TL;DR
ISO 27001 certificering kost een Belgische KMO gemiddeld tussen €15.000 en €50.000, afhankelijk van bedrijfsgrootte en bestaand beveiligingsniveau. Het traject duurt doorgaans 6 tot 14 maanden. Onder de Belgische NIS2-wet is ISO 27001 één van de drie erkende routes voor conformiteitsbeoordeling, naast CyberFundamentals (CyFun) en een CCB-inspectie. Vlaamse KMO’s kunnen via de VLAIO KMO-portefeuille tot 45% subsidie krijgen op cybersecurity-advies rond ISO 27001.
Steeds meer Belgische bedrijven krijgen de vraag van klanten, partners of verzekeraars: “Bent u ISO 27001 gecertificeerd?” Tegelijk dwingt de NIS2-wet duizenden organisaties om hun cybersecurity aantoonbaar op orde te brengen, met een eerste deadline op 18 april 2026. Het resultaat: ISO 27001 staat bij veel KMO’s hoog op de agenda, maar de praktische vragen blijven vaak onbeantwoord. Wat kost het? Hoe lang duurt het? En is het eigenlijk wel de beste route voor uw bedrijf?
In dit artikel krijgt u een helder overzicht van het volledige ISO 27001 traject in de Belgische context, inclusief een realistische kostenraming, de vergelijking met CyberFundamentals en de subsidies die beschikbaar zijn.
Wat is ISO 27001 en waarom is het relevant voor Belgische KMO’s?
ISO 27001 is de internationale norm voor het opzetten, implementeren en continu verbeteren van een Information Security Management System (ISMS). De certificering bewijst dat uw organisatie informatiebeveiliging structureel aanpakt: van risicoanalyse en beleidsdocumentatie tot technische maatregelen en medewerkersbewustzijn.
Voor Belgische KMO’s is ISO 27001 om drie redenen actueler dan ooit. Ten eerste eisen steeds meer grote opdrachtgevers en overheidsinstellingen het certificaat als voorwaarde bij aanbestedingen en leveranciersselectie. Ten tweede erkent de Belgische NIS2-wet ISO 27001 als een van de drie geldige routes voor conformiteitsbeoordeling. En ten derde biedt het certificaat een internationaal erkend keurmerk, terwijl het Belgische CyberFundamentals-framework vooral nationaal wordt ingezet.
De versie die vandaag gehanteerd wordt is ISO/IEC 27001:2022, die is afgestemd op de meest recente cyberdreigingen en aansluit bij andere managementsysteemnormen zoals ISO 9001.
Wat kost ISO 27001 certificering voor een KMO?
De totale investering voor ISO 27001 certificering hangt af van drie factoren: uw bedrijfsgrootte, de complexiteit van uw IT-omgeving en uw huidige beveiligingsniveau. Organisaties die al een zekere beveiligingsvolwassenheid hebben, besparen aanzienlijk op implementatietijd.
Kostenopbouw in drie componenten
1. Implementatiekosten (het ISMS opzetten) Dit is doorgaans de grootste kostenpost. U brengt risico’s in kaart, stelt beleid op, implementeert technische en organisatorische maatregelen en traint medewerkers. Veel KMO’s schakelen hier een externe consultant in.
- Kleine organisaties (tot 50 medewerkers): €8.000 tot €15.000 aan consultancy
- Middelgrote organisaties (50–250 medewerkers): €15.000 tot €25.000 aan consultancy
- Interne tijdsinvestering: 200 tot 800 uur, afhankelijk van bedrijfsgrootte
2. Certificeringsaudit (externe audit door een geaccrediteerde instelling) De audit verloopt in twee fasen. Fase 1 beoordeelt de documentatie en opzet van het ISMS. Fase 2 toetst de daadwerkelijke implementatie.
- Kleine organisaties: €5.000 tot €10.000 voor de initiële certificering
- Middelgrote organisaties: €10.000 tot €20.000
- In België zijn onder meer Brand Compliance (BELAC-geaccrediteerd), DEKRA en Bureau Veritas actief als certificatie-instellingen
3. Doorlopende kosten (onderhoud na certificering) Het ISO 27001 certificaat is drie jaar geldig. Jaarlijks volgt een surveillance-audit, en na drie jaar een volledige hercertificering.
