Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

ISO 27001

Compliance

Een internationale norm voor informatiebeveiliging die eisen vastlegt voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).

ISO 27001 is de internationale norm voor informatiebeveiliging. De norm beschrijft hoe je een Information Security Management System (ISMS) opzet, implementeert en continu verbetert. Het doel is om vertrouwelijke informatie binnen je organisatie systematisch te beschermen tegen dreigingen zoals datalekken, cyberaanvallen en ongeautoriseerde toegang.

De huidige versie is ISO/IEC 27001:2022, die in oktober 2022 werd gepubliceerd. Sinds 31 oktober 2025 moeten alle certificaten op deze versie staan. De norm is ontwikkeld door de International Organization for Standardization (ISO) samen met de International Electrotechnical Commission (IEC) en wordt wereldwijd erkend als de gouden standaard voor informatiebeveiliging.

Een ISO 27001-certificering laat aan klanten, partners en toezichthouders zien dat je organisatie informatiebeveiliging serieus neemt. Het certificaat is drie jaar geldig, met jaarlijkse controleaudits om te verifiëren dat je ISMS nog steeds voldoet aan de eisen.

Voor wie geldt ISO 27001?

ISO 27001 is van toepassing op elke organisatie, ongeacht grootte of sector. Of je nu een zzp'er bent, een mkb-bedrijf runt of bij een multinational werkt: de norm is schaalbaar en past zich aan jouw situatie aan.

In de praktijk is certificering vooral relevant voor organisaties die:

  • Gevoelige klantgegevens verwerken, zoals persoonsgegevens of financiële data
  • IT-diensten leveren aan andere bedrijven (MSP's, cloudproviders, SaaS-leveranciers)
  • Werken voor overheidsinstanties of in sectoren met strenge compliance-eisen
  • Willen voldoen aan aanbestedingseisen waarbij ISO 27001 als voorwaarde wordt gesteld
  • Hun positie willen versterken bij klanten die aantoonbare informatiebeveiliging eisen

Voor de zorgsector bestaat een aanvullende Nederlandse norm: NEN 7510. Deze bouwt voort op ISO 27001 maar voegt specifieke eisen toe voor het beschermen van patiëntgegevens. Organisaties in de zorg combineren daarom vaak beide normen.

Met de komst van de NIS2-richtlijn (Cyberbeveiligingswet) wordt informatiebeveiliging voor steeds meer sectoren een wettelijke verplichting. ISO 27001 biedt een solide basis om aan deze nieuwe eisen te voldoen.

Wat zijn de vereisten van ISO 27001?

De norm bestaat uit twee hoofdonderdelen: de managementsysteemeisen (clausules 4 tot en met 10) en de beveiligingsmaatregelen in Annex A.

Managementsysteemeisen:

  • Context van de organisatie (clausule 4): Je brengt in kaart welke interne en externe factoren invloed hebben op je informatiebeveiliging en wie je belanghebbenden zijn.
  • Leiderschap (clausule 5): Het management toont betrokkenheid, stelt een informatiebeveiligingsbeleid vast en wijst rollen en verantwoordelijkheden toe.
  • Planning (clausule 6): Je voert een risicoanalyse uit, identificeert risico's en kansen, en stelt beveiligingsdoelstellingen vast.
  • Ondersteuning (clausule 7): Je zorgt voor voldoende middelen, competenties, bewustzijn en gedocumenteerde informatie.
  • Uitvoering (clausule 8): Je implementeert de geplande maatregelen en voert risicobehandelingsplannen uit.
  • Evaluatie (clausule 9): Je monitort, meet en evalueert de prestaties van het ISMS, inclusief interne audits en managementreviews.
  • Verbetering (clausule 10): Je pakt afwijkingen aan en zoekt continu naar verbeteringen.

Annex A: 93 beveiligingsmaatregelen

De ISO 27001:2022 bevat 93 controls verdeeld over vier domeinen:

  • Organisatorische controls (37): Beleid, rollen, verantwoordelijkheden, asset management en leveranciersrelaties
  • Mensgerichte controls (8): Screening, bewustzijnstraining en verantwoordelijkheden van medewerkers
  • Fysieke controls (14): Fysieke toegangsbeveiliging, bescherming van apparatuur en beveiligingszones
  • Technologische controls (34): Toegangsbeheer, encryptie, netwerkbeveiliging en beveiligd ontwikkelen

Welke controls je implementeert, bepaal je op basis van je risicoanalyse. Je legt dit vast in een Statement of Applicability (SoA), waarin je per control onderbouwt waarom je deze wel of niet toepast.

