Hebben mkb-bedrijven ISO 27001-certificering nodig?

Niet elk mkb-bedrijf heeft formele certificering nodig. Maar als klanten, enterprise-partners of inkoopafdelingen het eisen, wordt ISO 27001 een concurrentienoodzaak. Zelfs zonder volledige certificering verbetert het werken volgens het framework je beveiligingsniveau en maakt het AVG- en NIS2-compliance eenvoudiger.

Hoe lang duurt het om ISO 27001-gecertificeerd te worden?

Voor een mkb-bedrijf duurt het traject doorgaans 6 tot 18 maanden. De doorlooptijd hangt af van wat je al op orde hebt, de complexiteit van je organisatie en hoe snel je er capaciteit voor vrij kunt maken. De meeste mkb-bedrijven komen uit op 9 tot 12 maanden.

Wat kost ISO 27001-certificering voor een mkb?

De totale kosten voor een mkb liggen meestal tussen 10.000 en 50.000 euro. Dit omvat consultantkosten (indien gebruikt), interne tijdsinvestering, eventuele tooling en de certificeringsaudit zelf. De audit door de certificerende instelling kost meestal tussen de 5.000 en 15.000 euro, afhankelijk van de bedrijfsgrootte.

Wat is het verschil tussen ISO 27001 en NIS2?

ISO 27001 is een vrijwillige internationale norm voor informatiebeveiligingsmanagement waar je je voor kunt laten certificeren. NIS2 is een Europese richtlijn die wettelijke verplichtingen schept voor organisaties in specifieke sectoren. Ze overlappen aanzienlijk in wat ze vereisen, maar ISO 27001-certificering kan helpen om NIS2-compliance aan te tonen.

Kan ik ISO 27001 halen zonder consultant?

Ja, zeker als kleinere organisatie. De norm is publiek beschikbaar en er zijn veel bronnen om je er doorheen te begeleiden. Een consultant kan het proces wel versnellen en helpt veelgemaakte fouten te vermijden. Veel mkb-bedrijven kiezen voor een hybride aanpak met een consultant voor de initiële opzet en gap-analyse, en doen het doorlopende beheer zelf.

ISO 27001 voor mkb: wat het inhoudt en hoe je eraan begint

Algemeen, Security

4/28/2026

Een klant stuurt je een leveranciersvragenlijst. Een van de vragen: "Bent u ISO 27001-gecertificeerd?" Je vult "Nee" in en gaat verder, maar de vraag blijft hangen. Het volgende aanbestedingsdocument heeft dezelfde eis. Dan noemt je verzekeringsmakelaar het ook. Opeens duiken drie letters en vijf cijfers steeds op in gesprekken die je niet kunt negeren.

ISO 27001 is de internationale norm voor informatiebeveiliging. Jarenlang was het het terrein van grote bedrijven met eigen beveiligingsteams en forse budgetten. Dat verandert. Steeds meer mkb-bedrijven merken dat klanten, partners en toezichthouders verwachten dat ze informatiebeveiliging serieus nemen. ISO 27001 is daarbij vaak het ijkpunt waar naar verwezen wordt.

In deze gids leggen we uit wat ISO 27001 echt vraagt, wie het nodig heeft, wat het kost en hoe je je als mkb kunt voorbereiden zonder fulltime beveiligingsteam.

Wat is ISO 27001, in gewone taal?

ISO 27001 is een framework voor het beheren van informatiebeveiliging. Niet alleen IT-beveiliging, maar de beveiliging van alle informatie die je organisatie verwerkt, of het nu in een database staat, in een e-mail zit of in een dossierkast ligt.

