ISO 27001 certificering behalen: praktische gids in 6 stappen
Praktische gids voor het behalen van ISO 27001-certificering — van het kiezen van een certificeringsinstantie tot het slagen voor uw fase 2-audit. Kosten, planning, RvA-geaccrediteerde instanties.
ISO 27001 certificering behalen: praktische gids in 6 stappen
De ISO 27001-certificering vertelt enterprise-kopers dat u een formeel, geauditeerd Information Security Management System (ISMS) heeft. In 2026 is het de facto de basisvereiste voor B2B-bedrijven die verkopen aan Europese ondernemingen, financiële instellingen en gereguleerde sectoren. Als u het niet heeft, verliest u deals aan concurrenten mét certificaat.
Deze gids legt de exacte stappen uit om gecertificeerd te worden — niet de theorie, maar de praktische volgorde van acties van de beslissing om certificering na te streven tot het ontvangen van uw certificaat.
Kernpunten
- Certificering duurt 6–12 maanden voor de meeste organisaties; 3–6 maanden met sterke bestaande beveiligingspraktijken en automatiseringstools
- Totale kosten eerste jaar: €20.000–€80.000 afhankelijk van omvang, reikwijdte en automatiseringsgraad
- Fase 1- en fase 2-audits zijn verplicht: fase 1 controleert documentatie, fase 2 verifieert implementatie
- Geaccrediteerde certificeringsinstanties met erkenning via de Global Accreditation Cooperation MRA zijn de betrouwbare route naar erkende certificaten
- ISO 27001 dekt NIS2 en DORA — certificering voldoet aan een groot deel van de risicobeheersvereisten van beide regelingen
Stap 1: Reikwijdte bepalen
De ISMS-reikwijdte bepaalt welke delen van uw organisatie, welke systemen en welke informatiemiddelen onder ISO 27001 vallen. Het correct bepalen van de reikwijdte is de meest bepalende vroege beslissing.
Te smal: Een reikwijdte die essentiële systemen uitsluit, kan een auditor tevreden stellen, maar laat materiële risico's buiten het programma — en klanten die due diligence uitvoeren zullen dit opmerken.
Te breed: Een reikwijdte die alles omvat wat het bedrijf aanraakt, maakt implementatie onbeheersbaar en drijft auditkosten onnodig op.
De meeste B2B-SaaS-bedrijven definiëren hun certificering rond hun kernproductinfrastructuur, ontwikkelomgeving en de ondersteunende organisatorische processen. Klantenservice-, HR- en financesystemen kunnen er al dan niet in worden opgenomen, afhankelijk van de soorten data die ze verwerken.
Documenteer de reikwijdte als formeel document. Uw fase 1-auditor zal dit als eerste beoordelen — het laat zien of u de norm begrijpt.
Stap 2: Gap-analyse uitvoeren
Een gap-analyse vergelijkt uw huidige beveiligingsmaatregelen en documentatie met de ISO 27001-vereisten. Het beantwoordt de vraag: hoe ver zijn we van auditgereedheid?
Voer de gap-analyse uit op twee niveaus:
- ISO 27001-clausules (4–10): De verplichte vereisten — context, leiderschap, planning, ondersteuning, operaties, prestatiebeoordeling en verbetering. Deze betreffen uw managementsysteemstructuur.
- Bijlage A-maatregelen (93 maatregelen in 4 categorieën): De referentiemaatregelen die u selecteert en implementeert op basis van uw risicobeoordeling. Niet alle 93 zijn verplicht — uw Verklaring van Toepasselijkheid rechtvaardigt welke van toepassing zijn.
Het resultaat van de gap-analyse is een geprioriteerd actieplan. De meeste eerste implementaties vinden significante documentatielacunes en enkele substantiële maatregellacunes. Substantiële infrastructuurlacunes zijn minder gebruikelijk bij SaaS-bedrijven met moderne cloudarchitecturen.
Stap 3: ISMS bouwen en verplichte documentatie opstellen
ISO 27001 vereist een specifieke set documenten. Uw auditor gebruikt deze als primaire bewijsbron. Ontbrekende of onvolledige documentatie is de meest voorkomende reden waarom organisaties fase 1 niet halen.