Wat zijn de kosten van ISO 27001-certificering?

De investering voor ISO 27001-certificering hangt af van de grootte en complexiteit van je organisatie. Voor een gemiddeld Nederlands bedrijf met zo'n 20 medewerkers liggen de totale kosten in het eerste jaar tussen 18.000 en 25.000 euro. In de jaren daarna dalen de kosten naar circa 4.000 tot 6.000 euro per jaar voor controleaudits.

De auditkosten bij een geaccrediteerde certificeerder zijn als volgt:

  • Kleine organisaties (tot 25 medewerkers): 6.000 tot 12.000 euro voor de driejarige cyclus
  • Middelgrote organisaties: 12.000 tot 18.000 euro
  • Grote organisaties: 18.000 tot 25.000 euro of meer

Bekende geaccrediteerde certificeerders in Nederland zijn onder andere DigiTrust, EIK Certificering, BSI, DNV en Kiwa. Een certificeerder moet geaccrediteerd zijn door de Raad voor Accreditatie (RvA) om een erkend certificaat af te geven.

Wat gebeurt er bij niet-naleving?

ISO 27001 is een vrijwillige norm, geen wettelijke verplichting. Er staan dus geen directe boetes op het niet hebben van een certificaat. Maar de gevolgen van onvoldoende informatiebeveiliging kunnen wel degelijk juridisch en financieel zwaar uitpakken.

Zonder adequate beveiligingsmaatregelen loop je risico op:

  • AVG-boetes: De Autoriteit Persoonsgegevens kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet bij schending van de privacywetgeving.
  • NIS2-sancties: Onder de Cyberbeveiligingswet riskeren essentiële entiteiten boetes tot 10 miljoen euro of 2% van de jaaromzet. Belangrijke entiteiten riskeren 7 miljoen euro of 1,4%.
  • Verlies van klanten en contracten: Steeds meer opdrachtgevers eisen ISO 27001-certificering als voorwaarde voor samenwerking.
  • Reputatieschade: Een datalek zonder aantoonbare beveiligingsmaatregelen schaadt het vertrouwen van klanten en partners aanzienlijk.

Het hebben van een ISO 27001-certificering kan als verzachtende omstandigheid worden beschouwd bij de bepaling van sancties door toezichthouders. Je toont daarmee aan dat je informatiebeveiliging structureel hebt ingericht.

Veelgestelde vragen over ISO 27001

Hoe lang duurt het om ISO 27001-gecertificeerd te worden?
Het implementatietraject duurt gemiddeld 6 tot 12 maanden, afhankelijk van de volwassenheid van je huidige beveiligingsmaatregelen. Organisaties die al een basis hebben, kunnen het sneller doorlopen.

Wat is het verschil tussen ISO 27001 en ISO 27002?
ISO 27001 stelt de eisen voor het ISMS en is de norm waarop je gecertificeerd wordt. ISO 27002 is een richtlijn die de controls uit Annex A uitgebreider beschrijft met implementatieadvies. Je wordt niet gecertificeerd op ISO 27002.

Is ISO 27001 verplicht?
Nee, de norm is vrijwillig. Wel stellen steeds meer opdrachtgevers, aanbestedingen en wetgeving (zoals NIS2) eisen aan informatiebeveiliging die met ISO 27001 goed in te vullen zijn.

Kan ik ISO 27001 combineren met andere normen?
Ja. ISO 27001 integreert goed met andere managementsysteemnormen zoals ISO 9001 (kwaliteit), ISO 22301 (business continuity) en NEN 7510 (zorginformatiebeveiliging). De gedeelde High Level Structure maakt geïntegreerde audits mogelijk.

Wat veranderde er in de 2022-versie?
De belangrijkste wijziging zit in Annex A: de 114 controls uit de 2013-versie zijn geherstructureerd naar 93 controls in vier domeinen. Er zijn 11 nieuwe controls toegevoegd, waaronder threat intelligence, cloudbeveiliging en data masking.

Heb ik een consultant nodig?
Niet verplicht, maar veel organisaties schakelen een consultant in voor begeleiding. De kosten voor begeleiding liggen tussen 5.000 en 20.000 euro, afhankelijk van de scope en gewenste ondersteuning.

Bekijk governance, risk & compliance oplossingen op IBgidsNL om een passende partner te vinden voor jouw ISO 27001-traject.