Wat kost ISO 27001 certificering?
De kosten voor ISO 27001 certificering variëren sterk. Je hebt een geaccrediteerde certificerende instantie nodig en de norm zelf is verkrijgbaar via NEN . De totale investering hangt af van bedrijfsgrootte, complexiteit van de IT-omgeving, en hoeveel je al hebt geregeld op het gebied van informatiebeveiliging.
Wat wel duidelijk is: ISO 27001 certificering is een serieuze investering. Dit is geen keurmerk dat je even haalt; het vraagt tijd, geld en aandacht. Maar voor veel organisaties weegt de investering op tegen de voordelen: nieuwe klanten, verminderde risico’s, en aantoonbare compliance.
De bedragen in dit artikel zijn indicaties gebaseerd op marktgegevens uit 2024-2025. De werkelijke kosten hangen af van je specifieke situatie. Vraag altijd concrete offertes aan voor een nauwkeurige inschatting.
De totale investering in perspectief
Voordat we de kosten uitsplitsen, is het nuttig om het totaalplaatje te schetsen. De kosten voor ISO 27001 certificering vallen uiteen in twee categorieën: de eenmalige implementatiekosten om het certificaat te halen, en de doorlopende kosten om het te behouden.
Klein (1-25)
Kleine organisatie (1-25 medewerkers)
Voor een klein IT-bedrijf, softwareontwikkelaar of consultancybureau met een relatief overzichtelijke IT-omgeving zijn de kosten het laagst, maar nog steeds substantieel.
| Kostenpost | Indicatie |
|---|---|
| Begeleiding en advies | €5.000 - €15.000 |
| Norm aanschaffen | €250 |
| Tooling en aanpassingen | €1.000 - €5.000 |
| Certificeringsaudit | €4.000 - €8.000 |
| Interne audit (extern) | €1.000 - €2.000 |
| Totaal eerste jaar | €11.000 - €30.000 |
De jaarlijkse onderhoudskosten liggen daarna rond de €4.000 - €8.000, inclusief surveillance audit en doorlopend onderhoud.
Elke kostenpost uitgelegd
Om te begrijpen waar je geld naartoe gaat, lopen we de belangrijkste kostenposten langs.
De norm zelf
De ISO/IEC 27001:2022 norm is verkrijgbaar via NEN voor ongeveer €250. Dit is de officiële tekst die beschrijft aan welke eisen je moet voldoen. Je hebt dit document nodig om te weten wat er precies gevraagd wordt.
Daarnaast is ISO/IEC 27002:2022 nuttig als aanvullende bron. Deze norm geeft gedetailleerde implementatierichtlijnen voor de beheersmaatregelen uit Annex A. De prijs is vergelijkbaar.
Begeleiding en advies
De meeste organisaties schakelen externe expertise in voor ISO 27001 implementatie. Dit kan variëren van een adviseur die het hele traject begeleidt, tot gerichte ondersteuning op specifieke onderdelen.
De kosten voor advies zijn vaak de grootste post, vooral bij organisaties die weinig ervaring hebben met managementsystemen. Een ervaren adviseur kan het verschil maken tussen een vlotte implementatie en een langdurig struikeltraject. Goede adviseurs kennen de norm door en door, weten wat auditors zoeken, en kunnen helpen om valkuilen te vermijden.
Tarieven voor ISO 27001 adviseurs variëren van €100 tot €200 per uur, afhankelijk van ervaring en reputatie. Sommige adviseurs werken met vaste trajectprijzen, wat meer zekerheid geeft over de totale kosten.
Het is ook mogelijk om zonder adviseur te werken, maar dit vergt aanzienlijke eigen inzet. Je moet de norm grondig bestuderen, alles zelf uitwerken, en eventuele fouten zelf ontdekken. Voor een eerste certificering raden we begeleiding aan, zeker als je geen ervaring hebt met vergelijkbare normen.
Tooling en technische aanpassingen
ISO 27001 vraagt om bepaalde technische maatregelen. Afhankelijk van je huidige beveiligingsniveau kunnen hier kosten aan verbonden zijn.
