ISO 27001 is de internationale standaard voor Information Security Management Systems (ISMS). Gepubliceerd door ISO en IEC, specificeert het de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een ISMS. Certificering toont aan dat een organisatie een systematische benadering voor het beheren van gevoelige informatie heeft en onafhankelijk is geverifieerd door een geaccrediteerde certificeringsinstantie.

Hoe lang duurt ISO 27001-certificering?

Voor de meeste middelgrote bedrijven (50-500 medewerkers) kunt u rekenen op 6-12 maanden van projectstart tot certificering. Dit is onderverdeeld in: 3-6 maanden voor ISMS-implementatie (risicobeoordeling, maatregelimplementatie, documentatie), 2-3 maanden ISMS-werking om effectiviteit aan te tonen, en 4-8 weken voor de certificeringsaudit (Fase 1 + Fase 2). Bedrijven met bestaande beveiligingsprogramma's of compliance-automatiseringstools kunnen sneller vorderen.

Wat kost ISO 27001-certificering?

Kosten variëren per organisatiegrootte en scope. Typische ranges voor een middelgroot bedrijf: certificeringsauditkosten (EUR 10.000-30.000), compliance-automatiseringsplatform (EUR 10.000-50.000/jaar), consultantondersteuning indien nodig (EUR 15.000-50.000) en interne inspanning (150-400 persoonsdagen). De totale kosten in het eerste jaar liggen doorgaans tussen EUR 30.000 en EUR 150.000. Jaarlijkse onderhoudskosten zijn lager (EUR 15.000-50.000) voor surveillance-audits, platformkosten en doorlopende ISMS-werking.

Wat is het verschil tussen ISO 27001:2013 en ISO 27001:2022?

ISO 27001:2022 is de huidige versie die de editie van 2013 vervangt. Belangrijke wijzigingen: Annex A werd geherstructureerd van 14 maatregelcategorieën (114 maatregelen) naar 4 categorieën (93 maatregelen). Elf nieuwe maatregelen werden toegevoegd voor onder andere dreigingsintelligentie, cloudbeveiliging, ICT-gereedheid voor bedrijfscontinuïteit, datamaskering en andere. De managementsysteemclausules (4-10) kregen kleine tekstuele aanpassingen. Organisaties gecertificeerd volgens de 2013-versie hadden tot 31 oktober 2025 de tijd om over te stappen.

Wat zijn de ISO 27001 Annex A-maatregelen?

Annex A bevat 93 referentiemaatregelen georganiseerd in vier categorieën: Organisatorisch (37 maatregelen voor beleidsregels, assetmanagement, toegangscontrole, leveranciersbeveiliging, incidentbeheer), Personen (8 maatregelen voor screening, training, disciplinair proces, thuiswerken), Fysiek (14 maatregelen voor beveiligde ruimten, apparatuur, clean desk, opslagmedia), en Technologisch (34 maatregelen voor authenticatie, encryptie, logging, netwerkbeveiliging, veilige ontwikkeling, gegevensbescherming).

Is ISO 27001 verplicht?

ISO 27001-certificering is vrijwillig. Het wordt echter steeds vaker vereist door zakelijke klanten tijdens procurement, vooral in Europa. NIS2 verwijst naar ISO 27001 als een relevante standaard om te voldoen aan Artikel 21-maatregelen. DORA vereist ICT-risicobeheerkaders die nauw aansluiten bij ISO 27001. Veel brancheregelgeving en overheidscontracten vereisen of geven sterk de voorkeur aan ISO 27001-certificering.

Wat is het verschil tussen ISO 27001 en SOC 2?

ISO 27001 is een internationale certificeringsstandaard met een risicogebaseerde benadering en Annex A-maatregelen; het is geldig voor 3 jaar met jaarlijkse surveillance-audits. SOC 2 is een Amerikaans attestatieframework met criteriagebaseerde Trust Services Criteria; rapporten bestrijken een specifieke periode (doorgaans 12 maanden). ISO 27001 is sterker in Europese en internationale markten; SOC 2 wordt verwacht door Amerikaanse zakelijke kopers. Veel bedrijven die wereldwijd opereren behalen beide, met 70-80% overlap in maatregelen.

Hoe verhoudt ISO 27001 zich tot NIS2?

