ISO 27001 Certificering: De complete gids voor 2026
Alles wat u moet weten over ISO 27001 certificering — eisen, kosten, tijdlijn, auditproces en hoe u compliance onderhoudt. Van gap-analyse tot succesvolle certificering.
ISO 27001 Certificering: De complete gids voor 2026
ISO 27001 is de belangrijkste informatiebeveiligingscertificering voor B2B-bedrijven. Als u aan enterprise-klanten verkoopt — met name in Europa — is het niet langer optioneel. Het is de basisverwachting.
Deze gids behandelt alles wat u moet weten over ISO 27001 certificering: wat de norm vereist, wat het kost, hoe lang het duurt, hoe het auditproces stap voor stap verloopt en hoe u uw certificering onderhoudt.
Of u nu vanaf nul begint of een bestaand beveiligingsprogramma upgradet — deze gids is de referentie waar u gedurende het hele proces op terugvalt.
Kernpunten
- ISO 27001 is de internationale norm voor Information Security Management Systems (ISMS). De huidige versie ISO/IEC 27001:2022 bevat 93 controls in 4 categorieën.
- Certificering duurt 6-12 maanden voor de meeste middelgrote bedrijven. Met automatiseringstools en een bestaande beveiligingsbasis is 3-6 maanden haalbaar.
- De totale kosten in het eerste jaar liggen tussen 30.000 en 150.000 EUR, afhankelijk van bedrijfsgrootte, scope en automatiseringsgraad.
- Het certificeringsaudit heeft twee fasen: Stage 1 (documentatiereview) en Stage 2 (implementatieverificatie).
- Het certificaat is drie jaar geldig met verplichte jaarlijkse surveillance-audits.
- NIS2, DORA en AVG mappen op ISO 27001 controls, waardoor certificering een strategische investering is die meerdere compliance-eisen tegelijk dekt.
Wat is ISO 27001?
ISO 27001 is een internationale norm gepubliceerd door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC). De norm definieert de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).
In de praktijk schrijft ISO 27001 voor:
- Wat te beschermen — door assetidentificatie en risicobeoordeling
- Hoe te beschermen — door 93 referentiecontrols voor organisatorische, personele, fysieke en technologische maatregelen
- Hoe bescherming te bewijzen — door documentatie, bewijsverzameling, interne audits en directiebeoordelingen
- Hoe te blijven verbeteren — door de Plan-Do-Check-Act (PDCA)-cyclus
De huidige versie, ISO/IEC 27001:2022, verving de editie van 2013. De revisie 2022 herstructureerde Annex A van 14 controlcategorieën (114 controls) naar 4 categorieën (93 controls) en voegde 11 nieuwe controls toe voor cloudbeveiliging, threat intelligence, preventie van datalekken en secure coding.
Certificering betekent dat een geaccrediteerd, onafhankelijk certificeringsorgaan uw ISMS heeft geaudit en bevestigd dat het aan de eisen van de norm voldoet. Het certificaat is wereldwijd erkend en drie jaar geldig.
In Nederland is de RvA (Raad voor Accreditatie) het nationale accreditatieorgaan dat certificeringsinstanties voor ISO 27001 accrediteert. In België is dat BELAC.
Waarom ISO 27001 essentieel is in 2026
Enterprise-klanten vereisen het
73% van de enterprise-inkoopprocessen vereist nu ISO 27001 of een gelijkwaardige certificering voordat een contract wordt getekend. Wie B2B-software verkoopt aan middelgrote en grote bedrijven moet ISO 27001 kunnen tonen om voorbij de security review te komen.
Dit is bijzonder sterk in de Benelux, DACH en Nordics. Nederlandse en Belgische inkopers verwachten ISO 27001 als standaard.
NIS2 creëert regelgevingsdruk
De NIS2-richtlijn verwijst naar ISO 27001 als relevante norm voor het aantonen van naleving van de risicomanagementmaatregelen van Artikel 21. Hoewel ISO 27001 alleen geen NIS2-compliance betekent, biedt het ongeveer 70% van de vereiste basis.
Concurrentievoordeel
In competitieve deals wint het bedrijf dat zijn beveiligingspositie het snelst kan aantonen. ISO 27001 certificering, gedeeld via een Trust Center, elimineert weken van heen-en-weer met beveiligingsvragenlijsten.
