Gratis ISO 27001 VvT-sjabloon (2026) — alle 93 maatregelen, Excel
Published 14 jul 2026
By Orbiq Team

Gratis ISO 27001 VvT-sjabloon (2026) — alle 93 maatregelen, Excel

Gratis ISO 27001 Verklaring van Toepasselijkheid met alle 93 Annex A-maatregelen (XLSX, PDF, MD): toepasselijkheid, motivering, status en bewijs.

ISO 27001
ISMS
Verklaring van Toepasselijkheid
Sjablonen
Compliance

Download dit sjabloon

Versie 1.0 · Bijgewerkt 14 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Nederlands (anders: Engels)

ISO 27001 Verklaring van Toepasselijkheid: gratis sjabloon

De Verklaring van Toepasselijkheid (SoA) is het verplichte ISO 27001-document dat alle 93 Annex A-maatregelen van ISO/IEC 27001:2022 opsomt, per maatregel vaststelt of deze van toepassing of uitgesloten is, beide beslissingen motiveert en de implementatiestatus van elke toepasselijke maatregel vastlegt — precies wat clausule 6.1.3(d) vereist. Dit gratis sjabloon wordt geleverd met elke maatregel voorgeladen over de vier Annex A-thema's, plus kolommen voor motivering, bewijs, eigenaar en review, zodat u beslissingen invult in plaats van spreadsheets opbouwt.

Vraag welke certificatie-auditor dan ook welk document zij als eerste openen en het antwoord is de SoA — het is de routekaart waartegen zij auditen. Toch stellen de meeste teams het document nog handmatig samen, waarbij ze 93 maatregelnamen uit een PDF in een spreadsheet overtikken voordat ze ook maar één toepasselijkheidsbeslissing kunnen nemen. Dit sjabloon — beschikbaar als XLSX, PDF en een machine-leesbaar Markdown-bestand voor AI-agents (de downloadbare bestanden zijn in het Engels) — schrapt die stap. Het is de werkbare metgezel van onze ISO 27001-checklist, die de volledige certificeringsreis doorloopt; deze pagina geeft u het allerbelangrijkste artefact van die reis, klaar om in te vullen.

Belangrijkste conclusies

  • De SoA is vereist op grond van clausule 6.1.3(d) van ISO/IEC 27001:2022 en moet de noodzakelijke maatregelen bevatten, de motivering om ze op te nemen, hun implementatiestatus en de motivering om een Annex A-maatregel uit te sluiten.
  • Annex A telt 93 maatregelen in vier thema's — Organisatorisch (37), Mensgericht (8), Fysiek (14), Technologisch (34) — en alle 93 moeten met een expliciete beslissing in de SoA voorkomen.
  • Elf maatregelen zijn nieuw sinds de revisie van 2022 (gemarkeerd in het sjabloon), en sinds 31 oktober 2025 lopen alle geldige certificaten tegen ISO/IEC 27001:2022 — een SoA met de structuur van 2013 is nu een auditbevinding, geen formaliteit meer.
  • Uitsluitingen vragen om inhoud. Auditors accepteren 'geen fysieke kantoren' voor perimetermaatregelen; kosten of moeite als motivering accepteren zij niet.
  • Voor EU-bedrijven werkt de SoA dubbel: de verzameling toepasselijke maatregelen sluit aan op de risicobeheersmaatregelen van NIS2-artikel 21, lid 2, zodat een goed onderhouden SoA herbruikbaar bewijs wordt voor NIS2-compliance — het sjabloon bevat het mappingblad.

Wat er in het sjabloon zit

De XLSX bevat vier werkbladen: het register Verklaring van Toepasselijkheid zelf (alle 93 maatregelen voorgeladen), een automatisch berekende Samenvatting (beslissingen en implementatietellingen per thema, plus volledigheidscontroles die onbesliste rijen markeren), een referentieblad NIS2 Art 21 Mapping en Instructies. De PDF spiegelt het register voor print en reviewvergaderingen; de Markdown-variant draagt de volledige structuur met YAML-metadata, zodat een AI-agent uw SoA kan opstellen op basis van uw risicoregister.

