Wat is ISO 27001? De complete gids voor 2026
ISO 27001 is de internationale norm voor managementsystemen voor informatiebeveiliging. Leer wat het omvat, waarom 96.000+ organisaties gecertificeerd zijn en hoe u kunt beginnen.
Wat is ISO 27001? De complete gids voor 2026
Kort antwoord: ISO/IEC 27001 is de internationale norm die specificeert hoe een organisatie een Informatiebeveiligingsbeheersysteem (ISMS) opbouwt, exploiteert en continu verbetert. De huidige editie is ISO/IEC 27001:2022 met Wijziging 1:2024 (klimaatoverweging). Een geaccrediteerde certificatie-instelling verifieert conformiteit in een tweetraps audit en geeft een certificaat af dat drie jaar geldig is. Na de overgangsdeadline van 31 oktober 2025 is de versie 2022 de enige geldige editie [³].
ISO 27001 is 's werelds toonaangevende norm voor informatiebeveiligingsmanagement. In 2024 is het aantal geldige ISO 27001-certificaten bijna verdubbeld — van 48.671 naar 96.709 gecertificeerde organisaties in meer dan 150 landen [¹]. Die groei is niet toevallig. Zakelijke kopers eisen het. Toezichthouders verwijzen ernaar. Cyberverzekeraars belonen het.
Deze gids legt precies uit wat ISO 27001 is, wat het omvat, hoe het werkt en waarom het belangrijk is voor uw organisatie — of u nu net begint met het onderzoeken van de norm of zich voorbereidt op certificering.
Kernpunten
- ISO 27001 is een internationale norm voor het bouwen en exploiteren van een Informatiebeveiligingsbeheersysteem (ISMS). De huidige versie is ISO/IEC 27001:2022.
- De norm certificeert uw gehele beveiligingsaanpak — niet alleen individuele tools of maatregelen. Het omvat mensen, processen en technologie.
- 93 Bijlage A-maatregelen zijn georganiseerd in vier categorieën: Organisatorisch, Mensgebonden, Fysiek en Technologisch.
- Certificering vereist een audit door een geaccrediteerde derde partij. Het certificaat is drie jaar geldig met jaarlijkse surveillance-audits.
- 96.709 organisaties waren gecertificeerd in 2024, terwijl de markt jaarlijks met 15,2% groeit [¹][²].
- ISO 27001 is afgestemd op NIS2, DORA en de AVG, waardoor het voor EU-bedrijven een strategische investering is en niet alleen een aanschafvereiste.
Wat is ISO 27001?
ISO 27001 (volledige naam: ISO/IEC 27001) is een internationale norm die gezamenlijk is gepubliceerd door de Internationale Organisatie voor Normalisatie (ISO) en de Internationale Elektrotechnische Commissie (IEC). Het specificeert de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Informatiebeveiligingsbeheersysteem (ISMS).
In de praktijk biedt ISO 27001 een gestructureerd kader voor:
- Identificeren welke informatie beschermd moet worden — informatiemiddelen, systemen, processen en mensen
- Beoordelen van de risico's voor die informatie — wat er mis kan gaan, hoe waarschijnlijk het is en wat de impact zou zijn
- Implementeren van maatregelen om die risico's tot een aanvaardbaar niveau te reduceren
- Meten en verbeteren van de effectiviteit van uw beveiligingsprogramma in de loop van de tijd
De norm schrijft niet precies voor welke technologieën te gebruiken of welke specifieke beleidsregels te schrijven. In plaats daarvan biedt het een risicogebaseerde aanpak: uw organisatie identificeert haar eigen dreigingen, beoordeelt hun ernst en selecteert passende maatregelen uit een referentiecatalogus (Bijlage A). Deze risicobeoordeling steunt vaak op gevestigde risicomanagement-frameworks zoals ISO/IEC 27005 of het NIST Risk Management Framework.
Certificering betekent dat een geaccrediteerde, onafhankelijke certificatie-instelling heeft geverifieerd dat uw ISMS aan de eisen van de norm voldoet. Deze onafhankelijke verificatie onderscheidt ISO 27001-certificering van zelfevaluaties, vragenlijsten of claims van leveranciers.
ISO 27001: Een korte geschiedenis
De ISO 27000-familie van normen heeft haar wortels in de Britse standaard BS 7799, voor het eerst gepubliceerd in 1995:
| Jaar | Ontwikkeling |
|---|---|
| 1995 | BS 7799 gepubliceerd door het British Standards Institution |
| 2000 | BS 7799 Deel 1 aangenomen als ISO/IEC 17799 |
| 2005 | ISO/IEC 27001:2005 gepubliceerd — eerste ISO 27001-editie |
| 2013 | ISO/IEC 27001:2013 gepubliceerd — belangrijke herziening, wereldwijd breed geadopteerd |
| 2022 | ISO/IEC 27001:2022 gepubliceerd — huidige versie; Bijlage A geherstructureerd van 114 naar 93 maatregelen |
| 2024 | Wijziging 1 toegevoegd — klimaatveranderingsvereiste in Clausule 4.1 |
| Okt. 2025 | Alle certificeringen op basis van de 2013-versie verlopen; 2022 is nu de enige geldige editie |
De herziening van 2022 was de meest significante update in bijna een decennium. Alle organisaties die gecertificeerd waren onder de 2013-versie moesten vóór oktober 2025 migreren. Vanaf 2026 worden alle ISO 27001-certificeringsaudits uitgevoerd tegen de 2022-editie [³].