Multi-framework efficiëntie
ISO 27001 controls overlappen 70-80% met SOC 2 Trust Services Criteria, NIS2 Artikel 21 maatregelen en DORA ICT-risicomanagementeisen. De investering in ISO 27001 bouwt een compliance-fundament dat zich over meerdere frameworks uitstrekt.
ISO 27001 eisen: Wat u moet weten
Managementsysteemeisen (Clausules 4-10)
| Clausule | Onderwerp | Wat het vereist |
|---|---|---|
| Clausule 4 | Context | ISMS-scope definiëren, belanghebbenden identificeren |
| Clausule 5 | Leiderschap | Beveiligingsbeleid vaststellen, rollen toewijzen, managementcommitment tonen |
| Clausule 6 | Planning | Risicobeoordeling uitvoeren, risicobehandelingsplan definiëren |
| Clausule 7 | Ondersteuning | Resources toewijzen, competentie waarborgen, documentatie beheren |
| Clausule 8 | Uitvoering | Risicobeoordeling en risicobehandeling uitvoeren |
| Clausule 9 | Prestatiebeoordeling | Effectiviteit monitoren, interne audits uitvoeren, directiebeoordeling |
| Clausule 10 | Verbetering | Non-conformiteiten behandelen, corrigerende maatregelen implementeren |
Annex A Controls (ISO 27001:2022)
93 referentiecontrols in vier categorieën:
Organisatorische controls (37) — Beleid, assetmanagement, toegangscontrole, leveranciersbeveiliging, incidentmanagement, bedrijfscontinuïteit.
Personele controls (8) — Screening voorafgaand aan indiensttreding, beveiligingsbewustzijnstraining, thuiswerken.
Fysieke controls (14) — Fysieke beveiligingsperimeters, apparatuurbescherming, clean desk-beleid.
Technologische controls (34) — Authenticatie, encryptie, logging, netwerkbeveiliging, veilige ontwikkeling, gegevensbescherming.
De Verklaring van Toepasselijkheid (Statement of Applicability / SoA) documenteert welke controls u implementeert, welke u uitsluit en de onderbouwing van elke beslissing.
Zie onze ISMS-gids en Orbiq ISMS-software voor meer informatie.
ISO 27001 vs SOC 2: Welke heeft u nodig?
| Dimensie | ISO 27001 | SOC 2 |
|---|---|---|
| Oorsprong | Internationaal (ISO/IEC) | Verenigde Staten (AICPA) |
| Type | Certificering door geaccrediteerd orgaan | Attestatierapport door CPA-kantoor |
| Aanpak | Risicogebaseerd met Annex A controls | Criteriagebasseerd (Trust Services Criteria) |
| Geldigheid | 3 jaar (met jaarlijkse surveillance) | Rapport dekt specifieke periode (typisch 12 maanden) |
| Kosten | 30.000-150.000 EUR (eerste jaar) | 30.000-150.000 EUR (eerste jaar) |
| Geografie | Voorkeur in Europa en internationaal | Verwacht op de Amerikaanse markt |
| Overlap | — | 70-80% overlap met ISO 27001 |
Als u aan zowel Amerikaanse als Europese enterprise-klanten verkoopt, heeft u waarschijnlijk beide nodig. Door de 70-80% overlap is de extra inspanning voor het tweede framework aanzienlijk lager.
ISO 27001 certificeringsproces: Stap voor stap
Stap 1: Gap-analyse (Weken 1-4)
Beoordeel uw huidige beveiligingspositie tegen de ISO 27001 eisen. Identificeer welke controls u al voldoet, welke ontbreken en welke documentatie moet worden gecreëerd.
Stap 2: ISMS-scope definiëren (Weken 2-4)
Bepaal wat uw ISMS dekt: bedrijfsprocessen, systemen, data, locaties en teams. Een te brede scope maakt implementatie overweldigend; een te smalle scope vermindert de geloofwaardigheid bij kopers.
Stap 3: Risicobeoordeling (Weken 4-8)
De risicobeoordeling is het fundament van alles dat volgt:
- Assetidentificatie
- Bedreigings- en kwetsbaarheidsidentificatie
- Impactanalyse
- Risicobeoordeling en -behandeling: mitigeren, accepteren, overdragen of vermijden
Stap 4: Controls implementeren (Weken 6-20)
De langste fase. Technische controls deployen, beleid en procedures schrijven, beveiligingsbewustzijnstraining uitvoeren en bewijsverzameling starten vanaf dag één.