ISO 27001 biedt een sterke basis voor NIS2-compliance maar garandeert het niet. NIS2 Artikel 21 vereist tien categorieën risicobeheermaatregelen die goed aansluiten op ISO 27001-maatregelen: risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, toeleveringsketenbeveiliging en andere. NIS2 heeft echter specifieke eisen rond incidentmeldingstermijnen (24-uurs vroegtijdige waarschuwing), managementaansprakelijkheid en toeleveringsketenbeveiliging die verder gaan dan wat ISO 27001 dekt. ISO 27001-certificering toont beveiligingsvolwassenheid aan richting NIS2-toezichthoudende autoriteiten.

ISO 27001-certificering: wat het is, wat het vereist en hoe u gecertificeerd raakt

Published 7 mrt 2026

By Emre Salmanoglu

ISO 27001-certificering: wat het is, wat het vereist en hoe u gecertificeerd raakt

Een praktische gids voor ISO 27001-certificering — wat het omvat, hoe de audit werkt, welke Annex A-maatregelen vereist zijn, hoe het zich verhoudt tot NIS2 en DORA, en wat Europese bedrijven moeten weten over het behalen en onderhouden van certificering.

ISO 27001

Certificering

ISMS

Informatiebeveiliging

Annex A

NIS2

DORA

De volledige gids lezen? Onze ISO 27001 Certificering: De complete gids of ga direct naar de ISO 27001 Checklist.

ISO 27001-certificering: wat het is, wat het vereist en hoe u gecertificeerd raakt

ISO 27001 is de internationale gouden standaard voor informatiebeveiligingsbeheer. Gepubliceerd door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC), definieert het de vereisten voor het bouwen, bedienen en verbeteren van een Information Security Management System (ISMS).

Voor Europese bedrijven dient ISO 27001 een dubbel doel: het voldoet aan de eisen van zakelijke kopers tijdens procurement en biedt een gestructureerde basis voor het naleven van regelgeving onder NIS2 en DORA.

Deze gids behandelt wat de standaard vereist, hoe de certificeringsaudit werkt, wat de 2022-revisie veranderde en hoe ISO 27001 past in het bredere Europese compliance-landschap.

Wat ISO 27001 vereist

ISO 27001 heeft twee hoofdonderdelen: de managementsysteemvereisten (Clausules 4-10) en de referentiemaatregelen (Annex A).

Managementsysteemvereisten (Clausules 4-10)

Deze clausules definiëren hoe uw ISMS moet werken:

Clausule 4 — Context van de organisatie: Definieer scope, begrijp belanghebbenden, bepaal interne en externe kwesties die informatiebeveiliging beïnvloeden
Clausule 5 — Leiderschap: Stel informatiebeveiligingsbeleid vast, wijs rollen en verantwoordelijkheden toe, toon managementcommitment
Clausule 6 — Planning: Voer risicobeoordeling uit, definieer risicobehandelingsplan, stel informatiebeveiligingsdoelstellingen vast, plan wijzigingen
Clausule 7 — Ondersteuning: Wijs middelen toe, waarborg competentie, bouw bewustzijn op, richt communicatiekanalen in, beheer gedocumenteerde informatie
Clausule 8 — Uitvoering: Voer risicobeoordeling en -behandeling uit, beheer operationele planning en controle
Clausule 9 — Prestatie-evaluatie: Monitor en meet ISMS-effectiviteit, voer interne audits uit, houd managementbeoordelingen
Clausule 10 — Verbetering: Adresseer non-conformiteiten, implementeer corrigerende maatregelen, stimuleer continue verbetering

Annex A-maatregelen (ISO 27001:2022)

Annex A biedt 93 referentiemaatregelen georganiseerd in vier categorieën:

Organisatorische maatregelen (37 maatregelen)

Governance, beleidsregels en beheerprocessen:

Informatiebeveiligingsbeleid en -rollen
Assetmanagement en -classificatie
Toegangscontrole en identiteitsbeheer
Leveranciers- en derdenbeveiliging
Incidentbeheer en bedrijfscontinuïteit
Compliance en wettelijke vereisten

Personele maatregelen (8 maatregelen)

Het menselijke element van beveiliging:

Screening vóór indiensttreding
Arbeidsvoorwaarden
Beveiligingsbewustzijn en -training
Disciplinair proces
Verantwoordelijkheden na beëindiging
Thuiswerken en geheimhoudingsovereenkomsten

Fysieke maatregelen (14 maatregelen)

