De meest recente versie van de ISO 27001-norm is ISO 27001:2022, gepubliceerd in oktober 2022. Deze versie vervangt de vorige editie uit 2013 en is de geldende standaard voor informatiebeveiliging wereldwijd. Voor bedrijven die al gecertificeerd waren op basis van de 2013-versie, liep de overgangstermijn af in oktober 2025. In dit artikel beantwoorden we de meest gestelde vragen over de nieuwe norm.

Wat is er veranderd in de ISO 27001:2022-versie?

ISO 27001:2022 is geen complete herschrijving, maar een gerichte modernisering. De structuur van de norm (de zogeheten Annex SL-structuur) is grotendeels intact gebleven, maar de bijlage met beheersmaatregelen, Annex A, is ingrijpend herzien. Het aantal controls is teruggebracht van 114 naar 93, en de indeling is overzichtelijker gemaakt in vier thematische categorieën in plaats van veertien domeinen.

Inhoudelijk is de norm bijgewerkt om aan te sluiten op de digitale realiteit van nu. Onderwerpen als cloudbeveiliging, thuiswerken en dreigingsinformatie kregen een prominentere plek. Ook is er meer nadruk op het begrijpen van de context van de organisatie en de verwachtingen van belanghebbenden. Kortom: de norm is relevanter geworden voor hoe bedrijven vandaag de dag werken.

Welke nieuwe controls introduceert ISO 27001:2022?

ISO 27001:2022 introduceert elf nieuwe controls die in de vorige versie ontbraken. Deze nieuwe maatregelen richten zich op actuele risico’s en moderne werkomstandigheden. Ze zijn verdeeld over de vier nieuwe categorieën: organisatorisch, persoonsgericht, fysiek en technologisch.

  • Dreigingsinformatie — het actief verzamelen en gebruiken van informatie over cyberdreigingen
  • Informatiebeveiliging voor cloudgebruik — specifieke eisen voor het veilig inzetten van clouddiensten
  • ICT-gereedheid voor bedrijfscontinuïteit — borging van IT-systemen bij verstoringen
  • Monitoring van fysieke beveiliging — bewaking van fysieke toegang tot kritieke systemen

Naast de nieuwe controls zijn veel bestaande maatregelen samengevoegd of hernoemd om overlap te verminderen. Het resultaat is een norm die beter leesbaar is en minder ruimte laat voor interpretatie. Juist voor het mkb is dat een voordeel: duidelijkheid over wat er precies verwacht wordt.

Moeten bedrijven overstappen van ISO 27001:2013 naar 2022?

Ja, overstappen is verplicht. Certificaten op basis van ISO 27001:2013 zijn sinds oktober 2025 niet langer geldig. Certificerende instellingen accepteren geen audits meer op basis van de oude norm. Wie nog een geldig certificaat wil hebben, moet gecertificeerd zijn op basis van de 2022-versie.

Voor bedrijven die de overstap nog niet hebben gemaakt, is er geen reden tot paniek, maar wel tot actie. De overgang vraagt om een gap-analyse: waar voldoet de huidige opzet al aan de nieuwe eisen, en waar zijn aanpassingen nodig? In de praktijk valt dat voor veel organisaties mee, zeker als de basisbeheersing al op orde is. De nieuwe controls vereisen echter wel een bewuste keuze: zijn ze van toepassing, en zo nee, waarom niet?

Hoe lang duurt een ISO 27001:2022-certificering?

Een ISO 27001:2022-certificering duurt gemiddeld drie tot twaalf maanden, afhankelijk van de omvang van de organisatie en de volwassenheid van de bestaande informatiebeveiliging. Voor een mkb-bedrijf dat vanaf nul begint, is zes maanden een realistisch minimum. Wie al een goed ingericht informatiebeveiligingsbeleid heeft, kan dat traject aanzienlijk verkorten.

Het certificeringsproces bestaat globaal uit drie fasen: voorbereiding, een documentatiebeoordeling door de certificerende instelling (stage 1), en een implementatieaudit op locatie (stage 2). Daarna volgt een certificeringsbesluit. Eenmaal gecertificeerd, zijn er jaarlijkse surveillance-audits en een hercertificering na drie jaar.

