ISO 27001-certificering en ISMS-consulting in België
Word certificeringsklaar zonder de overhead. We bouwen een passend ISO/IEC 27001:2022-ISMS — risicogebaseerd, auditklaar en geïntegreerd met uw NIS2-, AVG- en DORA-verplichtingen — begeleid door een ISO 27001 Lead Auditor.
ISO/IEC 27001 is de internationale norm voor een managementsysteem voor informatiebeveiliging (ISMS) en de certificering die het vaakst wordt gevraagd in aanbestedingen en leveranciers-due-diligence. De herziening van 2022 herstructureerde Bijlage A tot 93 controles in vier thema's — organisatorisch, mensen, fysiek en technologisch — en introduceerde nieuwe controles zoals threat intelligence, veilige ontwikkeling en cloudbeveiliging. ICTLAB helpt Belgische organisaties een passend ISMS te ontwerpen, te implementeren en te exploiteren, van scoping en risicobeoordeling tot de verklaring van toepasselijkheid en interne audit, en begeleidt u vervolgens door de Fase 1- en Fase 2-audits die door een geaccrediteerde certificeringsinstantie worden uitgevoerd. Omdat ISO 27001 overlapt met NIS2, de AVG en DORA, bouwen we één samenhangend managementsysteem dat meerdere verplichtingen tegelijk vervult — begeleid door een ISO 27001 Lead Auditor.
Wat we leveren
ISMS-scoping & gapanalyse
Definitie van de ISMS-scope en een controle-per-controle gapanalyse ten opzichte van ISO/IEC 27001:2022 met een geprioriteerde remediatiebacklog.
Risicobeoordeling & behandelplan
Een gedocumenteerde risicobeoordeling voor informatiebeveiliging en een risicobehandelplan die de controleselectie en acceptatie van restrisico sturen.
Verklaring van toepasselijkheid & Bijlage A-controles
Een volledige verklaring van toepasselijkheid die elk van de 93 Bijlage A-controles motiveert, met implementatierichtlijnen voor de geselecteerde controles.
ISMS-documentatieset
Het verplichte beleid, de procedures en registraties die ISO 27001 vereist — informatiebeveiligingsbeleid, toegangscontrole, leveranciersbeveiliging, incidentbeheer en meer.
Interne audit & directiebeoordeling
Een onafhankelijke interne audit en een gestructureerde directiebeoordeling om te bevestigen dat het ISMS effectief en certificeringsklaar is.
Begeleiding certificeringsaudits (Fase 1 & 2)
Praktische ondersteuning vóór en tijdens de Fase 1- en Fase 2-audits uitgevoerd door uw geaccrediteerde certificeringsinstantie, inclusief remediatie van afwijkingen.
Hoe we werken
Scoping & gapanalyse
Spreek de ISMS-scope af en beoordeel huidige controles ten opzichte van ISO/IEC 27001:2022 om gaps en quick wins te identificeren.
Risicobeoordeling & behandeling
Voer de risicobeoordeling voor informatiebeveiliging uit, bepaal behandelingen en selecteer Bijlage A-controles dienovereenkomstig.
ISMS-implementatie
Ontwikkel beleid en procedures, implementeer de geselecteerde controles en veranker het ISMS in de dagelijkse werking.
Interne audit & directiebeoordeling
Voer de interne audit uit, houd de directiebeoordeling en sluit afwijkingen voordat de certificeringsaudit plaatsvindt.
Begeleiding certificeringsaudit
Ondersteun de Fase 1- en Fase 2-audits met de geaccrediteerde instantie en help bevindingen op te lossen.
Continue verbetering
Onderhoud het ISMS via surveillance-audits, corrigerende maatregelen en doorlopende verbetering van controles.
Technologieën die we gebruiken
Veelgestelde vragen
Hoelang duurt ISO 27001-certificering?
Voor de meeste kmo's duurt een eerste certificering ongeveer 4 tot 9 maanden, afhankelijk van scope, bestaande maturiteit en beschikbaarheid van middelen. We kunnen dit versnellen met een gerichte scope en een pragmatisch, risicogebaseerd ISMS.
Hoeveel kost ISO 27001-certificering?