- Jaarlijkse surveillance-audit: 30 tot 50% van de initiële auditkosten
- ISMS-onderhoud: interne audits, risicoherbeoordeling, beleidsupdates, awareness-trainingen
Totaaloverzicht kosten ISO 27001
| Kostenpost | Kleine KMO (tot 50 FTE) | Middelgrote KMO (50–250 FTE) |
|---|---|---|
| Consultancy/implementatie | €8.000 – €15.000 | €15.000 – €25.000 |
| Technische aanpassingen | €4.000 – €9.000 | €10.000 – €25.000 |
| Certificeringsaudit (fase 1 + 2) | €5.000 – €10.000 | €10.000 – €20.000 |
| Totaal eerste jaar | €15.000 – €30.000 | €30.000 – €60.000 |
| Jaarlijkse kosten (jaar 2-3) | €3.000 – €6.000 | €5.000 – €12.000 |
Een organisatie die al een ISO 9001 managementsysteem heeft, kan 30 tot 50% besparen op implementatiekosten dankzij de gedeelde High Level Structure (HLS) van beide normen.
Hoe lang duurt een ISO 27001 traject?
Het gemiddelde certificeringstraject voor een Belgische KMO duurt 6 tot 14 maanden, van de eerste gap-analyse tot het ontvangen van het certificaat. De doorlooptijd hangt sterk af van uw startpositie.
Typische fasering
| Fase | Duur | Wat gebeurt er? |
|---|---|---|
| Gap-analyse | 2–4 weken | Huidige situatie in kaart brengen, afstand tot de norm bepalen |
| ISMS-opzet | 2–4 maanden | Risicoanalyse, beleid en procedures opstellen, Statement of Applicability (SoA) |
| Implementatie | 2–4 maanden | Technische maatregelen doorvoeren, medewerkers trainen, processen inrichten |
| Interne audit | 2–4 weken | Controle of het systeem werkt zoals beschreven |
| Managementreview | 1–2 weken | Directie beoordeelt resultaten en keurt het ISMS goed |
| Externe audit fase 1 | 1–2 dagen | Documentatiereview door certificatie-instelling |
| Externe audit fase 2 | 2–5 dagen | Implementatie-audit op locatie |
| Certificering | 2–4 weken | Verwerking en uitreiking certificaat |
Organisaties die al werken met een framework zoals CyberFundamentals of NIST CSF hebben doorgaans een kortere doorlooptijd, omdat een deel van de documentatie en risicoanalyse al bestaat.
Belangrijke kanttekening voor NIS2-entiteiten: essentiële entiteiten die kiezen voor ISO 27001 als NIS2-conformiteitsroute moeten uiterlijk op 18 april 2026 hun ISMS-scope en Statement of Applicability (SoA) indienen bij het CCB. De volledige ISO 27001 certificering moet binnen 30 maanden na inwerkingtreding van de NIS2-wet rond zijn. Dit betekent dat organisaties die nu nog niet gestart zijn, weinig tijd te verliezen hebben.
ISO 27001 vs CyberFundamentals: welk framework past bij uw bedrijf?
Dit is de vraag die veel Belgische bedrijven bezighoudt. Onder de NIS2-wet hebben essentiële entiteiten drie opties voor conformiteitsbeoordeling: CyberFundamentals (CyFun) certificering of verificatie, ISO 27001 certificering, of een inspectie door de CCB-inspectiedienst. Beide frameworks zijn geldige routes, maar ze verschillen fundamenteel in opzet en toepassingsgebied.
Vergelijkingstabel ISO 27001 vs CyFun
| Criterium | ISO 27001 | CyberFundamentals (CyFun) |
|---|---|---|
| Scope | Internationaal erkend | Belgisch nationaal framework |
| Basis | ISO/IEC standaard | Gebaseerd op NIST CSF 2.0, ISO 27001, CIS Controls, IEC 62443 |
| Structuur | Eén uniforme norm met Annex A-maatregelen | Vier niveaus: Small, Basic, Important, Essential |
| Geschikt voor | Bedrijven met internationale klanten, aanbestedingen of leveranciersketens | Bedrijven met vooral nationale activiteiten |
| NIS2-conformiteit | Ja, met aanvullende SoA-mapping op CyFun-niveau | Ja, rechtstreeks ontworpen voor NIS2-compliance |
| Doorlooptijd | 6–14 maanden | 3–8 maanden (afhankelijk van niveau) |
| Kosten | €15.000 – €60.000+ | Lager instapniveau, vooral voor Basic en Important |
| Internationaal erkend | Ja | Nee (nationaal label) |
| OT-dekking | Via Annex A-maatregelen | Expliciet via IEC 62443-integratie |
Wanneer kiest u voor ISO 27001?
ISO 27001 is de betere keuze als uw bedrijf internationale klanten bedient die een erkend certificaat eisen, als u deelneemt aan aanbestedingen waar ISO 27001 een vereiste is, of als u actief bent in sectoren waar het certificaat standaard is geworden (software, SaaS, financiële dienstverlening).
Wanneer kiest u voor CyberFundamentals?