De doorlooptijd hangt sterk af van interne capaciteit. Bedrijven die de voorbereiding uitbesteden aan een ervaren adviseur, komen doorgaans sneller en soepeler door het proces. Wij helpen organisaties bij het opzetten van een Information Security Management System (ISMS) dat niet alleen voldoet aan de norm, maar ook echt werkt in de dagelijkse praktijk.

Wat kost ISO 27001-certificering voor een mkb-bedrijf?

De kosten voor een ISO 27001:2022-certificering voor een mkb-bedrijf liggen doorgaans tussen de vijfduizend en vijfentwintigduizend euro, afhankelijk van de organisatieomvang, de complexiteit van de IT-omgeving en de mate van externe begeleiding. Dit bedrag bestaat uit twee componenten: de advies- en implementatiekosten, en de kosten van de externe certificerende instelling.

De kosten van de certificerende instelling zijn relatief voorspelbaar en gebaseerd op het aantal auditorsdagen. De advieskosten variëren meer: wie intern veel capaciteit heeft, kan met minder externe ondersteuning toe. Wie de norm nog niet kent of weinig tijd heeft, investeert meer in begeleiding maar wint dat terug in doorlooptijd en kwaliteit van het eindresultaat.

Belangrijk om te beseffen: een ISO 27001-certificaat is geen eenmalige investering. Jaarlijkse surveillance-audits en hercertificering na drie jaar brengen doorlopende kosten met zich mee. Zet dit af tegen de waarde die het certificaat oplevert: meer vertrouwen bij klanten, aantoonbare naleving van de NIS2-richtlijn MKB, en een sterkere positie bij aanbestedingen.

Hoe verhoudt ISO 27001 zich tot NIS2 en AVG?

ISO 27001, NIS2 en de AVG overlappen inhoudelijk sterk, maar zijn geen kopieën van elkaar. ISO 27001 is een vrijwillige internationale norm voor informatiebeveiliging. NIS2 en de AVG zijn Europese wetgeving met een verplichtend karakter. Wie voldoet aan ISO 27001:2022, heeft een stevige basis voor naleving van beide wetten, maar is daarmee niet automatisch compliant.

De AVG richt zich specifiek op de bescherming van persoonsgegevens en stelt eisen aan technische en organisatorische maatregelen. ISO 27001 dekt die eisen grotendeels af, maar vraagt ook om aanvullende documentatie rondom verwerkersovereenkomsten en datalekprocedures. Voor mkb-bedrijven die worstelen met datalek AVG-risico’s, biedt een ISO 27001-implementatie een gestructureerd vertrekpunt.

NIS2 geldt voor organisaties in kritieke sectoren en stelt eisen aan risicobeheer, incidentmelding en beveiliging van de toeleveringsketen. ISO 27001 sluit hier nauw op aan, maar NIS2 bevat ook specifieke meldplichten en bestuursverantwoordelijkheden die buiten de scope van de norm vallen. Wie ISO 27001 implementeert als onderdeel van een bredere cybersecurity beleid opstellen aanpak, is goed op weg, maar doet er verstandig aan de wettelijke verplichtingen apart in kaart te brengen. Meer weten over onze aanpak? Ontdek hoe Auren organisaties ondersteunt bij complexe compliance-vraagstukken.

Hoe Auren u helpt met ISO 27001-certificering

Een ISO 27001-certificaat halen is één ding. Een informatiebeveiligingssysteem bouwen dat echt werkt, is een ander. Wij begeleiden mkb-organisaties door het hele traject, van de eerste gap-analyse tot de certificeringsaudit en de jaarlijkse opvolging. Concreet betekent dat:

Wij werken zonder jargon en met oog voor uw dagelijkse praktijk. Informatiebeveiliging hoeft geen papieren tijger te zijn. Neem contact met ons op en ontdek hoe wij uw organisatie stap voor stap naar een aantoonbaar veilige bedrijfsvoering begeleiden. Bekijk ook onze evenementen en kennissessies over informatiebeveiliging voor actuele inzichten en praktische tips.