ISO 27001:2022 vs. ISO 27001:2013 — wat er werkelijk is veranderd
Voor organisaties die tussen 2022 en 2025 van de 2013- naar de 2022-versie zijn gemigreerd — en voor auditors die vergelijkende beoordelingen uitvoeren — zijn de volgende wijzigingen wezenlijk [⁶]:
Structurele wijziging van Bijlage A in één oogopslag
| Aspect | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| Aantal maatregelen | 114 | 93 |
| Categorieën | 14 secties (A.5 – A.18) | 4 thema's (Organisatorisch / Mensgebonden / Fysiek / Technologisch) |
| Maatregel-attributen | Geen | 5 attributen per maatregel (Controletype, Beveiligingseigenschappen, Cybersecurity-concepten, Operationele capaciteiten, Beveiligingsdomeinen) |
| Klimaatoverweging | Niet opgenomen | Verplicht vanaf Wijziging 1:2024 (Clausules 4.1 + 4.2) |
Maatregelmapping — de exacte cijfers
Van de 114 oorspronkelijke maatregelen uit 2013 zijn in de 2022-editie:
- 35 maatregelen ongewijzigd overgenomen
- 23 maatregelen hernoemd, met behoud van hun kerninhoud
- 57 maatregelen samengevoegd tot 24 geconsolideerde maatregelen
- 11 nieuwe maatregelen toegevoegd
De High-Level Structure (Clausules 4 t/m 10) bleef functioneel identiek. Als u al een ISMS exploiteert onder de 2013-versie, blijft het managementsysteem-fundament behouden — het grootste deel van het transitiewerk lag in het opnieuw toewijzen van Bijlage A-maatregelen en het bijwerken van de Verklaring van Toepasselijkheid (SoA).
Wijziging 1:2024 — klimaatactie-vereiste
In februari 2024 publiceerde ISO Wijziging 1, die twee toevoegingen introduceert [⁷]:
- Clausule 4.1 (Begrip van de organisatie en haar context): toegevoegde zin "De organisatie moet bepalen of klimaatverandering een relevant onderwerp is."
- Clausule 4.2 (Behoeften en verwachtingen van belanghebbenden): nieuwe opmerking "Relevante belanghebbenden kunnen eisen hebben met betrekking tot klimaatverandering."
Belangrijk: de wijziging vereist niet dat klimaatverandering voor elke organisatie relevant is — ze vereist dat de vraag gedocumenteerd wordt beoordeeld. Voor een datacenter in een overstromingsgevoelig gebied of een SaaS-platform met wereldwijde beschikbaarheidseisen is het antwoord uiteraard "ja". Voor een puur adviesbureau zonder fysieke IT-infrastructuur kan het antwoord "nee" zijn — maar de motivering moet schriftelijk vastliggen. Auditors van certificatie-instellingen toetsen deze documentatie vanaf de eerste surveillance-audit na de publicatiedatum.
Het ISO 27001-raamwerk: twee kerncomponenten
ISO 27001 heeft twee hoofdonderdelen: de eisen aan het managementsysteem en de Bijlage A-referentiemaatregelen.
Deel 1: Eisen aan het managementsysteem (Clausules 4 t/m 10)
Deze zeven clausules definiëren hoe het ISMS moet worden gestructureerd en beheerd:
| Clausule | Onderwerp | Kerneis |
|---|---|---|
| Clausule 4 | Context van de organisatie | ISMS-toepassingsgebied definiëren; interne/externe factoren en belanghebbenden identificeren |
| Clausule 5 | Leiderschap | Informatiebeveiligingsbeleid vaststellen; rollen toewijzen; betrokkenheid van het management aantonen |
| Clausule 6 | Planning | Risicobeoordeling uitvoeren; risicobehandelplan vaststellen; beveiligingsdoelstellingen definiëren |
| Clausule 7 | Ondersteuning | Middelen toewijzen; bewustzijn creëren; documentatie beheren |
| Clausule 8 | Uitvoering | Risicobeoordelings- en risicobehandelplannen uitvoeren |
| Clausule 9 | Prestatiebeoordeling | Effectiviteit bewaken; interne audits uitvoeren; directiebeoordelingen houden |
| Clausule 10 | Verbetering | Afwijkingen behandelen; continue verbetering stimuleren |
De managementsysteemclausules volgen de Plan-Do-Check-Act (PDCA)-cyclus — Plannen (Clausules 4-6), Doen (Clausules 7-8), Controleren (Clausule 9), Handelen (Clausule 10).
Deel 2: Bijlage A-referentiemaatregelen
Bijlage A bevat 93 referentiemaatregelen in vier categorieën. Deze zijn niet allemaal verplicht — uw risicobeoordeling bepaalt welke maatregelen van toepassing zijn op uw situatie. Als u een maatregel uitsluit, moet u uw rechtvaardiging documenteren in de Verklaring van Toepasselijkheid (VvT).
