SMSI staat voor Système de Management de la Sécurité de l'Information — het Franse acroniem voor ISMS (Information Security Management System). In het Nederlands spreken we van een Informatiebeveiligingsbeheersysteem of IBMS, maar in de praktijk wordt de Engelse term ISMS het meest gebruikt in Nederland. De onderliggende norm ISO/IEC 27001:2022 is wereldwijd identiek.

Is SMSI hetzelfde als ISMS?

Ja. SMSI en ISMS verwijzen naar hetzelfde concept — SMSI is de Franse afkorting en ISMS de Engelse voor Information Security Management System. Beide beschrijven het systematische kader dat gecertificeerd wordt door ISO 27001. Nederlandse organisaties die ISO 27001-certificering nastreven, implementeren een ISMS; de certificeringsinstantie (geaccrediteerd door RvA in Nederland) certificeert dit systeem aan dezelfde ISO/IEC 27001:2022-norm.

Wat zijn de drie pijlers van een ISMS/SMSI?

Elk ISMS is gebouwd op de CIA-triade: Vertrouwelijkheid (alleen geautoriseerde personen hebben toegang tot informatie), Integriteit (gegevens kunnen niet worden gewijzigd of verwijderd zonder autorisatie) en Beschikbaarheid (informatie is toegankelijk wanneer de organisatie er behoefte aan heeft). Deze drie eigenschappen vormen de basis voor alle risicobeoordelings- en maatregelkeuze-beslissingen.

Hoe lang duurt de implementatie van een ISMS in Nederland?

Voor een middelgroot bedrijf (50–250 medewerkers) met een goed afgebakende scope zijn 6 tot 12 maanden realistisch voor ISO 27001-certificering. Organisaties met bestaande beveiligingsmaatregelen of automatiseringstools kunnen dit in 3 tot 6 maanden bereiken. Sleutelvariabelen zijn: bestaande beveiligingsvolwassenheid, ISMS-scope, beschikbare middelen en het gebruik van compliance-automatiseringssoftware.

Welke certificerende instanties zijn in Nederland geaccrediteerd voor ISO 27001?

In Nederland moeten ISO 27001-certificerende instanties geaccrediteerd zijn door de RvA (Raad voor Accreditatie). De belangrijkste geaccrediteerde instanties zijn Lloyd's Register, DNV, Bureau Veritas, SGS en TÜV NORD. Controleer altijd de RvA-accreditatie voordat u uw certificerende instantie kiest — een ISO 27001-certificaat van een niet-geaccrediteerde instantie heeft geen internationaal erkende waarde.

Dekt een ISMS de NIS2-compliance in Nederland?

Een ISO 27001-conform ISMS dekt de meerderheid van de tien risicobeheersmaatregelen die vereist zijn door NIS2 artikel 21, geïmplementeerd in Nederland via de Wbni (Wet beveiliging netwerk- en informatiesystemen). Het NCSC-NL beveelt ISO 27001 aan als referentiekader. Specifieke hiaten zijn: de 24-uurs meldingsdeadline bij incidenten, documentatie van leverancierskettenbeveiliging en verantwoordingsverplichtingen op bestuursniveau.

SMSI-gids: het informatiebeveiliging-managementsysteem uitgelegd (2026)

2026-03-24

By Orbiq Team

SMSI-gids: het informatiebeveiliging-managementsysteem uitgelegd (2026)

Volledige SMSI-gids 2026: definitie, stapsgewijze implementatie, ISO 27001-vereisten, kosten, certificering door RvA en veelgemaakte auditfouten.

smsi

isms

iso-27001

informatiebeveiliging

compliance

ncsc

SMSI-gids: het informatiebeveiliging-managementsysteem uitgelegd (2026)

SMSI — Système de Management de la Sécurité de l'Information — is de Franse afkorting voor ISMS (Information Security Management System). Of u dit begrip tegenkomt in een Franse aanbestedingsvragenlijst, een ANSSI-aanbeveling of een NIS2-compliancekader: het verwijst naar hetzelfde internationaal erkende kader, gecertificeerd door ISO/IEC 27001.

Deze gids behandelt het SMSI/ISMS van begin tot einde: definitie, werkingsprincipe, 8 kerncomponenten, stapsgewijze implementatie, kosten in 2026, en de harde waarheden die de meeste ISMS-gidsen weglaten.

