Wat is ISO 27001? De complete gids voor 2026
ISO 27001 is de internationale norm voor managementsystemen voor informatiebeveiliging. Leer wat het omvat, waarom 96.000+ organisaties gecertificeerd zijn en hoe u kunt beginnen.
Wat is ISO 27001? De complete gids voor 2026
ISO 27001 is 's werelds toonaangevende norm voor informatiebeveiligingsmanagement. In 2024 is het aantal geldige ISO 27001-certificaten bijna verdubbeld — van 48.671 naar 96.709 gecertificeerde organisaties in meer dan 150 landen [¹]. Die groei is niet toevallig. Zakelijke kopers eisen het. Toezichthouders verwijzen ernaar. Cyberverzekeraars belonen het.
Deze gids legt precies uit wat ISO 27001 is, wat het omvat, hoe het werkt en waarom het belangrijk is voor uw organisatie — of u nu net begint met het onderzoeken van de norm of zich voorbereidt op certificering.
Kernpunten
- ISO 27001 is een internationale norm voor het bouwen en exploiteren van een Informatiebeveiligingsbeheersysteem (ISMS). De huidige versie is ISO/IEC 27001:2022.
- De norm certificeert uw gehele beveiligingsaanpak — niet alleen individuele tools of maatregelen. Het omvat mensen, processen en technologie.
- 93 Bijlage A-maatregelen zijn georganiseerd in vier categorieën: Organisatorisch, Mensgebonden, Fysiek en Technologisch.
- Certificering vereist een audit door een geaccrediteerde derde partij. Het certificaat is drie jaar geldig met jaarlijkse surveillance-audits.
- 96.709 organisaties waren gecertificeerd in 2024, terwijl de markt jaarlijks met 15,2% groeit [¹][²].
- ISO 27001 is afgestemd op NIS2, DORA en de AVG, waardoor het voor EU-bedrijven een strategische investering is en niet alleen een aanschafvereiste.
Wat is ISO 27001?
ISO 27001 (volledige naam: ISO/IEC 27001) is een internationale norm die gezamenlijk is gepubliceerd door de Internationale Organisatie voor Normalisatie (ISO) en de Internationale Elektrotechnische Commissie (IEC). Het specificeert de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Informatiebeveiligingsbeheersysteem (ISMS).
In de praktijk biedt ISO 27001 een gestructureerd kader voor:
- Identificeren welke informatie beschermd moet worden — informatiemiddelen, systemen, processen en mensen
- Beoordelen van de risico's voor die informatie — wat er mis kan gaan, hoe waarschijnlijk het is en wat de impact zou zijn
- Implementeren van maatregelen om die risico's tot een aanvaardbaar niveau te reduceren
- Meten en verbeteren van de effectiviteit van uw beveiligingsprogramma in de loop van de tijd
De norm schrijft niet precies voor welke technologieën te gebruiken of welke specifieke beleidsregels te schrijven. In plaats daarvan biedt het een risicogebaseerde aanpak: uw organisatie identificeert haar eigen dreigingen, beoordeelt hun ernst en selecteert passende maatregelen uit een referentiecatalogus (Bijlage A).
Certificering betekent dat een geaccrediteerde, onafhankelijke certificatie-instelling heeft geverifieerd dat uw ISMS aan de eisen van de norm voldoet. Deze onafhankelijke verificatie onderscheidt ISO 27001-certificering van zelfevaluaties, vragenlijsten of claims van leveranciers.
