ISO 27001 Certificering: Kosten, Stappenplan & Gids (2026)

Q: Helpt ISO 27001 bij NIS2 compliance?

Ja. Circa 70 80% van de NIS2 Artikel 21 maatregelen wordt al gedekt door ISO 27001 Annex A controls. ISO 27001 is daarmee het meest directe pad naar NIS2 compliance. Het certificaat is echter niet automatisch voldoende — NIS2 stelt aanvullende eisen rondom meldplichten en bestuurdersaansprakelijkheid.

Wat is ISO 27001 certificering?

ISO 27001 certificering betekent dat je organisatie aantoonbaar voldoet aan de internationale norm voor informatiebeveiliging. De norm beschrijft hoe je informatiebeveiliging structureel organiseert, niet alleen technisch, maar ook organisatorisch en procesmatig.

Centraal staat het Information Security Management System (ISMS): een managementsysteem waarin risico’s worden geïdentificeerd, beheerst en continu verbeterd. ISO 27001:2022 bevat 93 beheersmaatregelen (Annex A), verdeeld over thema’s zoals toegangsbeveiliging, incidentmanagement, leveranciersbeheer en governance.

Belangrijk om te weten: ISO 27001 is certificeerbaar. Dat betekent dat een onafhankelijke certificerende instantie toetst of jouw organisatie voldoet aan de norm. Dat is een belangrijk verschil met richtlijnen of best practices.

Waarom ISO 27001 steeds vaker wordt gevraagd

In de praktijk zien we dat ISO 27001 allang geen "nice to have" meer is. Het aantal certificaten wereldwijd is in 2024 bijna verdubbeld: van 48.671 naar 96.709 actieve certificaten (bron: ISO Survey 2024). In Nederland zijn nu 1.568 organisaties gecertificeerd, verdeeld over 3.345 locaties — daarmee staat Nederland op de 13e plaats wereldwijd.

Organisaties krijgen het certificaat steeds vaker expliciet gevraagd door klanten, verzekeraars en ketenpartners. Dit gebeurt met name bij:

IT‑bedrijven en SaaS‑leveranciers
Zorginstellingen en zorgleveranciers
Zakelijke dienstverleners die werken met gevoelige data
Organisaties die deelnemen aan aanbestedingen
Bedrijven die onder de NIS2-richtlijn (Cyberbeveiligingswet) vallen

"De meeste MKB-bedrijven onderschatten hoeveel ze al op orde hebben. Een goede nulmeting laat vaak zien dat 40-60% van de ISO 27001 eisen al informeel is ingeregeld. Het traject gaat dan over structureren en aantoonbaar maken — niet over alles opnieuw uitvinden."
— Niels Maas, Oprichter MaasISO

ISO 27001 laat zien dat informatiebeveiliging geen losse maatregelen zijn, maar structureel en aantoonbaar zijn ingebed in beleid, processen en verantwoordelijkheden.

Annex A — De 93 beheersmaatregelen

In ISO 27001:2022 is de structuur van Annex A fundamenteel gewijzigd ten opzichte van de vorige versie (2013). De oude 14 categorieën zijn vervangen door 4 overzichtelijke thema's. Het totaal aantal controls is teruggebracht van 114 naar 93, waarbij 11 volledig nieuwe controls zijn toegevoegd — waaronder threat intelligence, cloudbeveiliging en data masking.

Thema	Aantal controls	Voorbeelden
Organisatorisch	37	Informatiebeveiligingsbeleid, rollen & verantwoordelijkheden, leveranciersbeheer
Mensen	8	Screening, bewustwording, arbeidsvoorwaarden
Fysiek	14	Fysieke toegangsbeveiliging, bescherming apparatuur, clean desk
Technologisch	34	Toegangscontrole, cryptografie, netwerkbeveiliging, logging
Totaal	93

De Statement of Applicability (SoA) bepaalt welke van deze 93 controls van toepassing zijn op jouw organisatie. Niet elke organisatie hoeft alle controls te implementeren — de selectie is gebaseerd op je risicoanalyse.

