Een gemiddeld certificeringstraject duurt tussen de zes maanden en anderhalf jaar, afhankelijk van de omvang van de organisatie, de gekozen norm en de mate van voorbereiding. Voor een kleine organisatie die al een stevige basis heeft, is zes tot negen maanden realistisch. Grotere of complexere organisaties rekenen beter op twaalf tot achttien maanden. In dit artikel beantwoorden we de meest gestelde vragen over de doorlooptijd van een certificering informatiebeveiliging, zodat je weet wat je kunt verwachten. Heb je al een concreet beeld van je situatie? Neem gerust contact op en we denken graag met je mee.
Welke factoren bepalen de doorlooptijd van een certificeringstraject?
De doorlooptijd van een certificeringstraject wordt bepaald door vier hoofdfactoren: de omvang en complexiteit van de organisatie, de volwassenheid van de bestaande informatiebeveiliging, de beschikbare interne capaciteit en de gekozen norm. Een organisatie die al veel beveiligingsmaatregelen heeft getroffen, doorloopt het traject aanzienlijk sneller dan een organisatie die vrijwel vanaf nul begint.
Concreet spelen de volgende elementen een rol:
- Organisatieomvang: Meer medewerkers, locaties of systemen betekent meer scope en dus meer werk.
- Volwassenheid van het ISMS: Een goed gedocumenteerd informatiebeveiligingsmanagementsysteem verkort de voorbereidingstijd aanzienlijk.
- Interne capaciteit: Hoeveel tijd en mensen kunnen intern worden vrijgemaakt voor het traject?
- Complexiteit van de IT-omgeving: Organisaties met eigen softwareontwikkeling, OT-systemen of cloudinfrastructuur hebben doorgaans meer voorbereidingstijd nodig.
- Sectorspecifieke eisen: Normen zoals NEN 7510 voor de zorg kennen aanvullende vereisten die extra doorlooptijd vragen.
De combinatie van deze factoren maakt dat er geen universele tijdlijn bestaat. Een eerlijke inschatting vraagt altijd om een blik op de specifieke context van de organisatie.
Hoe lang duurt de voorbereidingsfase voor een certificering?
De voorbereidingsfase duurt gemiddeld drie tot twaalf maanden. Dit is de fase waarin een organisatie haar informatiebeveiligingsmanagementsysteem (ISMS) opzet, beleid schrijft, risicoanalyses uitvoert en maatregelen implementeert. De exacte duur hangt sterk af van hoe ver de organisatie al is met haar informatiebeveiliging.
In de praktijk bestaat de voorbereidingsfase uit een aantal herkenbare stappen:
- Nulmeting of gap-analyse: Inzicht in wat er al is en wat nog ontbreekt ten opzichte van de norm.
- Scope bepalen: Welke onderdelen van de organisatie vallen onder de certificering?
- ISMS inrichten: Beleid, procedures en verantwoordelijkheden vastleggen.
- Risicoanalyse uitvoeren: Risico’s identificeren, beoordelen en van beheersmaatregelen voorzien.
- Implementeren en aantonen: Maatregelen daadwerkelijk in werking stellen en bewijs verzamelen.
- Interne audit en directiebeoordeling: Verplichte stappen voordat de externe audit plaatsvindt.
Organisaties die de voorbereidingsfase onderschatten, lopen het risico de audit in te gaan zonder voldoende bewijs van werking. Dat leidt tot bevindingen die de doorlooptijd alsnog verlengen.
Wat is het verschil tussen een initiële certificering en een hercertificering?
Een initiële certificering is het eerste traject waarbij een organisatie een certificaat behaalt. Dit is het meest tijdrovend, omdat het volledige ISMS moet worden opgezet, gedocumenteerd en aantoonbaar in werking gesteld. Een hercertificering vindt plaats na drie jaar en toetst of het systeem nog steeds voldoet en verder is ontwikkeld. De doorlooptijd van een hercertificering is doorgaans korter.
Bij een initiële ISO 27001-certificering voert de certificerende instelling een fase-1-audit (documentatiebeoordeling) en een fase-2-audit (implementatiebeoordeling) uit. Samen nemen deze audits meerdere dagen in beslag, afhankelijk van de organisatieomvang.
Tijdens de driejarige certificeringsperiode vinden jaarlijkse tussentijdse audits (surveillance-audits) plaats. Deze zijn minder uitgebreid dan de volledige audit en gericht op het bewaken van de continuïteit van het systeem. Bij de hercertificering na drie jaar wordt het systeem opnieuw volledig beoordeeld, maar omdat de organisatie dan al drie jaar ervaring heeft, verloopt dit proces in de meeste gevallen soepeler en sneller.