Fysieke beveiligingsmaatregelen:

Fysieke beveiligingsperimeters en toegangscontroles
Beveiliging van kantoren, ruimten en faciliteiten
Bescherming en onderhoud van apparatuur
Clean desk- en clean screen-beleid
Behandeling en vernietiging van opslagmedia

Technologische maatregelen (34 maatregelen)

Technische beveiligingsmaatregelen:

Gebruikersauthenticatie en toegangsrechten
Encryptie en sleutelbeheer
Beveiligingslogging en -monitoring
Netwerkbeveiliging en -segmentatie
Veilige ontwikkelingslevenscyclus
Gegevensbescherming en privacy
Kwetsbaarheids- en patchbeheer
Back-up en redundantie

Verklaring van Toepasselijkheid (VvT)

De VvT is een van de meest kritische ISO 27001-documenten. Het vermeldt elke Annex A-maatregel en geeft aan:

Of de maatregel van toepassing of uitgesloten is
Onderbouwing voor opname of uitsluiting
Hoe de maatregel is geïmplementeerd
Verwijzing naar ondersteunende documentatie

De VvT koppelt uw risicobeoordeling aan uw maatregelimplementatie — auditors onderzoeken het zorgvuldig.

Het certificeringsproces

Certificeringsinstantie kiezen

Selecteer een geaccrediteerde certificeringsinstantie (CI). Belangrijke overwegingen:

Accreditatie: Zorg dat de CI geaccrediteerd is door een nationale accreditatie-instelling (bijv. DAkkS in Duitsland, UKAS in het VK, COFRAC in Frankrijk, RvA in Nederland)
Branche-ervaring: Kies een CI met auditors die ervaring hebben in uw branche en technologie-stack
Geografische dekking: Zorg bij meerdere locaties dat de CI alle vestigingen kan auditeren
Reputatie: De reputatie van de CI beïnvloedt hoe kopers uw certificering waarderen

Fase 1-audit (Documentatiebeoordeling)

De Fase 1-audit is een gereedheidscontrole:

Documentbeoordeling — De auditor onderzoekt uw ISMS-documentatie: beleidsregels, risicobeoordeling, VvT, procedures en registraties
Scopeverificatie — Bevestigt dat de ISMS-scope passend en duidelijk gedefinieerd is
Gereedheidsbeoordeling — Evalueert of het ISMS voldoende is geïmplementeerd voor Fase 2
Planning — Identificeert aandachtsgebieden voor de Fase 2-audit

Duur: Doorgaans 1-2 dagen on-site of op afstand

Resultaat: Fase 1-rapport met eventuele aandachtspunten en bevestiging van gereedheid (of niet) voor Fase 2

Fase 2-audit (Implementatieverificatie)

De Fase 2-audit verifieert dat uw ISMS effectief werkt:

Maatregelentesten — Auditors testen maatregelen via interviews, observatie, inspectie van bewijs en heruitvoering
Procesverificatie — Verifieert dat ISMS-processen (risicobeoordeling, interne audit, managementbeoordeling) functioneren
Bewijssteekproeven — Beoordeelt steekproeven van registraties, logs en documentatie over de auditperiode
Medewerkerinterviews — Spreekt met personeel op verschillende niveaus om bewustzijn en naleving te verifiëren
Bevindingsclassificatie — Kwesties worden geclassificeerd als:
- Grote non-conformiteit — Significante tekortkoming die correctie vereist vóór certificering
- Kleine non-conformiteit — Geïsoleerde tekortkoming die een corrigerend-actieplan vereist
- Observatie — Verbeterpunt (blokkeert certificering niet)

Duur: Doorgaans 3-10 dagen afhankelijk van organisatiegrootte en scope

Resultaat: Fase 2-rapport met bevindingen en aanbeveling voor certificering

Certificeringsbeslissing

Na Fase 2:

Als er geen grote non-conformiteiten zijn: certificering wordt aanbevolen
Als er grote non-conformiteiten zijn: u moet deze adresseren en bewijs leveren voordat certificering wordt verleend
Kleine non-conformiteiten vereisen een corrigerend-actieplan binnen een overeengekomen termijn
Het beoordelingspanel van de certificeringsinstantie neemt de definitieve certificeringsbeslissing

Certificering onderhouden

ISO 27001-certificering is geldig voor drie jaar met doorlopende verplichtingen:

Surveillance-audits — Jaarlijkse audits (doorgaans in jaar 1 en 2) verifiëren voortdurende ISMS-werking. Kleiner in scope dan de initiële audit.
Continue verbetering — U moet aantonen dat het ISMS verbetert, niet alleen wordt onderhouden
Hercertificeringsaudit — Volledige audit in jaar 3 om het certificaat te verlengen voor een nieuwe driejarige cyclus
Doorlopende werking — Het ISMS moet continu draaien tussen audits — risicobeoordelingen bijwerken, incidenten beheren, maatregelen monitoren, interne audits uitvoeren

ISO 27001:2022 — Wat is er veranderd?

De 2022-revisie bracht significante wijzigingen in Annex A terwijl de managementsysteemclausules grotendeels intact bleven:

Geherstructureerde maatregelcategorieën

ISO 27001:2013	ISO 27001:2022
14 maatregelcategorieën	4 maatregelcategorieën
114 maatregelen	93 maatregelen
A.5-A.18 nummering	A.5-A.8 nummering

11 nieuwe maatregelen

De 2022-revisie voegde maatregelen toe die moderne beveiligingsuitdagingen weerspiegelen:

A.5.7 Dreigingsintelligentie — Verzamelen en analyseren van dreigingsinformatie
A.5.23 Informatiebeveiliging voor clouddiensten — Beheren van cloudspecifieke risico's
A.5.30 ICT-gereedheid voor bedrijfscontinuïteit — Waarborgen dat technologie continuïteitsplannen ondersteunt
A.7.4 Fysieke beveiligingsmonitoring — Bewakings- en detectiesystemen
A.8.9 Configuratiebeheer — Systeemconfiguraties veilig beheren
A.8.10 Informatieverwijdering — Veilig verwijderen wanneer niet langer nodig
A.8.11 Datamaskering — Gevoelige gegevens beschermen door maskeringstechnieken
A.8.12 Preventie van datalekken — Voorkomen van ongeoorloofde gegevensexfiltratie
A.8.16 Monitoringactiviteiten — Monitoring en analyse van beveiligingsgebeurtenissen
A.8.23 Webfiltering — Beheren van toegang tot externe websites
A.8.28 Veilig coderen — Toepassen van veilige ontwikkelingsprincipes

Maatregelattributen

De 2022-versie introduceert vijf attributen voor elke maatregel, waarmee organisaties verschillende weergaven kunnen maken:

Maatregeltype: Preventief, Detectief, Correctief
Informatiebeveiligingseigenschappen: Vertrouwelijkheid, Integriteit, Beschikbaarheid
Cyberbeveiligingsconcepten: Identificeren, Beschermen, Detecteren, Reageren, Herstellen
Operationele capaciteiten: Governance, Assetmanagement, enz.
Beveiligingsdomeinen: Governance en ecosysteem, Bescherming, Verdediging, Weerbaarheid

ISO 27001 en Europese regelgeving

NIS2-afstemming

ISO 27001 sluit goed aan bij NIS2 Artikel 21-vereisten, maar er bestaan lacunes:

NIS2 Artikel 21-maatregel	ISO 27001-dekking
Risicoanalyse en beveiligingsbeleid	Sterk — Clausules 6, 8, Annex A.5
Incidentafhandeling	Gedeeltelijk — A.5.24-A.5.28 dekken beheer maar niet de NIS2 24-uursmelding
Bedrijfscontinuïteit	Sterk — A.5.29-A.5.30
Toeleveringsketenbeveiliging	Gedeeltelijk — A.5.19-A.5.22 dekken leveranciersbeveiliging maar NIS2 vereist diepere ketenanalyse
Beveiliging bij systeemverwerving	Sterk — A.8.25-A.8.31
Effectiviteitsbeoordeling	Sterk — Clausule 9
Cyberhygiëne en training	Sterk — A.6.3, A.6.4
Cryptografie	Sterk — A.8.24
Personeelsbeveiliging en toegangscontrole	Sterk — A.6, A.8.1-A.8.5
Multi-factor-authenticatie	Gedeeltelijk — A.8.5 adresseert authenticatie maar schrijft MFA niet voor

Belangrijke lacune: NIS2-incidentmelding vereist een 24-uurs vroegtijdige waarschuwing aan het CSIRT, een 72-uurs incidentmelding en een eindrapport binnen één maand. ISO 27001 vereist incidentbeheer maar schrijft geen specifieke meldingstermijnen voor.