ISO 27001: Een korte geschiedenis
De ISO 27000-familie van normen heeft haar wortels in de Britse standaard BS 7799, voor het eerst gepubliceerd in 1995:
| Jaar | Ontwikkeling |
|---|---|
| 1995 | BS 7799 gepubliceerd door het British Standards Institution |
| 2000 | BS 7799 Deel 1 aangenomen als ISO/IEC 17799 |
| 2005 | ISO/IEC 27001:2005 gepubliceerd — eerste ISO 27001-editie |
| 2013 | ISO/IEC 27001:2013 gepubliceerd — belangrijke herziening, wereldwijd breed geadopteerd |
| 2022 | ISO/IEC 27001:2022 gepubliceerd — huidige versie; Bijlage A geherstructureerd van 114 naar 93 maatregelen |
| 2024 | Wijziging 1 toegevoegd — klimaatveranderingsvereiste in Clausule 4.1 |
| Okt. 2025 | Alle certificeringen op basis van de 2013-versie verlopen; 2022 is nu de enige geldige editie |
De herziening van 2022 was de meest significante update in bijna een decennium. Alle organisaties die gecertificeerd waren onder de 2013-versie moesten vóór oktober 2025 migreren. Vanaf 2026 worden alle ISO 27001-certificeringsaudits uitgevoerd tegen de 2022-editie [³].
Het ISO 27001-raamwerk: twee kerncomponenten
ISO 27001 heeft twee hoofdonderdelen: de eisen aan het managementsysteem en de Bijlage A-referentiemaatregelen.
Deel 1: Eisen aan het managementsysteem (Clausules 4 t/m 10)
Deze zeven clausules definiëren hoe het ISMS moet worden gestructureerd en beheerd:
| Clausule | Onderwerp | Kerneis |
|---|---|---|
| Clausule 4 | Context van de organisatie | ISMS-toepassingsgebied definiëren; interne/externe factoren en belanghebbenden identificeren |
| Clausule 5 | Leiderschap | Informatiebeveiligingsbeleid vaststellen; rollen toewijzen; betrokkenheid van het management aantonen |
| Clausule 6 | Planning | Risicobeoordeling uitvoeren; risicobehandelplan vaststellen; beveiligingsdoelstellingen definiëren |
| Clausule 7 | Ondersteuning | Middelen toewijzen; bewustzijn creëren; documentatie beheren |
| Clausule 8 | Uitvoering | Risicobeoordelings- en risicobehandelplannen uitvoeren |
| Clausule 9 | Prestatiebeoordeling | Effectiviteit bewaken; interne audits uitvoeren; directiebeoordelingen houden |
| Clausule 10 | Verbetering | Afwijkingen behandelen; continue verbetering stimuleren |
De managementsysteemclausules volgen de Plan-Do-Check-Act (PDCA)-cyclus — Plannen (Clausules 4-6), Doen (Clausules 7-8), Controleren (Clausule 9), Handelen (Clausule 10).
Deel 2: Bijlage A-referentiemaatregelen
Bijlage A bevat 93 referentiemaatregelen in vier categorieën. Deze zijn niet allemaal verplicht — uw risicobeoordeling bepaalt welke maatregelen van toepassing zijn op uw situatie. Als u een maatregel uitsluit, moet u uw rechtvaardiging documenteren in de Verklaring van Toepasselijkheid (VvT).