CyFun is vaak de pragmatischere route voor KMO’s die vooral in België actief zijn. Het framework is specifiek ontworpen voor de Belgische markt, de instapdrempel is lager bij de niveaus Basic en Important, en het sluit naadloos aan op de NIS2-wetgeving. Bovendien kunt u via een ISO 27001 certificering ook een CyFun-label aanvragen, op voorwaarde dat uw Statement of Applicability de vereiste CyFun-maatregelen dekt.
Combinatie is mogelijk
Een interessante optie die het CCB expliciet voorziet: organisaties met een ISO 27001 certificaat kunnen op basis daarvan ook een CyFun-label aanvragen. De certificeringsautoriteit van het CCB (NCCA) controleert dan of de SoA het vereiste CyFun-niveau dekt. Zo combineert u internationale erkenning met Belgische NIS2-conformiteit.
De NIS2-link: ISO 27001 als conformiteitsroute
De Belgische NIS2-wet (Wet van 26 april 2024) verplicht essentiële en belangrijke entiteiten om aantoonbare cybersecuritymaatregelen te implementeren. Voor essentiële entiteiten geldt een verplichte periodieke conformiteitsbeoordeling via een erkende Conformity Assessment Body (CAB).
Deadlines voor essentiële entiteiten
- 18 april 2026: ISMS-scope en Statement of Applicability (SoA) indienen bij het CCB, of een CyFun Self Assessment op niveau Basic of Important
- 18 april 2027: Voortgangsrapport indienen
- Binnen 30 maanden: Volledige ISO 27001 certificering of CyFun-certificering afronden
Wat betekent dit concreet?
Als uw organisatie als essentiële entiteit is geïdentificeerd en u kiest voor de ISO 27001-route, moet u uiterlijk 18 april 2026 uw scope en SoA aan het CCB hebben overgemaakt. De SoA moet maatregelen bevatten die minstens gelijkwaardig zijn aan het toepasselijke CyFun-niveau. Het CCB beoordeelt of uw SoA de juiste CyFun-equivalente maatregelen bevat, met bijzondere aandacht voor de key measures die het CCB heeft gedefinieerd op basis van actuele aanvalspatronen in België.
Belangrijke entiteiten vallen onder een lichter toezichtregime (alleen ex post, na een incident of op basis van signalen), maar moeten eveneens passende maatregelen implementeren. Voor hen is CyFun-verificatie op niveau Basic of Important vaak de meest proportionele route.
VLAIO-subsidies: tot 45% terug op uw investering
Vlaamse KMO’s die investeren in ISO 27001 kunnen gebruikmaken van twee VLAIO-subsidieprogramma’s die de financiële drempel aanzienlijk verlagen.
KMO-portefeuille (cybersecurity-advies)
Sinds 1 februari 2026 is de KMO-portefeuille exclusief voorbehouden voor cybersecurity-advies. Dit betekent dat advies rond ISO 27001 implementatie en gap-analyses in aanmerking komt voor subsidie.
- Kleine ondernemingen: 45% subsidie
- Middelgrote ondernemingen: 35% subsidie
- Maximaal €7.500 steun per jaar
Cybersecurity verbetertrajecten
VLAIO subsidieert ook bredere cybersecurity verbetertrajecten via erkende dienstverleners, met een tussenkomst van 50% voor KMO’s. Deze trajecten omvatten analyse, actieplan en begeleiding bij het oplossen van beveiligingsproblemen.
- Drie pakketten: START (€7.100 – €11.900), MEDIUM (€16.600 – €28.600), PLUS (€26.500 – €39.900)
- Subsidie: 50% voor KMO’s, 35% voor niet-KMO’s die onder NIS2 vallen
- 19 erkende dienstverleners beschikbaar
Rekenvoorbeeld
Een middelgrote KMO investeert €40.000 in ISO 27001 certificering (consultancy + audit + technische aanpassingen). Via de KMO-portefeuille kan het adviesgedeelte (stel: €15.000) voor 35% worden gesubsidieerd, goed voor €5.250 terug. Daarnaast kan een cybersecurity verbetertraject (MEDIUM-pakket) een bijkomende subsidie van 50% op €20.000 opleveren: €10.000 terug. De netto-investering daalt zo van €40.000 naar circa €25.000.
Het ISO 27001 traject in 6 stappen
Hieronder vindt u een praktisch stappenplan voor een Belgische KMO die met ISO 27001 aan de slag wil.
Stap 1: Gap-analyse uitvoeren Breng uw huidige beveiligingsniveau in kaart en meet de afstand tot de ISO 27001-vereisten. Veel organisaties schakelen hier een externe partner in voor een objectieve beoordeling. Dit levert een concreet actieplan op met prioriteiten.
