GAP-analyse ISO 27001:2022 — Hybride aanpak in 2026

De ISO 27001:2022 is sinds 13 oktober 2025 de enige geldige versie — de oude 2013 is per die datum ingetrokken. Dus als je dit artikel leest, ben je waarschijnlijk al over, of zit je middenin de afronding. We hebben dit artikel opnieuw geschreven met focus op waar de meeste organisaties in 2026 staan: je hebt de migratie naar ISO 27001:2022 gedaan, maar andere normen (zoals NEN 7510 of ISO 9001) zijn nog niet gemigreerd. Dat noemen we de “hybride vorm” — en dat is precies waar de gap-analyse nog steeds waarde toevoegt.

Wat is er met ISO 27001:2022 veranderd: 93 controls in plaats van 114, verdeeld over 4 thema’s (Organizational, People, Physical, Technological). Een groot deel van de oude controls is samengevoegd, hernoemd of opnieuw ingedeeld. Maar stiekem is het voor wie de oude 2013-versie kende vooral woordkeuze, details en consolidatie van wat er al was. 11 controls zijn echt nieuw — denk aan threat intelligence, configuration management, data leakage prevention en cloud services.

Een gap-analyse blijft verplicht om aan een externe auditor aan te tonen dat je ISMS aan de actuele standaard voldoet. En zelfs als je migratie naar 27001:2022 al staat: zodra je in 2026 een geïntegreerd managementsysteem hebt waar normen op verschillende versies draaien, is een gap-analyse op die hybride structuur waardevol.

Waarom een goede gap-analyse de overstap eenvoudiger maakt

Als je overgaat naar de nieuwe ISO 27001:2022-norm, moet je in kaart brengen wat je daarvoor nodig hebt. Door de aanpassingen die zijn doorgevoerd, is je huidige ISMS namelijk niet meer (volledig) in lijn met de nieuwe standaard. Maak je overigens geen zorgen dat je helemaal opnieuw moet beginnen; de kans is groot dat je al veel op orde hebt.

Bij onze klanten die het Security Officer abonnement afnemen, zijn we in sommige gevallen binnen een dag klaar met het nieuwe beleid en zit de grootste winst erin dat ze kunnen leunen op onze expertise en nieuwste beleidsstukken in plaats van zelf alles uit te moeten zoeken. Maar als je wilt dat die overgang bij jullie ook zo soepel verloopt, is het wel belangrijk dat je een goede gap-analyse uitvoert.

Waarom die gap-analyse zo belangrijk is?

Je bespaart tijd: Met een gap-analyse weet je precies waar de pijnpunten zitten. Focus op deze specifieke punten, in plaats van alles overhoop te halen. Vaak zijn een paar aanpassingen genoeg om je beleid en procedures weer up-to-date te krijgen.

Je hebt een duidelijke roadmap: Zet de gap-analyse in als een duidelijk stappenplan. Het laat zien waar je nu staat en wat je moet doen om aan de nieuwe standaard te voldoen. Dit plan helpt je bij het plannen en doorvoeren van aanpassingen en zorgt dat je informatiebeveiligingssysteem stevig staat onder de nieuwe standaard.

Waar moet je beginnen?

Bij het uitvoeren van een gap-analyse, is het belangrijk om systematisch te werk te gaan. Wij raden aan om te beginnen met het in kaart brengen van veranderingen op het gebied van de High-Level Structure.

Veranderingen op het gebied van HLS: Bestudeer hoe de structuur en terminologie zijn veranderd in de nieuwe norm.
Beoordeling van controls: Analyseer de nieuwe en gewijzigde controls. Kijk hoe deze zich verhouden tot jouw huidige ISMS.
Prioriteer acties: Bepaal welke wijzigingen de hoogste prioriteit hebben en plan deze als eerste in.
Betrokkenheid van stakeholders: Zorg ervoor dat alle relevante partijen binnen de organisatie betrokken zijn bij de gap-analyse.
Documentatie: Documenteer je bevindingen en actieplannen duidelijk. Dit helpt niet alleen bij de implementatie, maar is ook essentieel tijdens audits.

Bovenstaande is natuurlijk een voorbeeld qua werkwijze, maar welke zaken moet je nu concreet meenemen in de gap-analyse?

Risicoanalyse en -behandeling

Integratie van nieuwe normelementen: De eerste stap is het integreren van de nieuwe normelementen in je huidige risicobeheerdocumenten. Het doel is om te bepalen hoe deze nieuwe elementen invloed hebben op je bestaande risicobeheer strategieën.

Afstemming van risico’s op nieuwe maatregelen: Nadat je de nieuwe normelementen hebt geïntegreerd, is het essentieel om je huidige risico’s af te stemmen op deze nieuwe maatregelen. Dit kan betekenen dat sommige risico’s opnieuw moeten worden beoordeeld of geclassificeerd, terwijl andere risico’s nieuwe maatregelen vereisen.