Organisatorische maatregelen (37 maatregelen)
Governance en managementprocessen, waaronder:
- Informatiebeveiligingsbeleid en -procedures
- Middelenbeheer en informatieclassificatie
- Toegangsbeheerbeleid
- Beveiliging van leveranciers en derde partijen
- Incidentbeheerprocessen
- Bedrijfscontinuïteit en herstel na calamiteiten
- Compliance en wettelijke vereisten
Mensgebonden maatregelen (8 maatregelen)
De menselijke dimensie van beveiliging:
- Screening vóór indiensttreding
- Arbeidsvoorwaarden (inclusief vertrouwelijkheid)
- Opleiding en bewustwording informatiebeveiliging
- Disciplinair proces
- Verantwoordelijkheden na beëindiging van het dienstverband
- Beleid voor thuiswerken
Fysieke maatregelen (14 maatregelen)
Fysieke beveiligingsmaatregelen:
- Fysieke beveiligingsperimeters en toegangscontroles
- Beveiliging van kantoren, ruimten en faciliteiten
- Apparaatbescherming en -onderhoud
- Clean desk- en clean screen-beleid
- Veilig beheer en verwijdering van opslagmedia
Technologische maatregelen (34 maatregelen)
Technische beveiligingsimplementatie:
- Gebruikersauthenticatie, autorisatie en toegangsrechten
- Versleuteling en sleutelbeheer
- Loggen en bewaken van beveiligingsgebeurtenissen
- Netwerkbeveiliging en -segmentatie
- Veilige softwareontwikkelingslevenscyclus (SDLC)
- Gegevensbescherming, maskering en lekpreventie
- Kwetsbaarheidsbeheer en patchbeheer
- Back-up en redundantie
De 11 nieuwe maatregelen uit 2022
De ISO/IEC 27001:2022-herziening introduceerde 11 nieuwe maatregelen die moderne beveiligingsuitdagingen weerspiegelen:
| Maatregel | Onderwerp |
|---|---|
| A.5.7 | Dreigingsinformatie |
| A.5.23 | Informatiebeveiliging voor clouddiensten |
| A.5.30 | ICT-gereedheid voor bedrijfscontinuïteit |
| A.7.4 | Bewaking van fysieke beveiliging |
| A.8.9 | Configuratiebeheer |
| A.8.10 | Verwijdering van informatie |
| A.8.11 | Gegevensmaskering |
| A.8.12 | Preventie van gegevenslekken |
| A.8.16 | Bewakingsactiviteiten |
| A.8.23 | Webfiltering |
| A.8.28 | Veilig coderen |
Wat is een ISMS?
ISO 27001 certificeert uw Informatiebeveiligingsbeheersysteem (ISMS). Een ISMS is geen softwareproduct of technisch hulpmiddel — het is een managementsysteem: een geheel van beleidsregels, processen, rollen en maatregelen die samenwerken om informatiebeveiligingsrisico's systematisch te beheersen.
Beschouw het als een kwaliteitsmanagementsysteem (ISO 9001) voor beveiliging. Net zoals een KMS consistente productkwaliteit waarborgt door gedocumenteerde processen en continue verbetering, waarborgt een ISMS consistente informatiebeveiliging door gestructureerd risicobeheer.
Een ISMS bevat:
- Definitie van het toepassingsgebied — welke informatiemiddelen, systemen en processen zijn opgenomen
- Risicobeoordelingsmethodologie — hoe u risico's identificeert en beoordeelt
- Risicobehandelplan — wat u met elk risico doet (beperken, accepteren, overdragen, vermijden)
- Verklaring van Toepasselijkheid (VvT) — welke Bijlage A-maatregelen van toepassing zijn en hoe ze worden geïmplementeerd
- Beleid en procedures — de regels die uw organisatie volgt
- Maatregelbewijzen — bewijs dat maatregelen effectief functioneren
- Intern auditprogramma — regelmatige controles of het ISMS werkt
- Directiebeoordelingsverslagen — bewijs van betrokkenheid van het management
- Tracking van corrigerende maatregelen — hoe u reageert op problemen en ervan leert
In Nederland is de RvA (Raad voor Accreditatie) de nationale accreditatie-instantie die certificatie-instellingen accrediteert voor ISO 27001. Bekende gecertificeerde instellingen in Nederland zijn Kiwa, Bureau Veritas, DNV en LRQA.
Voor een gedetailleerde gids over het bouwen van een ISMS, zie Wat is een ISMS?.
Waarom ISO 27001 belangrijk is in 2026
Zakelijke kopers vereisen het
De meest directe zakelijke reden voor certificering: bedrijfsaankoopprocessen vereisen ISO 27001 steeds meer als basisvereiste. Dit geldt in het bijzonder voor Europese markten, waar Nederlandse, Belgische, Duitse en Scandinavische kopers ISO 27001-certificering verwachten voordat ze B2B-softwarecontracten ondertekenen.
De gegevens weerspiegelen dit: 81% van de organisaties rapporteerde huidige of geplande ISO 27001-certificeringen in 2025, tegenover 67% in 2024 — een stijging van 14 procentpunten in één jaar [⁴].