De norm vraagt je om een Information Security Management System (ISMS) op te zetten. Dat klinkt zwaar, maar het komt neer op een gestructureerde manier om:

Te bepalen welke informatie je moet beschermen
De risico's voor die informatie te beoordelen
Maatregelen te nemen om die risico's te beheersen
Vast te leggen wat je doet en waarom
Je aanpak regelmatig te evalueren en verbeteren

De huidige versie is ISO 27001:2022, die de eerdere editie uit 2013 vervangt. De 2022-versie heeft de maatregelen geherstructureerd (nu 93, eerder 114) en aandachtsgebieden toegevoegd zoals cloudbeveiliging en dreigingsinformatie.

Wie heeft ISO 27001 eigenlijk nodig?

Niemand is wettelijk verplicht om ISO 27001-gecertificeerd te worden. Het is een vrijwillige norm. Maar "vrijwillig" en "optioneel" zijn in de praktijk niet hetzelfde.

Je hebt ISO 27001 waarschijnlijk nodig als:

Enterprise-klanten het eisen. Grote organisaties vragen steeds vaker ISO 27001 van hun leveranciers, vooral als je hun data verwerkt of op hun systemen aansluit. Geen certificering, geen contract.
Je meedoet aan aanbestedingen. Overheidsopdrachten en enterprise-aanbestedingen vermelden ISO 27001 regelmatig als eis of sterke voorkeur.
Je sector het verwacht. SaaS-bedrijven, IT-dienstverleners, managed service providers en dataverwerkers zijn de mkb-bedrijven die het vaakst certificering nastreven.
Je je beveiligingsniveau wilt aantonen. In plaats van elke keer dezelfde beveiligingsvragenlijst van 200 vragen te beantwoorden, geeft een ISO 27001-certificaat een enkel, erkend antwoord.
Verzekeringspremies ertoe doen. Sommige cyberverzekeraars bieden betere voorwaarden voor gecertificeerde organisaties.

Als geen van deze situaties nu op jou van toepassing is, betekent dat niet dat ze dat over een jaar niet zijn. Eisen rondom supply chain security worden aangescherpt in heel Europa, door zowel marktdruk als wetgeving zoals NIS2 en de Cyberbeveiligingswet.

De drie pijlers van ISO 27001

ISO 27001 draait om drie dingen. Zodra je die snapt, wordt de norm een stuk minder intimiderend.

1. Het Information Security Management System (ISMS)

Het ISMS is je gedocumenteerde systeem voor het beheren van informatiebeveiliging. Het omvat:

Scope: Wat valt eronder? Je hele organisatie, of een specifieke afdeling of dienst?
Beleid: Een informatiebeveiligingsbeleid op hoofdlijnen dat de richting bepaalt
Rollen en verantwoordelijkheden: Wie is eigenaar van informatiebeveiliging? Wie doet wat?
Doelstellingen: Wat wil je bereiken met je beveiligingsprogramma?
Documentatie: Beleid, procedures, registraties en bewijs dat je ze naleeft

Voor een mkb hoeft het ISMS geen bibliotheek aan documenten te zijn. Het moet proportioneel zijn aan je omvang en de risico's die je loopt. Een softwarebedrijf van 15 personen heeft een ander ISMS nodig dan een fabrikant met 500 medewerkers.

2. Risicobeoordeling en -behandeling

Hier wordt ISO 27001 praktisch. Je moet:

Risico's identificeren voor de vertrouwelijkheid, integriteit en beschikbaarheid van je informatie
Elk risico beoordelen op waarschijnlijkheid en impact
Beslissen wat je met elk risico doet: mitigeren, accepteren, overdragen (verzekering) of vermijden
Je risicobehandelingsplan documenteren

De norm schrijft geen specifieke risicomethodologie voor. Je kunt gebruiken wat werkt voor jouw organisatie, zolang het consistent en herhaalbaar is. Voor de meeste mkb-bedrijven volstaat een simpele risicomatrix (waarschijnlijkheid x impact).

Dit overlapt sterk met wat NIS2 vraagt op het gebied van risicobeheer. Als je al een risicoanalyse voor NIS2 hebt gedaan, ben je een eind op weg.