Compliance-automatiseringstools verkorten deze fase aanzienlijk.
Stap 5: Intern audit (Weken 18-22)
ISO 27001 vereist een intern audit vóór het certificeringsaudit. Het moet alle ISMS-processen dekken en worden uitgevoerd door onafhankelijke auditors.
Stap 6: Directiebeoordeling (Weken 22-24)
Het topmanagement moet het ISMS formeel beoordelen: auditresultaten, risicobehandelingsstatus, verbeteringsmogelijkheden en resourcebeslissingen.
Stap 7: Stage 1 Audit — Documentatiereview (Weken 24-26)
De auditor van het certificeringsorgaan beoordeelt uw ISMS-documentatie: scope, beleid, risicobeoordeling, SoA, intern auditrapport en directiebeoordelingsnotulen.
Duur: 1-2 dagen. Resultaat: Stage 1 rapport met eventuele lacunes die vóór Stage 2 moeten worden verholpen.
Stap 8: Stage 2 Audit — Implementatieverificatie (Weken 28-32)
Het hoofdaudit. De auditor verifieert dat uw ISMS effectief functioneert in de praktijk:
- Controltesten via interviews, observatie en bewijsinspectie
- Procesverificatie
- Bewijssteekproeven over de auditperiode
- Personeelsinterviews
- Bevindingscategorieën: major non-conformiteit (blokkerend), minor non-conformiteit (actieplan vereist), observatie (niet-blokkerend)
Duur: 3-10 dagen afhankelijk van grootte en scope.
Stap 9: Certificaat uitgereikt
Bij afwezigheid van major non-conformiteiten geeft het certificeringsorgaan uw ISO 27001 certificaat uit. Geldig voor drie jaar.
Stap 10: Surveillance-audits en hercertificering
- Jaar 1 en 2: Surveillance-audits (beperktere scope)
- Jaar 3: Volledig hercertificeringsaudit
- Doorlopend: Risicobeoordelingen bijwerken, incidenten beheren, controls monitoren
ISO 27001 certificeringskosten
| Kostenpost | Bandbreedte (EUR) | Opmerkingen |
|---|---|---|
| Gap-analyse | 5.000-15.000 | Externe consultant of ISMS-platform |
| ISMS-implementatie | 10.000-30.000 | Interne inspanning + consultantondersteuning |
| Compliance-automatiseringsplatform | 10.000-50.000/jaar | Orbiq, Vanta, Drata of vergelijkbaar |
| Beleid en documentatie | 5.000-15.000 | Beleid schrijven of templates gebruiken |
| Security awareness training | 2.000-8.000 | Platformgebaseerde training |
| Certificeringsaudit (Stage 1 + 2) | 10.000-25.000 | Afhankelijk van scope en certificeringsorgaan |
| Totaal eerste jaar | 30.000-150.000 | |
| Jaarlijks surveillance-audit | 5.000-15.000 | Beperktere scope |
| Jaarlijks platform + onderhoud | 15.000-50.000 | Doorlopend ISMS-beheer |
| Totaal jaarlijks onderhoud | 20.000-65.000 |
ISO 27001 certificeringstijdlijn
| Fase | Duur | Activiteiten |
|---|---|---|
| Fase 1: Fundament | Maanden 1-2 | Gap-analyse, scopedefinitie, risicoboordelingsmethodologie |
| Fase 2: Implementatie | Maanden 3-6 | Risicobeoordeling, controlimplementatie, beleid schrijven, training |
| Fase 3: Operatie | Maanden 6-8 | ISMS in productie, intern audit, directiebeoordeling |
| Fase 4: Certificering | Maanden 8-10 | Stage 1, remediatie, Stage 2, certificeringsbeslissing |
| Totaal | 8-12 maanden |
Met ISMS-software en automatisering kan de tijdlijn worden gecomprimeerd tot 4-6 maanden.
Veelgemaakte fouten
1. Certificering als eenmalig project behandelen
ISO 27001 is een managementsysteem, geen project. Het ISMS moet continu opereren.