NIS2 en DORA creëren regelgevende rugwind
Voor organisaties die onderworpen zijn aan de NIS2-richtlijn of de DORA-verordening biedt ISO 27001 aanzienlijke overlap met regelgevingsvereisten:
- NIS2 Artikel 21 vereist risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen en andere maatregelen — alles wat overeenkomt met ISO 27001-maatregelen
- DORA vereist ICT-risicobeheerframeworks voor financiële entiteiten die nauw overeenkomen met de managementsysteemstructuur van ISO 27001
ISO 27001 garandeert geen NIS2- of DORA-conformiteit — beide regelingen hebben aanvullende specifieke vereisten die verder gaan dan wat een ISMS biedt. Maar het biedt ongeveer 70% van de basis voor NIS2-conformiteit.
Concurrentievoordeel bij beveiligingsbeoordelingen
Gecertificeerde organisaties kunnen hun ISO 27001-certificaat delen — samen met hun toepassingsgebied, Verklaring van Toepasselijkheid en maatregelbewijzen — via een Trust Center. Dit stelt kopers in staat om zelf beveiligingszorgvuldigheid uit te voeren zonder vragenlijsten te sturen.
Cyberverzekeringvoordelen
Cyberverzekeraars zijn steeds strenger geworden in hun acceptatiecriteria. ISO 27001-gecertificeerde organisaties demonstreren een systematische aanpak voor risicobeheer, wat de blootstelling van de verzekeraar direct vermindert.
Multi-framework efficiëntie
De 93 Bijlage A-maatregelen van ISO 27001 overlappen voor 70-80% met de SOC 2 Trust Services Criteria. Organisaties die hun compliance-programma bouwen rondom ISO 27001 creëren een basis die zich uitstrekt over meerdere frameworks [⁵].
ISO 27001 versus andere beveiligingskaders
ISO 27001 vs. SOC 2
| Dimensie | ISO 27001 | SOC 2 |
|---|---|---|
| Oorsprong | Internationaal (ISO/IEC) | Verenigde Staten (AICPA) |
| Uitkomst | Certificaat van geaccrediteerde instelling | Attestatierapport van accountantskantoor |
| Aanpak | Risicogebaseerd met Bijlage A-maatregelen | Criteriagebied (Trust Services Criteria) |
| Duur | 3-jarig certificaat met jaarlijkse bewaking | Jaarlijks rapport over observatieperiode |
| Kosten | EUR 30.000–150.000 eerste jaar | USD 30.000–150.000 eerste jaar |
| Tijdlijn | 6–12 maanden | Type II: 9–12 maanden |
| Geografie | Dominant in Europa en internationaal | Verwacht op de Amerikaanse markt |
| Regulatoire afstemming | Sterke EU-afstemming (NIS2, DORA, AVG) | Sterke Amerikaanse afstemming |
| Maatregeloverlap | — | 70–80% overlap met ISO 27001 |
Welke moet u kiezen? Voor Nederlandse en Europese bedrijven zou ISO 27001 uw basis moeten zijn. Voor bedrijven met Amerikaanse zakelijke klanten, overweeg SOC 2 toe te voegen. Vanwege de 70-80% maatregeloverlap kost het gelijktijdig nastreven van beide 30-40% minder dan ze afzonderlijk te bouwen [⁵].
ISO 27001 vs. ISO 27002
Een veelvoorkomende bron van verwarring: ISO 27001 is de certificeerbare norm; ISO 27002 biedt implementatierichtlijnen. Organisaties worden gecertificeerd tegen ISO 27001. ISO 27002 biedt gedetailleerde, niet-verplichte richtlijnen over hoe elk van de 93 Bijlage A-maatregelen te implementeren.
ISO 27001 vs. NEN 7510
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg, gebaseerd op ISO 27001. Organisaties in de Nederlandse gezondheidszorg die NEN 7510-certificering nastreven, bouwen voort op dezelfde ISMS-structuur als ISO 27001. De twee normen kunnen samen worden nagestreefd met aanzienlijk minder extra inspanning dan het afzonderlijk opbouwen van twee compliance-programma's.
