De Amerikaanse financiële sector schrijft zijn eigen AI-regelboek: het FS AI RMF en zijn 230 control objectives

Vastgesteld 2026-06-20 · ≈ 3 min lezen · Dirk Baaijen

Op 12 februari 2026 lanceerden het Cyber Risk Institute en de Financial Services Sector Coordinating Council het Financial Services AI Risk Management Framework — 230 control objectives die het NIST AI RMF aanpassen voor banken en verzekeraars. Het is sectorgedragen en vrijwillig, geen wetgeving.

Op 12 februari 2026 lanceerden het Cyber Risk Institute (CRI) en de Financial Services Sector Coordinating Council (FSSCC) het Financial Services AI Risk Management Framework (FS AI RMF) — een sectorspecifiek kader, gebouwd door ruim 100 financiële instellingen, om banken, verzekeraars en marktpartijen te helpen hun gebruik van kunstmatige intelligentie te beheersen. De kern is een catalogus van 230 control objectives, geordend over de levenscyclus van AI-adoptie.

Dit is geen wet en geen verordening. Geen toezichthouder vaardigde het uit en geen wettekst schraagt het; het is een sectorgedragen instrument dat instellingen naar eigen inzicht overnemen. Zijn gezag is van dezelfde soort als dat van de sound practices van de FSB en het NIST-kader: het werkt doordat het de referentie wordt waar toezichthouders, auditors en tegenpartijen naartoe convergeren, niet doordat het naleving afdwingt.

Waar het vandaan komt

Het kader is tot dusver het meest substantiële product van de AI Executive Oversight Group (AIEOG), een publiek-privaat orgaan dat de FSSCC eind 2024 oprichtte samen met Treasury's Financial and Banking Information Infrastructure Committee (FBIIC). De AIEOG vertaalt de AI-zorgen van de sector — fraude, modelrisico, uitlegbaarheid, derdenconcentratie — naar gedeelde, operationele richtsnoeren. In de eerste maanden van 2026 leverde zij een reeks producten op: een AI-Lexicon en werk rond identiteit en authenticatie in februari, en deliverables over uitlegbaarheid, data-nutrition-labeling en AI-versterkte fraude in maart. Het FS AI RMF is daarvan het dragende stuk.

Wat erin zit

Het kader vindt de risicotaxonomie bewust niet opnieuw uit. Het is structureel afgestemd op het NIST AI Risk Management Framework — de Amerikaanse vrijwillige basislijn — en breidt dat uit tot iets waar een financiële instelling daadwerkelijk tegenaan kan werken. Het bestaat uit vier onderdelen:

  • een AI Adoption Stage Questionnaire, die een instelling op een

volwassenheidsschaal plaatst zodat de controls naar rato kunnen worden toegepast;

  • een Risk and Control Matrix (RCM) — de 230 control objectives zelf,

gekoppeld aan de plaats in de AI-levenscyclus waar elk objective aangrijpt;

  • een Guidebook dat uitlegt hoe de matrix te gebruiken; en
  • een Control Objective Reference Guide die de objectives koppelt aan

bestaande normen en toezichtsverwachtingen.

De ontwerpgedachte is gelaagdheid, geen vervanging: een instelling die al het NIST AI RMF draait of een ISO/IEC 42001-managementsysteem voert, kan daarop in kaart brengen in plaats van opnieuw te beginnen. CRI-bestuursvoorzitter Josh Magri kadrede de lancering precies rond die strategische houding — dat "de toekomst van financiële dienstverlening steeds meer verweven is met AI, wat proactieve en verantwoorde governance tot een strategische noodzaak maakt."

Waarom het ertoe doet buiten de Verenigde Staten

Een vrijwillig Amerikaans sectorkader zou een lokaal verhaal zijn als de financiële sector niet mondiaal was. Dat is hij niet. Dezelfde systeemrelevante banken die zich in New York aan het FS AI RMF spiegelen, hebben dochters in Frankfurt en Singapore, en een groep die één AI-governancesysteem bouwt wil dat het tegelijk aan toezichthouders overal antwoord geeft. Daarom convergeert de soft-law-laag: het FS AI RMF, de 12 sound practices van de FSB, de AI-risicotoolkit van de MAS en het Hiroshima-rapportagekader van de G7 beschrijven steeds meer hetzelfde governance-object in verenigbare woordenschat.

Voor een Europese bank of verzekeraar komt het FS AI RMF bovenop bindend recht, niet in plaats daarvan. DORA regelt al het ICT- en derdenrisico, en de AI-verordening merkt kredietwaardigheidsbeoordeling en de premiestelling van levens- en ziektekostenverzekeringen aan als hoogrisicotoepassingen. Wat het Amerikaanse kader toevoegt is geen verplichting maar een gedetailleerde controlewoordenschat waarmee een internationaal actieve instelling één samenhangend AI-risicosysteem aan veel toezichthouders tegelijk kan tonen — een Amerikaans gevormde tegenhanger van de bindende Europese stapel en van het bredere web van internationale AI-governance dat gemeenschappelijke termen blijft zetten zonder de macht om af te dwingen.

Bronnen

  1. https://cyberriskinstitute.org/artificial-intelligence-risk-management/
    CRI-kaderpagina: FS AI RMF, 230 Control Objectives geordend per adoptiefase, structureel afgestemd op het NIST AI RMF; vier onderdelen.
  2. https://cyberriskinstitute.org/financial-services-industry-unites-to-launch-comprehensive-ai-risk-management-framework/
    CRI-lanceringsaankondiging (12 februari 2026); ontwikkeld met 100+ financiële instellingen in coördinatie met de FSSCC; citaat CRI-CEO Josh Magri.
  3. https://fsscc.org/aieog-ai-deliverables/
    FSSCC: de AIEOG (eind 2024 opgericht door de FSSCC met Treasury's FBIIC) en haar 2026-deliverables, waaronder het AI-Lexicon (feb 2026) en het FS AI RMF.

Deel op LinkedIn

Lees ook

A

De VS zet in op vrijwillige frontier-AI-veiligheid — het uitvoeringsbesluit van juni 2026

Op 2 juni 2026 vaardigde het Witte Huis een uitvoeringsbesluit over AI-innovatie en -veiligheid uit: het verstevigt de cyberdefensie, schept een vrijwillig benchmarking-kader voor frontier-modellen vóór uitrol en richt strafhandhaving op AI-misbruik — maar sluit verplichte vergunning uit.

W

Een AI-governanceraamwerk opzetten: van losse regels naar grip

De AI Act, de AVG en normen als ISO/IEC 42001 vragen geen losse maatregelen maar samenhangende governance. Deze wegwijzer zet de bouwstenen op een rij — inventarisatie, rollen, beleid, geletterdheid, risico- en grondrechtentoetsing, monitoring — en hoe je proportioneel begint.

A

De MAS van Singapore publiceert een AI-risicotoolkit voor de financiële sector — vóór de richtsnoeren bindend zijn

Op 20 maart 2026 sloot MAS (Singapore) fase twee van Project MindForge af met een AI-risicomanagementtoolkit voor de financiële sector, samen ontwikkeld met een consortium van 35 partijen. Het Handbook gaat vooraf aan bindende richtsnoeren en dekt generatieve én agentische AI.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.