Denk aan investeringen in:
Security tooling zoals SIEM-systemen voor logging en monitoring, vulnerability scanners, endpoint protection, of identity management oplossingen. De kosten variëren enorm, van enkele honderden euro’s per maand voor cloud-based oplossingen tot tienduizenden euro’s voor enterprise-grade systemen.
Infrastructuuraanpassingen zoals netwerksegmentatie, versterkte toegangsbeveiliging, of verbeterde back-up systemen. Als je huidige infrastructuur al redelijk beveiligd is, kunnen deze kosten meevallen.
Documentmanagementsysteem om je ISMS-documentatie te beheren. Dit kan variëren van een eenvoudige wiki of SharePoint-omgeving tot gespecialiseerde GRC-software (Governance, Risk & Compliance).
Niet alle organisaties hebben grote investeringen in tooling nodig. Als je al gebruik maakt van moderne cloudplatformen zoals Microsoft 365 of Google Workspace, heb je vaak al veel beveiligingsfunctionaliteit tot je beschikking die je kunt configureren.
De certificeringsaudit
De kosten voor de certificeringsaudit worden bepaald door de certificerende instantie en hangen af van de omvang en complexiteit van je organisatie. Bekende certificerende instanties in Nederland zijn Kiwa , BSI , TÜV , DNV , Bureau Veritas , en LRQA .
De audit bestaat uit twee fasen. Fase 1 is een documentatiebeoordeling, die meestal een halve tot hele dag duurt. Fase 2 is de implementatie-audit op locatie, waarvan de duur afhangt van het aantal medewerkers en de complexiteit van je organisatie.
Het aantal auditdagen wordt bepaald volgens richtlijnen van de International Accreditation Forum (IAF) . Als indicatie:
| Aantal medewerkers | Auditdagen (Fase 1 + 2) |
|---|---|
| 1-10 | 2-3 dagen |
| 11-25 | 3-4 dagen |
| 26-45 | 4-5 dagen |
| 46-65 | 5-6 dagen |
| 66-85 | 6-7 dagen |
| 86-125 | 7-8 dagen |
Dagtarieven van auditors variëren van €1.000 tot €1.500 per dag. Vergelijk offertes van meerdere instanties, maar let niet alleen op prijs. De kwaliteit van de auditor en de ervaring van de instantie in jouw sector zijn ook belangrijk.
Jaarlijkse surveillance audits
Na certificering komt de auditor elk jaar terug voor een surveillance audit. Deze is korter dan de initiële audit, meestal ongeveer de helft van de tijd. Na drie jaar volgt een hercertificeringsaudit, vergelijkbaar met de initiële audit.
Plan in je begroting ook tijd en kosten voor het voorbereiden van deze audits. Elk jaar moet je je ISMS actualiseren, interne audits uitvoeren, en directiebeoordelingen houden.
Interne kosten
Naast de externe kosten zijn er aanzienlijke interne kosten in de vorm van tijd van medewerkers. ISO 27001 implementatie vraagt inzet van mensen op verschillende niveaus:
De projectleider die het traject trekt, besteedt gedurende de implementatie een significant deel van zijn of haar tijd aan het project. Voor kleine organisaties kan dit naast de reguliere werkzaamheden; voor grotere organisaties is het vaak een (bijna) fulltime functie.
IT en security specialisten zijn nodig voor de technische implementatie van maatregelen, de risicobeoordeling, en het opzetten van monitoring.
Management moet betrokken zijn bij beleidsbeslissingen, de directiebeoordeling, en het vrijmaken van resources.
Alle medewerkers moeten worden getraind in security awareness en moeten werken volgens de nieuwe procedures.
Een veelgemaakte fout is het onderschatten van deze interne kosten. Als je geen capaciteit vrijmaakt, wordt het traject uitgesteld of oppervlakkig uitgevoerd, wat later tot problemen leidt.
Reken voor een klein bedrijf op 200-400 interne uren gedurende het implementatietraject. Voor een middelgroot bedrijf kan dit oplopen tot 500-1000 uren of meer.