Verplichte documentatie omvat:
| Document | Inhoud |
|---|---|
| ISMS-reikwijdte | Welke systemen, processen en organisatorische eenheden worden gedekt |
| Informatiebeveiligingsbeleid | Overkoepelende beleidsverklaring ondertekend door management |
| Risicobeoordelingsmethodologie | Hoe u informatiebeveiligingsrisico's identificeert, beoordeelt en behandelt |
| Risicoregister | Inventaris van geïdentificeerde risico's met waarschijnlijkheid, impact en behandelingsbeslissingen |
| Risicobehandelingsplan | Hoe en wanneer geïdentificeerde risico's worden aangepakt |
| Verklaring van Toepasselijkheid (VvT) | Alle 93 Bijlage A-maatregelen — van toepassing/uitgesloten status en rechtvaardiging |
| Informatiebeveiligingsdoelstellingen | Meetbare doelen voor het ISMS |
| Intern auditprogramma | Planning en methodologie voor interne audits |
| Directiebeoordelingsverslagen | Bewijs dat het management de ISMS-prestaties beoordeelt |
| Bewijs van non-conformiteiten en corrigerende maatregelen | Hoe afwijkingen van beleid worden behandeld |
De Verklaring van Toepasselijkheid verdient speciale aandacht. Het is het eerste document dat de meeste auditoren opvragen — het koppelt uw risicobehandelingsbeslissingen aan specifieke maatregelen, en elke als van toepassing gemarkeerde maatregel moet worden onderbouwd met bewijs.
Stap 4: Geaccrediteerde certificeringsinstantie kiezen
Niet alle certificeringsinstanties genieten dezelfde erkenning. Uw certificaat zou moeten worden afgegeven door een instantie die is geaccrediteerd door een nationale accreditatie-instantie waarvan de erkenning valt onder de Global Accreditation Cooperation MRA, de opvolger van de eerdere IAF/ILAC-regelingen sinds 2026.
Nationale accreditatie-instanties per land:
| Land | Accreditatie-instantie |
|---|---|
| Nederland | RvA (Raad voor Accreditatie) |
| Duitsland | DAkkS (Deutsche Akkreditierungsstelle) |
| Frankrijk | COFRAC (Comité français d'accréditation) |
| Verenigd Koninkrijk | UKAS (United Kingdom Accreditation Service) |
| Noorwegen | Norsk Akkreditering (NA) |
Bekende certificeringsinstanties in Europa: BSI Group, Bureau Veritas, TÜV SÜD, TÜV Rheinland, DNV en LRQA. Vraag minimaal 2–3 offertes aan — auditkosten voor middelgrote bedrijven liggen doorgaans tussen €8.000 en €25.000 voor de initiële certificering [1].
Stel twee praktische vragen aan kandidaat-instanties: Hebben zij ervaring in uw sector? En wat is de huidige doorlooptijd voor het plannen van fase 2-audits?
Stap 5: Interne audit en directiebeoordeling afronden
Voordat u uw fase 1-audit plant, vereist ISO 27001 dat u minimaal één volledige cyclus heeft afgerond van:
Interne audit: Een onafhankelijke beoordeling of uw ISMS voldoet aan de ISO 27001-vereisten en effectief is geïmplementeerd. De interne auditor moet competent zijn en onafhankelijk van de geauditeerde gebieden — dit betekent doorgaans een gekwalificeerde interne auditor van een ander team of een externe consultant.
Directiebeoordeling: Een formele beoordeling door het senior management van de ISMS-prestaties, inclusief interne auditresultaten, incidenten, doelvoortgang en verbetermogelijkheden. Het resultaat moet worden gedocumenteerd — auditoren vragen doorgaans directiebeoordelingsverslagen op als bewijs van betrokkenheid van het topmanagement.
Beide moeten vóór fase 1 zijn afgerond. Een directiebeoordeling die twee dagen voor fase 1 plaatsvond, roept vragen op.
Stap 6: Fase 1- en fase 2-audit doorstaan
Fase 1: Documentatiebeoordeling
Fase 1 duurt doorgaans 1–2 dagen en richt zich op de vraag of uw ISMS correct is ontworpen. De auditor beoordeelt:
- ISMS-reikwijdte
- Informatiebeveiligingsbeleid
- Risicobeoordeling en risicobehandelingsdocumentatie
- Verklaring van Toepasselijkheid
- Interne audit- en directiebeoordelingsverslagen
Het resultaat is een fase 1-rapport dat grote non-conformiteiten (moeten worden opgelost vóór fase 2) en kleine non-conformiteiten of observaties (moeten worden aangepakt maar blokkeren certificering niet) identificeert.
