Hoe lang duurt een ISO 27001-traject? Een realistische tijdlijn voor jouw organisatie
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
De vier fasen van een ISO 27001-traject
Elk traject volgt vaste stappen. Wel verschuift de focus en de benodigde tijd per fase zodra je organisatie groter of complexer wordt.
Fase 1: de analyse
Je brengt je huidige situatie in kaart. Bij Fendix bekijken we via een GAP-analyse of de Harmonized Structure al voldoet, welke van de 93 beheersmaatregelen (de zogeheten Annex A controls) je al gebruikt en wat er nog mist. Ook bepaal je de exacte scope van je certificering, doe je een eerste risicoanalyse en stel je het projectteam samen.
- Doorlooptijd: 4 tot 10 weken.
Fase 2: het ontwerp
Nu ga je aan de slag met het schrijven van het beleid. Je stelt de Verklaring van Toepasselijkheid (VvT) op, beschrijft de nodige procedures en bepaalt hoe je de maatregelen concreet gaat inrichten in de praktijk.
- Doorlooptijd: 4 tot 12 weken.
Fase 3: de implementatie
Dit is de fase waarin het echte werk gebeurt en die de meeste energie kost. Je voert de technische en organisatorische maatregelen door, traint je collega's (security awareness) en zet de monitoring op. Ook voer je verplicht minimaal één interne audit en een directiebeoordeling uit. Zonder deze twee stappen geeft een externe auditor nooit een certificaat af.
- Doorlooptijd: 8 tot 24 weken.
Fase 4: de certificeringsaudit
De externe auditor controleert jouw organisatie. Dit gebeurt in twee delen: fase 1 en fase 2. Fase 1 is een controle van je documentatie, en fase 2 is de daadwerkelijke toetsing in de praktijk van je ISMS (informatiebeveiligingsmanagementsysteem). Tussen deze twee audits zit meestal 4 tot 8 weken om eventuele openstaande punten op te lossen.
Tip: certificerende instanties hebben vaak een volle agenda en plannen 3 tot 6 maanden vooruit. Reserveer je auditdagen dus direct aan het begin van het traject.
- Doorlooptijd: 4 tot 8 weken (van fase 1 tot de uiteindelijke afgifte van je certificaat).
Wat is de totale doorlooptijd voor jouw organisatie?
Als we de fasen bij elkaar optellen, kom je uit op een totale doorlooptijd van 5 tot 13 maanden. Waar jij precies tussenin zit, zie je in dit overzicht:
Complexiteit van een organisatie heeft te maken met verschillende factoren, zoals:
- Het aantal verschillende processen en regels.
- Het aantal uiteenlopende stakeholders.
- Het aantal verschillende functies.
Denk aan organisaties in de gezondheidszorg, overheids- en onderwijsinstellingen.
Een te krappe planning zorgt voor stress, haastwerk en fouten tijdens de audit, terwijl een te ruime planning ervoor zorgt dat het project juist stilvalt en de focus verdwijnt. Wees daarom vanaf het begin realistisch over je startpunt.
Hoeveel tijd kost dit je eigen team?
Een traject vraagt ook om interne uren van jouw organisatie:
- MKB / Kleine organisatie: Reken op 4 tot 8 uur per week voor de projectleider en 2 tot 4 uur per maand voor de directie. Tijdens de implementatiefase kan dit tijdelijk oplopen.
- Grote / Complexe organisatie: De projectleider is hier al snel 16 tot 24 uur per week mee bezig. Daarnaast raden we aan om een vaste stuurgroep met de directie op te zetten.
Twee praktijkverhalen van Fendix-klanten
Nedscaper: in 12 weken naar een ISO 9001 én ISO 27001 certificaat
Nedscaper is een cloudorganisatie met een compacte scope. Hun AVG-zaken stonden al goed en het team was enorm gemotiveerd. Door tegelijkertijd aan het beleid en de implementatie te werken, en slimme hulp in te schakelen voor de interne audit, stonden ze binnen 12 weken klaar voor de eindaudit. Dit is echter een uitzondering. Zonder deze specifieke, sterke startpositie en focus is dit tempo voor de meeste organisaties niet haalbaar.
Heras: binnen één jaar gecertificeerd
Heras is een industrieel bedrijf met meerdere vestigingen en een complexe IT-omgeving (deels in eigen beheer, deels uitbesteed). Een traject van een jaar was hier een strakke, maar realistische planning. Vooral de implementatiefase kostte de meeste tijd, wat logisch is bij een organisatie met meerdere locaties.
De gemene deler? Beide organisaties waren succesvol, omdat ze vooraf een duidelijke scope hadden gekozen, één duidelijke projecteigenaar hadden aangewezen en de directie nauw betrokken was.
Drie manieren om jouw traject te versnellen
- Maak de scope niet onnodig uitgebreid: begin met je belangrijkste kernprocessen en breid dit later uit. Een compacte scope kan je traject met 30% tot 40% versnellen. Let wel op: controleer vooraf of jouw klanten of bepaalde aanbestedingen niet direct een brede scope eisen.
- Werk parallel, niet achter elkaar: je hoeft niet te wachten tot je beleid volledig op papier staat voordat je begint met het implementeren van maatregelen. Deze stappen kunnen prima tegelijkertijd lopen.
- Zet expertise in voor het zware werk: een externe partner brengt direct de juiste structuur mee en neemt het schrijfwerk uit handen. Dat scheelt jouw eigen team weken aan uitzoekwerk.
Veelgestelde vragen
Hoe zit het met de NIS2-deadline?
De Nederlandse Cyberbeveiligingswet (Cbw), die voortkomt uit de NIS2-richtlijn, treedt naar verwachting per 1 juli 2026 in werking. Een ISO 27001-certificaat is niet wettelijk verplicht, maar het is wel een erkende manier om aan te tonen dat je aan je zorgplicht voldoet. Moet je hieraan voldoen? Dan is een traject van 9 tot 12 maanden haalbaar, mits je nu start.
Kan het echt niet in 3 maanden?
Alleen als je al een volledig werkend managementsysteem hebt liggen, een smalle scope kiest en een ervaren team klaar hebt staan (zoals bij de Nedscaper-case). Voor de meeste organisaties is dit niet realistisch, maar het kan.
Hoe lang duurt de uiteindelijke audit zelf?
Voor het mkb duurt de audit (fase 1 en fase 2 samen) meestal 2 tot 4 dagen. Bij grotere organisaties met meerdere vestigingen ben je al snel een week of langer bezig.
Zelf je tijdlijn bepalen?
Een goede GAP-analyse is de beste eerste stap. Binnen een dagdeel brengen we in kaart waar je nu precies staat ten opzichte van de norm. Zo krijg je een concreet stappenplan met duidelijke deadlines voor jouw situatie.
Wil je meer weten of een nauwkeurige inschatting?
- Lees meer over ISO 27001 in onze gids
- Plan een vrijblijvend en kosteloos adviesgesprek in
.png)
