ISO 27001 staat op de agenda, het project is gestart — en toch lijkt het traject te stokken. Herkenbaar? Je bent zeker niet de enige.
Bij mkb-organisaties zien we keer op keer dezelfde vertragingen terugkomen. Niet door gebrek aan motivatie, maar door vermijdbare valkuilen die je vooraf kunt herkennen. Hieronder de tien meest voorkomende oorzaken, met een praktische tip per punt.
1. Geen duidelijke eigenaar van het traject
ISO 27001 is een organisatiebreed project, maar wordt te vaak als IT-taak gezien. Als er niemand is die eindverantwoordelijkheid draagt — met mandaat vanuit de directie — verliest het traject al snel vaart. Benoem een projecteigenaar met beslissingsbevoegdheid, niet alleen een coördinator.
2. Onderschatten van de scope
De norm raakt vrijwel elk onderdeel van je organisatie: HR, inkoop, IT, communicatie. Wie denkt dat ISO 27001 een ICT-checklist is, loopt halverwege vast. Maak in het begin een heldere scopebepaling zodat iedereen weet wat er wél en niet in zit.
3. Te weinig capaciteit naast dagelijkse werkzaamheden
Mensen hebben een fulltime baan. Als implementatietaken worden toegevoegd boven op het reguliere werk, schuiven ze structureel op naar later. Reserveer concrete uren — liefst als vaste blokken in de agenda — of schakel externe ondersteuning in.
4. Documentatie als doel in plaats van middel
De meest tijdrovende valkuil: papieren beleid schrijven dat de praktijk niet weerspiegelt. Een auditor prikt daar doorheen, en je collega’s werken er omheen. Schrijf beleid dat aansluit op hoe jullie écht werken, niet hoe het theoretisch zou moeten.
5. Risicoanalyse die niet van de grond komt
De risicoanalyse is de ruggengraat van ISO 27001, maar voelt ook het meest abstract. Veel organisaties blijven hangen in de methodiek. Gebruik een pragmatische template met een beperkte set risicothema’s en werk die gezamenlijk uit in een workshop van een halve dag.
6. Geen betrokkenheid van het management
ISO 27001 stelt expliciete eisen aan leiderschap. Als het management de norm delegeert en verder geen rol neemt, mist het traject draagvlak én voldoet het niet aan de norm. Zorg dat directie actief betrokken is bij de risicobespreking en de managementreview.
7. Te grote stappen tegelijk willen zetten
Organisaties die alles in één keer willen regelen, komen nergens. Verdeel het traject in behapbare sprints: eerst scope en context, dan risicoanalyse, dan maatregelen per domein. Kleine stappen geven overzicht én motivatie.
8. Onduidelijkheid over welke controles verplicht zijn
Annex A van de norm bevat 93 controls. Niet alle zijn verplicht — je kiest op basis van je risicoanalyse. Toch zien we veel organisaties die alles implementeren “voor de zekerheid”. Dit kost enorm veel tijd en levert een systeem op dat niet te onderhouden is. Werk met een Statement of Applicability en onderbouw je keuzes.
9. Interne audits worden uitgesteld
Interne audits worden gezien als iets voor later — na de implementatie. In werkelijkheid zijn ze een leerinstrument dat je tijdens het traject helpt bijsturen. Plan ze vroeg in en behandel bevindingen als verbeterpunten, niet als afkeuringen.
10. Geen aansluiting bij bestaande processen
ISO 27001 werkt het best als het ingebed is in de manier waarop de organisatie al werkt. Wie het als een apart systeem naast het bestaande werk positioneert, creëert dubbel werk en weerstand. Verbind informatiebeveiliging aan bestaande overlegstructuren, onboardingprocessen en leveranciersbeoordelingen.
Van verplichting naar strategisch voordeel
ISO 27001 is meer dan een certificaat om in de kast te hangen. Een goed geïmplementeerd ISMS geeft je inzicht in je risico’s, versterkt het vertrouwen van klanten en partners, en legt een fundament voor andere compliance-trajecten zoals NIS2 en NEN 7510. De organisaties die er het meest van profiteren, behandelen het als een bedrijfsinstrument — niet als een papieren oefening.
Wil je ISO 27001 implementeren zonder de gebruikelijke vertragingen?
BOEM Cybersecurity begeleidt mkb-organisaties door het hele traject — van GAP-analyse en risicoanalyse tot aan de certificeringsaudit. Pragmatisch, zonder onnodige overhead. Neem contact op via boemcybersecurity.nl en plan een vrijblijvend gesprek.