NIS2 Artikel 21: Mapping op ISO 27001

De Cyberbeveiligingswet (NIS2) stelt in Artikel 21 tien risicobeheersmaatregelen verplicht voor essentiële en belangrijke entiteiten. Organisaties die al ISO 27001 gecertificeerd zijn, hebben circa 70-80% van deze maatregelen al aantoonbaar geïmplementeerd. De onderstaande tabel toont hoe de NIS2-eisen mappen op specifieke ISO 27001 Annex A controls:

NIS2 Artikel 21 - Maatregel	ISO 27001 Annex A controls
a) Beleid risicoanalyse en informatiebeveiliging	A.5.1 Beleid, A.5.2 Rollen
b) Incidentenbehandeling	A.5.24–A.5.28 Incident management
c) Bedrijfscontinuïteit en crisisbeheer	A.5.29–A.5.30 BCM
d) Beveiliging toeleveringsketen	A.5.19–A.5.23 Leveranciersbeheer
e) Beveiliging bij aankoop en ontwikkeling	A.8.25–A.8.31 Secure development
f) Beoordelen effectiviteit maatregelen	A.5.35–A.5.36 Naleving en audit
g) Cyberhygiëne en opleiding	A.6.3 Bewustwording
h) Beleid cryptografie	A.8.24 Cryptografie
i) Personeelsbeveiliging en toegangsbeleid	A.6.1–A.6.2, A.8.1–A.8.5
j) Multifactorauthenticatie	A.8.5 Authenticatie

ISO 27001 is daarmee het meest directe pad naar NIS2-compliance. Organisaties die nog geen managementsysteem hebben, kunnen met ISO 27001 in één traject zowel certificering als een groot deel van de NIS2-zorgplicht afdekken.

Wat kost ISO 27001 certificering?

De kosten voor ISO 27001 certificering bestaan uit drie onderdelen: begeleiding en implementatie, eventuele tooling en de externe certificering door een onafhankelijke certificerende instantie.

Kosten begeleiding per bedrijfsgrootte

Bedrijfsgrootte	Kosten begeleiding	Doorlooptijd
1–10 FTE	€5.000 – €15.000	3–6 maanden
10–50 FTE	€10.000 – €20.000	6–9 maanden
50–150 FTE	€20.000 – €35.000	9–12 maanden
150+ FTE	€40.000+	12+ maanden

Overige kosten

Certificerende instantie (jaar 1): €4.500 – €8.000
Surveillance‑audits (jaar 2 & 3): €2.500 – €4.000 per jaar
ISMS‑software: €400 – €3.000 per jaar
Interne audit (verplicht): €1.800 – €3.500

Voor een gemiddeld Nederlands bedrijf van ongeveer 20 medewerkers ligt de totale investering in jaar 1 tussen €18.000 en €25.000. In de jaren daarna dalen de kosten meestal naar circa €4.000 – €6.000 per jaar.

Hoelang duurt een ISO 27001 traject?

Voor MKB‑organisaties ligt de doorlooptijd van een ISO 27001 traject meestal tussen 3 en 9 maanden. De exacte duur hangt af van de omvang en complexiteit van de organisatie, de mate waarin processen al zijn ingericht en de beschikbare interne capaciteit.

Onze ervaring leert dat trajecten die te snel worden ingestoken, vaak vertraging oplopen bij de audit. Een gestructureerde aanpak levert vrijwel altijd een sneller en stabieler resultaat op.

We bepalen samen welke onderdelen van de organisatie onder het ISMS vallen en voeren een nulmeting uit om te zien waar de grootste gaps zitten ten opzichte van ISO 27001.

We brengen informatiebeveiligingsrisico’s in kaart en stellen de Statement of Applicability (SoA) op waarin wordt vastgelegd welke beheersmaatregelen van toepassing zijn.

Beleid, procedures, rollen en beheersmaatregelen worden ingericht en geïntegreerd in de dagelijkse bedrijfsvoering.