Organisatorische maatregelen (37 maatregelen)
Governance en managementprocessen, waaronder:
- Informatiebeveiligingsbeleid en -procedures
- Middelenbeheer en informatieclassificatie
- Toegangsbeheerbeleid
- Beveiliging van leveranciers en derde partijen
- Incidentbeheerprocessen
- Bedrijfscontinuïteit en herstel na calamiteiten
- Compliance en wettelijke vereisten
Mensgebonden maatregelen (8 maatregelen)
De menselijke dimensie van beveiliging:
- Screening vóór indiensttreding
- Arbeidsvoorwaarden (inclusief vertrouwelijkheid)
- Opleiding en bewustwording informatiebeveiliging
- Disciplinair proces
- Verantwoordelijkheden na beëindiging van het dienstverband
- Beleid voor thuiswerken
Fysieke maatregelen (14 maatregelen)
Fysieke beveiligingsmaatregelen:
- Fysieke beveiligingsperimeters en toegangscontroles
- Beveiliging van kantoren, ruimten en faciliteiten
- Apparaatbescherming en -onderhoud
- Clean desk- en clean screen-beleid
- Veilig beheer en verwijdering van opslagmedia
Technologische maatregelen (34 maatregelen)
Technische beveiligingsimplementatie:
- Gebruikersauthenticatie, autorisatie en toegangsrechten
- Versleuteling en sleutelbeheer
- Loggen en bewaken van beveiligingsgebeurtenissen
- Netwerkbeveiliging en -segmentatie
- Veilige softwareontwikkelingslevenscyclus (SDLC)
- Gegevensbescherming, maskering en lekpreventie
- Kwetsbaarheidsbeheer en patchbeheer
- Back-up en redundantie
De 11 nieuwe maatregelen uit 2022
De ISO/IEC 27001:2022-herziening introduceerde 11 nieuwe maatregelen die moderne beveiligingsuitdagingen weerspiegelen:
| Maatregel | Onderwerp |
|---|---|
| A.5.7 | Dreigingsinformatie |
| A.5.23 | Informatiebeveiliging voor clouddiensten |
| A.5.30 | ICT-gereedheid voor bedrijfscontinuïteit |
| A.7.4 | Bewaking van fysieke beveiliging |
| A.8.9 | Configuratiebeheer |
| A.8.10 | Verwijdering van informatie |
| A.8.11 | Gegevensmaskering |
| A.8.12 | Preventie van gegevenslekken |
| A.8.16 | Bewakingsactiviteiten |
| A.8.23 | Webfiltering |
| A.8.28 | Veilig coderen |
Wat is een ISMS?
ISO 27001 certificeert uw Informatiebeveiligingsbeheersysteem (ISMS). Een ISMS is geen softwareproduct of technisch hulpmiddel — het is een managementsysteem: een geheel van beleidsregels, processen, rollen en maatregelen die samenwerken om informatiebeveiligingsrisico's systematisch te beheersen.
Beschouw het als een kwaliteitsmanagementsysteem (ISO 9001) voor beveiliging. Net zoals een KMS consistente productkwaliteit waarborgt door gedocumenteerde processen en continue verbetering, waarborgt een ISMS consistente informatiebeveiliging door gestructureerd risicobeheer.
Een ISMS bevat:
- Definitie van het toepassingsgebied — welke informatiemiddelen, systemen en processen zijn opgenomen
- Risicobeoordelingsmethodologie — hoe u risico's identificeert en beoordeelt
- Risicobehandelplan — wat u met elk risico doet (beperken, accepteren, overdragen, vermijden)
- Verklaring van Toepasselijkheid (VvT) — welke Bijlage A-maatregelen van toepassing zijn en hoe ze worden geïmplementeerd
- Beleid en procedures — de regels die uw organisatie volgt
- Maatregelbewijzen — bewijs dat maatregelen effectief functioneren
- Intern auditprogramma — regelmatige controles of het ISMS werkt
- Directiebeoordelingsverslagen — bewijs van betrokkenheid van het management
- Tracking van corrigerende maatregelen — hoe u reageert op problemen en ervan leert
In Nederland is de RvA (Raad voor Accreditatie) de nationale accreditatie-instantie die certificatie-instellingen accrediteert voor ISO 27001. Bekende gecertificeerde instellingen in Nederland zijn Kiwa, Bureau Veritas, DNV en LRQA.
Voor een gedetailleerde gids over het bouwen van een ISMS, zie onze uitgebreide ISMS-gids — definitie, 8-stappen implementatie, kosten en auditfouten.
De Verklaring van Toepasselijkheid (SoA) — een uitgewerkt voorbeeld
De Verklaring van Toepasselijkheid is het belangrijkste document in elk ISO 27001-programma. Het somt alle 93 Bijlage A-maatregelen op en documenteert voor elk: of de maatregel van toepassing is, of deze is geïmplementeerd, en — indien uitgesloten — de motivering daarvoor. Auditors beginnen hun Fase 2-audits regelmatig met de SoA in de hand.
