ISO 27001
IT-Checklistkrijgt regelmatig vragen over ISO 27001 — vooral over het verschil tussen de oude en de nieuwe versie van de norm. Op deze pagina leggen we dat in gewone taal uit. Werk je in een kritieke sector of de zorg? Kijk dan ook op onze pagina’s over NIS2 en NEN 7510.
📋 Verdieping: ISO 27001:2022 met praktische tips
Wil je weten hoe je concreet overstapt naar de nieuwe norm? Lees ons stappenplan met praktische tips voor ISO 27001:2022.
Wat is ISO 27001?
ISO 27001 is de internationale norm voor informatiebeveiliging. Hij beschrijft hoe je met beleid, risicoanalyses en concrete maatregelen grip houdt op de beveiliging van informatie binnen je organisatie. Je hoeft er niet meteen voor gecertificeerd te zijn om de norm als houvast te gebruiken.
Wat is het verschil tussen ISO 27001:2013 en ISO 27001:2022?
De oude versie uit 2013 kende 114 beheersmaatregelen (‘controls’), verdeeld over 14 domeinen (A.5 t/m A.18). De nieuwe versie uit 2022 is overzichtelijker: 93 controls, gegroepeerd in 4 hoofdthema’s — Organisatorisch, Mensen, Fysiek en Technologisch. Inhoudelijk zijn veel maatregelen samengevoegd of geactualiseerd (denk aan onderwerpen als cloudgebruik en dreigingsinformatie, die in 2013 nog niet expliciet benoemd waren).
Is mijn ISO 27001:2013-certificaat nog geldig?
Nee. Certificaten op de oude ISO/IEC 27001:2013-norm zijn sinds 31 oktober 2025 niet meer geldig. Ben je gecertificeerd, controleer dan bij je certificerende instelling of je inmiddels op de 2022-versie zit.
Moet mijn bedrijf verplicht gecertificeerd zijn?
Voor de meeste MKB-bedrijven niet. Certificering is vooral zinvol als klanten of partners het expliciet vragen (bijvoorbeeld bij aanbestedingen). Ook zonder certificering kun je ISO 27001 prima gebruiken als praktisch kader: een kort beveiligingsbeleid, een risicoanalyse en een jaarlijkse evaluatie brengen je al een heel eind.