We waarderen uw privacy

We gebruiken cookies om uw browse-ervaring te verbeteren, gepersonaliseerde advertenties of inhoud weer te geven en ons verkeer te analyseren. Door op ‘Alles accepteren’ te klikken, stemt u in met ons gebruik van cookies.

    TRON Group
    Terug naar blog
    ISO 27001 certificering voor het MKB - stappen, kosten en doorlooptijd van een ISMS-traject voor Nederlandse bedrijven
    Compliance

    ISO 27001 Certificering voor het MKB: Stappen, Kosten en Doorlooptijd

    TRON Group• ISO 27001 & Compliance Experts
    10 minuten lezen

    ISO 27001 staat steeds vaker in aanbestedingen en klantcontracten, ook voor het MKB. Wat is ISO 27001 precies, wat verandert er sinds de norm in 2022 is herzien, hoe lang duurt een certificeringstraject, en wat kost het? Een eerlijke gids voor MKB-organisaties die overwegen om te certificeren.

    ISO 27001 staat steeds vaker in aanbestedingen, leveranciersbeoordelingen en klantcontracten. Voor het MKB roept dat een terechte vraag op: wat is ISO 27001 precies, wat kost een certificering, hoe lang duurt het, en is het de investering waard? In deze gids zetten we het traject voor een MKB-organisatie eerlijk op een rij, inclusief wat verandert sinds de norm in 2022 grondig is herzien.

    Wat is ISO 27001?

    ISO/IEC 27001 is de internationale norm voor informatiebeveiliging. De kern is dat je niet alleen een paar losse technische maatregelen neemt, maar een Information Security Management System (ISMS) opzet: een doorlopend systeem waarmee je risico's identificeert, behandelt en bewaakt, en waarmee je informatiebeveiliging onderdeel maakt van hoe je organisatie werkt.

    ISO 27001 vraagt zowel om beleid en processen (wie is verantwoordelijk, hoe ga je om met incidenten, hoe meet je dat het werkt) als om concrete beheersmaatregelen, de zogeheten Annex A-controls. De norm zelf beschrijft niet voor elke organisatie precies wat je moet doen, maar wel hoe je risicobased bepaalt wat voor jou nodig is. Een certificaat is daarmee meer dan een vinkje: het is bewijs dat je informatiebeveiliging serieus en structureel hebt geregeld.

    ISO 27001:2022 versus 2013

    De norm is in oktober 2022 fors herzien. Per 1 november 2025 zijn certificaten op de oude versie (2013) automatisch komen te vervallen. Een MKB-organisatie die nu start, certificeert dus altijd op ISO 27001:2022.

    De zichtbaarste verandering zit in Annex A. De oude versie kende 114 controls in 14 domeinen, de nieuwe versie kent er 93 in 4 thema's: organisatorisch, mensen, fysiek en technologisch. Die verkleining is geen verzwakking: 56 oude controls zijn samengevoegd tot 24 nieuwe, en er zijn 11 geheel nieuwe controls bijgekomen rond onderwerpen als threat intelligence, ICT-readiness voor bedrijfscontinuiteit, data leakage prevention, secure coding en informatiedeletie. De norm sluit daarmee beter aan op moderne risico's.

    Waarom ISO 27001 voor het MKB?

    Voor MKB-organisaties die geen overheidsklant of beursgenoteerde leverancier zijn, voelt ISO 27001 soms als zwaar geschut. Toch zien we de norm in steeds bredere kring opduiken, om vier redenen:

    1. Klantvragen en aanbestedingen. Grotere klanten verlangen aantoonbare informatiebeveiliging van hun leveranciers, en een ISO 27001-certificaat is daar de meest erkende vorm van.
    2. NIS2 en sectorregelgeving. Een goed ingericht ISMS dekt veel van wat NIS2 vraagt aan risicobeheersing en governance. In onze gids over NIS2-compliance in Nederland lees je hoe dit uitwerkt.
    3. Cyberverzekeraars. Een certificaat helpt vaak bij gunstigere premies en snellere claimafhandeling.
    4. Interne discipline. Een ISMS dwingt orde af op een gebied dat in veel MKB-organisaties versplinterd is geregeld.