Hier is een verkort uittreksel uit een realistische SoA voor een Nederlands B2B-SaaS-bedrijf met 80 medewerkers:
| Maatregel | Titel | Van toepassing? | Status | Motivering / Bewijs |
|---|---|---|---|---|
| A.5.1 | Informatiebeveiligingsbeleid | Ja | Geïmplementeerd | Door CTO goedgekeurd beleid, jaarlijks herzien. Bewijs: Confluence-document, audit-log van handtekeningen. |
| A.5.7 | Dreigingsinformatie (nieuw in 2022) | Ja | Geïmplementeerd | Abonnement op NCSC-NL-waarschuwingen + commerciële threat feed. Maandelijkse review in security-commissie. |
| A.5.23 | Beveiliging van clouddiensten (nieuw in 2022) | Ja | Geïmplementeerd | AWS-beveiligingsbaseline, gedocumenteerd cloudleveranciers-beoordelingsproces. Bewijs: AWS-configuratie, DPA-dossier. |
| A.7.4 | Monitoring van fysieke beveiliging (nieuw in 2022) | Nee | Uitgesloten | Geen eigen datacenter. Volledige productie in AWS (regio Frankfurt) — leveranciers-certificaten (SOC 2, ISO 27001) in dossier. |
| A.8.1 | Eindpuntbeveiliging | Ja | Geïmplementeerd | MDM (Jamf voor Mac, Intune voor Windows). Schijfversleuteling afgedwongen. Bewijs: MDM-conformiteitsrapport. |
| A.8.28 | Veilige programmering (nieuw in 2022) | Ja | Geïmplementeerd | OWASP-secure-coding-training, SAST in CI/CD (SonarQube), peer-review verplicht. Bewijs: GitHub-PR-historie. |
Belangrijke punten:
- Uitsluitingen zijn toegestaan — maar moeten worden gemotiveerd. A.7.4 wordt door cloud-native bedrijven vaak uitgesloten. De auditor accepteert dit als de redenering steekhoudend is en het risico door de beveiliging van de leverancier wordt afgedekt.
- "Geïmplementeerd" volstaat niet — u heeft bewijs nodig. De SoA verwijst naar concrete artefacten: beleid, configuraties, logs, tickets, opleidingsverslagen.
- De SoA is een levend document. Het wordt minimaal jaarlijks bijgewerkt — bij elke risico-herbeoordeling, bij elke maatregelwijziging en bij elke auditbevinding.
Een goede SoA is tegelijkertijd het beste verkoopdocument bij B2B-inkoop: het toont kopers op één pagina welke beveiligingsmaatregelen u uitvoert en hoe deze worden onderbouwd — veel efficiënter dan een vragenlijst van 200 vragen.
Waarom ISO 27001 belangrijk is in 2026
Zakelijke kopers vereisen het
De meest directe zakelijke reden voor certificering: bedrijfsaankoopprocessen vereisen ISO 27001 steeds meer als basisvereiste. Dit geldt in het bijzonder voor Europese markten, waar Nederlandse, Belgische, Duitse en Scandinavische kopers ISO 27001-certificering verwachten voordat ze B2B-softwarecontracten ondertekenen.
De gegevens weerspiegelen dit: 81% van de organisaties rapporteerde huidige of geplande ISO 27001-certificeringen in 2025, tegenover 67% in 2024 — een stijging van 14 procentpunten in één jaar [⁴].
NIS2 en DORA creëren regelgevende rugwind
Voor organisaties die onderworpen zijn aan de NIS2-richtlijn of de DORA-verordening biedt ISO 27001 aanzienlijke overlap met regelgevingsvereisten:
- NIS2 Artikel 21 vereist risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen en andere maatregelen — alles wat overeenkomt met ISO 27001-maatregelen
- DORA vereist ICT-risicobeheerframeworks voor financiële entiteiten die nauw overeenkomen met de managementsysteemstructuur van ISO 27001
ISO 27001 garandeert geen NIS2- of DORA-conformiteit — beide regelingen hebben aanvullende specifieke vereisten die verder gaan dan wat een ISMS biedt. Maar het biedt ongeveer 70% van de basis voor NIS2-conformiteit.
Concurrentievoordeel bij beveiligingsbeoordelingen
Gecertificeerde organisaties kunnen hun ISO 27001-certificaat delen — samen met hun toepassingsgebied, Verklaring van Toepasselijkheid en maatregelbewijzen — via een Trust Center. Dit stelt kopers in staat om zelf beveiligingszorgvuldigheid uit te voeren zonder vragenlijsten te sturen.
Cyberverzekeringvoordelen
Cyberverzekeraars zijn steeds strenger geworden in hun acceptatiecriteria. ISO 27001-gecertificeerde organisaties demonstreren een systematische aanpak voor risicobeheer, wat de blootstelling van de verzekeraar direct vermindert.
Multi-framework efficiëntie
De 93 Bijlage A-maatregelen van ISO 27001 overlappen voor 70-80% met de SOC 2 Trust Services Criteria. Organisaties die hun compliance-programma bouwen rondom ISO 27001 creëren een basis die zich uitstrekt over meerdere frameworks [⁵].
ISO 27001 in het Europese compliance-landschap (EU, EER, VK)
ISO 27001 is een internationale norm — maar de marktrelevantie in Europa wordt gevormd door de combinatie met nationale en supranationale regelgeving. Wie samenwerkt met klanten in de EU, de EER en het Verenigd Koninkrijk dient de volgende parallelle ontwikkelingen te begrijpen [⁸][⁹]:
Nederland en de Europese Unie
In Nederland is de Cyberbeveiligingswet (Cbw) de geplande Nederlandse implementatie van EU-richtlijn 2022/2555 (NIS2). De Cbw wordt naar verwachting medio 2026 (rond 1 juli 2026) van kracht; tot die tijd blijft de Wet beveiliging netwerk- en informatiesystemen (Wbni) het geldende kader voor essentiële en belangrijke entiteiten. De Autoriteit Persoonsgegevens (AP), DNB (voor financiële instellingen onder DORA) en NCSC-NL verwijzen in praktische guidance naar ISO 27001 als bruikbaar referentiekader voor het aantonen van risicobeheermaatregelen. Geaccrediteerde certificatie-instellingen van de Raad voor Accreditatie (RvA) geven in Nederland de geldige ISO 27001-certificaten af. In Duitsland is het NIS2UmsuCG sinds 6 december 2025 van kracht; het BSI heeft informatiemateriaal gepubliceerd over de verhouding tussen ISO 27001 en NIS2 en accepteert certificeringen als één vorm van bewijs onder § 30 (audits, inspecties of certificeringen) — een formele BSI-erkenning van ISO 27001 als voldoende NIS2-bewijs bestaat echter niet. De meldplichten (24-uurs vroege waarschuwing, 72-uurs incidentrapport) en de persoonlijke aansprakelijkheid van bestuurders vallen sowieso buiten het toepassingsgebied van ISO 27001 [⁸].