Hoe snel kan een klein bedrijf een ISO 27001-certificering behalen?
Een klein bedrijf kan een ISO 27001-certificering in zes tot negen maanden behalen, mits er voldoende interne capaciteit beschikbaar is en de voorbereiding serieus wordt opgepakt. Een beperkte scope, een overzichtelijke IT-omgeving en een toegewijde projectverantwoordelijke zijn de belangrijkste versnellers bij een ISO 27001-tijdlijn voor kleinere organisaties.
Voor een klein bedrijf geldt dat de scope bewust beperkt kan worden gehouden. Niet de hele organisatie hoeft in één keer gecertificeerd te worden. Door te starten met een afgebakend onderdeel, zoals de dienstverlening aan B2B-klanten, wordt het traject behapbaar. Wel moet de scope realistisch en verdedigbaar zijn ten opzichte van de daadwerkelijke bedrijfsactiviteiten.
Wat het traject voor kleine organisaties soms vertraagt, is het gebrek aan een dedicated medewerker die het ISMS beheert. Als informatiebeveiliging erbij gedaan wordt naast andere taken, schuift de voortgang makkelijk op. Wie dit risico onderkent en er bewust capaciteit voor reserveert, haalt de zes tot negen maanden comfortabel.
Welke stappen doorloopt een organisatie tijdens de certificeringsaudit zelf?
De certificeringsaudit bestaat uit twee fasen: een fase-1-audit gericht op de documentatie en het ISMS-ontwerp, gevolgd door een fase-2-audit waarin de daadwerkelijke implementatie en werking worden beoordeeld. Samen vormen deze fasen het formele toetsmoment waarop het certificaat wordt verleend of geweigerd.
Fase 1: Documentatiebeoordeling
In fase 1 beoordeelt de auditor het informatiebeveiligingsbeleid, de risicoanalyse, de Verklaring van Toepasselijkheid (SoA) en de overige documentatie. Het doel is vast te stellen of de organisatie conceptueel klaar is voor de implementatiebeoordeling. Eventuele tekortkomingen in de documentatie worden in een rapport vastgelegd zodat de organisatie deze kan aanpakken voor fase 2.
Fase 2: Implementatiebeoordeling
In fase 2 toetst de auditor of de beschreven maatregelen ook daadwerkelijk worden uitgevoerd en werken. Dit gebeurt via interviews met medewerkers, inzage in logbestanden en systemen, en observaties op de werkvloer. Na afloop van fase 2 ontvangt de organisatie een auditrapport met eventuele bevindingen. Bij geen of alleen kleine bevindingen wordt het certificaat verleend.
Wat vertraagt een certificeringstraject het meest?
De grootste vertrager in een certificeringstraject is het ontbreken van aantoonbare werking van maatregelen. Veel organisaties hebben beleid en procedures op papier staan, maar kunnen tijdens de audit niet laten zien dat deze in de praktijk worden nageleefd. Dit leidt tot bevindingen die eerst moeten worden opgelost voordat het certificaat kan worden verleend.
Andere veelvoorkomende oorzaken van vertraging zijn:
- Onvoldoende interne capaciteit: Als niemand eigenaarschap neemt over het traject, stagneert de voortgang.
- Onduidelijke scope: Een slecht afgebakende scope leidt tot discussies tijdens de audit en extra werk.
- Ontbrekende interne audit of directiebeoordeling: Deze zijn verplicht voor de externe audit. Wie ze vergeet, moet alsnog wachten.
- Onvolledige risicoanalyse: Een oppervlakkige risicoanalyse zonder aantoonbare opvolging is een veelgemaakte fout.
- Wisselende prioriteiten: Projecten die concurreren om dezelfde mensen en tijd, zoals een softwarelancering of reorganisatie, remmen het certificeringstraject af.
Wie deze valkuilen kent en er van tevoren rekening mee houdt, verkleint de kans op vertraging aanzienlijk. Een heldere planning, duidelijk eigenaarschap en regelmatige voortgangsbewaking zijn de meest effectieve maatregelen om het traject op schema te houden.
Wil je weten hoe lang een certificeringstraject voor jouw organisatie realistisch duurt? Neem contact op en we maken samen een eerlijke inschatting op basis van jouw situatie.
