ISO 27001 kosten: Wat kost certificering echt voor je bedrijf?Image source: Bing image creator
12 min leestijd

ISO 27001 kosten: Wat kost certificering echt voor je bedrijf?

Geschreven door
  • Dennis van de WielDennis van de Wiel · Founder & CEOLinkedIn
Laatst bijgewerkt
Jun 25, 2026

De vraag "wat kost ISO 27001?" klinkt eenvoudig, maar het antwoord is dat zelden. De meeste organisaties googelen of vragen AI over de auditkosten, zien een bedrag van een paar duizend euro en denken dat ze het plaatje compleet hebben. Dat is een vergissing die later duur uitpakt, want de externe audit is vaak de kleinste van drie kostenposten.

Dit artikel zet alle kosten op een rij: de interne tijdsinvestering, de externe audit, de tooling en het doorlopende onderhoud. Met realistische bedragen voor kleine en middelgrote organisaties, gebaseerd op actuele markttarieven, zodat je een budget opstelt dat klopt en weet waar je kunt besparen zonder kwaliteit in te leveren.

De drie kostenposten die samen het echte plaatje vormen

De totale investering bestaat uit drie categorieën. De eerste is de voorbereiding en implementatie van je managementsysteem voor informatiebeveiliging (ISMS): de risicoanalyse, het beleid, het inrichten van maatregelen en het trainen van medewerkers. De tweede is de externe certificeringsaudit. De derde is het doorlopende onderhoud om gecertificeerd te blijven.

Elk van die categorieën kent directe kosten (facturen van externe partijen) en indirecte kosten (de tijd van je eigen team). Juist die indirecte kosten worden het vaakst onderschat, omdat er geen factuur voor binnenkomt. Toch is de interne tijdsinvestering bij de meeste organisaties de grootste kostenpost. Wie alleen budget reserveert voor de audit, loopt halverwege vast.

Wat de kosten het sterkst bepaalt

Drie factoren bepalen het leeuwendeel van het verschil tussen organisaties: scope, volwassenheid en complexiteit. Het aantal medewerkers speelt mee, maar minder dan mensen denken.

De scope is de belangrijkste knop waar je zelf aan kunt draaien. Een certificeringsinstantie berekent het aantal auditdagen op basis van het aantal medewerkers binnen scope, het aantal locaties en de complexiteit van je processen. Hoe scherper je afbakent, hoe minder auditdagen, en auditdagen zijn een directe kostenfactor. De scope kunstmatig klein houden werkt niet, want een auditor toetst of je afbakening geloofwaardig is.

Volwassenheid bepaalt hoeveel werk je nog moet verzetten. Heb je MFA al overal aanstaan, test je back-ups en beoordeel je toegangsrechten periodiek, dan hoef je die maatregelen vooral te formaliseren. Organisaties met een volwassen beveiligingsprogramma rapporteren 30 tot 50 procent lagere totaalkosten dan organisaties die vanaf nul beginnen. Complexiteit werkt andersom: een hybride omgeving met zelfgebouwde applicaties vraagt meer maatregelen, meer bewijs en meer auditaandacht dan een overzichtelijke cloudomgeving.

De interne kosten: de grootste en meest onderschatte post

De tijd die je team aan het traject besteedt is bijna altijd de grootste kostenpost. Voor een middelgrote organisatie gaat het al snel om 200 tot 400 uur, verspreid over meerdere maanden, voor de risicoanalyse, het beleid, het inrichten van maatregelen, het verzamelen van bewijs en de auditvoorbereiding. Reken het door: een senior medewerker met een uurtarief van 75 euro die 200 uur besteedt, kost 15.000 euro aan interne tijd. Een gefaseerde aanpak over kwartalen maakt de belasting draaglijker en de kwaliteit hoger.

Een tweede interne post is de documentatie. ISO 27001 vereist verplichte documenten vanuit de organisatie, waaronder het informatiebeveiligingsbeleid, de risicobeoordeling, de Verklaring van Toepasselijkheid en het interne auditrapport. Vanaf nul schrijven kost gemiddeld 40 tot 80 uur. Met bewezen sjablonen verkort je die tijd fors, en voorkom je herwerk wanneer een zelfgeschreven document bij de audit een essentieel element mist.