3. Annex A-maatregelen

Annex A is een catalogus van 93 beveiligingsmaatregelen, gegroepeerd in vier thema's:

Organisatorische maatregelen (37): beleid, rollen, leveranciersbeheer, incidentmanagement
Mensgerichte maatregelen (8): screening, training, bewustwording, verantwoordelijkheden
Fysieke maatregelen (14): toegangscontrole, apparatuurbeveiliging, beveiligde ruimtes
Technologische maatregelen (34): toegangsbeheer, encryptie, logging, netwerkbeveiliging

Je hoeft niet alle 93 maatregelen te implementeren. Je selecteert de maatregelen die relevant zijn voor jouw risico's en documenteert waarom je de rest hebt uitgesloten in een Verklaring van Toepasselijkheid (VvT). Voor een klein SaaS-bedrijf zijn fysieke maatregelen rond beveiligde serverruimtes mogelijk niet relevant als alles in de cloud draait. Dat is prima, mits je de redenering hebt vastgelegd.

Hoe ISO 27001 en NIS2 overlappen (en verschillen)

Als EU-mkb dat naar zowel ISO 27001 als NIS2 kijkt, vraag je je waarschijnlijk af hoe ze zich tot elkaar verhouden. Ze bestrijken vergelijkbaar terrein, maar zijn verschillend van aard.

| | ISO 27001 | NIS2 | |---|---|---| | Type | Vrijwillige internationale norm | Verplichte EU-richtlijn | | Handhaving | Certificerende instellingen (vrijwillig) | Nationale toezichthouders (verplicht) | | Scope | Elke organisatie, elke sector | Specifieke sectoren en drempelwaarden | | Focus | Informatiebeveiligingsmanagement | Cybersecurity en incidentmelding | | Sancties | Geen (je verliest certificering) | Boetes tot 10 mln EUR of 2% van omzet |

Er is veel overlap. Beide vereisen risicobeoordelingen, incidentmanagement, leveranciersbeheer, toegangscontrole en documentatie. Als je een ISMS bouwt dat aan ISO 27001 voldoet, dek je een groot deel van wat NIS2 vraagt meteen af.

De belangrijkste verschillen: NIS2 bevat verplichte incidentmelding bij toezichthouders (binnen 24 uur bij ernstige incidenten) en kent wettelijke sancties. ISO 27001 vereist geen externe melding en kent geen boetes. NIS2 is sectorspecifiek; ISO 27001 is toepasbaar op elke organisatie.

Voor een praktische uitleg over NIS2, lees onze NIS2-startgids voor mkb.

Realistisch tijdpad voor mkb

ISO 27001-certificering kost tijd, maar minder dan de meeste mensen denken. Voor een doorsnee mkb (10-100 medewerkers) ziet een realistisch tijdpad er zo uit:

| Fase | Duur | Wat gebeurt er | |---|---|---| | Gap-analyse | Maand 1-2 | Inventariseer wat je hebt versus wat ISO 27001 vraagt | | ISMS-ontwerp | Maand 2-4 | Bepaal scope, beleid, risicomethodologie | | Risicobeoordeling | Maand 3-5 | Identificeer, beoordeel en behandel risico's | | Implementatie maatregelen | Maand 4-8 | Voer Annex A-maatregelen in, schrijf procedures | | Interne audit | Maand 8-10 | Test je ISMS tegen de norm | | Directiebeoordeling | Maand 10-11 | Management reviewt het ISMS en geeft akkoord | | Certificeringsaudit | Maand 11-14 | Fase 1 (documentatiereview) + Fase 2 (implementatie-audit) |

Totaal: 9-14 maanden voor de meeste mkb-bedrijven. Als je al goede documentatie hebt vanuit AVG-compliance of NIS2-voorbereiding, kun je de eerste fasen sneller doorlopen.

Wat kost het werkelijk?