Uitvoering van een nieuwe risicoanalyse: Aan de methodiek is niets veranderd; het is echter wel belangrijk om – na het afronden van de gap-analyse – de risicoanalyse opnieuw uit te laten voeren. Deze analyse moet in lijn zijn met je operationele planning en rekening houden met de geïntegreerde nieuwe normelementen. Dit zorgt ervoor dat je risicomanagement up-to-date is en effectief blijft onder de nieuwe norm.

Normverwijzingen in beleid

Evaluatie en integratie in huidig beleid: Om je beleid in lijn te brengen met ISO 27001:2022, begin je met een grondige evaluatie. Loop elk hoofdstuk van je beleid door en vervang waar nodig de verwijzingen naar oudere normversies door de actuele ISO 27001:2022-verwijzingen. Dit zorgt ervoor dat je beleid accuraat en up-to-date is. Een handige strategie is om je oude Verklaring van Toepasselijkheid erbij te pakken en te controleren hoe je bestaande beleidsstukken en maatregelen hierin zijn opgenomen.

Consolidatie en actualisatie: Werk je beleid bij door relevante onderdelen te combineren of te vernieuwen, zodat het logisch en uitvoerbaar blijft. Overweeg het toevoegen van een extra kolom aan je Verklaring van Toepasselijkheid voor de nieuwe norm. Hierin kun je per maatregel noteren hoe en waar deze in je beleid en operationele processen is geborgd. Dit helpt bij het creëren van een duidelijk overzicht van hoe je beleid aansluit bij de nieuwe eisen. Let wel op dat de High-Level Structure (HLS) niet direct gekoppeld is aan je beheersmaatregelen, dus zorg dat deze integratie zorgvuldig en doordacht gebeurt.

Combinatie met andere normen

Huidig beleid als basis gebruiken: Vanuit deze basis is het mogelijk om bestaande normen te actualiseren, door nieuwe referenties en standaarden te integreren waar deze voldoende ontwikkeld zijn. Let wel op; als je bijvoorbeeld ISO 9001 of NEN 7510 hebt, is deze structuur hetzelfde als de oude ISO 27001. Denk dus goed na voordat je het beleid omgooit dat zaken nog logisch en vindbaar zijn en houd rekening met de oude verwijzing als je nieuwe en oude normen combineert.

Ondersteunende documenten en procedures controleren: Het is ook belangrijk om bestaande ondersteunende documenten en procedures regelmatig onder de loep te nemen. Dit houdt in dat deze documenten en procedures geëvalueerd moeten worden om te bepalen of ze nog steeds relevant zijn en of ze voldoen aan de huidige standaarden. Waar tekortkomingen worden vastgesteld, moeten deze documenten en procedures worden aangescherpt om zo effectiviteit en compliantie te verzekeren.

Verklaring van Toepasselijkheid

Opstellen van een nieuwe VvT: De VvT moet een overzicht zijn van alle relevante controls voor jouw organisatie. Daarom moet je bij de overgang de nieuwe ISO 27001:2022 elementen opnemen, elke relevante maatregel identificeren en het beheer ervan vastleggen.

Managementbeoordeling

Updaten van het managementbeoordelingstemplate: Begin met het doorlopen van nieuwe normelementen en actualiseer waar nodig je huidige managementbeoordelingstemplate, zodat alle vereisten aanwezig zijn Essentieel is de integratie van nieuwe eisen in het beoordelingsproces. Dit kan inhouden dat je delen van het template moet verbreden of wijzigen om nieuwe punten goed te beschrijven.

Managementbeoordeling uitvoeren na interne audit: De managementbeoordeling na de interne audit is belangrijk om de laatste auditresultaten en normvereisten te verwerken, zodat er een volledig en actueel beeld ontstaat van de naleving van de norm door de organisatie.

Interne Audit

Nieuwe interne audit: Voor het valideren is een nieuwe interne audit essentieel. De audit dient alle nieuwe normelementen te omvatten en te toetsen binnen jouw organisatie.

Bevindingen en verbeterplannen: Documenteer auditbevindingen en stel waar nodig specifieke, meetbare en tijdgebonden actieplannen op.

Kennis

Bewustwording en training: Het is belangrijk dat iedereen binnen je organisatie de veranderingen begrijpt. Zorg voor een (externe) expert die middels trainingen en workshops inzicht in de nieuwe norm biedt.

Bespreek de gap-analyse met je team: Bespreek gap-analyse resultaten en veranderingen met het team. Dit zorgt ervoor dat iedereen inzicht krijgt in de huidige prestaties en de doelstellingen. Zorg tijdens deze besprekingen voor een open dialoog zodat teamleden de gelegenheid krijgen om onduidelijkheden aan te kaarten en hun inzichten te delen. Aan de hand van deze besprekingen kun je waar nodig aanvullende procedures en instructies realiseren.