De externe kosten: audit, begeleiding en tooling

De auditkosten zijn het meest voorspelbaar omdat ze IAF-richtlijnen volgen. Voor de volledige 3-jarige cyclus, inclusief de initiële certificering en de jaarlijkse controleaudits, betaalt een kleine organisatie (tot 25 medewerkers) doorgaans 3.500 tot 4.500 euro voor de initiële audit. Middelgrote organisaties (25 tot 100 medewerkers) en grotere organisaties optellend afhankelijk van de FTE. De initiële audit bestaat uit fase 1 (documentbeoordeling) en fase 2 (implementatiebeoordeling). De jaarlijkse controleaudits kosten ongeveer een derde van de initiële audit, en de hercertificering na drie jaar is qua omvang vergelijkbaar met de eerste. Plan die doorlopende kosten vanaf het begin in je meerjarenbudget.

Begeleiding is optioneel en varieert sterk. Bij partijen hoor je bedragen tussen de 5.000 euro en 40.000 euro. Volledige uitbesteding verkort de doorlooptijd maar is gegarandeerd duurder, en levert het risico op dat je na vertrek van de consultant een systeem hebt dat je zelf niet kunt onderhouden. De beste verhouding tussen kosten en kwaliteit ontstaat meestal door tooling te combineren met gerichte begeleiding waar het echt nodig is en tegelijk net zo betaalbaar te zijn als alleen een consultant in hand nemen.

Tooling is natuurlijk geen verplichting, maar bespaart in de praktijk zoveel tijd dat het zich snel terugverdient. Belangrijker dan de licentieprijs is wat het platform aan interne uren bespaart, doorgaans de grootste post. Investeer daarnaast alleen in aanvullende beveiligingsgereedschappen die een concreet risico uit je analyse afdekken.

Drie hardnekkige misvattingen over de kosten

"De auditfactuur is de kostprijs." De meest voorkomende fout. De externe audit is vaak het kleinste deel van de investering. De voorbereiding, het inrichten van je ISMS en het trainen van medewerkers kost doorgaans het meervoudige van de audit zelf. Wie alleen voor de audit budgetteert, staat halverwege voor de keuze tussen uitstellen, inleveren op kwaliteit of alsnog extra budget vrijmaken.

"Kosten per medewerker is de juiste maat." Misleidend, want de kosten schalen niet lineair met het aantal medewerkers. Een organisatie met twintig mensen en een complexe omgeving kan duurder uit zijn dan een met vijftig mensen en een eenvoudige cloudwerkplek. De werkelijke kostendrijvers zijn scope, complexiteit en volwassenheid.

"Een dure consultant garandeert kwaliteit." Niet automatisch. Een consultant voegt waarde toe waar je expertise mist, maar wie je volledige ISMS opbouwt zonder kennisoverdracht, levert een systeem op dat je na vertrek niet zelf onderhoudt. De beste resultaten ontstaan bij een balans tussen externe expertise en intern eigenaarschap, zodat je ISMS na de eerste certificering levend blijft.

Hoe je de kosten beheersbaar houdt

De effectiefste besparing is een scherpe scopeafbakening. Certificeer niet je hele organisatie als dat niet nodig is, maar richt je op de dienstverlening die je klanten verwachten en de systemen en processen die daarbij horen. Elke maatregel die buiten scope valt, is een directe besparing. Houd de scope wel geloofwaardig, want een afbakening die de werkelijkheid niet dekt, wekt argwaan bij auditors en klanten. Als je hier niet zeker over weet, kan een consultant goed adviseren.

De tweede besparing zit in sjablonen en automatisering. Bewezen sjablonen verlagen het risico op bevindingen, en een afwijking die je na de audit moet herstellen kost herwerk en een nieuwe auditronde.

De derde besparing is structureel: bed de verbetercyclus in je reguliere werkprocessen in. Wie compliance als doorlopend onderdeel van het werk behandelt in plaats van als jaarlijks project, voorkomt de piekbelasting voor elke controleaudit. En wie naast ISO 27001 ook SOC 2, NIS2 of de AVG nastreeft, deelt een groot deel van het werk: een tweede norm kost daardoor aanzienlijk minder dan als losstaand project.