Wat ISO 27001-certificering bewijst — en wat niet
Wat het bewijst
ISO 27001-certificering bewijst dat, op het moment van de audit:
- Uw organisatie het toepassingsgebied van haar ISMS heeft gedefinieerd
- U een grondige, gedocumenteerde risicobeoordeling heeft uitgevoerd
- U passende maatregelen heeft geïmplementeerd op basis van die beoordeling
- Uw ISMS-processen (interne audit, directiebeoordeling, corrigerende maatregelen) functioneren
- Een geaccrediteerde, onafhankelijke certificatie-instelling dit alles heeft geverifieerd
Wat het niet bewijst
- Dat uw organisatie nooit is gecompromitteerd. Het betekent dat u een systematische aanpak voor risicobeheer heeft.
- NIS2- of DORA-conformiteit. Beide regelingen hebben specifieke vereisten die verder gaan dan wat een ISMS biedt — met name rond meldingstermijnen voor incidenten en aansprakelijkheid van het management.
- Dat uw gehele organisatie standaard wordt gedekt. Het toepassingsgebied van certificering wordt door de organisatie bepaald. Kopers moeten het certificaatbereik zorgvuldig controleren.
Het ISO 27001-certificeringsproces: overzicht
- Gap-analyse — Beoordeel uw huidige beveiligingspostuur tegen ISO 27001-vereisten
- Toepassingsgebied definiëren — Bepaal wat uw ISMS zal omvatten
- Risicobeoordeling — Identificeer en beoordeel risico's voor uw in-scope middelen
- Maatregelen implementeren — Implementeer de maatregelen die nodig zijn om geïdentificeerde risico's te behandelen
- ISMS documenteren — Schrijf beleid, procedures en de Verklaring van Toepasselijkheid
- ISMS exploiteren — Lang genoeg laten functioneren om bewijs te genereren (typisch 3-6 maanden)
- Interne audit — Voer een interne audit uit vóór de certificeringsaudit
- Directiebeoordeling — Houd een formele directiebeoordeling van ISMS-prestaties
- Fase 1-audit — Certificatie-instelling beoordeelt uw documentatie
- Fase 2-audit — Certificatie-instelling verifieert implementatie door interviews en bewijstests
- Certificering — Certificaat afgegeven als er geen grote afwijkingen overblijven
- Onderhoud — Jaarlijkse surveillance-audits; volledige hercertificering in jaar 3
Voor de volledige stapsgewijze gids inclusief kosten, tijdlijnen en veelgemaakte fouten, zie ISO 27001-certificering: De complete gids.
Veelgemaakte fouten bij ISO 27001-certificering
Dit zijn de vijf meest voorkomende fouten. Elke fout kan maanden aan uw tijdlijn toevoegen of ertoe leiden dat u het certificeringsaudit niet haalt.
1. Certificering behandelen als eenmalig project
ISO 27001 is een managementsysteem, geen project. Organisaties die een ISMS alleen bouwen om het audit te halen, creëren kwetsbare systemen die instorten tussen surveillance-audits. Het ISMS moet continu functioneren: risico's worden opnieuw beoordeeld, maatregelen bewaakt, incidenten beheerd, verbeteringen geïmplementeerd.
2. Directiebetrokkenheid verwaarlozen
ISO 27001 vereist aangetoonde directiebetrokkenheid — niet alleen een handtekening op het beleidsdocument. Directiebeoordelingsvergaderingen moeten worden gehouden, van middelen voorzien en gedocumenteerd met duidelijke beslissingen en acties. Auditors zullen met het management spreken. Als het management de risicobereidheid van de organisatie niet kan verwoorden, is dat een afwijking.
3. Risicobeoordeling onderschatten
De risicobeoordeling stuurt alles aan: uw maatregelkeuze, uw Verklaring van Toepasselijkheid en uw auditomvang. Een oppervlakkige risicobeoordeling leidt tot ongeschikte maatregelen en auditbevindingen.