Stap 2: ISMS opzetten en documenteren Definieer de scope van uw ISMS, voer een risicoanalyse uit en stel uw Statement of Applicability (SoA) op. Dit document beschrijft welke Annex A-maatregelen u implementeert en waarom. Stel daarnaast het informatiebeveiligingsbeleid en de bijbehorende procedures op.
Stap 3: Maatregelen implementeren Voer de technische en organisatorische maatregelen uit: toegangsbeheer, logmanagement, encryptie, incidentresponsplannen, leveranciersbeheer en awareness-trainingen voor medewerkers.
Stap 4: Interne audit en managementreview Voer een interne audit uit om te controleren of het ISMS werkt zoals beschreven. Leg de resultaten voor aan de directie in een managementreview. Neem corrigerende maatregelen waar nodig.
Stap 5: Externe certificeringsaudit Neem contact op met een geaccrediteerde certificatie-instelling (in België o.a. Brand Compliance met BELAC-accreditatie, DEKRA of Bureau Veritas). De auditor beoordeelt in fase 1 uw documentatie en in fase 2 de praktische implementatie.
Stap 6: Certificaat behalen en onderhouden Na een succesvolle audit ontvangt u het ISO 27001 certificaat, geldig voor drie jaar. Jaarlijks volgt een surveillance-audit. Na drie jaar een volledige hercertificering. Het ISMS is een levend systeem dat continu wordt bijgestuurd.
Veelgestelde vragen over ISO 27001 certificering
Wat kost ISO 27001 certificering voor een KMO?
De totale kosten variëren van €15.000 tot €60.000, afhankelijk van bedrijfsgrootte en complexiteit. Kleine organisaties (tot 50 medewerkers) rekenen op €15.000 tot €30.000. Middelgrote bedrijven (50–250 medewerkers) komen uit op €30.000 tot €60.000. Via VLAIO-subsidies kunt u tot 45% van de advieskosten terugkrijgen.
Hoe lang duurt een ISO 27001 traject?
Een typisch certificeringstraject voor een KMO duurt 6 tot 14 maanden, van gap-analyse tot certificaat. Organisaties die al werken met CyberFundamentals, NIST CSF of een ISO 9001 managementsysteem kunnen sneller certificeren dankzij bestaande documentatie en processen.
Wat is het verschil tussen ISO 27001 en CyberFundamentals?
ISO 27001 is een internationaal erkende norm voor informatiebeveiliging, terwijl CyberFundamentals een Belgisch nationaal framework is, ontwikkeld door het CCB. Beide zijn geldige routes voor NIS2-conformiteitsbeoordeling. ISO 27001 biedt internationale erkenning; CyFun heeft een lagere instapdrempel en is specifiek afgestemd op de Belgische markt.
Is ISO 27001 verplicht onder NIS2?
ISO 27001 is niet verplicht, maar het is een van de drie erkende opties voor NIS2-conformiteitsbeoordeling in België. Essentiële entiteiten kunnen kiezen uit CyFun-certificering, ISO 27001 certificering of een CCB-inspectie. Belangrijk: de SoA moet het toepasselijke CyFun-niveau dekken.
Kan ik VLAIO-subsidie krijgen voor ISO 27001?
Ja. Via de KMO-portefeuille kunt u tot 45% (kleine ondernemingen) of 35% (middelgrote ondernemingen) subsidie krijgen op cybersecurity-advies, inclusief ISO 27001 begeleiding. Daarnaast subsidieert VLAIO cybersecurity verbetertrajecten voor 50% van de kosten bij erkende dienstverleners.
Conclusie: ISO 27001 als strategische investering
ISO 27001 certificering is meer dan een compliance-vinkje. Het is een structurele investering in de beveiliging, de geloofwaardigheid en de commerciële slagkracht van uw organisatie. Met de NIS2-deadline van april 2026 in zicht en de groeiende druk vanuit klanten en partners is nu het moment om het traject op te starten.
De kosten zijn reëel, maar dankzij VLAIO-subsidies wordt de drempel voor Vlaamse KMO’s aanzienlijk verlaagd. En of u nu kiest voor ISO 27001, CyberFundamentals of een combinatie van beide: het belangrijkste is dat u vandaag begint.
Wilt u weten of ISO 27001 of CyberFundamentals het beste past bij uw bedrijf? Plan een gratis oriënterend gesprek met Cyberplan en ontdek welke route het meest efficiënt is voor uw situatie. Cyberplan ondersteunt u met technische gap-analyses, pentesting, security awareness training en compliance-begeleiding, allemaal onder één dak. Via de VLAIO KMO-portefeuille kunt u tot 45% subsidie krijgen op dit advies.