Voorbeeld: kleine en middelgrote organisatie

Een SaaS-startup met 10 tot 25 medewerkers, volledig cloudgebaseerd, met al enkele basismaatregelen maar zonder formele documentatie. Reken op 100 tot 200 uur interne tijd over drie tot vier maanden, 3.500-4.500 euro auditkosten voor de 1e initiële externe audit, en een platform vanaf enkele honderden euro's per maand. Met optionele gerichte begeleiding komt de totale investering in jaar 1 doorgaans tussen de 8.000 en 20.000 euro. In de vervolgjaren daalt dat naar 5.000 tot 10.000 euro per jaar.

Hoe Tidal Control de kosten verlaagt

Tidal Control centraliseert je ISMS op één plek: beleid, risico's, maatregelen, taken en bewijs. De voorgebouwde maatregelen en de meer dan dertig beleidssjablonen verkorten de opstartfase, en bewijs wordt automatisch verzameld via integraties met Microsoft Azure, AWS, Google Cloud, GitHub, GitLab en Jira, met meer dan 300 geautomatiseerde tests die doorlopend controleren of maatregelen werken. Dat haalt de jaarlijkse piekbelasting voor de controleaudit weg.

Op de kostenkant maakt Tidal de afweging transparant. Het platform kost ongeveer 6.000 euro per jaar, een afweging tussen directe kosten en de interne tijd die je bespaart. Voor de implementatiebegeleiding rekenen we rond de 5.000 euro. In combinatie met het platform bieden we korting hierop, omdat de consultant ook efficiënter het werk doet.

Zo zit je op een gedegen, geaccrediteerd traject zonder de overprijzing die in deze markt regelmatig voorkomt, met een certificeringsgarantie als sluitstuk. Het resultaat: een gedragen ISMS dat je team zelf begrijpt en onderhoudt, gebouwd op een platform dat bewijs blijft verzamelen lang nadat de eerste audit is afgerond.

Wil je weten waar je organisatie staat?

Een betrouwbaar kostenplaatje begint bij weten waar je nu staat. Welke maatregelen heb je impliciet al, en waar zitten de hiaten? Doe de gratis Quickscan en krijg in vijf minuten een eerste beeld van je positie en de logische vervolgstappen. Geen verkoopgesprek, geen verplichtingen.

Doe de gratis Quickscan →

Veelgestelde vragen over ISO 27001 kosten

Waar bestaan de kosten van ISO 27001-certificering uit?

ISO 27001 is de internationale norm voor informatiebeveiliging die organisaties certificeert op hun managementsysteem (ISMS). De kosten bestaan uit drie categorieën: interne kosten (de tijd van je team voor risicoanalyse, documentatie, implementatie en training), externe kosten (de audit van de certificeringsinstantie, eventuele begeleiding en tooling) en doorlopende kosten (jaarlijkse controleaudits, onderhoud en hercertificering na drie jaar). De interne tijdsbesteding is vaak de grootste post, maar wordt het vaakst over het hoofd gezien omdat er geen factuur voor binnenkomt.

Wat kost ISO 27001 voor een kleine of middelgrote organisatie?

Voor een kleine organisatie (10 tot 25 medewerkers) ligt de totale investering in jaar 1 doorgaans tussen de 8.000–20.000 euro, inclusief interne uren, auditkosten en tooling. Voor een middelgrote organisatie (25 tot 100 medewerkers) en grotere stijgen de kosten met FTE en complexiteit.

Welke kosten worden het vaakst onderschat?

Drie posten: de interne tijdsbesteding (200 tot 400 uur voor een middelgrote organisatie), het doorlopende onderhoud na de eerste certificering, en de kosten van herwerk wanneer een maatregel of document bij de audit niet voldoet. Die laatste is vermijdbaar door bewezen sjablonen en een gedegen interne audit vooraf.

Hoe verlaag je de kosten structureel?

Drie manieren werken het best: een scherpe maar geloofwaardige scopeafbakening, het gebruik van sjablonen en automatisering om handwerk te minimaliseren, en het inbedden van de verbetercyclus in je dagelijkse werkprocessen zodat je geen jaarlijkse piekbelasting creëert. Wie ook een tweede norm nastreeft, bespaart bovendien fors door overlappende maatregelen maar één keer in te richten.

Schrijf je in voor maandelijkse updates: wat er nieuw is bij Tidal, framework-nieuws en compliance-resources.

Door je e-mailadres in te sturen ga je akkoord met ons Privacybeleid.