We toetsen of het ISMS werkt zoals bedoeld en of het management actief betrokken is bij de werking en verbetering ervan.

Een onafhankelijke certificerende instantie voert de fase 1- en fase 2‑audit uit en beoordeelt of de organisatie ISO 27001 gecertificeerd kan worden.

ISO 27001 vs ISO 27002 vs NIS2

De termen ISO 27001, ISO 27002 en NIS2 worden vaak door elkaar gebruikt, maar ze hebben een fundamenteel andere rol.

Aspect	ISO 27001	ISO 27002	NIS2
Type	Norm	Richtlijn	Wetgeving
Certificeerbaar	Ja	Nee	Nee
Focus	Managementsysteem	Beheersmaatregelen	Compliance
Verplicht	Nee	Nee	Ja (selectief)

ISO 27001 gebruik je om aantoonbaar grip te krijgen op informatiebeveiliging. NIS2 bepaalt voor welke organisaties bepaalde beveiligingseisen wettelijk verplicht zijn.

Voor MKB‑organisaties ligt de totale investering in het eerste jaar gemiddeld tussen €18.000 en €25.000, inclusief begeleiding, tooling en externe auditkosten.

Het ISO 27001 certificaat is drie jaar geldig. In jaar 2 en 3 vinden jaarlijkse surveillance‑audits plaats.

Met name IT‑bedrijven, SaaS‑leveranciers, zorginstellingen en organisaties die werken met gevoelige informatie of ketenverantwoordelijkheid.

De AVG is wetgeving en ISO 27001 is een managementsysteem. ISO 27001 helpt om AVG‑verplichtingen structureel te borgen, maar vervangt de AVG niet.

In theorie kan dat, maar in de praktijk kiezen de meeste organisaties voor begeleiding vanwege norminterpretatie, auditvoorbereiding en tijdsbesparing.

De versie van 2022 vervangt ISO 27001:2013. De belangrijkste wijzigingen: het aantal Annex A controls is teruggebracht van 114 naar 93, de oude 14 categorieën zijn vervangen door 4 thema's (Organisatorisch, Mensen, Fysiek, Technologisch) en er zijn 11 nieuwe controls toegevoegd — waaronder threat intelligence (A.5.7), cloudbeveiliging (A.5.23) en data masking (A.8.11). De transitieperiode is op 31 oktober 2025 verlopen; alle certificaten moeten nu op de 2022-versie staan.

Ja. Circa 70-80% van de NIS2 Artikel 21-maatregelen wordt al gedekt door ISO 27001 Annex A controls. ISO 27001 is daarmee het meest directe pad naar NIS2-compliance. Het certificaat is echter niet automatisch voldoende — NIS2 stelt aanvullende eisen rondom meldplichten en bestuurdersaansprakelijkheid.

Ja. Beide normen zijn gebaseerd op de Harmonized Structure (voorheen Annex SL), waardoor ze goed integreerbaar zijn in één managementsysteem. Dit bespaart dubbel documentatiewerk, vereenvoudigt interne audits en verlaagt de totale auditkosten. Veel MKB-organisaties kiezen ervoor om eerst ISO 9001 te implementeren en vervolgens ISO 27001 als uitbreiding toe te voegen.

ISO 27001 Certificering: Complete Gids, Kosten & Stappen (2026)

Kernfeiten

Wat is ISO 27001 certificering?

Waarom ISO 27001 steeds vaker wordt gevraagd

Annex A — De 93 beheersmaatregelen

NIS2 Artikel 21: Mapping op ISO 27001

Wat kost ISO 27001 certificering?

Kosten begeleiding per bedrijfsgrootte

Overige kosten

Hoelang duurt een ISO 27001 traject?

De 5 stappen

Stap 1 – Scope en nulmeting

Stap 2 – Risicoanalyse en SoA

Stap 3 – Implementatie van het ISMS

Stap 4 – Interne audit en management review

Stap 5 – Externe audit en certificering

ISO 27001 vs ISO 27002 vs NIS2

Veelgestelde Vragen

Klaar om de volgende stap te zetten?