    Het traject in stappen

    ISO 27001 leunt op de Plan-Do-Check-Act-cyclus (PDCA). Voor een MKB-organisatie ziet een typisch traject er ongeveer zo uit:

    1. Voorbereiding en scope

    Bepaal wat je certificeert (de hele organisatie of een specifiek bedrijfsonderdeel of dienst), welke informatie binnen scope valt, en wie de eigenaar van het traject is. Onderschat deze stap niet: een te brede scope maakt het traject onnodig zwaar, een te smalle scope maakt het certificaat minder waardevol.

    2. Risicoanalyse

    Identificeer de informatie-assets, dreigingen en kwetsbaarheden, en weeg het risico in waarschijnlijkheid maal impact. Op basis daarvan stel je een risk treatment plan op: voor elk risico bepaal je of je het accepteert, verkleint, deelt of vermijdt.

    3. Statement of Applicability (SoA)

    Hier kies je welke van de 93 Annex A-controls je implementeert, en onderbouw je waarom je controls eventueel uitsluit. De SoA is een van de centrale documenten van het ISMS en wordt tijdens de audit altijd ingezien.

    4. Implementatie

    De gekozen controls inrichten: van toegangsbeheer, encryptie en patchmanagement tot incidentprocedures, leveranciersbeheer en awareness training. Voor de technische kant helpt het als je MFA goed hebt geimplementeerd, een solide back-upstrategie hebt, en periodiek aandacht hebt voor security awareness.

    5. Interne audit en management review

    Voordat de externe certificerende instelling komt, audit je je eigen ISMS. Je legt vast wat er goed gaat, wat niet, en welke verbeteracties lopen. De directie evalueert formeel de werking van het ISMS in een management review.

    6. Stage 1-audit

    Een geaccrediteerde certificerende instelling (CI) doet een documentatie-audit: zit het ISMS qua opzet goed in elkaar, dekt het de scope, en is het klaar voor de operationele audit?

    7. Stage 2-audit

    De CI komt langs voor de operationele audit. Werkt het ISMS in de praktijk zoals beschreven? Vragen, steekproeven en interviews met medewerkers. Bij een positief oordeel volgt het certificaat.

    8. Surveillance en hercertificering

    Het certificaat is 3 jaar geldig. In jaar 1 en jaar 2 volgen jaarlijkse surveillance-audits, in jaar 3 een hercertificering. Het ISMS draait dus door, ook na de eerste audit.

    Hoeveel tijd kost ISO 27001?

    Eerlijke vuistregel voor een MKB-organisatie: 6 tot 12 maanden van besluit tot certificaat. Wie al een hoge maturity heeft en goede ondersteuning organiseert, lukt het soms in 4 tot 6 maanden. Complexere organisaties, of trajecten waarin veel parallel moet gebeuren, zitten al snel op 12 tot 18 maanden.

    De tijd wordt vooral bepaald door drie dingen: hoe ver je beveiliging al staat, hoeveel uur het projectteam vrijmaakt, en hoe groot de scope is. Bedrijven die het traject "erbij doen" naast de operatie, lopen vaak vertraging op. Een vast tempo van enkele uren per week per betrokkene werkt beter dan sprintjes.

    Wat kost ISO 27001 voor een MKB-organisatie?

    Hier moet de eerlijkheid voorop staan: een vast bedrag bestaat niet. Wel zijn er drie typische aanpakken met bijbehorende bandbreedtes.

    • Volledig intern met sjablonen. Goedkoopst in directe kosten (ruwweg 10.000 tot 30.000 euro), maar trekt zwaar op interne tijd en duurt vaak 12 tot 24 maanden. Geschikt voor organisaties met een ervaren security- of compliance-medewerker.
    • Met een extern adviesbureau. Hogere directe kosten (ruwweg 40.000 tot 120.000 euro voor een MKB, afhankelijk van omvang en complexiteit), maar veel snellere doorlooptijd en minder belasting van eigen mensen.
    • Met compliance-automatiseringsplatform. Tussenvariant met een softwareplatform dat veel documentatie en evidence-verzameling automatiseert; vaak rond 25.000 tot 80.000 euro in het eerste jaar.

    Daarbij komt de externe audit door de certificerende instelling: voor een MKB-scope tellen Stage 1 en Stage 2 samen vaak rond 8.000 tot 15.000 euro op, met jaarlijkse surveillance-audits van rond 3.000 tot 5.000 euro daarna.