In 2025 verwerkte ANSSI 1.366 cyberveiligheidsincidenten — historisch hoog, met 128 ransomware-compromitteringen en 196 data-exfiltratiegevallen [¹]. Organisaties die informatiebeveiliging systematisch beheren via een ISMS herstellen sneller, besteden minder aan incidenten en winnen meer enterprise-deals.

Kernpunten

SMSI/ISMS is het systematische kader voor informatiebeveiligingsbeheer, gebouwd op drie pijlers: Vertrouwelijkheid, Integriteit, Beschikbaarheid (CIA-triade).
ISO/IEC 27001:2022 is de internationale norm: 93 maatregelen in 4 categorieën (gereduceerd van 114 maatregelen in de 2013-versie).
Het NCSC-NL beveelt ISO 27001 aan als referentiekader voor het aantonen van NIS2-compliance [²].
Kosten: €40.000–€100.000 in het eerste jaar voor een mkb-bedrijf — inclusief RvA-geaccrediteerde certificering [³].
Doorlooptijd: 6–12 maanden voor een goed afgebakende implementatie.
NIS2, DORA en AVG sluiten allemaal aan op ISMS-componenten — één certificering voldoet gelijktijdig aan meerdere regelgevende vereisten.

Wat is een SMSI/ISMS?

Een ISMS (Information Security Management System — in het Frans SMSI) is een systematisch kader van beleid, processen en maatregelen dat een organisatie in staat stelt om informatiebeveiligingsrisico's op een gestructureerde, meetbare en voortdurend verbeterende manier te beheren.

Het is geen software die u installeert en geen document dat u eenmalig opstelt. Het is een managementsysteem — vergelijkbaar met een kwaliteitsmanagementsysteem (ISO 9001) of een milieumanagementsysteem (ISO 14001). Het is ontworpen voor continu gebruik en voortdurende verbetering.

De drie pijlers: de CIA-triade

Elk ISMS is gebouwd op drie fundamentele eigenschappen van informatie:

Pijler	Definitie	Voorbeelddreiging
Vertrouwelijkheid	Alleen geautoriseerde personen hebben toegang tot informatie	Gegevensexfiltratie door externe aanvaller
Integriteit	Gegevens kunnen niet worden gewijzigd of verwijderd zonder autorisatie	Frauduleuze wijziging van financiële gegevens
Beschikbaarheid	Informatie is toegankelijk wanneer de organisatie er behoefte aan heeft	Ransomware maakt systemen ontoegankelijk

ISMS versus ISO 27001: het cruciale onderscheid

Het ISMS is het systeem zelf — het kader van beleidsregels, processen, risicobeoordeling en maatregelen dat uw organisatie implementeert.

ISO 27001 is de norm die dit systeem certificeert — zij legt de minimumvereisten vast waaraan een ISMS moet voldoen om certificeerbaar te zijn.

U kunt een ISMS hebben zonder ISO 27001-certificering. Maar u kunt niet ISO 27001-gecertificeerd zijn zonder een ISMS.

Hoe een ISMS werkt: de PDCA-cyclus

Elk ISMS werkt volgens de PDCA-cyclus (Plan-Do-Check-Act — Plannen-Uitvoeren-Controleren-Bijstellen), hetzelfde principe van continue verbetering als bij ISO 9001 en ISO 14001.

Plannen (Plan)

Definieer de ISMS-scope — welke systemen, processen, locaties en gegevenstypen zijn inbegrepen
Stel het informatiebeveiligingsbeleid op, goedgekeurd door het management
Voer een risicobeoordeling uit — identificeer informatie-assets, bedreigingen, kwetsbaarheden en impact
Selecteer maatregelen om geïdentificeerde risico's te behandelen
Maak de Verklaring van Toepasselijkheid (VvT / Statement of Applicability) — het centrale ISMS-document

Uitvoeren (Do)

Implementeer geselecteerde maatregelen — technisch en organisatorisch
Implementeer beleid en procedures
Train en bewustmaak medewerkers
Richt incident management en bedrijfscontinuïteitsprocessen in
Begin met systematische bewijsverzameling

Controleren (Check)

Bewaak de doeltreffendheid van maatregelen via gedefinieerde metrics en KPI's
Voer interne audits uit
Houd managementbeoordelingen