Noorwegen (EER)
Noorwegen is geen EU-lidstaat maar past EU-cybersecuritywetgeving toe via de EER-overeenkomst. De Noorse Digitalsikkerhetsloven (Digitale Veiligheidswet) trad op 1 oktober 2025 in werking en moderniseert het nationale kader voor beveiligingsverplichtingen van aanbieders van digitale diensten [¹⁰]. De volledige NIS2-transpositie in Noorwegen is nog onderweg: de regering heeft aangekondigd dat NIS2 en de CER-richtlijn als onderdeel van een breder cybersecuritypakket in Noors recht zullen worden opgenomen, maar de definitieve reikwijdte en de operationele ingangsdata van de NIS2-specifieke verplichtingen zijn nog niet vastgelegd in primaire wetgeving. De centrale toezichthouder is de Nasjonal sikkerhetsmyndighet (NSM). Noorse organisaties die zich voorbereiden op NIS2 gebruiken ISO 27001 op grote schaal als werkreferentie voor hun informatiebeveiligingsbasis, gezien de aansluiting bij de risicobeheermaatregelen van NIS2-artikel 21.
Verenigd Koninkrijk (post-Brexit)
Het Cyber Security and Resilience Bill is op 12 november 2025 ingediend voor eerste lezing in het Britse parlement, kreeg op 6 januari 2026 een tweede lezing en bevindt zich momenteel in de Committee-fase [¹¹]. Het wetsvoorstel past de NIS Regulations 2018 aan met als doel nauwere afstemming op NIS2, zonder deze volledig over te nemen. Britse toezichthouders verwijzen naar het Cyber Assessment Framework (CAF) van NCSC als voorkeursreferentie. Voor Britse marktpartijen blijft ISO 27001 het meest pragmatische multi-framework-fundament, omdat de CAF-principes vrijwel volledig op de Bijlage A-maatregelen van ISO 27001 zijn af te beelden.
Praktische consequentie: een ISO 27001-certificering biedt de sterkste meerjurisdictionele informatiebeveiligingsbasis voor organisaties die actief zijn in de EU-lidstaten, de EER en het post-Brexit-VK. Zij is echter geen volledige vervanging voor jurisdictie-specifieke verplichtingen — NIS2-meldtermijnen, persoonlijke bestuurdersaansprakelijkheid en registratie bij de toezichthouder vereisen elk aanvullend implementatiewerk bovenop het ISMS. ISO 27001 vormt niettemin het fundament dat EU-, EER- en VK-kaders consistent referencen of accepteren als relevante norm.
Certificeringstijdlijn en kosten (in EUR, 2026)
Realistische cijfers voor Europese bedrijven, op basis van publiek beschikbare gegevens van RvA-, DAkkS- en UKAS-geaccrediteerde certificatie-instellingen zoals TÜV SÜD, TÜV Rheinland, DEKRA, DQS, KIWA en DNV [¹²]:
Externe auditkosten per bedrijfsgrootte
| Bedrijfsomvang | Initiële audit (Fase 1 + 2) | Jaarlijkse surveillance-audit | Hercertificering (Jaar 3) |
|---|---|---|---|
| 25 medewerkers, 1 locatie | EUR 8.000 – 11.000 | EUR 3.000 – 5.000 | EUR 6.000 – 9.000 |
| 60 medewerkers, 1 locatie | EUR 12.000 – 17.000 | EUR 4.500 – 7.000 | EUR 9.000 – 13.000 |
| 120 medewerkers, 2 locaties | EUR 18.000 – 24.000 | EUR 6.500 – 10.000 | EUR 13.000 – 18.000 |
| 300+ medewerkers, meerdere locaties | EUR 30.000 – 60.000+ | EUR 12.000 – 20.000 | EUR 22.000 – 40.000 |
Jaarlijkse surveillance-audits bedragen doorgaans 30 – 40% van de initiële auditkosten.