    Wat veel mensen onderschatten: de grootste kostenpost is interne tijd. Schattingen van consultants noemen vaak 50 tot 70 procent van de totale kosten als "verborgen" tijdsbesteding van eigen medewerkers. Wie zonder verlichting van een partner door het traject heen wil, betaalt dat terug in uren en in projectvertraging.

    Welke valkuilen zien we vaak?

    Bij MKB-organisaties die zelf het traject in gaan, komen we steeds dezelfde patronen tegen:

    • Te brede scope. "We doen het meteen voor de hele organisatie" klinkt logisch, maar maakt het traject veel zwaarder en levert niet altijd een passender certificaat op.
    • Documenten zonder werking. Het ISMS bestaat alleen op papier; in de praktijk volgt niemand het beleid. Een auditor merkt dat binnen een half uur.
    • Geen risicobenadering. Alle 93 controls krampachtig willen implementeren in plaats van risicogedreven kiezen wat past. Dat is duur en blokkeert de operatie.
    • Eenmalig project in plaats van systeem. Na de audit valt het onderhoud stil, met als gevolg een lastige surveillance-audit een jaar later.
    • Geen draagvlak bij de directie. ISO 27001 vraagt expliciet om sturing vanuit het management. Zonder dat blijft het een IT-feestje.

    Een ervaren externe partner kan deze valkuilen vroeg signaleren en je daarmee veel tijd besparen.

    Hoe een IT-partner het verschil maakt

    ISO 27001 is geen pure IT-aangelegenheid: het raakt HR, juridische zaken, leveranciersbeheer en de directie. Maar de technische beheersmaatregelen vormen wel de helft van het werk, en daarin maakt een gespecialiseerde IT-partner een groot verschil.

    Een managed IT-partner die zelf ISO 27001-gecertificeerd is, brengt twee dingen mee: gestandaardiseerde processen die de Annex A-controls al raken (logging, patching, backup, toegangsbeheer), en ervaring met wat een auditor wel en niet als bewijs accepteert. Dat scheelt maanden frustratie op kleine documentatievragen.

    Voor de bredere beveiligingsinrichting, denk aan e-mailbeveiliging, endpoint management, monitoring, en awareness, sluit onze cybersecurity-dienst goed aan op een ISMS in opbouw. En wie wil weten hoe ISO 27001 verbindt met andere compliance-eisen die in jouw sector spelen, leest onze gids over DORA-compliance voor de financiele sector als context voor hoe gestructureerd risicomanagement vandaag de dag werkt.

    Is ISO 27001 de investering waard?

    Eerlijk antwoord: niet voor elk MKB-bedrijf. Als je geen klanten hebt die erom vragen, geen regelgevende druk voelt, en geen ambitie hebt om je beveiliging structureel te professionaliseren, is een ISO 27001-certificaat een dure manier om iets te bereiken wat lichter ook kan.

    Maar zodra een van die drivers wel speelt, kantelt de zaak. Een ISMS dat goed staat, voorkomt incidenten, versnelt audits van klanten, vergemakkelijkt het voldoen aan NIS2, en geeft je personeel duidelijke kaders. Voor groeiende MKB-organisaties met klanten in finance, zorg, industrie of overheid is ISO 27001 vaak eerder een toegangskaart dan een luxe.

    Veelgestelde vragen over ISO 27001 voor het MKB

    Wat is ISO 27001 in het kort?

    ISO 27001 is de internationale norm voor informatiebeveiliging. Hij vraagt om een Information Security Management System: een doorlopend systeem voor risico-identificatie, risicobehandeling en beheersing, met bijbehorende governance en technische maatregelen. Een certificaat van een geaccrediteerde instelling is bewijs dat je dit systeem aantoonbaar in werking hebt.

    Wat is het verschil tussen ISO 27001:2022 en 2013?

    De norm zelf (de hoofdtekst) is licht aangepast; de grootste verandering zit in Annex A. De 114 controls in 14 domeinen zijn vervangen door 93 controls in 4 thema's: organisatorisch, mensen, fysiek en technologisch. Er zijn 11 nieuwe controls toegevoegd voor moderne risico's. Sinds 1 november 2025 wordt alleen nog op de 2022-versie gecertificeerd.

