NIS2
NIS2 Informatie
NIS2 QM10 Basic
ISO 9001
ISO 27001
ISO 14001
CO2 prestatieladder
VCA
Interne auditing
Opleiding Interne Auditor ISO 9001
Opleiding Interne Auditor ISO 27001
Blogs
Contact
NIS2
NIS2 Informatie
NIS2 QM10 Basic
ISO 9001
ISO 27001
ISO 14001
CO2 prestatieladder
VCA
Interne auditing
Opleiding Interne Auditor ISO 9001
Opleiding Interne Auditor ISO 27001
Blogs
Contact
In dit artikel
Inhoudsopgave
Artikelen in deze categorie
Verklaring van toepasselijkheid ISO 27001
ISO 27001 Risico-inventarisatie / Risicobeoordelingsproces
ISO 27001 Risicobehandelplan
Wat kost de ISO 27001 certificering?
Home
ISO Kennisbank
ISO 27001 kennisbank
Wat kost de ISO 27001 certificering?
Kosten ISO 27001

Wat kost de ISO 27001 certificering?

J. van der Rijst
30 oktober 2025
ISO 27001 kennisbank

Wat kost de ISO 27001 certificering anno 2025?

Samenvatting

De kosten van ISO 27001 certificering bestaan uit drie onderdelen en heb ik hier alvast voor je samengevat:

  1. Het opzetten van het ISMS (interne inzet en eventuele consultancy)
  2. De externe certificering (fase 1, fase 2 en jaarlijkse controle)
  3. Onderhoud en software-ondersteuning

Voor een kleine organisatie (tot circa 10 medewerkers, zonder eigen softwareontwikkeling) bedragen de totale kosten ISO 27001 certificering gemiddeld rond € 4.000 – € 4.500 in het eerste jaar, exclusief interne tijd.
De interne tijdsinvestering ligt tussen 80 en 120 uur, afhankelijk van de volwassenheid van de organisatie.

1. Opzetten van ISO 27001 – interne inzet en begeleiding

Voordat je gecertificeerd kunt worden, moet een Information Security Management System (ISMS) worden opgezet.

Dat is de basis van ISO 27001 en vraagt een aanzienlijke tijdsinvestering binnen de organisatie. Het is onze ervaring dat dit vaak wordt onderschat. Vooral door organisaties die al ervaring hebben met de ISO 9001. Ik kan je vertellen dat de ISO 9001 een stuk minder inspanningen vergt dan het opzetten van de Iso 27001.

Voor een deel komt dit doordat er in de ISO 27001 veel meer concrete eisen staan waaraan je moet voldoen in vergelijking tot de ISO 9001.. Neem de bijlage A als voorbeeld. Daar staat alleen al 94 controls in die je voor het grootste deel moet uitvoeren. Dat is een groot verschil ten opzichte van de ISO 9001 norm. De inhoud van de ISO 27001 is dus veel inhoudelijker dan die van de ISO 9001.

Dan komen we meteen bij het tweede aspect waarom de ISO 27001 meer tijd kost. De controls uit de bijlage A geven precies aan wat je moet regelen. Wanneer dat nog niet heeft plaatsgevonden koet je dat dus gaan inregelen (en met een beetje pech dat 94 maal....). Dit heeft zeker invloed op hoeveel tijd je daarmee kwijt bent. Het grote voordeel is natuurlijk dat de beveiliging van jullie informatie een stuk beter wordt.

Interne inzet | Implementatie informatiebeveiliging | hoogte interne uren

Je kunt je dus afvragen hoeveel tijd dit dan intern gaat kosten. Het is de moeilijkste vraag die je had kunnen stellen! Het is zo afhankelijk van wat je nu al hebt geregeld, wat de scope of reikwijdte van je informatiebeveiligingssysteem is en hoe complex jouw organisatie is. Een eenvoudig adviesbureau zal veel minder tijd kwijt zijn dan een groot softwarebedrijf.

Een realistisch urenbudget voor een organisatie tot 25 medewerkers kan zijn:

  • Scopebepaling en risicoanalyse: 10 – 20 uur
  • Opstellen en invoeren van beleid en procedures: 80 – 240 uur
  • Training en awareness: 6 – 10 uur
  • Interne audit en management review: 24-32 uur

Totaal interne inzet: 150 – 300 uur

Hulp | Consultancy (optioneel) | Software

Een externe adviseur (consultant) kan helpen om sneller tot een auditklaar ISMS te komen. De adviseur heeft de kennis om je vooral op strategisch vlak te helpen. Echt noodzakelijk is het inhuren van een adviseur echter niet.

Je kunt ook met onze software ISOmanager gaan werken. Naast een projectplan, een planning en een duidelijke handleiding met veel informatie is ons ISO 27001 systeem al gevuld met meer dan 135 praktische kant en klare templates en checklists. Dat scheelt in de praktijk zeer veel uren! De doorlooptijd wordt daardoor verkort en je behaalt makkelijker je certificaat. Met meer dan 30 jaar ervaring is de kwaliteit gegarandeerd, dat geeft vertrouwen.

  • Indicatie kosten: € 5.000,--- € 10.000,--
  • Software: € 850,-- per jaar

2. Externe certificering – Certificaat

Wanneer het ISMS gereed is, volgt de officiële audit door een geaccrediteerde certificatie-instelling.
Deze bestaat uit twee fasen.