Bijstellen (Act)

Behandel auditbevindingen en non-conformiteiten via corrigerende maatregelen
Werk risicobeoordeling bij bij omgevingswijzigingen
Optimaliseer onderpresterende maatregelen

De 8 kerncomponenten van een ISMS

1. Informatiebeveiligingsbeleid

Het overkoepelende governancedocument dat de betrokkenheid van de organisatie bij informatiebeveiliging formaliseert. Het moet: beveiligingsdoelstellingen afstemmen op de bedrijfsstrategie, rollen en verantwoordelijkheden toewijzen, de risicobereidheid vastleggen, continue verbetering toezeggen, en worden goedgekeurd door het topmanagement.

2. Risicobeoordeling en -behandeling

Het systematische proces voor het identificeren, analyseren en behandelen van informatiebeveiligingsrisico's. ISO 27001 schrijft geen specifieke methodologie voor — de organisatie kiest haar aanpak — maar die moet consistent, reproduceerbaar en gedocumenteerd zijn.

Behandeling	Definitie	Wanneer toepassen
Verminderen	Maatregelen implementeren om kans of impact te verkleinen	Hoge risico's waarbij restrisico na maatregel aanvaardbaar wordt
Aanvaarden	Restrisico formeel accepteren	Lage risico's waarbij behandelingskosten het voordeel overstijgen
Overdragen	Verzekering, uitbesteding, contractuele aansprakelijkheid	Restrisico's die beter door een derde beheerd worden
Vermijden	De risicobron elimineren	Risico's waarbij de activiteit zelf de blootstelling niet rechtvaardigt

3. Verklaring van Toepasselijkheid (VvT)

Een van de belangrijkste ISMS-documenten. De VvT somt alle 93 maatregelen van Bijlage A van ISO 27001:2022 op en geeft voor elke maatregel aan: of ze is geïmplementeerd of uitgesloten, de rechtvaardiging die elke opgenomen maatregel koppelt aan geïdentificeerde risico's, en de implementatiestatus.

4. Beveiligingsmaatregelen

ISO 27001:2022 organiseert 93 maatregelen in vier categorieën:

Categorie	Maatregelen	Voorbeelden
Organisatorisch	37 maatregelen	Beleidsregels, rollen, assetbeheer, leveranciersbeveiliging, incidentbeheer, dreigingsintelligentie
Menselijk	8 maatregelen	Antecedentenonderzoek, beveiligingsbewustzijnstraining, disciplinaire procedures, thuiswerken
Fysiek	14 maatregelen	Fysieke beveiligingsperimeters, apparaatbeveiliging, clear-desk-beleid, opslagmediabeveiligig
Technologisch	34 maatregelen	Toegangscontrole, encryptie, logging, netwerkbeveiliging, veilige ontwikkeling, DLP, cloudbeveiliging

De 2022-revisie voegde 11 nieuwe maatregelen toe voor moderne bedreigingen: dreigingsintelligentie, cloudbeveiliging, ICT-gereedheid voor bedrijfscontinuïteit, fysieke beveiligingsmonitoring, configuratiebeheer, informatieverwijdering, datamaskering, webfiltering, veilige codering en activiteitenmonitoring.

5. Documentatie en registraties

Een ISMS vereist documentair bewijs van zijn werking. ISO 27001 onderscheidt verplichte documenten (bijv. scopedocument, beveiligingsbeleid, risicobeoordeling, risicoregister, VvT, risicobehandelingsplan) en verplichte registraties (bijv. trainingsregistraties, bewakingsresultaten, auditprogramma's en -rapporten, managementbeoordelingsnotulen, corrigerende maatregelen, bewijs van maatregelwerking).

Onvoldoende documentatie is de meest voorkomende reden voor falen bij een fase-1-audit.

6. Interne audit

Regelmatige beoordeling van de ISMS-conformiteit en -doeltreffendheid. Interne audits moeten alle ISMS-processen en -maatregelen in een gedefinieerde cyclus (doorgaans jaarlijks) bestrijken, onafhankelijk worden uitgevoerd, gedocumenteerde bevindingen opleveren en worden gevoed door de managementbeoordeling.

