ISO-certificering kosten zijn meer dan het certificaatfee — interne uren, tooling, externe hulp en surveillance horen bij een realistisch budget. MKB en SaaS-leveranciers die enterprise-deals najagen onderschatten vaak de doorlooptijd tussen ‘besluit MT’ en ‘stage 2 passed’.
Transparantie over kosten helpt prioriteren: scope smaller en risico’s scherp betekent minder auditdagen; chaotisch ISMS met documentatie-theater betekent consultants en her-audits. Deze pagina schetst kostenblokken zonder vaste prijzen — die variëren per scope, sector en certificeringsinstantie.
Wat betekent dit?
Kostencomponenten: (1) interne capaciteit — security, HR, engineering, legal; (2) externe support — consultant, interne auditor, pentest; (3) certificeringsinstantie — stage 1, stage 2, jaarlijkse surveillance; (4) tooling — GRC, IAM, logging, backup; (5) opportunity cost — sales wacht op certificaat.
Certificeringsinstanties rekenen vaak per auditdag afhankelijk van scope-complexiteit, aantal locaties, FTE en IT-landschap. Multi-site SaaS met EU en US footprint kost meer dan single-office MKB met één product.
Interne kosten domineren vaak — 200–800 uur spread over 6–18 maanden is gebruikelijk voor eerste certificering, afhankelijk van volwassenheid. Hergebruik bestaande controls (SSO, SOC 2 host) verlaagt implementatiekosten.
Surveillance is recurring — plan 3-jaar TCO, niet alleen year-one. Non-conformities kunnen follow-up audit kosten veroorzaken.
Subsidies of brancheprogramma’s bestaan soms — check KVK, branchevereniging; geen algemene regel.
Voor wie is dit relevant?
MT en finance voor budgetgoedkeuring; CISO voor roadmap; procurement voor certificeringsinstantie-selectie. Scale-ups met investeerders moeten certificeringstiming afstemmen op sales pipeline.
MKB: kies bewust compact scope om kosten te beheersen — mits verdedigbaar. Grotere organisaties: allocation per BU in chargeback-model.
Compliance officers vergelijken ISO-kosten met contractuele eisen — soms is ISO goedkoper dan eindeloze custom questionnaires per enterprise-klant.
HR en IT moeten weten dat certificering interne uren vraagt — niet ‘even een projectje’ naast het werk.
Welke eisen of stappen horen erbij?
Maak kostenmodel: intern uurtarief × geschatte uren per werkstroom (scope, risico, SoA, IAM, audit prep). Voeg externe offertes toe: CB, consultant, pentest.
Vergelijk certificeringsinstanties — accreditatie (bijv. RVA), sectorervaring, stage 1 approach. Goedkoopste CB is niet altijd snelste traject.
Plan buffer 15–25% voor onvoorziene gaps — veel teams vinden access review of logging gaps laat. Koppel aan readiness scan indien beschikbaar.
Documenteer besluit MT over budget en timeline — auditors vragen soms naar management commitment en resources (clausule 5).
Veelgemaakte fouten
Alleen CB-fee budgetteren — interne uren exploderen. Scope te groot voor budget — audit faalt of wordt uitgesteld.
Consultant volledig afhankelijk — kennis vertrekt na project; surveillance lijdt. Tooling aanschaffen zonder adoptie — dubbele kosten.
Geen surveillance in meerjarenplan — year 2 sticker shock. Pentest en training vergeten.
Sales belooft certificaatdatum vóór MT-budget — reputatieschade bij klanten.
Praktisch stappenplan
Maand 1: scope draft + rough estimate; maand 2: CB offertes + interne uren; maand 3: MT besluit. Parallel: stappenplan en ISMS opzetten.
Track uren per werkstroom — leert voor surveillance. Overweeg ISMS tooling vs spreadsheet — TCO over 3 jaar vergelijken.
Plan stage 1 wanneer scope, risico, SoA draft klaar zijn — niet te vroeg (extra CB-dagen) of te laat (vertraging). Zie ISO 27001-certificering.
Review kosten na interne audit — bijsturen vóór stage 2 goedkoper dan her-audit.
Relatie met ISO 27001, NIS2, AVG of ISMS
Certificering is investering in ISMS volwassenheid — overlap met NIS2 kan kosten sparen via gedeelde registers. AVG DPIA’s zijn geen certificaatvereiste maar wel kostenpost.
Scope en risico bepalen auditomvang. Auditvoorbereiding vermindert fail-kans en herkosten.
Enterprise-klanten waarderen certificaat — ROI via snellere sales cycles en hogere win rate, moeilijk exact te kwantificeren maar frequent genoemd door SaaS-teams.