Fase 1 – Documentatiecontrole

De auditor beoordeelt de opzet van beleid, procedures en risicoanalyse. Hiervoor hebben ze ongeveer een dag nodig. Onze ervaring is dat een dagdeeltarief van een certificerende instelling momenteel rond de € 600,-- en € 650,-- per dagdeel is. De fase 1 audit duurt bij een kleine organisatie zoals al aangegeven meestal 1 tot 2 dagdelen.

Vooral wanneer je met onze software werkt kan deze documentenaudit snel gaan. Alle data staan in 1 systeem is is met onze eigen ISOmatrix snel te bereiken. Deze manier van werken wordt door de externe auditors erg op prijs gesteld. Met slechts enkele klikken schiet de auditor door jullie informatiebeveiligingssysteem heen. Hierdoor wordt de duur van deze fase 1 audit vaak verkort.

  • Kosten: ± € 1.000

Fase 2 – Praktijktoets

De auditor controleert of de processen daadwerkelijk worden toegepast. daar gaat best wel veel tijd inzitten. Het is zoals al aangegeven afhankelijk van jouw business. wanneer je een grote complexe organisatie bent zal de externe audit meer tijd nodig hebben dan wanneer het een kleine organisatie betreft. De benodigde tijd varieert dus van geval tot geval. Het maakt natuurlijk ook veel uit of jullie vanuit één lokatie werken of vanuit meerdere locaties.

  • Kosten: ± € 2.500 – € 3.000
  • Bij eigen softwareontwikkeling: + ± € 500 (extra halve dag audit)

Totale certificeringskosten (fase 1 + fase 2): ± € 4.000 – € 4.500
Voor grotere bedrijven kan dit oplopen tot € 6.000 – € 10.000, afhankelijk van de omvang, locaties en complexiteit.

Na het behalen van het certificaat wordt jouw organisatie opgenomen binnen een register zoadat andere organisaties ook kunnen zien dat jullie ISO 27001 gecertificeerd zijn.

Jaarlijkse controle

De certificering heeft een geldigheidsduur termijn van drie jaar geldig. Jaarlijks vindt een surveillance-audit plaatsmet een beoordeling van het gebruik van het informatiebeveiligingssysteem. Je moet er immers wel actief mee gaan werken als team.

  • Kosten: ± € 1.000 per jaar

3. Onderhoud en software-ondersteuning

Na certificering moet het ISMS onderhouden worden.
Dat betekent continu verbeteren, risico’s herbeoordelen en documentatie actueel houden. Het opzetten van een ISMS kost best veel tijd. Het actief met het systeem werken lijkt in eerste instantie ook veel tijd te kosten. Dat hoeft echter niet. Zeker wanneer je met software werkt die de repeterende zaken voor je bijhoudt valt dit in de praktijk erg mee.

Onderhoudsactiviteiten

  • Jaarlijkse risicoanalyse en beleid-update
  • Interne audits en verbetermaatregelen
  • Training en bewustwording van medewerkers
  • Beheer van bewijslast en opvolging van auditbevindingen

Software-ondersteuning | betrek je organisatie / team bij het ISMS

Steeds meer organisaties gebruiken ISMS-software om het beheer te automatiseren.
Zo’n systeem ondersteunt o.a. takenbeheer, risicoregistratie, bewijslast en rapportage. Het werken met slimme software bespaart je niet alleen tijd maar vergroot ook de kans dat je geen acties vergeet.

  • Kosten: gemiddeld ± € 850 per jaar voor kleine organisaties
  • Bespaart doorgaans tientallen uren administratieve tijd

4. Overzicht: wat kost de ISO 27001 certificering?

Type organisatie

Interne inzet

Externe certificering

Software

Totale externe kosten (jaar 1)

Kleine organisatie (≤ 10 medewerkers, geen softwareontwikkeling)

150 – 300 uur

€ 4.000

€ 850

± € 4.850

Kleine org. met eigen software

150 – 340 uur

€ 4.500

€ 850

± € 5.350

Middelgrote organisatie (25 – 100 medewerkers)

240 –550 uur

€ 6.000 –
 € 10.000

€ 1.000 –
 € 2.000

€ 7.000 – € 12.000

Belangrijkste kostenfactoren

  • Omvang van de organisatie – meer medewerkers of locaties = langere audit.
  • Eigen softwareontwikkeling – vereist extra toetsing.
  • Complexiteit van processen en IT-omgeving.
  • Gebruik van ISMS-software – verlaagt interne tijd, maar brengt vaste licentiekosten met zich mee.
  • Ervaring en kennisniveau intern – hoe meer intern wordt gedaan, hoe lager de externe kosten.

De succesformule ISO 27001

Onze succesformule ISO 27001 is al door honderden organisaties toegepast. Ben jij ook op zoek naar een manier om op een zo snel en goed mogelijke manier jullie informatiemanagementsysteem op te zetten kijk dan eens hier.

Conclusie

De kosten ISO 27001 certificering voor kleine organisaties zijn goed te overzien:
ongeveer € 4.000 – € 4.500 aan directe externe kosten in het eerste jaar, plus ca. € 850 voor ondersteunende software.
De interne tijdsinvestering ligt realistischer wijs tussen 150 en 300 uur.

Deze investering levert een aantoonbaar hogere volwassenheid in informatiebeveiliging op, versterkt het klantvertrouwen en opent deuren bij aanbestedingen en samenwerkingen. Kortom, de moeite waard om in te investeren.Kosten ISO 27001 certificering

Reactie plaatsen
Edit article Dashboard Settings Website Design Article cached on Sun. 2 Nov 18:15
Renew cache