“Is ISO27001 verplicht?”
Bij deze vraag speelt er vaak iets concreets: een klant die het als eis stelt, een aanbesteding waarin het genoemd wordt of onduidelijkheid over NIS2 en de Cyberbeveiligingswet. Voor directie en bestuur draait het dan niet om de norm zelf, maar om risico: lopen we omzet mis of nemen we onnodige risico’s als we dit niet hebben?
Het korte antwoord is dat ISO27001 in de meeste gevallen niet wettelijk verplicht is. Maar in de praktijk ligt het genuanceerder. Door contracteisen of ketenverantwoordelijkheid kan het in de praktijk alsnog noodzakelijk worden. En wanneer moet je echt certificeren, en wanneer kies je bewust wat past bij jouw organisatie?
Je kunt namelijk op een aantal manieren omgaan met de ISO27001 norm. Hierbij is het belangrijk om 3 stappen uit elkaar te houden:
-
- het implementeren van een managementsysteem volgens ISO27001,
- het aantoonbaar beheersen van risico’s,
- het behalen van een certificaat.
Het implementeren een managementsysteem op basis van ISO27001 betekent dat je informatiebeveiliging structureel organiseert: je legt verantwoordelijkheden vast, brengt risico’s systematisch in kaart, kiest passende maatregelen en evalueert periodiek of die nog effectief zijn.
Het aantoonbaar beheersen van risico’s. Toezichthouders en opdrachtgevers richten zich niet primair op het bezit van een certificaat, maar op het treffen van passende maatregelen en het kunnen onderbouwen daarvan. Ze willen kunnen zien dat risico’s zijn geïdentificeerd, dat keuzes bewust zijn gemaakt en dat beveiligingsmaatregelen aansluiten bij de aard en omvang van de organisatie.
Het certificeringstraject is dan al grotendeels doorlopen en behalen van een certificaat is vervolgens een externe bevestiging dat dit managementsysteem voldoet aan de norm.
De kernvraag voor het bestuur is daarom niet of er een certificaat is, maar of de organisatie risico’s aantoonbaar beheerst en daadwerkelijk grip heeft op informatiebeveiliging. ISO27001 kan daarbij helpen, maar het is een middel, geen doel.
Wanneer is ISO27001 wettelijk verplicht?
Kijk je puur juridisch, dan geldt voor de meeste mkb-organisaties dat er geen expliciete wettelijke bepaling is die certificering verplicht stelt. Als je geen aanbestedingen doet, geen harde contracteisen hebt en niet in een sector werkt waar dit expliciet wordt voorgeschreven, dan is ISO27001 doorgaans geen wettelijke must.
Maar informatiebeveiliging is daarmee niet vrijblijvend. De AVG en, voor bepaalde organisaties, de Cyberbeveiligingswet (NIS2), verplichten je om passende technische en organisatorische maatregelen te nemen. De wetten vragen dus om aantoonbare beheersing van risico’s — niet om een specifiek certificaat.
Dat onderscheid is essentieel. De relevante vraag voor directie en bestuur is niet: “Hebben we ISO?” maar: “Kunnen wij aantonen dat we onze informatiebeveiliging beheersen?”
Wanneer wordt ISO27001 in de praktijk toch verplicht?
In de praktijk wordt ISO27001 vaak indirect verplicht via contracten. Grote opdrachtgevers willen zekerheid in hun keten en nemen daarom in overeenkomsten op dat een leverancier moet beschikken over een ISO27001-certificaat, of minimaal een gelijkwaardig beveiligingsniveau moet aantonen. Op dat moment verschuift de discussie van juridisch naar commercieel: zonder certificaat kom je niet binnen.
Dit zie je vooral in sectoren waar vertrouwelijkheid en continuïteit cruciaal zijn, zoals IT-dienstverlening, zorgketens, financiële dienstverlening en samenwerkingsverbanden met gevoelige data. Daar wordt ISO27001 minder een interne kwaliteitsverbetering en meer een voorwaarde om zaken te mogen doen.
Ook bij werken voor of binnen (semi-)overheid kom je normenkaders tegen die sterk leunen op ISO27001 en ISO27002, maar aangevuld zijn met extra maatregelen (de BIO2). Dat betekent niet automatisch dat certificering wettelijk verplicht is, maar de inrichting van je organisatie wordt wel langs die meetlat gelegd.
ISO27001 en NIS2: wat is het verschil?
De komst van NIS2 heeft de discussie verder aangescherpt. NIS2 is een Europese richtlijn die in Nederland wordt omgezet in de Cyberbeveiligingswet.
Bestuurders lezen over zorgplicht, meldplicht en risicobeheersmaatregelen en concluderen al snel dat ISO27001 dan verplicht zal zijn. Dat kan niet één-op-één gezegd worden. NIS2 verplicht organisaties tot structurele risicobeheersing en incidentmanagement, maar schrijft geen specifiek certificaat voor.
De kernvraag is dus niet of ISO27001 moet, maar hoe je kunt aantonen dat je aan de zorgplicht voldoet. ISO27001-certificering biedt daarvoor een gestructureerde route: verantwoordelijkheden worden vastgelegd, risico’s systematisch beoordeeld en verbeteringen continu gemonitord. Het is een krachtige manier om wettelijke naleving te organiseren, maar het blijft een keuze in hoe je die aantoonbaarheid inricht.
