BG Beter Geregeld ICT
Compliance · 2 min leestijd · 13 September 2025 · ★ Pillar-gids

ISO 27001 voor het MKB zonder €50k aan consultants

ISO 27001 is behapbaar als je de structuur snapt. Hier het minimale werk dat een 30-man MKB nodig heeft om door een Stage 2-audit te komen, wat het kost, en waar consultants wél waarde toevoegen.

ISO 27001 heeft een prijslijst-reputatie van €30–80k aan consultancy. Voor een MKB van 15–60 medewerkers is dat overkill. De echte noodzaak is: een Information Security Management System (ISMS) dat past bij je grootte, bewijsbaar werkt, en je door de audit krijgt.

Wat heb je écht nodig?

  1. Een security policy (±10 pagina's). Niet 80.
  2. Een risk register dat realistisch is voor jouw bedrijf.
  3. Een set geïmplementeerde controls uit Annex A — niet allemaal, wel de relevante.
  4. Bewijs dat je de controls uitvoert: logs, reviews, incident-registraties.
  5. Een jaarlijkse management review.
  6. Interne audits (1× per jaar, zelf of extern).

De Annex A-subset die voor MKB matter

Annex A heeft 93 controls. Voor een typisch MKB zijn er 30-40 relevant. De anderen beargumenteer je als "Not Applicable" in je Statement of Applicability. De kerngebieden:

  • A.9 Access Control — grootste categorie, grootste risico.
  • A.6 Organisation of Information Security — rol- en verantwoordelijkheidsmatrix.
  • A.16 Incident Management — logboek + procedure.
  • A.12 Operations Security — backups, malware, monitoring.
  • A.13 Communications Security — netwerk-segmentatie, encryptie-in-transit.
  • A.18 Compliance — AVG, DPIA, contractuele vereisten.

Certificeringskosten — realistisch

Voor 30-mans MKB bij een Nederlandse certificerende instelling (Kiwa, DEKRA, LRQA):

  • Stage 1 + Stage 2 audit: €4.500–8.000
  • Jaarlijkse surveillance audits (jaar 2 en 3): €2.000–3.500
  • Herijking elk jaar 3: vergelijkbaar met Stage 2

Zie volledige kostenoverzicht.

Tijdlijn: realistisch

Van nul naar certificaat: 5-8 maanden. Met bestaande security-basis: 3-5 maanden.

  • Maand 1: gap-analyse + scope
  • Maand 2-3: policy + risk register + SoA
  • Maand 3-5: controls implementeren en evidence verzamelen
  • Maand 5: interne audit + management review
  • Maand 6: Stage 1 (documenten)
  • Maand 7-8: Stage 2 (implementatie)

Wanneer is een consultant wél de moeite waard?

Voor de gap-analyse en de eerste policy-structuur (2-5 dagen inzet). Niet voor dagelijkse uitvoering — dat moet intern.

Zie ook: pre-audit checklist, wat is een ISMS?, en ISO vs SOC 2 voor internationale klanten.

Onderwerpen

#mkb #audit #iso-27001 #compliance #isms

Verwant leesmateriaal

Compliance

NIS2 en het MKB: wanneer val je onder de richtlijn?

NIS2 is de opvolger van NIS1 en trekt de scope flink open. Veel MKB-bedrijven in "gewone" sectoren vallen nu ineens onder essential of important entities.

2 min
Compliance

DORA voor MKB-leveranciers aan financiële instellingen

Vanaf januari 2025 verwacht elke bank, verzekeraar of beleggingsfonds DORA-compatibel te zijn. Ben je een MKB-leverancier? Dan krijg je het via hun contracten bij je.

2 min
Compliance

ISO 27001 kosten: van eerste gap-analyse tot certificaat

Realistische budget-plaatje voor een 30-mans MKB. Interne uren, externe audit, consultancy (zo min mogelijk), jaarlijkse onderhoud. Geen marketingpraatjes.

2 min
Compliance

ISO 27001 of SOC 2? Welke past bij jouw Nederlandse MKB?

ISO 27001 is Europees-geörienteerd, SOC 2 Amerikaans. Welke hebben je klanten nodig? En kun je ze combineren? Hier het praktijk-verschil voor een MKB.

2 min
Compliance

NEN 7510 voor zorgondernemers: extra bovenop ISO 27001

Werk je in of met de zorg? Dan is NEN 7510 naast (of in plaats van) ISO 27001 realiteit. De overlap is groot, de verschillen zitten in patiëntgegevens en specifieke Annex-controls.

2 min
Compliance

De management review: wat moet erin en wie doet mee?

Eén van de sectie-9-eisen van ISO 27001. Jaarlijks, met de directie, 2 uur. Hier de agenda die een auditor accepteert én die voor jou als oefening bruikbaar is.

2 min
← Alle artikelen in "Compliance"