Hier een preview van daadwerkelijke registerrijen, één uit elk thema:

Maatregel-IDNaam maatregelThemaVan toepassing?Motivering (voorbeeld)Status
A.5.23Informatiebeveiliging bij gebruik van clouddienstenOrganisatorischJaKern-SaaS-stack verwerkt klantgegevens; behandelt risico R-12 (compromittering cloudleverancier)Geïmplementeerd
A.6.7Werken op afstandMensgerichtJaVolledig remote personeelsbestand; contractuele en technische maatregelen conform beleid werken op afstandGeïmplementeerd
A.7.1Fysieke beveiligingsperimetersFysiekNeeGeen fysieke locaties — volledig remote organisatie; kantoorafhankelijke risico's niet aanwezig
A.8.12Preventie van datalekkenTechnologischJaGereguleerde klantgegevens in scope; DLP-tooling op endpoints en e-mailgatewayDeels geïmplementeerd

Elke rij in de XLSX draagt ook de workflowvelden die auditors verwachten te bevragen — bewijsverwijzing, maatregeleigenaar, datum laatste review — en dropdownvalidaties houden de waarden voor toepasselijkheid en status consistent. De 11 maatregelen die in 2022 zijn geïntroduceerd, worden in een eigen kolom gemarkeerd, zodat een team dat een oudere SoA migreert meteen ziet waar de hiaten doorgaans zitten.

Zo gebruikt u het

Stap 1 — Vertrek vanuit de risicobeoordeling, niet vanuit de maatregellijst. Maatregelen worden geselecteerd omdat ze geïdentificeerde risico's, wettelijke verplichtingen of contractuele toezeggingen behandelen; de SoA legt de uitkomst van die redenering vast. Andersom werken — eerst maatregelen aanvinken, later risico's verzinnen — is de meest voorkomende faalmodus van een SoA, en ervaren auditors herkennen dat op het eerste gezicht. Hebt u de risicobeoordeling nog niet uitgevoerd, dan behandelt de ISO 27001-checklist die fase in detail.

Stap 2 — Beslis over alle 93 rijen. Elke maatregel krijgt een expliciete Ja of Nee in de kolom Van toepassing. Het Samenvattingsblad telt onbesliste rijen precies omdat een lege rij in een certificatie-audit leest als een onvolledige SoA. Voor toepasselijke maatregelen schrijft u de motivering om ze op te nemen — welk risico, welke wet of welk contract de maatregel behandelt — stelt u de implementatiestatus in en verwijst u naar het bewijs dat dit aantoont: een beleid, een procedure, een systeemconfiguratie, een registratie.

Stap 3 — Motiveer uitsluitingen inhoudelijk. Een maatregel uitsluiten is legitiem; hem lui uitsluiten niet. De motivering moet aantonen dat het onderwerp van de maatregel werkelijk niet op uw organisatie van toepassing is. Een volledig remote bedrijf kan diverse fysieke maatregelen uitsluiten; een bedrijf zonder eigen softwareontwikkeling kan delen van de verzameling veilige ontwikkeling uitsluiten (A.8.25–A.8.31) — maar zou dan wel kritisch moeten kijken naar uitbestede ontwikkeling (A.8.30).

Stap 4 — Houd hem levend. Wijs elke maatregel een eigenaar en een datum laatste review toe, houd het document onder versiebeheer en werk het bij zodra de risicobeoordeling, de set maatregelen of de organisatorische context verandert — herzie het vervolgens ten minste eenmaal per ISMS-cyclus, bij de directiebeoordeling en vóór elke controle-audit. Een verouderde SoA is een van de snelste routes naar een afwijking, want het is de eerste inconsistentie die een auditor vindt bij het vergelijken van document en werkelijkheid. Onze gids over ISO 27001-certificering verkrijgen legt uit hoe de SoA wordt getoetst in Fase 1 en Fase 2.