Vergelijk met consultant vs software routes voor kostenoptimalisatie.
Interne audit kosten: uren collega of externe internal auditor — vaak 3–10 dagen equivalent eerste jaar; goedkoper dan stage 2 fail.
Pentest en vulnerability scanning: recurring posten na certificering — budgeteer jaarlijks, niet eenmalig.
Training en awareness platform: per-seat kosten vs custom content — MKB kan starten met gratis NCSC-materialen plus eigen onboarding.
Opportunity cost: deals die wachten op certificaat — quantificeer pipeline waar mogelijk voor MT-pitch naast pure compliance.
Her-certificatie na 3 jaar: zelfde CB, vaak kortere audit — plan TCO cyclisch, niet alleen initiële certificering.
Legal review uren voor DPA’s en contract templates — vergeten post bij eerste ISO-budget.
Vertaalkosten voor NL/EN policy set — relevant bij mixed workforce en auditors die beide talen zien.
Engineering sprint capaciteit voor control implementation — niet alleen security FTE uren tellen.
Budget voor herstelwerk na stage 2 minor/major: engineering en consultant uren — niet iedereen haalt stage 2 in één keer; plan scenario B financieel.
Certificeringsinstantie wisselen bij surveillance heeft migratiekosten — CB-historie en scope-alignment meenemen in meerjarenplan.
Intern urenregistratie per werkstroom leert realistische surveillance-kosten — eerste raming onderschat vaak terugkerende reviewcadans.
Verberg kosten niet in generieke ‘consultancy’ budgetregel — MT ziet dan surveillance als verrassing. Uren per werkstroom maken tweede en derde jaar planbaar.
Offerte certificeringsinstantie: vraag expliciet remote stage 2 mogelijkheid en meertalige rapportage — scheelt reis- en vertaalkosten bij NL/EU teams.
Scenario B budget als stage 2 minor follow-up audit nodig is — realistischer dan alleen best-case doorlooptijd in MT-presentatie.
Telefoontijd sales engineering voor klantvragenlijsten meenemen — verborgen kosten naast CB-factuur.
Consultant offerte vergelijken met intern uurbudget cap — voorkomt open daily rate zonder deliverables.
Surveillance budget jaar twee in dezelfde MT-begroting als jaar één — voorkomt goedkeuringsvertraging.
Interne uren zijn vaak de grootste kostenpost — reken realistisch met security, IT, HR en lijnmanagement voor workshops, implementatie, interne audit en management review, niet alleen externe auditfee.
Certificeringsinstanties rekenen auditdagen op basis van scope, headcount en IT-complexiteit — vraag breakdown stage 1 vs stage 2 en surveillance vóór je tekent; verrassingen zitten in reis- en rapportagekosten.
Consultants vs software vs intern: consultants versnellen start maar zijn duur op lange termijn; GRC-software bespaart registratiewerk; puur intern vraagt senior aansturing — veel MKB kiest hybride eerste jaar.
Reserveer budget voor herstel na interne audit — major non-conformities vóór certificering kosten extra dagen en soms uitstel; plan buffer van 15–20% op externe audit en consultanturen.
Surveillance in jaar 2 en 3 hoort in dezelfde MT-begroting als jaar 1 — certificering is geen eenmalige fee maar driejarig ritme met jaarlijkse auditkosten en doorlopende interne uren.
Telefoontijd van sales engineering voor klant-security-vragenlijsten tijdens certificeringstraject is een verborgen kostenpost — plan capaciteit of standaardiseer antwoorden vanuit je ISMS-bibliotheek.
MKB met beperkte scope: reken 40–80 interne dagen plus €8–15k externe audit eerste jaar — schaal op bij multi-region SaaS of NIS2-ketenverplichtingen.
Pen-test en vulnerability scanning budget apart van certificaatfee — auditors en klanten verwachten onafhankelijke testresultaten binnen 12 maanden.
Travel en off-site auditdagen voor multi-site scope — vraag certificeringsinstantie vooraf welke locaties stage 2 bezoekt om reiskosten te budgetteren.
Her-certificering jaar drie kost vaak vergelijkbaar met eerste stage 2 — driejarig financieel model moet verlenging bevatten, niet alleen eerste certificaat.
Awareness en phishing-simulatie budget opnemen — goedkope jaarlijkse oefening dekt Annex A-thema’s en HR-verwachtingen beter dan een eenmalige consultant-workshop.
Legal review van klant-DPA’s parallel aan certificering — privacy counsel uren stijgen bij enterprise deals in hetzelfde kwartaal.