ISO 27001 voor een klein bedrijf
ISO 27001 is goed haalbaar voor een klein bedrijf, ook met een handvol medewerkers. Reken op €11.000 tot €30.000 in het eerste jaar en een doorlooptijd van 4 tot 6 maanden. De internationale norm voor informatiebeveiliging schaalt mee met je organisatie: een klein bedrijf heeft een kleinere scope, minder maatregelen en een kortere audit dan een multinational. De norm is in Nederland verkrijgbaar via NEN . Wil je het hele plaatje? Begin bij wat ISO 27001 is en de kosten en tijdlijn.
Veel mkb’ers schrikken van verhalen over dikke handboeken en jarenlange trajecten. Dat beeld klopt sinds de 2022-versie niet meer. Een klein, werkbaar managementsysteem volstaat, zolang het bij je risico’s past.
Is ISO 27001 haalbaar voor een klein bedrijf?
Ja. De norm vraagt niet om een fulltime securityteam. Wat hij wel vraagt: dat je systematisch naar je risico’s kijkt en aantoonbaar maatregelen neemt. Bij een bedrijf van 5 tot 25 mensen is dat overzichtelijk.
Het ISMS van een klein bedrijf past vaak in een wiki en een paar spreadsheets. Eén persoon (bijvoorbeeld de directeur of CTO) is eigenaar en besteedt er een paar uur per week aan. De auditor toetst dit met dezelfde norm, maar in verhouding tot je omvang.
Een klein bedrijf hoeft niet alle 93 Annex A maatregelen te implementeren. Je selecteert op basis van je risicoanalyse en legt je keuzes vast in de verklaring van toepasselijkheid.
Wat kost ISO 27001 voor een klein bedrijf?
De cijfers hieronder gelden voor een klein bedrijf (1-25 medewerkers) en komen uit het volledige kostenoverzicht. Het zijn indicaties; vraag altijd offertes aan.
| Kostenpost | Klein bedrijf (1-25) |
|---|---|
| Begeleiding en advies | €5.000 - €15.000 |
| Norm aanschaffen | €250 |
| Tooling en aanpassingen | €1.000 - €5.000 |
| Certificeringsaudit | €4.000 - €8.000 |
| Interne audit | €1.000 - €2.000 |
| Totaal eerste jaar | €11.000 - €30.000 |
| Jaarlijks onderhoud | €4.000 - €8.000 |
Hoe lang duurt het voor een klein bedrijf?
Een klein bedrijf is meestal in 4 tot 6 maanden klaar, mits er voldoende focus is. De nulmeting en gap-analyse en de risicoanalyse kosten de eerste weken. Daarna bouw je je ISMS op en draai je het minimaal drie maanden voordat de auditor komt. Het volledige traject staat in het stappenplan.
Wat kun je als mkb vereenvoudigen?
Je hoeft het jezelf niet moeilijk te maken. Drie keuzes maken het verschil:
- Beperk je scope. Certificeer alleen je kernactiviteit, bijvoorbeeld je SaaS-platform, in plaats van de hele organisatie. Dit verlaagt kosten en complexiteit. Houd de scope wel logisch en geloofwaardig.
- Besteed uit wat je niet zelf kunt. Een adviseur voor de risicoanalyse, of een externe partij voor de verplichte interne audit, bespaart tijd en fouten.
- Gebruik wat je al hebt. Werk je in Microsoft 365 of Google Workspace, dan zit er al veel beveiliging in die je alleen hoeft te configureren en documenteren.
Een veelgemaakte fout bij kleine bedrijven: een template van internet plukken en je naam erop zetten. De auditor prikt hier doorheen, en het past niet bij jouw risico’s. Begin altijd bij je eigen risicoanalyse.
Wanneer is ISO 27001 de investering waard?
Voor een klein bedrijf weegt de investering vooral op als klanten of aanbestedingen erom vragen. Een ISO 27001 certificaat opent dan deuren die anders dichtblijven. Lever je software of IT-diensten, of werk je met gevoelige data, dan is het vaak een voorwaarde om mee te kunnen doen.
Twijfel je tussen ISO 27001 en een alternatief? Lever je aan de zorg, kijk dan naar NEN 7510. Werk je voor de Amerikaanse markt of lever je een SaaS-dienst, dan is SOC 2 een veelgevraagd alternatief.
Meer informatie
- Wat is ISO 27001? – De norm in het kort
- Kosten en tijdlijn – Volledige kostenopbouw
- Nulmeting en gap-analyse – Bepaal waar je staat
- Stappenplan – Van nul naar certificaat
- Het ISMS – Het hart van de norm
- ISO 27001 voor SaaS-bedrijven – Specifiek voor softwarebedrijven die enterprise-klanten willen bereiken