Totale investering in het eerste jaar (inclusief interne inspanning)
Externe auditkosten vormen slechts een deel van de totale investering. Realistische totaalbudgetten voor het eerste jaar — inclusief interne personeelskosten, advies, tooling en audit:
- Klein SaaS-bedrijf (15 – 30 medewerkers): EUR 24.000 – 45.000
- Middelgroot bedrijf (60 – 120 medewerkers): EUR 50.000 – 120.000
- Groter bedrijf met complexiteit: EUR 150.000+
Tijdlijn
| Fase | Duur |
|---|---|
| Gap-analyse en planning | 4 – 6 weken |
| ISMS-implementatie (beleid, maatregelen, training) | 3 – 5 maanden |
| Operationele periode voor bewijsverzameling | 3 – 6 maanden |
| Interne audit en directiebeoordeling | 2 – 4 weken |
| Fase 1-audit (documentbeoordeling) | 1 – 2 weken |
| Fase 2-audit (implementatiebeoordeling) | 2 – 4 weken |
| Uitgifte van het certificaat | 4 – 8 weken na Fase 2 |
Totaal: 6 tot 12 maanden, afhankelijk van de volwassenheid van het bestaande beveiligingsprogramma. Organisaties die gebruikmaken van compliance-automatisering bereiken certificering doorgaans in 4 – 6 maanden in plaats van 9 – 12 maanden [⁴].
Een gedetailleerde uitsplitsing per fase vindt u in de gids ISO 27001-certificeringskosten in 2026.
ISO 27001 versus andere beveiligingskaders
ISO 27001 vs. SOC 2
| Dimensie | ISO 27001 | SOC 2 |
|---|---|---|
| Oorsprong | Internationaal (ISO/IEC) | Verenigde Staten (AICPA) |
| Uitkomst | Certificaat van geaccrediteerde instelling | Attestatierapport van accountantskantoor |
| Aanpak | Risicogebaseerd met Bijlage A-maatregelen | Criteriagebied (Trust Services Criteria) |
| Duur | 3-jarig certificaat met jaarlijkse bewaking | Jaarlijks rapport over observatieperiode |
| Kosten | EUR 30.000–150.000 eerste jaar | USD 30.000–150.000 eerste jaar |
| Tijdlijn | 6–12 maanden | Type II: 9–12 maanden |
| Geografie | Dominant in Europa en internationaal | Verwacht op de Amerikaanse markt |
| Regulatoire afstemming | Sterke EU-afstemming (NIS2, DORA, AVG) | Sterke Amerikaanse afstemming |
| Maatregeloverlap | — | 70–80% overlap met ISO 27001 |
Welke moet u kiezen? Voor Nederlandse en Europese bedrijven zou ISO 27001 uw basis moeten zijn. Voor bedrijven met Amerikaanse zakelijke klanten, overweeg SOC 2 toe te voegen. Vanwege de 70-80% maatregeloverlap kost het gelijktijdig nastreven van beide 30-40% minder dan ze afzonderlijk te bouwen [⁵].
ISO 27001 vs. ISO 27002
Een veelvoorkomende bron van verwarring: ISO 27001 is de certificeerbare norm; ISO 27002 biedt implementatierichtlijnen. Organisaties worden gecertificeerd tegen ISO 27001. ISO 27002 biedt gedetailleerde, niet-verplichte richtlijnen over hoe elk van de 93 Bijlage A-maatregelen te implementeren.
ISO 27001 vs. NEN 7510
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg, gebaseerd op ISO 27001. Organisaties in de Nederlandse gezondheidszorg die NEN 7510-certificering nastreven, bouwen voort op dezelfde ISMS-structuur als ISO 27001. De twee normen kunnen samen worden nagestreefd met aanzienlijk minder extra inspanning dan het afzonderlijk opbouwen van twee compliance-programma's.
Wat ISO 27001-certificering bewijst — en wat niet
Wat het bewijst
ISO 27001-certificering bewijst dat, op het moment van de audit:
- Uw organisatie het toepassingsgebied van haar ISMS heeft gedefinieerd
- U een grondige, gedocumenteerde risicobeoordeling heeft uitgevoerd
- U passende maatregelen heeft geïmplementeerd op basis van die beoordeling
- Uw ISMS-processen (interne audit, directiebeoordeling, corrigerende maatregelen) functioneren
- Een geaccrediteerde, onafhankelijke certificatie-instelling dit alles heeft geverifieerd
Wat het niet bewijst
- Dat uw organisatie nooit is gecompromitteerd. Het betekent dat u een systematische aanpak voor risicobeheer heeft.
- NIS2- of DORA-conformiteit. Beide regelingen hebben specifieke vereisten die verder gaan dan wat een ISMS biedt — met name rond meldingstermijnen voor incidenten en aansprakelijkheid van het management.
- Dat uw gehele organisatie standaard wordt gedekt. Het toepassingsgebied van certificering wordt door de organisatie bepaald. Kopers moeten het certificaatbereik zorgvuldig controleren.
Het ISO 27001-certificeringsproces: overzicht
- Gap-analyse — Beoordeel uw huidige beveiligingspostuur tegen ISO 27001-vereisten
- Toepassingsgebied definiëren — Bepaal wat uw ISMS zal omvatten
- Risicobeoordeling — Identificeer en beoordeel risico's voor uw in-scope middelen
- Maatregelen implementeren — Implementeer de maatregelen die nodig zijn om geïdentificeerde risico's te behandelen
- ISMS documenteren — Schrijf beleid, procedures en de Verklaring van Toepasselijkheid
- ISMS exploiteren — Lang genoeg laten functioneren om bewijs te genereren (typisch 3-6 maanden)
- Interne audit — Voer een interne audit uit vóór de certificeringsaudit
- Directiebeoordeling — Houd een formele directiebeoordeling van ISMS-prestaties
- Fase 1-audit — Certificatie-instelling beoordeelt uw documentatie
- Fase 2-audit — Certificatie-instelling verifieert implementatie door interviews en bewijstests
- Certificering — Certificaat afgegeven als er geen grote afwijkingen overblijven
- Onderhoud — Jaarlijkse surveillance-audits; volledige hercertificering in jaar 3
Voor de volledige stapsgewijze gids inclusief kosten, tijdlijnen en veelgemaakte fouten, zie ISO 27001-certificering: De complete gids.