7. Managementbeoordeling

Periodieke beoordeling door het topmanagement — minimaal jaarlijks — om te waarborgen dat het ISMS geschikt blijft voor het beoogde doel. Beoordelingen moeten adresseren: auditresultaten, beveiligings-KPI's, status van corrigerende maatregelen, feedback van belanghebbenden en organisatorische wijzigingen.

8. Voortdurende verbetering

Het ISMS moet aantoonbaar voortdurende verbetering laten zien door corrigerende maatregelen, preventieve maatregelen, procesoptimalisatie en updates die nieuwe bedreigingen, regelgevende vereisten en de bedrijfscontext weerspiegelen.

ISMS versus andere kaders

Kader	Aard	Certificering	Ideaal voor	Relatie met ISMS
ISO 27001	Internationale ISMS-norm	Ja — RvA-geaccrediteerde instantie (NL)	B2B-bedrijven, internationale verkoop	IS de ISMS-norm
SOC 2	Amerikaans auditrapport	Ja — CPA-kantoor	SaaS-bedrijven gericht op VS-markt	Komt overeen met ISMS-componenten
AVG	EU-gegevensbeschermingsverordening	Nee — handhaving door AP	Elke EU-gegevensverwerker	ISMS-maatregelen voldoen aan art. 32 AVG
NIS2	EU-netwerk- en informatieveiligheidsrichtlijn	Nee — handhaving door NCSC-NL	Essentiële/belangrijke entiteiten EU	Art. 21 NIS2 sluit aan op ISMS-maatregelen
DORA	EU-verordening financiële operationele veerkracht	Nee — financiële toezichthouder	EU-financiële sector	ICT-risicobeheer sluit aan op ISMS

Kernpunt: een goed ontworpen ISO 27001-ISMS voldoet gelijktijdig aan de meeste vereisten van NIS2 artikel 21, DORA ICT-risicobeheer en AVG artikel 32. Hetzelfde toegangscontrolebeleid voldoet aan ISO 27001 A.5.15, NIS2 artikel 21(2)(i) en AVG artikel 32 tegelijk.

Wie heeft een ISMS nodig?

Hoogste urgentie

NIS2-essentiële en belangrijke entiteiten: De NIS2-richtlijn, in Nederland geïmplementeerd via de gewijzigde Cyberbeveiligingswet (Wbni-opvolger, 2025) [²], verplicht duizenden Nederlandse organisaties in 18 sectoren tot risicobeheersmaatregelen. Zonder gestructureerd ISMS is het aantonen van NIS2-compliance nagenoeg onmogelijk.

B2B-SaaS- en cloudaanbieders: Enterprise-klanten — AEX-bedrijven, overheidsinstanties — stellen ISO 27001 steeds vaker als standaard voorwaarde bij aanbestedingen en contractverlengingen.

Fintech en financiële sector: DORA maakt ICT-risicobeheer — functioneel een ISMS — verplicht voor EU-financiële entiteiten.

Gezondheidszorg: AVG artikel 32 vereist 'passende technische en organisatorische maatregelen' — een ISO 27001-gecertificeerd ISMS is de meest verdedigbare aantoning tegenover de Autoriteit Persoonsgegevens.

Groeiende urgentie

Leveranciers aan de overheid en het Rijk
Industrie met IT/OT-convergentie
Advocatenkantoren en adviesbureaus met gevoelige klantgegevens

ISMS implementeren: stapsgewijze handleiding (8 stappen)

Stap 1: Scope en doelstellingen definiëren (weken 1–2)

Begin met een beheersbare scope — een specifiek product, afdeling of gegevenstype. Definieer formeel: welke systemen, processen, fysieke locaties en organisatorische eenheden zijn inbegrepen. Documenteer de redenering.

Stap 2: Managementbetrokkenheid waarborgen (weken 2–3)

U heeft nodig: een benoemde executive sponsor, toegewezen budget, goedgekeurd informatiebeveiligingsbeleid, gedefinieerde risicobereidheid en een beveiligings-governancestructuur.

Stap 3: Asset-inventarisatie en risicobeoordeling (weken 3–8)

Asset-inventarisatie: informatie-assets, IT-assets, personen, fysieke assets.

Risicobeoordeling: bedreigingen identificeren (ransomware, insider, onbedoelde openbaarmaking, supply chain-aanval), kwetsbaarheden, waarschijnlijkheid en impact beoordelen.