Kosten zijn de vraag die iedereen stelt en niemand concreet wil beantwoorden. Hier een eerlijke onderverdeling voor mkb:

Interne kosten:

Tijdsinvestering medewerkers: je grootste kostenpost. Reken op 1-2 mensen die 20-40% van hun tijd besteden aan het project gedurende 6-12 maanden
Training: ISO 27001 Lead Implementer of interne auditorcursussen kosten 1.500-3.000 EUR per persoon

Externe kosten:

Consultant (optioneel maar gebruikelijk): 5.000-25.000 EUR afhankelijk van scope en ondersteuningsniveau
Certificeringsaudit: 5.000-15.000 EUR voor de initiële certificering (Fase 1 + Fase 2)
Jaarlijkse surveillance-audits: 3.000-8.000 EUR per jaar
Hercertificering elke 3 jaar: vergelijkbare kosten als de initiële audit

Totale investering eerste jaar: ruwweg 10.000-50.000 EUR, afhankelijk van hoeveel externe ondersteuning je inzet en de omvang van je organisatie.

Is dat veel voor een mkb? Dat kan. Maar vergelijk het met het verliezen van een contract van 200.000 EUR omdat je het ISO 27001-vakje niet kon aanvinken, of jaar na jaar hogere cyberverzekeringspremies betalen. Voor veel mkb-bedrijven wordt de ROI duidelijk zodra ze kijken naar de deals die ze winnen (of mislopen).

Hoe begin je zonder eigen beveiligingsteam?

De meeste mkb-bedrijven hebben geen CISO of beveiligingsafdeling. Dat is geen probleem. Zo pak je het aan:

1. Wijs een eigenaar aan. Een persoon moet het project trekken. Dat kan de IT-manager zijn, de operationeel verantwoordelijke of zelfs de directeur. Diegene hoeft geen beveiligingsexpert te zijn; hij of zij moet georganiseerd zijn en steun hebben van het management.

2. Begin met wat je al hebt. Als je al AVG-documentatie hebt, leveranciersrisicobeoordelingen hebt gedaan of NIS2-voorbereiding hebt getroffen, heb je al bouwstenen. Breng in kaart wat je hebt ten opzichte van ISO 27001-vereisten voordat je iets nieuws opzet.

3. Gebruik een gestructureerde tool. Spreadsheets werken tot ze niet meer werken. Een tool als ComplianceHive helpt je bij het beheren van documentatie, het bijhouden van risico's, het onderhouden van leveranciersregisters en het audit-klaar houden van alles op een centrale plek.

4. Overweeg een consultant voor de gap-analyse. Zelfs als je het meeste werk intern doet, kan een consultant inhuren voor 2-3 dagen gap-analyse je maanden in de verkeerde richting besparen.

5. Streef niet naar perfectie. De norm verwacht een managementsysteem dat passend is voor je organisatie. Een bedrijf van 20 personen met een slank, goed bijgehouden ISMS komt door de certificering. Een overmatig complex systeem dat niemand volgt niet.

Hoe ComplianceHive helpt

ComplianceHive is gebouwd voor mkb-bedrijven die compliance beheren zonder grote teams. Voor ISO 27001-voorbereiding biedt het:

Documentbeheer voor beleid, procedures en registraties met versiegeschiedenis
Risicoregister om risico's te identificeren, beoordelen en behandeling te volgen
Leveranciersbeheer met risicoscores en contractbeheer
Softwareinventaris om je technologielandschap in kaart te brengen
Audittrail die laat zien wat er is gedaan, wanneer en door wie

Je vindt geen "klik hier om ISO 27001-gecertificeerd te worden"-knop. Certificering vereist een externe audit door een geaccrediteerde instantie. Maar ComplianceHive geeft je de basis die auditvoorbereiding behapbaar maakt, vooral als je ISO 27001, AVG en NIS2 tegelijk moet aanpakken.

Probeer ComplianceHive 30 dagen gratis en begin vandaag met het opbouwen van je informatiebeveiligingssysteem.