Veelgemaakte fouten bij ISO 27001-certificering
Dit zijn de vijf meest voorkomende fouten. Elke fout kan maanden aan uw tijdlijn toevoegen of ertoe leiden dat u het certificeringsaudit niet haalt.
1. Certificering behandelen als eenmalig project
ISO 27001 is een managementsysteem, geen project. Organisaties die een ISMS alleen bouwen om het audit te halen, creëren kwetsbare systemen die instorten tussen surveillance-audits. Het ISMS moet continu functioneren: risico's worden opnieuw beoordeeld, maatregelen bewaakt, incidenten beheerd, verbeteringen geïmplementeerd.
2. Directiebetrokkenheid verwaarlozen
ISO 27001 vereist aangetoonde directiebetrokkenheid — niet alleen een handtekening op het beleidsdocument. Directiebeoordelingsvergaderingen moeten worden gehouden, van middelen voorzien en gedocumenteerd met duidelijke beslissingen en acties. Auditors zullen met het management spreken. Als het management de risicobereidheid van de organisatie niet kan verwoorden, is dat een afwijking.
3. Risicobeoordeling onderschatten
De risicobeoordeling stuurt alles aan: uw maatregelkeuze, uw Verklaring van Toepasselijkheid en uw auditomvang. Een oppervlakkige risicobeoordeling leidt tot ongeschikte maatregelen en auditbevindingen.
4. Documentatie onderschatten
ISO 27001 is bewijsintensief. Elke maatregel moet gedocumenteerd zijn. Elk proces moet records hebben. Continue monitoring lost dit op door automatisch en continu bewijs te verzamelen.
5. Verkeerde certificatie-instelling kiezen
Zorg ervoor dat de certificatie-instelling RvA-geaccrediteerd is en auditors heeft met ervaring in uw branche. Kiwa, Bureau Veritas en DNV zijn in Nederland bekende, betrouwbare opties. Vraag minimaal drie offertes aan.
De ISO 27000-familie
ISO 27001 is de kern van een bredere ISO/IEC 27000-familie van informatiebeveiligingsnormen:
| Norm | Aandachtsgebied |
|---|---|
| ISO/IEC 27001 | ISMS-vereisten (certificeerbaar) |
| ISO/IEC 27002 | Implementatierichtlijnen voor Bijlage A-maatregelen |
| ISO/IEC 27003 | ISMS-implementatierichtlijnen |
| ISO/IEC 27004 | ISMS-bewaking en -meting |
| ISO/IEC 27005 | Risicobeheer voor informatiebeveiliging |
| ISO/IEC 27017 | Beveiligingsmaatregelen voor clouddiensten |
| ISO/IEC 27018 | Bescherming van persoonsgegevens in clouddiensten |
| ISO/IEC 27701 | Privacy-informatiebeheersysteem (PIBS) — breidt ISO 27001 uit voor AVG-conformiteit |
Wie certificeert organisaties voor ISO 27001?
In Nederland zijn certificatie-instellingen geaccrediteerd door de RvA (Raad voor Accreditatie), de nationale accreditatie-instantie van Nederland:
| Certificatie-instelling | Accreditatie |
|---|---|
| Kiwa N.V. | RvA |
| Bureau Veritas | RvA / COFRAC |
| DNV | RvA |
| LRQA (voorheen Lloyd's Register) | RvA / UKAS |
| SGS | RvA |
| BSI Group | UKAS / internationale erkenning |
RvA-certificaten zijn EU-breed erkend via de onderlinge erkenningsovereenkomsten van de European cooperation for Accreditation (EA) en het International Accreditation Forum (IAF).
Wat de meeste gidsen niet vertellen over ISO 27001
1. Bewijskwaliteit is in 2026 belangrijker dan ooit
Auditors worden veeleisender over bewijs. Schermafbeeldingen en spreadsheets zijn niet meer voldoende voor veel certificatie-instellingen. Auditors willen bewijs dat het continue functioneren van maatregelen aantoont over het volledige observatievenster (typisch 6-12 maanden): tijdgestempelde logboeken, ticketgeschiedenissen, vergadernotulen [³].
2. De risicobeoordeling is zowel het moeilijkste als het meest waardevolle onderdeel
Een zinvolle risicobeoordeling dwingt u uw werkelijke informatiemiddelen, dreigingen en kwetsbaarheden te begrijpen — en creëert de gedocumenteerde basis voor elke maatregelkeuze die volgt.
3. Toepassingsgebieddecisies zijn strategisch
Voor de meeste B2B SaaS-bedrijven is het zinvol het kernproduct, de bijbehorende infrastructuur en de teams die het bouwen en beheren te omvatten.
4. Automatisering heeft de economie veranderd
Compliance-automatiseringsplatforms verbinden zich nu met uw cloudproviders, identiteitsbeheer, coderepositories en beveiligingstools om continu bewijs te verzamelen. Organisaties die automatisering gebruiken behalen certificering in 4-6 maanden in plaats van 9-12 maanden [⁴].