Risicobehandeling: voor elk risico beslissen of verminderen, aanvaarden, overdragen of vermijden. Beslissingen documenteren en mitigerende maatregelen koppelen aan Bijlage A van ISO 27001.

Stap 4: Verklaring van Toepasselijkheid opstellen (weken 8–10)

Alle 93 maatregelen van Bijlage A van ISO 27001:2022 doorlopen. Op te nemen maatregelen rechtvaardigen op basis van geïdentificeerde risico's. Uitsluitingen moeten werkelijke niet-toepasselijkheid aantonen. De VvT is een levend document.

Stap 5: Maatregelen implementeren (weken 8–24)

Snel te realiseren (binnen 4 weken): MFA voor alle kritieke systemen, wachtwoordbeleid, toegangsreview en offboarding, beveiligingsbewustzijnstraining, asset-inventarisatie.

Middellangetermijnmaatregelen (4–12 weken): kwetsbaarhedenbeheer, incident-responsplan en tests, bedrijfscontinuïteitsplan, leveranciersbeveiligingsbeoordelingen, encryptie.

Langetermijnmaatregelen (12–24 weken): veilige ontwikkellevenscyclus, penetratietestprogramma, geavanceerde dreigingsdetectie, risicobeheer van derden.

Stap 6: Documentatiekader opbouwen (weken 12–18)

Verplichte documenten en registratiesinfrastructuur aanmaken: beleidsregels en procedures, sjablonen, bewijsverzamelingsprocessen en een documentbeheersysteem.

Stap 7: Interne audit en managementbeoordeling (weken 20–24)

Volledige interne auditcyclus uitvoeren vóór de certificeringsaudit. Scope plannen, uitvoeren, bevindingen documenteren, corrigerende maatregelen overeenkomen, managementbeoordeling houden.

Stap 8: Certificeringsaudit (maanden 6–12)

In Nederland moet de certificerende instantie geaccrediteerd zijn door de RvA (Raad voor Accreditatie). Geaccrediteerde instanties: Lloyd's Register, DNV, Bureau Veritas, SGS, TÜV NORD.

Fase 1-audit (documentatiereview, 1–2 dagen): auditor beoordeelt ISMS-documentatie, bevestigt scope, verifieert VvT.

Fase 2-audit (implementatieverificatie, 2–5 dagen afhankelijk van scope): auditor test of gedocumenteerde maatregelen daadwerkelijk zijn geïmplementeerd en werken, interviewt medewerkers, onderzoekt bewijsmateriaal.

Het ISO 27001-certificaat is drie jaar geldig, met jaarlijkse surveillanceaudits en een volledige hercertificeringsaudit in het derde jaar.

ISMS-kosten in Nederland: prijzen 2026

Organisatiegrootte	Implementatie	Certificeringsaudit	Platform	Totaal jaar 1
Micro (1–10 mw)	€5.000–€15.000	€6.000–€10.000	€1.200–€4.000/j	€12.000–€30.000
MKB (10–50 mw)	€10.000–€25.000	€8.000–€12.000	€3.000–€10.000/j	€22.000–€50.000
Middelgroot (50–250 mw)	€20.000–€50.000	€10.000–€20.000	€10.000–€30.000/j	€40.000–€100.000
Groot bedrijf (250+ mw)	€50.000–€150.000	€15.000–€40.000	€30.000+/j	€95.000–€200.000+

Belangrijke kostenfactoren 2026:

Dagtarieven ervaren ISO 27001-consultants: €1.200–€1.800 excl. btw/dag [³]
Doorlopende kosten bedragen na de eerste certificering ca. 20% van de initiële investering per jaar [³]
Compliance-automatiseringsplatforms verminderen de implementatie-inspanning met 40–60% vergeleken met handmatige aanpakken [⁴]

Wat de meeste ISMS-gidsen niet vertellen

Documentatiehiaten veroorzaken de meeste fase-1-mislukkingen

Onvoldoende documentatie veroorzaakt meer fase-1-auditmislukkingen dan welke technische beheersbreuk dan ook. Meest voorkomende ontbrekende elementen: risicobehandelingsplan niet gekoppeld aan de VvT, managementbeoordelingsnotulen die niet alle vereiste onderwerpen behandelen, corrigerende maatregelen zonder oorzaakanalyse [⁵].