Onze consulting voor gapanalyse en ISMS-implementatie varieert doorgaans van €15.000 tot €60.000+ afhankelijk van scope en maturiteit. De auditkosten van de certificeringsinstantie zijn afzonderlijk en worden rechtstreeks door de geaccrediteerde instantie gefactureerd.
ISO 27001:2022 vs 2013 — wat is er veranderd?
De versie 2022 reorganiseerde Bijlage A van 114 naar 93 controles in vier thema's (organisatorisch, mensen, fysiek, technologisch) en voegde 11 nieuwe controles toe, waaronder threat intelligence, informatiebeveiliging voor clouddiensten en veilige ontwikkeling. Reeds gecertificeerde organisaties kregen een overgangsperiode om bij te werken.
Helpt ISO 27001 met NIS2, de AVG en DORA?
Ja. ISO 27001-controles sluiten nauw aan bij NIS2-risicobeheermaatregelen, ondersteunen de beveiligingsverplichtingen van de AVG en bieden een sterke basis voor het ICT-risicokader van DORA. Eén ISMS kan grote delen van alle drie aantonen.
Reikt u het ISO 27001-certificaat uit?
Nee — het certificaat wordt uitgereikt door een onafhankelijke geaccrediteerde certificeringsinstantie, wat het proces geloofwaardig houdt. Wij bereiden uw ISMS voor, voeren de interne audit uit en begeleiden u door de Fase 1- en Fase 2-audits van de instantie.
Van onze blog
13 juni 2026
DORA vs NIS2: overlap, verschillen en welke van toepassing is
DORA en NIS2 reguleren beide cyberweerbaarheid — maar welke is op u van toepassing? Toepassingsgebied, de lex specialis-regel, de vijf DORA-pijlers, kerndata en een beslissingsgids voor Belgische entiteiten.
13 juni 2026
DORA ICT-derdenrisico: uw register van informatie opbouwen
De derdenregels van DORA (Art. 28-30): wat het register van informatie moet bevatten, de verplichte contractclausules (Art. 30(2) vs 30(3)), kritieke of belangrijke functies en de rapportagedeadlines van 2025.
12 juni 2026
NIST CSF 2.0 voor Europese kmo’s: een praktische implementatiegids
Stapsgewijze gids voor NIST Cybersecurity Framework 2.0 voor Europese kmo’s: de zes functies (Govern, Identify, Protect, Detect, Respond, Recover), tiers, profielen en de link met NIS2 en ISO 27001.
12 juni 2026
NIST AI RMF: betrouwbare AI bouwen (en de link met de AI Act)
Het NIST AI Risk Management Framework uitgelegd: de vier functies (Govern, Map, Measure, Manage), het Generative AI Profile, kenmerken van betrouwbare AI en hoe het de EU AI Act aanvult.
9 juni 2026
AI Act risicoclassificatie: verboden, hoog risico of beperkt risico?
Praktische beslissingsgids om uw AI-systeem te classificeren onder de EU AI Act: verboden praktijken (Art. 5), hoog-risicosystemen (Bijlage III), beperkt en minimaal risico — met concrete voorbeelden.
9 juni 2026
AVG & AI: trainingsdata, geautomatiseerde besluiten en DPIA’s in België
Hoe de AVG van toepassing is op AI voor Belgische bedrijven: rechtsgrond voor trainingsdata, geautomatiseerde besluitvorming (Art. 22), DPIA's en waar de AVG de AI Act ontmoet.
Gerelateerde diensten
Beveiligingsaudit
Uitgebreide evaluatie van uw beveiligingspositie tegen industrienormen. Onze audits identificeren gaps en bieden bruikbare remediatieplannen.
NIS2-compliance
Navigeer NIS2 met vertrouwen. We helpen Belgische organisaties hun verplichtingen te begrijpen, compliance-gaps te dichten en de beveiligingscapaciteiten op te bouwen die de richtlijn vereist.
Technische AVG-compliance
Implementeer de technische controles die de AVG vereist. Van encryptie en toegangsbeheer tot gegevensbeschermingseffectbeoordelingen, wij zorgen ervoor dat uw systemen aan de regelgeving voldoen.
Klaar om te beginnen?
Laten we bespreken hoe we u kunnen helpen uw doelen te bereiken.
Neem contact op