DORA-afstemming

Voor financiële entiteiten biedt ISO 27001 een basis voor DORA's ICT-risicobeheervereisten:

ICT-risicobeheerkader (DORA Artikelen 5-16) sluit aan bij ISO 27001 Clausules 6-8
ICT-gerelateerd incidentbeheer (DORA Artikelen 17-23) gaat verder dan de incidentmaatregelen van ISO 27001
Testen van digitale operationele weerbaarheid (DORA Artikelen 24-27) vereist meer gestructureerd testen dan de interne audit van ISO 27001
ICT-risicobeheer van derden (DORA Artikelen 28-44) vereist dieper leverancierstoezicht dan ISO 27001 A.5.19-A.5.22

AVG-synergieën

ISO 27001 ondersteunt AVG-compliance door:

Risicogebaseerde benadering voor het beschermen van persoonsgegevens
Toegangscontrole- en dataclassificatiemaatregelen
Incidentbeheer (ondersteunt meldingsverplichtingen bij inbreuken)
Leveranciersbeheer (ondersteunt verwerkersvereisten onder Artikel 28)
ISO 27701 (Privacy Information Management) breidt ISO 27001 specifiek uit voor privacy

Veelgemaakte certificeringsfouten

Certificering als doel behandelen in plaats van beveiliging. Organisaties die een ISMS bouwen puur om de audit te halen, creëren fragiele systemen. Als de auditor komt, worden lacunes zichtbaar. Bouw het ISMS omdat het uw organisatie veiliger maakt, en certificering volgt vanzelf.
De risicobeoordeling onderschatten. De risicobeoordeling stuurt alles — uw maatregelenselectie, uw VvT en uw auditscope. Een oppervlakkige risicobeoordeling leidt tot ongepaste maatregelen en auditbevindingen. Investeer tijd in een grondige, eerlijke beoordeling.
Interne-auditvereisten negeren. Interne audits zijn verplicht en moeten worden uitgevoerd door auditors die onafhankelijk zijn van de geauditeerde gebieden. Veel organisaties stellen interne audits uit of slaan ze over, waarna ze grote non-conformiteiten tegenkomen tijdens de certificeringsaudit.
Onvoldoende managementbetrokkenheid. ISO 27001 vereist aangetoond managementcommitment — niet alleen een beleidshandtekening. Managementbeoordelingsvergaderingen moeten worden gehouden, van middelen voorzien en gedocumenteerd met duidelijke beslissingen en acties.
Bewijs niet continu bijhouden. Bewijs moet het hele jaar door worden verzameld, niet vlak voor de audit samengesteld. Geautomatiseerde bewijsverzameling via compliance-platforms elimineert dit probleem en biedt continue auditgereedheid.
Te smalle scope kiezen. Een smalle scope (bijv. slechts één product certificeren terwijl het bedrijf er vele heeft) kan de geloofwaardigheid bij kopers schaden. Kopers willen zien dat het ISMS de systemen dekt die hun gegevens verwerken.

Hoe Orbiq ISO 27001-certificering ondersteunt

Trust Center: Publiceer uw ISO 27001-certificeringsstatus, scope, VvT-samenvatting en beveiligingsmaatregelen als kopersgerichte bewijshub
Continue monitoring: Volg de effectiviteit van maatregelen voor alle 93 Annex A-maatregelen en identificeer lacunes vóór surveillance-audits
Bewijsbeheer: Geautomatiseerde bewijsverzameling gekoppeld aan ISO 27001-clausules en Annex A-maatregelen voor gestroomlijnde auditvoorbereiding
AI-gestuurde vragenlijsten: Beantwoord beveiligingsvragenlijsten van kopers met bewijs uit uw ISMS en ISO 27001-programma

Verder lezen

ISMS — Het managementsysteem bouwen dat ISO 27001 certificeert
SOC 2-compliance — Hoe ISO 27001 zich verhoudt tot SOC 2 voor markttoegang in de VS
Informatiebeveiligingsbeleid — Het ISMS-governancedocument op het hoogste niveau schrijven
Compliance-automatisering — ISO 27001-bewijsverzameling en -monitoring automatiseren

Deze gids wordt onderhouden door het Orbiq-team. Laatste update: maart 2026.