4. Documentatie onderschatten
ISO 27001 is bewijsintensief. Elke maatregel moet gedocumenteerd zijn. Elk proces moet records hebben. Continue monitoring lost dit op door automatisch en continu bewijs te verzamelen.
5. Verkeerde certificatie-instelling kiezen
Zorg ervoor dat de certificatie-instelling RvA-geaccrediteerd is en auditors heeft met ervaring in uw branche. Kiwa, Bureau Veritas en DNV zijn in Nederland bekende, betrouwbare opties. Vraag minimaal drie offertes aan.
De ISO 27000-familie
ISO 27001 is de kern van een bredere ISO/IEC 27000-familie van informatiebeveiligingsnormen:
| Norm | Aandachtsgebied |
|---|---|
| ISO/IEC 27001 | ISMS-vereisten (certificeerbaar) |
| ISO/IEC 27002 | Implementatierichtlijnen voor Bijlage A-maatregelen |
| ISO/IEC 27003 | ISMS-implementatierichtlijnen |
| ISO/IEC 27004 | ISMS-bewaking en -meting |
| ISO/IEC 27005 | Risicobeheer voor informatiebeveiliging |
| ISO/IEC 27017 | Beveiligingsmaatregelen voor clouddiensten |
| ISO/IEC 27018 | Bescherming van persoonsgegevens in clouddiensten |
| ISO/IEC 27701 | Privacy-informatiebeheersysteem (PIBS) — breidt ISO 27001 uit voor AVG-conformiteit |
Wie certificeert organisaties voor ISO 27001?
In Nederland zijn certificatie-instellingen geaccrediteerd door de RvA (Raad voor Accreditatie), de nationale accreditatie-instantie van Nederland:
| Certificatie-instelling | Accreditatie |
|---|---|
| Kiwa N.V. | RvA |
| Bureau Veritas | RvA / COFRAC |
| DNV | RvA |
| LRQA (voorheen Lloyd's Register) | RvA / UKAS |
| SGS | RvA |
| BSI Group | UKAS / internationale erkenning |
RvA-certificaten zijn EU-breed erkend via de onderlinge erkenningsovereenkomsten van de European cooperation for Accreditation (EA) en het International Accreditation Forum (IAF).
Wat de meeste gidsen niet vertellen over ISO 27001
1. Bewijskwaliteit is in 2026 belangrijker dan ooit
Auditors worden veeleisender over bewijs. Schermafbeeldingen en spreadsheets zijn niet meer voldoende voor veel certificatie-instellingen. Auditors willen bewijs dat het continue functioneren van maatregelen aantoont over het volledige observatievenster (typisch 6-12 maanden): tijdgestempelde logboeken, ticketgeschiedenissen, vergadernotulen [³].
2. De risicobeoordeling is zowel het moeilijkste als het meest waardevolle onderdeel
Een zinvolle risicobeoordeling dwingt u uw werkelijke informatiemiddelen, dreigingen en kwetsbaarheden te begrijpen — en creëert de gedocumenteerde basis voor elke maatregelkeuze die volgt.
3. Toepassingsgebieddecisies zijn strategisch
Voor de meeste B2B SaaS-bedrijven is het zinvol het kernproduct, de bijbehorende infrastructuur en de teams die het bouwen en beheren te omvatten.
4. Automatisering heeft de economie veranderd
Compliance-automatiseringsplatforms verbinden zich nu met uw cloudproviders, identiteitsbeheer, coderepositories en beveiligingstools om continu bewijs te verzamelen. Organisaties die automatisering gebruiken behalen certificering in 4-6 maanden in plaats van 9-12 maanden [⁴].
Aan de slag met ISO 27001
Stap 1: Begrijp wat u moet beschermen. Documenteer uw belangrijkste informatiemiddelen: klantgegevens, intellectueel eigendom, infrastructuur.