2. Leiderschap niet betrekken
ISO 27001 vereist aantoonbaar managementcommitment. Auditors zullen de directie interviewen.
3. Risicobeoordeling onderschatten
De risicobeoordeling bepaalt alles: controlselectie, SoA en auditscope. Een oppervlakkige beoordeling leidt tot ongeschikte controls en auditbevindingen.
4. Documentatie onderschatten
ISO 27001 is bewijs-intensief. Continue monitoring lost dit op door geautomatiseerde, doorlopende bewijsverzameling.
5. Verkeerd certificeringsorgaan kiezen
Let op accreditatie (RvA in Nederland, BELAC in België), sectorervaring en reputatie. Vraag drie offertes aan.
ISO 27001 en NIS2: De verbinding
ISO 27001 dekt ongeveer 70% van de NIS2-eisen. De overige 30% zijn operationele capaciteiten:
- Incidentmelding onder tijdsdruk — NIS2 vereist een 24-uurs vroegtijdige waarschuwing
- Continue toeleveringsketenbewaking — Verder dan jaarlijkse vragenlijstbeoordelingen
- Bewijs op verzoek beschikbaar — NIS2-toezichthouders kunnen op elk moment bewijs opvragen
ISO 27001 is het beste startpunt voor NIS2-compliance, maar is niet op zichzelf voldoende. Zie ISO 27001 is niet NIS2-compliance.
Hoe Orbiq helpt met ISO 27001
ISMS-software — Beheer uw volledige ISMS in één platform. Risicobeoordeling, controlmapping, beleidsbeheer en Statement of Applicability.
Continue monitoring — Volg de effectiviteit van alle 93 Annex A controls automatisch. Identificeer hiaten vóór surveillance-audits.
Trust Center — Publiceer uw ISO 27001 certificeringsstatus als selfservice-hub voor kopers.
AI-gestuurde vragenlijsten — Beantwoord beveiligingsvragenlijsten met bewijs uit uw ISMS.
Veelgestelde vragen
Wat kost ISO 27001 certificering?
Doorgaans 20.000-80.000 EUR voor middelgrote bedrijven. Automatisering verlaagt de implementatiekosten met 40-60%.
Hoe lang duurt ISO 27001 certificering?
6-12 maanden voor de meeste organisaties. 3-6 maanden met een bestaand ISMS en automatiseringstools.
Wat is het verschil tussen ISO 27001 en SOC 2?
ISO 27001 is een internationale certificering, SOC 2 een Amerikaans attestatierapport. ISO 27001 domineert in Europa, SOC 2 in de VS. Veel bedrijven streven beide na.
Is ISO 27001 verplicht?
Wettelijk niet, maar de facto een marktvereiste voor B2B-bedrijven met enterprise-klanten, vooral in Europa.
Kun je gecertificeerd worden zonder ISMS-tool?
Technisch ja, maar de documentatie- en bewijsverzamelingslast is nauwelijks vol te houden zonder automatisering.
Volgende stappen
- Beoordeel uw huidige staat — Gap-analyse met Orbiq ISMS-software.
- Plan tijdlijn en budget — Gebruik de tabellen in deze gids.
- Kies uw tooling — Vergelijk ISMS-softwareopties.
- Begin — Hoe eerder u bewijs verzamelt, hoe korter het pad naar certificering.
Klaar om uw ISO 27001 certificering te versnellen? Bekijk de prijzen of verken het ISMS-platform.
Verder lezen
- Wat is ISO 27001? De complete gids — Volledige uitleg van de norm, haar geschiedenis en de ISO 27000-familie
- Kosten ISO 27001 Certificering: Complete Uitsplitsing — Alle kostenposten: auditkosten, interne resources, adviseur, software
- ISMS: Wat is een Information Security Management System? — Het managementsysteem dat ISO 27001 certificeert
- SOC 2 Compliance — Vergelijking ISO 27001 en SOC 2
- ISO 27001 is niet NIS2-compliance — Wat ISO 27001 wel en niet dekt voor NIS2
- NIS2-compliance — De EU-richtlijn die verwijst naar ISO 27001
- ISO 27001 Certificering (Woordenlijst) — Snelle referentie
Deze gids wordt onderhouden door het Orbiq-team. Laatst bijgewerkt: maart 2026.