ISO 27001 kosten: van eerste gap-analyse tot certificaat

Realistische budget-plaatje voor een 30-mans MKB. Interne uren, externe audit, consultancy (zo min mogelijk), jaarlijkse onderhoud. Geen marketingpraatjes.

Budget voor een 30-mans MKB, eerste certificering, 2026-niveau.

Eenmalig

• Consultant gap-analyse (optioneel): €2.500 - €6.000
• Policy-templates (opensource of kopen): €0 - €1.500
• Intern werk: 150-300 uur verdeeld over 6 maanden
• Stage 1 + Stage 2 audit: €4.500 - €8.000 (afhankelijk van grootte en complexiteit)
• Eventuele nonconformity-remediation: €1.000 - €3.000

Jaarlijks

• Surveillance audit (jaar 2, 3): €2.000 - €3.500 per jaar
• Onderhoud ISMS (intern): 10-30 uur per maand
• Interne audit (extern uitbesteed of intern): €1.500 - €3.500
• Security-trainingen voor medewerkers: €500 - €2.000

Elke 3 jaar: re-certificering

Vergelijkbaar met initiële Stage 2: €4.000 - €6.500.

Totale kostenberekening over 3 jaar

Voor een 30-mans MKB: €18.000 - €35.000 externe kosten + ±400 intern-uren. Verdeeld over 3 jaar.

Waar kun je geld besparen?

• Geen €80k consultant — gebruik die alleen voor gap-analyse en eerste policy-set.
• Opensource policy-templates (bijv. van IASME of ENISA).
• Software die evidence automatisch verzamelt — bv. AccessGuard voor access-reviews en audit-trail.
• Intern doen wat intern kan. Auditor wil bewijs, geen uitbestede-documentatie.