Stap 2: Voer een gap-analyse uit. Vergelijk uw huidige beveiligingsmaatregelen met ISO 27001-vereisten.
Stap 3: Schat omvang en budget in. Gebruik onze ISO 27001-certificeringskostengids om een realistisch projectplan op te stellen.
Stap 4: Beoordeel tooling. De keuze tussen spreadsheet-gebaseerde compliance en een speciaal ISMS-platform is fundamenteel een economische vraag.
Stap 5: Kies vroeg een certificatie-instelling. Certificatie-instellingen raken snel vol geboekt. Neem 3-4 maanden vóór uw geplande auditdatum contact op met potentiële RvA-geaccrediteerde instellingen.
Veelgestelde vragen
Wat is ISO 27001 in eenvoudige bewoordingen?
ISO 27001 is een internationaal erkende norm die organisaties vertelt hoe ze een systeem voor het beheer van informatiebeveiligingsrisico's moeten bouwen, beheren en verbeteren. Onafhankelijke auditors controleren de conformiteit en geven een drie jaar geldig certificaat af.
Wie heeft ISO 27001 nodig?
Elke organisatie die gevoelige informatie verwerkt profiteert van ISO 27001. Het is bijzonder kritisch voor B2B-softwarebedrijven, clouddienstverleners en zorgorganisaties die zakelijke kopers in Europa bedienen.
Wat bewijst ISO 27001-certificering?
Het bewijst dat een geaccrediteerde, onafhankelijke auditor heeft geverifieerd dat uw organisatie haar informatiebeveiligingsrisico's heeft beoordeeld, passende maatregelen heeft geïmplementeerd en managementprocessen heeft opgezet om haar beveiligingsprogramma continu te onderhouden en te verbeteren.
Wat is het verschil tussen ISO 27001 en ISO 27002?
ISO 27001 is de certificeerbare norm waartegen organisaties worden geauditeerd. ISO 27002 biedt aanvullende richtlijnen voor de implementatie van Bijlage A-maatregelen. U wordt gecertificeerd tegen ISO 27001; ISO 27002 helpt u maatregelen effectief te implementeren.
Is ISO 27001 verplicht in de EU?
ISO 27001 is niet wettelijk verplicht, maar het is een de facto marktvereiste geworden voor B2B-bedrijven in Europa. NIS2 verwijst naar ISO 27001-maatregelen, en bedrijfsaankoopprocessen vereisen het vaak expliciet.
Verder lezen
- ISO 27001-certificering: De complete gids — Stapsgewijs certificeringsproces, kosten en tijdlijn
- Wat is een ISMS? — Het managementsysteem dat ISO 27001 certificeert
- SOC 2-conformiteit — Vergelijking van ISO 27001 met SOC 2
- Compliance-automatisering — Automatiseren van ISO 27001-bewijsverzameling
- NIS2-conformiteit — De EU-richtlijn die verwijst naar ISO 27001-maatregelen
- ISMS-software van Orbiq — Beheer uw ISO 27001-programma
Bronnen en referenties
[¹] HEIC — ISO 27001-certificeringen zijn in 2024 bijna verdubbeld: https://heic.eu/iso-27001-certifications-nearly-double-in-2024-as-global-organizations-prioritize-cybersecurity/
[²] Business Research Insights — ISO 27001 Certification Market Insights 2035: https://www.businessresearchinsights.com/market-reports/iso-27001-certification-market-120318
[³] Konfirmity — Wat is er veranderd in ISO 27001 in 2026: https://www.konfirmity.com/blog/iso-27001-what-changed-in-2026
[⁴] Secureframe — 130+ Compliance Statistieken & Trends 2026: https://secureframe.com/blog/compliance-statistics
[⁵] SOC 2 Auditors — SOC 2 vs ISO 27001 (2026): https://soc2auditors.org/insights/soc-2-vs-iso-27001/
Deze gids wordt bijgehouden door het Orbiq-team. Laatst bijgewerkt: maart 2026.