De valkuil: certificering als doel op zich
In de praktijk zien we regelmatig dat organisaties een ISO27001-traject starten omdat een klant erom vraagt of omdat men denkt dat het “nu eenmaal moet”. Het traject richt zich dan volledig op het gericht op het behalen van een certificaat, in plaats van het opbouwen van structurele beheersing. Documentatie groeit, audits worden ingepland en controles ingevoerd.
Zonder bestuurlijk eigenaarschap wordt dat echter een papieren exercitie. De organisatie kan het certificaat tonen, maar heeft geen diep inzicht in haar werkelijke risico’s. Dat ondermijnt uiteindelijk precies waar ISO27001 voor bedoeld is: beheersing en continu verbeteren.
Een effectievere aanpak begint bij het eigen risicoprofiel. Welke informatie is bedrijfskritisch? Welke ketenafhankelijkheden zijn er? Wat is de impact als systemen of data uitvallen? Wanneer je vanuit die vragen werkt, bouw je aan een volwassen beveiligingsstructuur die ook zonder certificaat waarde heeft. ISO27001 kan daarna dienen als formele borging, niet als startpunt.
Hoe maak je als directie de juiste keuze?
Voor veel mkb-organisaties is een gefaseerde aanpak verstandiger. ISO27001 kan als referentiekader worden gebruikt zonder direct te certificeren. Processen, risicoanalyses en controles worden dan ingericht in lijn met de norm, terwijl interne volwassenheid wordt opgebouwd. Pas wanneer de organisatie er inhoudelijk en organisatorisch klaar voor is, volgt eventuele certificering.
Het is daarnaast verstandig om bij contracteisen altijd door te vragen. Wanneer een opdrachtgever “ISO27001” eist, gaat het vaak om zekerheid. Soms is een certificaat daadwerkelijk een harde eis. In andere gevallen volstaat aantoonbare beheersing, mits goed onderbouwd. Dat verschil heeft directe gevolgen voor investering, tijd en interne belasting.
De beslissing om te certificeren moet aansluiten bij de positie en ambities van de organisatie. Geeft het toegang tot nieuwe markten? Versterkt het vertrouwen bij grote klanten? Draagt het aantoonbaar bij aan risicoreductie? Of is het vooral een reactie op externe druk?
Wanneer certificering bijdraagt aan groei, waarde, reputatie en controle over risico’s, is de keuze logisch. Wanneer dat niet zo is, kan een risicogestuurde aanpak zonder directe certificering verstandiger zijn.
Samenvatting: is ISO27001 verplicht?
ISO27001 is in de meeste gevallen niet wettelijk verplicht. Via klanten, aanbestedingen en ketens kan het in de praktijk echter wel een harde eis worden. Wetgeving zoals Cyberbeveiligingswet (NIS2) vraagt om aantoonbare risicobeheersing, niet om een specifiek certificaat.
Voor directie en bestuur draait de vraag daarom niet om de norm zelf, maar om beheersing en aantoonbaarheid. Hebben wij inzicht in onze risico’s? Zijn verantwoordelijkheden duidelijk belegd? Kunnen wij laten zien dat we passende maatregelen nemen?
IT en security zijn vaak (deels) uitbesteed, maar de verantwoordelijkheid blijft bij het bestuur. Zonder overzicht en eigenaarschap kan een organisatie zich veiliger voelen dan zij daadwerkelijk is.
De juiste volgorde is daarom: eerst grip op risico’s en processen, daarna pas beslissen of ISO27001-certificering de juiste volgende stap is.
Bronvermelding
Autoriteit Persoonsgegevens. (z.d.). Wat is ISO 27001?
ISO 27001 vs NIS2 – wat is nu echt het verschil? (2025). ISO 27001 vs NIS2 vergelijking.
https://linksecure.nl/algemeen/iso-27001-vs-nis2/
ISO27001 of NIS2: wat heeft jouw organisatie écht nodig? (2025). ISO27001 en NIS2 uitgelegd.
https://boemcybersecurity.nl/iso27001-of-nis2-wat-heeft-jouw-organisatie-nodig/
Cyberbeveiligingswet (NIS2-richtlijn): Bereid je voor. (z.d.). Wettelijke context NIS2 en cybersecurity.
https://www.ncsc.nl/cyberbeveiligingswet-nis2/bereid-je-voor
Welke organisaties vallen onder de Cyberbeveiligingswet? (z.d.). Toepassing Cyberbeveiligingswet in Nederland.
NIS 2 directive sets obligations for more companies. (n.d.). EU-brede verplichtingen onder NIS2.
https://business.gov.nl/amendment/nis2-directive-protects-network-information-systems
NIS2 & ISO 27001: de overlap, verschillen én hoe je organisatie compliant wordt (2025). NIS2 versus ISO27001.
Is ISO 27001 enough for NIS2 compliance? (2024). Relatie ISO27001 en NIS2 compliance.
https://www.opensight.nl/en/blog/iso-27001-certified-then-youre-almost-certainly-nis2-compliant-too/