Scope-definitie is een strategische beslissing

Te breed leidt tot een onbeheersbare implementatielast. Te smal en klanten vragen waarom bepaalde producten niet worden gedekt. De juiste scope is de kleinste die aan uw klant- en compliancevereisten voldoet.

Post-certificering drift komt veel voor

De gevaarlijkste periode is de 18 maanden na de eerste certificering. Bouw ISMS-onderhoud in reguliere operationele ritmes in — maandelijkse maatregelcontroles, kwartaalse managementtouchpoints, jaarlijkse volledige auditcycli [⁶].

Veelgemaakte ISMS-auditfouten

Risicobeoordeling als afvinklijstje behandeld — eenmalig uitgevoerd, niet bijgewerkt [⁶]
Beleid zegt één ding, praktijk toont iets anders — gedocumenteerd toegangscontrolebeleid maar toegangsrechten niet beoordeeld
Interne audit dekt niet alle maatregelen — jaarlijks auditplan bereikt geen volledige ISMS-dekking
Oorzaakanalyse is oppervlakkig — corrigerende maatregelen behandelen symptomen, dezelfde non-conformiteiten herhalen zich
Leveranciersbeveiliging is nominaal — beleid bestaat maar geen feitelijke leveranciersbeoordeling uitgevoerd
Managementbeoordelingsnotulen onvolledig — behandelen niet alle vereiste inputs
Bewijs van beveiligingstraining ontbreekt — training uitgevoerd maar registraties niet bijgehouden
Bedrijfscontinuïteit niet getest — gedocumenteerd BCP maar geen testbewijzen

Hoe Orbiq uw ISMS ondersteunt

Het Orbiq compliance-automatiseringsplatform is gebouwd voor ISMS-beheer op schaal:

Continue monitoring — geautomatiseerde maatregelcontroles in realtime, hiaten worden gevonden vóórdat auditors ze ontdekken
Bewijsbeheer — geautomatiseerde bewijsverzameling gelijktijdig gekoppeld aan ISO 27001, NIS2 en SOC 2
AI-gestuurde vragenlijsten — wanneer klanten beveiligingsvragenlijsten sturen, beantwoordt Orbiq ze automatisch vanuit uw ISMS-bewijs
Trust Center — publiceer uw ISMS-certificeringen en maatregelstatus als selfserviceportaal

Ontdek het Orbiq ISMS-platform →

Verder lezen

ISO 27001-certificering — Volledige gids — Stapsgewijs certificeringsproces, auditfasen en voorbereiding
Wat is een ISMS? — Concept, 8 componenten, PDCA-cyclus, veelgemaakte auditfouten
Kosten ISO 27001-certificering — Volledige kostenopbouw voor MKB en middelgrote bedrijven
Beste ISMS-software 2026 — Eerlijke vergelijking van platformen voor het bouwen en onderhouden van uw ISMS
ISO 27001 is geen NIS2-compliance — De hiaten begrijpen en overbruggen

Bronnen & referenties

ANSSI — "Panorama de la cybermenace 2025", cyber.gouv.fr, maart 2026. Gegevens: 1.366 verwerkte incidenten, 128 ransomware-compromitteringen, 196 data-exfiltraties.
NCSC-NL — Aanbevelingen ISO 27001 voor NIS2-compliance; Wbni (2024) — implementatiewet NIS2 in Nederland.
Kostengegevens 2026: HightTable, "ISO 27001 Certification Cost: Full Breakdown (2026)", hightable.io; Fidens, "Combien coûte une certification ISO 27001?", fidens.fr.
HightTable — Vermindering implementatie-inspanning door automatisering: 40–60%.
GRC Solutions — "5 Reasons ISO 27001 Implementations Fail (and How to Avoid Them)", grcsolutions.io.
Konfirmity — "ISO 27001 Common Audit Findings: A Practical Guide (2026)", konfirmity.com/blog/iso-27001-common-audit-findings.
ISO.org — "ISO/IEC 27001:2022 — Information security management systems", iso.org/standard/27001.
ShieldNet360 — "ISO 27001 audit guide: requirements & process for SMEs, 2026", shieldnet360.com.

Deze gids wordt onderhouden door het Orbiq-team. Laatste update: maart 2026.