Grondslag in de norm

Het sjabloon is verankerd in ISO/IEC 27001:2022, de huidige editie van de norm, inclusief Amendement 1:2024 — het 'climate action changes'-amendement van februari 2024 dat een eis toevoegde aan clausule 4.1 om te bepalen of klimaatverandering een relevant onderwerp is, en een noot aan clausule 4.2 dat belanghebbenden klimaatgerelateerde eisen kunnen hebben. Beide voeden de contextanalyse waarnaar uw SoA-beslissingen uiteindelijk terug te herleiden zijn. De overgangsperiode vanaf de editie van 2013 eindigde op 31 oktober 2025: certificaten tegen ISO/IEC 27001:2013 zijn verlopen of ingetrokken, dus elke SoA heeft nu de Annex A-structuur van 2022 nodig — 93 maatregelen, vier thema's — in plaats van de oude indeling met 114 maatregelen en 14 domeinen. De officiële norm en ISO/IEC 27002:2022 (de implementatierichtlijncatalogus) bevatten de maatregelteksten; dit sjabloon reproduceert bewust alleen de maatregel-identificatoren en -titels, dus u hebt de normen zelf nog steeds nodig — van ISO of uw nationale normalisatie-instituut — voor de eisen per maatregel.

Voor EU-bedrijven heeft de SoA een tweede leven als toezichtsbewijs. NIS2 — Richtlijn (EU) 2022/2555 — somt in artikel 21, lid 2, tien families van risicobeheersmaatregelen op, van incidentafhandeling tot beveiliging van de toeleveringsketen en cryptografie, en elk daarvan sluit aan op identificeerbare Annex A-maatregelen. Het mappingblad van het sjabloon koppelt elke maatregel van artikel 21, lid 2, aan haar representatieve maatregelen, en spiegelt daarmee de uitgebreidere mapping van artikel 21 naar Annex A in onze NIS2-gids — met het belangrijke voorbehoud dat afstemming op ISO 27001 NIS2-compliance ondersteunt maar niet op zichzelf aantoont, omdat NIS2 eigen verwachtingen op het gebied van governance, rapportage en handhaving toevoegt onder de nationale omzettingswetten. Dezelfde herbruikbaarheidslogica geldt voor het aantonen van de beveiligingsmaatregelen van AVG-artikel 32, waar een set ISO 27001-maatregelen breed wordt beschouwd als sterk bewijs van 'passende technische en organisatorische maatregelen'.

Buiten de EU: VK en Noorwegen

ISO/IEC 27001 is een internationale norm, dus anders dan onze regelgevingsspecifieke sjablonen behoeft dit sjabloon geen vertaling per jurisdictie — maar de certificeringscontext verschilt. In het VK verloopt geaccrediteerde certificatie via UKAS-geaccrediteerde certificatie-instellingen, en ISO 27001 staat naast het door de overheid gesteunde Cyber Essentials-schema: Cyber Essentials dekt vijf technische basismaatregelen, terwijl ISO 27001 het managementsysteem certificeert — grotere Britse afnemers verwachten in toenemende mate beide. In Noorwegen worden certificatie-instellingen geaccrediteerd door Norsk akkreditering, en een ISO 27001-SoA fungeert tevens als sterk bewijs richting de NSM ICT Security Principles (grunnprinsipper for IKT-sikkerhet) — de nationale basislijn van 21 principes en 118 maatregelen die NSM zelf mapt op ISO/IEC 27002:2022, en waarnaar Noorse publieke afnemers en het toezichtsregime van de digitalsikkerhetsloven verwijzen. Eén SoA, actueel gehouden, voedt alle drie de gesprekken.

Van spreadsheet naar levend bewijs

Een SoA in een spreadsheet bewijst dat u de beslissingen hebt genomen; ze kan die beslissingen niet waar houden. Maatregelen verschuiven, eigenaren wisselen, bewijs veroudert — en het document dat bij certificatie klopte, stopt geruisloos met overeenstemmen met de werkelijkheid. Orbiq's ISMS-software houdt hetzelfde maatregelregister verbonden met live bewijs, markeert maatregelen waarvan het bewijs is verlopen en publiceert de afnemergerichte kant naar een Europees Trust Center — zodat het werk dat u voor de auditor deed ook de volgende beveiligingsreview van een klant beantwoordt. Kiest u nog uw ISMS-tooling, dan behandelt onze vergelijking van de beste ISMS-software het speelveld.