    Hoe lang duurt een ISO 27001-traject voor het MKB?

    Voor de meeste MKB-organisaties duurt het 6 tot 12 maanden van besluit tot certificaat. Bij een hoge startmaturity en goede begeleiding lukt het soms in 4 tot 6 maanden, bij grotere of complexere scope eerder 12 tot 18 maanden. De doorlooptijd hangt vooral af van je startpunt, je projectcapaciteit en de scope.

    Wat kost ISO 27001-certificering?

    Bandbreedte: ruwweg 10.000 tot 30.000 euro bij volledig interne implementatie met sjablonen, 25.000 tot 80.000 euro met een compliance-platform, en 40.000 tot 120.000 euro met een adviesbureau. De externe audit door een certificerende instelling kost voor een MKB-scope vaak 8.000 tot 15.000 euro, met surveillance-audits van 3.000 tot 5.000 euro per jaar daarna. Reken op interne tijd als grootste post.

    Hoe lang is het certificaat geldig?

    Het ISO 27001-certificaat is 3 jaar geldig. In jaar 1 en jaar 2 volgt een jaarlijkse surveillance-audit, in jaar 3 een hercertificering. Het ISMS draait dus continu door, en informatiebeveiliging is een doorlopend proces in plaats van een eenmalig project.

    Helpt een ISO 27001-certificaat bij NIS2-compliance?

    Een goed ingericht ISMS dekt veel van wat NIS2 vraagt op het gebied van risicobeheersing, governance, incidentafhandeling en leveranciersbeheer. Een ISO 27001-certificaat ontslaat je niet automatisch van NIS2-verplichtingen, maar maakt het aantonen ervan aanzienlijk eenvoudiger en geeft een gestructureerd kader om de gaten te dichten.

    Conclusie

    ISO 27001 is geen quick win, maar wel een doordachte investering voor MKB-organisaties die hun beveiliging serieus en blijvend willen professionaliseren. Met een realistische scope, een risicogerichte aanpak en een ervaren partner aan boord is een certificaat binnen 6 tot 12 maanden goed haalbaar, tegen kosten die passen bij wat het oplevert in klantvertrouwen, compliance en bedrijfsweerbaarheid.

    Wil je weten of ISO 27001 voor jouw bedrijf past, of zoek je een partner die het traject naast je loopt? Bel TRON Group via 085-3035869 of bekijk onze cybersecurity-dienst. We zijn zelf ISO 27001-gecertificeerd, kennen het traject van binnenuit, en helpen je een ISMS opzetten dat niet alleen door de audit komt, maar in de praktijk ook echt werkt.

    ISO 27001CertificeringComplianceMKBInformatiebeveiligingISMSCybersecurityRisicomanagement

    Wil je meer weten over deze IT-oplossingen?

    Neem contact op voor een vrijblijvend gesprek met onze experts

    Neem contact opBel 085 303 5869

    Meer Artikelen

    Cyberverzekering voor het MKB - overzicht van dekking, premies en beveiligingseisen die verzekeraars stellen aan Nederlandse bedrijven
    Cyber Security
    9 min lezen

    Cyberverzekering voor het MKB: Wat Dekt Hij en Wat Kost Hij?

    Een cyberverzekering klinkt als de oplossing voor ransomware en datalekken, maar wat dekt zo'n polis nou echt en wanneer betaalt de verzekeraar uit? We zetten eerlijk op een rij wat een cyberverzekering wel en niet doet, welke eisen verzekeraars stellen aan jouw beveiliging, en waarom techniek en verzekering elkaar nodig hebben.

    CyberverzekeringCybersecurityMKB
    Lees meer
    Penetratietest voor het MKB - uitleg van pentest-soorten, kosten en wanneer een pentest zinvol is voor Nederlandse bedrijven
    Cyber Security
    10 min lezen

    Penetratietest (Pentest) voor het MKB: Wat is het en Wanneer Nodig?

    Een penetratietest klinkt als iets voor grote banken, maar steeds meer MKB-bedrijven krijgen de vraag van klanten of verzekeraars. We leggen uit wat een pentest is, welke soorten er zijn (black, grey en white box), wat een pentest voor het MKB kost en wanneer hij echt zinvol is. Inclusief het verschil met een phishingsimulatie.

    PenetratietestPentestCybersecurity
    Lees meer