Doorlooptijd: hoe lang duurt het?
De doorlooptijd hangt af van dezelfde factoren als de kosten: grootte, complexiteit, en je huidige beveiligingsniveau.
Klein (1-25)
Kleine organisatie: 4-6 maanden
| Fase | Duur |
|---|---|
| Oriëntatie en gap-analyse | 2-3 weken |
| Risicobeoordeling | 2-3 weken |
| ISMS opzetten en documenteren | 4-6 weken |
| Maatregelen implementeren | 4-8 weken |
| Interne audit en directiebeoordeling | 1-2 weken |
| Certificeringsaudit | 2-3 dagen |
Dit schema gaat uit van voldoende capaciteit en focus. Als het project “erbij” moet, duurt het langer.
Kosten verlagen: praktische tips
Begin met een beperkte scope
Je hoeft niet je hele organisatie in één keer te certificeren. Begin met een beperkte scope, bijvoorbeeld alleen je SaaS-platform of je consultancydiensten. Dit verlaagt de initiële kosten en complexiteit. Je kunt later uitbreiden.
Let wel: de scope moet logisch en geloofwaardig zijn. Een scope die alleen “de marketingafdeling” omvat terwijl je een IT-bedrijf bent, zal vragen oproepen.
Combineer met ISO 9001
Als je al ISO 9001 gecertificeerd bent, heb je een voorsprong. Beide normen volgen dezelfde structuur (High Level Structure ), wat betekent dat je veel elementen kunt hergebruiken: directiebeoordeling, interne audit, documentbeheer, corrigerende maatregelen.
Gecombineerde audits zijn ook goedkoper dan aparte audits. Bespreek dit met je certificerende instantie.
Doe zelf wat je kunt
Externe adviseurs zijn waardevol, maar je kunt kosten besparen door werk zelf te doen. De risicobeoordeling, het schrijven van procedures, en het uitvoeren van de interne audit zijn taken die je intern kunt oppakken, mits je de kennis hebt.
Veel bronnen zijn gratis beschikbaar. Het NCSC publiceert praktische richtlijnen voor informatiebeveiliging. De CIS Controls zijn gratis toegankelijk en bieden een goede basis voor technische maatregelen.
Vergelijk certificerende instanties
Vraag offertes aan bij meerdere instanties. De prijzen kunnen significant verschillen, net als de aanpak en de ervaring in jouw sector. Sommige instanties hebben specialisaties; een instantie met veel ervaring in de IT-sector begrijpt je omgeving sneller.
Let ook op de reputatie en de houding van de auditor. Een constructieve auditor die meedenkt is waardevoller dan een goedkope auditor die alleen afvinkt.
Is het de investering waard?
Dit is de vraag die je jezelf moet stellen. De kosten zijn reëel, maar de baten kunnen ook substantieel zijn:
Toegang tot nieuwe markten. Veel enterprise-klanten en overheidsorganisaties eisen ISO 27001 van hun leveranciers. Zonder certificaat kom je niet in aanmerking voor deze opdrachten.
Verminderd risico. Een goed ISMS verkleint de kans op beveiligingsincidenten en beperkt de impact als er toch iets misgaat. De kosten van een serieus datalek, zowel financieel als reputationeel, kunnen vele malen hoger zijn dan de investering in certificering.
Structuur en duidelijkheid. Het implementatieproces dwingt je om na te denken over je beveiliging op een systematische manier. Veel organisaties ontdekken gaatjes waarvan ze het bestaan niet wisten.
Compliance. ISO 27001 helpt bij het voldoen aan wet- en regelgeving zoals de AVG en sectorspecifieke eisen.
Voor organisaties die werken met gevoelige informatie, of die diensten leveren aan klanten die security serieus nemen, is ISO 27001 vaak geen luxe maar een noodzakelijke investering.
Meer informatie
- ISO 27001 stappenplan – Van start tot certificaat
- Eisen van de norm – Wat vraagt ISO 27001 precies?
- Het auditproces – Wat kun je verwachten?
- Veelgestelde vragen – Antwoorden op praktische vragen