Bronnen en referenties

  1. ISO/IEC 27001:2022 — Managementsystemen voor informatiebeveiliging — de norm zelf; clausule 6.1.3(d) en Annex A.
  2. ISO/IEC 27001:2022/Amd 1:2024 — Climate action changes — gepubliceerd februari 2024; toevoegingen aan clausule 4.1/4.2.
  3. Richtlijn (EU) 2022/2555 (NIS2) — volledige tekst — risicobeheersmaatregelen van artikel 21, lid 2.
  4. ENISA — Technical Implementation Guidance on Cybersecurity Risk Management Measures — juni 2025; mapt NIS2-maatregelen op internationale normen.
  5. NCSC — Cyber Essentials scheme overview — de Britse basislijn naast ISO 27001.
  6. NSM ICT Security Principles (grunnprinsipper for IKT-sikkerhet) — de nationale ICT-beveiligingsbasislijn van Noorwegen, versie 2.1, met NSM's eigen mapping op ISO/IEC 27002:2022.

Verder lezen

Download dit sjabloon

Versie 1.0 · Bijgewerkt 14 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Nederlands (anders: Engels)

Veelgestelde vragen

Wat is een Verklaring van Toepasselijkheid in ISO 27001?

De Verklaring van Toepasselijkheid (SoA) is het verplichte ISO 27001-document dat alle 93 Annex A-maatregelen opsomt, per maatregel vaststelt of deze van toepassing of uitgesloten is, beide beslissingen motiveert en vastlegt of elke toepasselijke maatregel is geïmplementeerd. Het document is vereist op grond van clausule 6.1.3(d) van ISO/IEC 27001:2022, en certificatie-auditors gebruiken het als routekaart voor de volledige audit.

Wat moet de SoA bevatten volgens clausule 6.1.3(d)?

Clausule 6.1.3(d) vereist vier zaken: de noodzakelijke maatregelen die via het risicobehandelingsproces zijn bepaald, de motivering om elke maatregel op te nemen, of elke noodzakelijke maatregel al dan niet is geïmplementeerd, en de motivering om een Annex A-maatregel uit te sluiten. Alles daarbuiten — maatregeleigenaren, bewijsverwijzingen, reviewdata — is goede praktijk in plaats van een tekstuele eis, maar auditors verwachten het te zien.

Hoeveel maatregelen bevat ISO 27001:2022 Annex A?

ISO/IEC 27001:2022 Annex A bevat 93 maatregelen in vier thema's: 37 Organisatorische (A.5), 8 Mensgerichte (A.6), 14 Fysieke (A.7) en 34 Technologische (A.8). Elf maatregelen zijn nieuw in de revisie van 2022, waaronder threat intelligence (A.5.7), informatiebeveiliging bij gebruik van clouddiensten (A.5.23), configuratiebeheer (A.8.9), preventie van datalekken (A.8.12) en veilig programmeren (A.8.28).

Mag ik Annex A-maatregelen uitsluiten van mijn SoA?

Ja — geen enkele Annex A-maatregel is automatisch verplicht, maar elke uitsluiting vereist een gedocumenteerde, inhoudelijke motivering. 'Wij hebben geen fysieke kantoren' is een geldige reden om maatregelen voor fysieke perimeters uit te sluiten; 'het zou te duur zijn' niet. Alle 93 maatregelen moeten nog steeds in de SoA voorkomen met een expliciete van-toepassing-of-uitgesloten-beslissing, en auditors zullen zwakke uitsluitingsmotiveringen kritisch bevragen.

Hoe vaak moet de Verklaring van Toepasselijkheid worden bijgewerkt?

ISO 27001 stelt geen vast interval, maar de SoA moet in lijn blijven met uw risicobeoordeling en risicobehandelplan. In de praktijk betekent dat: bijwerken zodra risico's, maatregelen of organisatorische context wezenlijk veranderen, en ten minste eenmaal per ISMS-cyclus herzien — doorgaans bij elke directiebeoordeling en vóór elke controle- of hercertificatie-audit.

Is de SoA hetzelfde als het risicobehandelplan?

Nee. Het risicobehandelplan beschrijft wat u met elk geïdentificeerd risico gaat doen — gekozen opties, eigenaren, deadlines. De Verklaring van Toepasselijkheid beschrijft welke maatregelen in scope vallen en waarom, maatregel voor maatregel, met implementatiestatus. Ze moeten onderling consistent zijn: elke maatregel waarop het risicobehandelplan steunt, hoort in de SoA als van toepassing te verschijnen.