Fase 2: Implementatieverificatie
Fase 2 is de eigenlijke certificeringsaudit — doorgaans 2–5 dagen op locatie afhankelijk van de omvang. De auditor verifieert dat uw ISMS werkt zoals gedocumenteerd:
- Interviews: Auditoren interviewen medewerkers van alle afdelingen — niet alleen de CISO, maar ook ontwikkelaars, operations, HR en management. Ze willen bevestigen dat mensen het beleid kennen en procedures volgen.
- Bewijs beoordelen: Auditoren vragen specifiek maatregelbewijs op: toegangslogboeken, resultaten van kwetsbaarheidscans, trainingsregisters, incidentrapporten, leveranciersbeoordeling en back-uptestresultaten.
- Procesobservatie: Voor operationele maatregelen kunnen auditoren processen direct observeren of schermafbeeldingen van draaiende systemen beoordelen.
Fase 2 doorstaan betekent dat de auditor geen grote non-conformiteiten constateert. Kleine non-conformiteiten worden gedocumenteerd en u verplicht zich tot corrigerende maatregelen. De certificeringsinstantie geeft vervolgens uw ISO 27001-certificaat af, dat drie jaar geldig is.
Na certificering: uw ISMS onderhouden
Certificering is geen eenmalige gebeurtenis. Om het te behouden:
Jaarlijkse surveillance-audits: In jaar 1 en 2 voert uw certificeringsinstantie kortere surveillance-audits uit (doorgaans 1–2 dagen) om voortdurende naleving te verifiëren.
Hercertificering in jaar 3: Vóór het verlopen van uw certificaat is een volledige audit vereist die het fase 1- en fase 2-proces herhaalt.
Continue bewijsverzameling: Het interval tussen jaarlijkse audits is waar de meeste ISMS-programma's in de problemen komen. Beleid wordt niet bijgewerkt. Risicoregisters worden verouderd. Trainingsregisters verlopen. Compliance-automatiseringstools die continu bewijs verzamelen en waarschuwen bij maatregellacunes, voorkomen het haastige inhalen vóór elke audit.
ISO 27001 en Europese regelgeving
ISO 27001 vervangt niet de naleving van NIS2, DORA of de AVG, maar legt een sterk fundament:
- NIS2 artikel 21 (Cyberbeveiligingswet): Risicobeheermaatregelen — toegangscontrole, incidentbeheer, beveiliging van de leveranciersketen, cryptografie — sluiten nauw aan bij ISO 27001 Bijlage A-maatregelen
- DORA artikel 6 (ICT-risicobeheerframework): Vereisten sluiten aan bij ISMS-structuur en documentatieverplichtingen
- AVG artikel 32: Technische en organisatorische beveiligingsmaatregelen worden gedeeltelijk ingevuld door ISO 27001-maatregelen
Voor B2B-bedrijven die in de EU actief zijn, is ISO 27001-certificering naast NIS2/DORA-naleving de standaard basisvereiste. De ISMS-software van Orbiq brengt ISO 27001-maatregelen in kaart op NIS2-, DORA- en AVG-verplichtingen, zodat u één bewijsbasis onderhoudt voor alle drie de kaders.
Aan de slag
Orbiq helpt B2B-bedrijven sneller ISO 27001-certificering te behalen door geautomatiseerde bewijsverzameling, maatregelmonitoring en documentatieonderhoud. Het platform dekt NIS2, DORA en de AVG, zodat uw ISMS-programma alle belangrijke EU-verplichtingen afdekt.
Ontdek hoe Orbiq ISO 27001-certificering versnelt →
Gerelateerde artikelen
- ISO 27001 Certificering: de complete gids 2026
- ISO 27001 Checklist: implementatieroutine in 14 stappen
- Kosten ISO 27001-certificering
- Wat is een ISMS?
- NIS2 Compliance gids
Bronnen
- High Table — How Much Does ISO 27001 Certification Cost? (2026 Price Guide)
- Secureframe — ISO 27001 Certification Timeline
- Glocert International — ISO 27001 Certification Process: Stage 1 vs Stage 2 Guide
- ISMS.online — ISO 27001:2022 Audit Cycle: Phases and Timelines
- Global Accreditation Cooperation — Global ACI launch and MRA continuity
- RvA — Raad voor Accreditatie
- ISO — ISO/IEC 27001 information security management systems
- Hyperproof — Steps to Achieve ISO 27001 Certification