Aan de slag met ISO 27001
Stap 1: Begrijp wat u moet beschermen. Documenteer uw belangrijkste informatiemiddelen: klantgegevens, intellectueel eigendom, infrastructuur.
Stap 2: Voer een gap-analyse uit. Vergelijk uw huidige beveiligingsmaatregelen met ISO 27001-vereisten.
Stap 3: Schat omvang en budget in. Gebruik onze ISO 27001-certificeringskostengids om een realistisch projectplan op te stellen.
Stap 4: Beoordeel tooling. De keuze tussen spreadsheet-gebaseerde compliance en een speciaal ISMS-platform is fundamenteel een economische vraag.
Stap 5: Kies vroeg een certificatie-instelling. Certificatie-instellingen raken snel vol geboekt. Neem 3-4 maanden vóór uw geplande auditdatum contact op met potentiële RvA-geaccrediteerde instellingen.
Veelgestelde vragen
Wat is ISO 27001 in eenvoudige bewoordingen?
ISO 27001 is een internationaal erkende norm die organisaties vertelt hoe ze een systeem voor het beheer van informatiebeveiligingsrisico's moeten bouwen, beheren en verbeteren. Onafhankelijke auditors controleren de conformiteit en geven een drie jaar geldig certificaat af.
Wie heeft ISO 27001 nodig?
Elke organisatie die gevoelige informatie verwerkt profiteert van ISO 27001. Het is bijzonder kritisch voor B2B-softwarebedrijven, clouddienstverleners en zorgorganisaties die zakelijke kopers in Europa bedienen.
Wat bewijst ISO 27001-certificering?
Het bewijst dat een geaccrediteerde, onafhankelijke auditor heeft geverifieerd dat uw organisatie haar informatiebeveiligingsrisico's heeft beoordeeld, passende maatregelen heeft geïmplementeerd en managementprocessen heeft opgezet om haar beveiligingsprogramma continu te onderhouden en te verbeteren.
Wat is het verschil tussen ISO 27001 en ISO 27002?
ISO 27001 is de certificeerbare norm waartegen organisaties worden geauditeerd. ISO 27002 biedt aanvullende richtlijnen voor de implementatie van Bijlage A-maatregelen. U wordt gecertificeerd tegen ISO 27001; ISO 27002 helpt u maatregelen effectief te implementeren.
Is ISO 27001 verplicht in de EU?
ISO 27001 is niet wettelijk verplicht, maar het is een de facto marktvereiste geworden voor B2B-bedrijven in Europa. NIS2 verwijst naar ISO 27001-maatregelen, en bedrijfsaankoopprocessen vereisen het vaak expliciet.
Verder lezen
- ISO 27001-certificering: De complete gids — Stapsgewijs certificeringsproces, kosten en tijdlijn
- Wat is een ISMS? — Volledige gids — Het managementsysteem dat ISO 27001 certificeert
- SOC 2-conformiteit — Vergelijking van ISO 27001 met SOC 2
- Compliance-automatisering — Automatiseren van ISO 27001-bewijsverzameling
- NIS2-conformiteit — De EU-richtlijn die verwijst naar ISO 27001-maatregelen
- Beste ISMS-software 2026 — Vergelijk platformen voor ISO 27001, NIS2/DORA en EU-dataopslag
- ISO 27001-software 2026 — Vergelijk certificeringssoftware op Annex A-dekking, SoA en EU-hosting
- ISMS-software van Orbiq — Beheer uw ISO 27001-programma
Bronnen en referenties
[¹] HEIC — ISO 27001-certificeringen zijn in 2024 bijna verdubbeld: https://heic.eu/iso-27001-certifications-nearly-double-in-2024-as-global-organizations-prioritize-cybersecurity/
[²] Business Research Insights — ISO 27001 Certification Market Insights 2035: https://www.businessresearchinsights.com/market-reports/iso-27001-certification-market-120318
[³] Konfirmity — Wat is er veranderd in ISO 27001 in 2026: https://www.konfirmity.com/blog/iso-27001-what-changed-in-2026
[⁴] Secureframe — 130+ Compliance Statistieken & Trends 2026: https://secureframe.com/blog/compliance-statistics
[⁵] SOC 2 Auditors — SOC 2 vs ISO 27001 (2026): https://soc2auditors.org/insights/soc-2-vs-iso-27001/
[⁶] ISO — ISO/IEC 27001:2022 (originele norm): https://www.iso.org/standard/27001
[⁷] ISO — ISO/IEC 27001:2022/Amd 1:2024 Climate Action Changes: https://www.iso.org/standard/88435.html
[⁸] BSI — ISO/IEC 27001 im Kontext NIS-2/BSIG: https://bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-ISO27001/NIS-2-ISO-27001_node.html
[⁹] ENISA — Referentie cybersecurity-normen: https://www.enisa.europa.eu/topics/certification-and-standards
[¹⁰] NSM — Ny digitalsikkerhetslov i Norge (Noorwegens nieuwe Digitale Veiligheidswet): https://nsm.no/aktuelt/ny-digitalsikkerhetslov-i-norge
[¹¹] Brits parlement — Cyber Security and Resilience Bill 2024-26: https://bills.parliament.uk/bills/4035
[¹²] DEKRA — ISO 27001-certificeringskosten-calculator: https://www.dekra.nl/en/iso-27001-certification-costs/
Deze gids wordt bijgehouden door het Orbiq-team. Laatst bijgewerkt: mei 2026.