Procedures

Implementatie van nieuwe eisen: Analyseer huidige procedures en bepaal waar aanpassingen of toevoegingen nodig zijn. Bestaande procedures moeten herzien en waar nodig geactualiseerd worden om ze in lijn te brengen met de nieuwe norm.

Aantoonbaarheid transitie

Documentatie van de gap-analyse: Deze documentatie moet uitgebreid zijn en alle aspecten van de analyse omvatten, je moet hiermee aan kunnen tonen dat je organisatie ‘in control’ is. In hetzelfde document waarin de gap-analyse is vastgelegd, beschrijf je gedetailleerd alle acties die zijn ondernomen als resultaat van de analyse. Dit omvat updates in beleid, procedurewijzigingen, trainingen, risicobeoordelingen, en andere relevante activiteiten.

Integratie in beleid en procedures: Zorg ervoor dat de resultaten en bevindingen van de gap-analyse worden geïntegreerd in het beleid en de operationele procedures van je organisatie. Dit dient als concreet bewijs dat de acties die zijn ondernomen om aan de nieuwe norm te voldoen, zijn vastgelegd en geïmplementeerd in de dagelijkse praktijk.

De hybride vorm: ISO 27001:2022 live, andere normen nog niet

In 2026 zijn organisaties bezig met de migratie naar de nieuwe NEN 7510 (de 2024-versie). Als je nog de oude NEN 7510:2017 hebt en de nieuwe ISO 27001:2022 al live is, wees scherp op deze hybride vorm. Hetzelfde geldt voor ISO 9001 — als je daar nog op de 2015-versie zit terwijl je 27001 al op 2022 draait, dan loop je structureel uit de pas tussen normen die in opzet juist op elkaar moeten aansluiten.

De diverse normen zijn bij hun herziening allemaal in lijn gebracht via de High Level Structure (HLS). Bij de overgang naar een nieuwe herziening kan het wel zo zijn dat zaken niet meer exact in lijn zijn met elkaar. Bijvoorbeeld de HLS-hoofdstukken zijn bij (bijna) alle normen vergelijkbaar — maar als je een oudere versie van ISO 9001 of NEN 7510 hebt, is die structuur grotendeels hetzelfde als de óude ISO 27001. Niet als de nieuwe.

Wat we in audits zien is dat organisaties hierdoor twee parallelle ISMS-structuren onderhouden zonder dat ze het doorhebben. Beleid verwijst nog naar oude clausules, terwijl het managementsysteem voor 27001 op de nieuwe nummering draait. Op zich werkt het, maar zodra je een gecombineerde audit doet, valt het op.

Praktische aanpak: gap-analyse op de hybride structuur

Denk dus goed na voordat je het beleid omgooit. Zorg dat zaken nog logisch en vindbaar zijn, en hou bij een geïntegreerd managementsysteem rekening met de mapping van “oude structuur” naar “nieuwe structuur”. Onze ervaring: organisaties die hun beleid in een keer “modern” maken op de 27001:2022-structuur, lopen tegen verwijzingen aan in de NEN 7510:2017 of ISO 9001:2015 die ineens nergens meer naar wijzen. En dan moet je het werk dubbel doen.

Bijna alle documenten in de Plan-Do-Check-Act van een ISMS — Directiebeoordeling, Operationele Planning, Autorisatiematrix, Continuïteitsplan, Monitoren & Meten enzovoort — zijn inhoudelijk bijna 1-op-1 herbruikbaar tussen versies. Als we ons focussen op de Directiebeoordeling bij een Geïntegreerd Managementsysteem: let dan wel goed op dat je per onderdeel de juiste referentie naar de juiste norm-elementen en HLS-hoofdstukken update. Dat is waar 80% van de hybride-vorm-fouten zitten.

Officiële clausule-mapping: ISO 27001:2013 → ISO 27001:2023

Bij elke transitie van 2013 naar 2023 lopen we deze 23 hoofdclausules systematisch door. Hieronder per clausule wat er feitelijk veranderd is — handig om scope en impact in te schatten voordat je begint.

Belangrijkste verandering: Annex A herstructurering

De grootste verschuiving zit niet in de HLS-clausules (waar de wijzigingen tekstueel zijn) maar in Annex A. ISO 27001:2013 had 114 controls verspreid over 14 categorieën (A.5 t/m A.18). ISO 27001:2023 heeft 93 controls in 4 thema’s:

• A.5 — Organizational controls (37 controls): governance, beleid, processen
• A.6 — People controls (8 controls): personeel, training, awareness
• A.7 — Physical controls (14 controls): fysieke beveiliging
• A.8 — Technological controls (34 controls): techniek, cryptografie, netwerk

Daarbij zijn er 11 nieuwe controls toegevoegd waar 2013 helemaal niets over zei: threat intelligence, ICT readiness for business continuity, physical security monitoring, configuration management, information deletion, data masking, data leakage prevention, monitoring activities, web filtering, secure coding en cloud services. De rest van de 2013-controls is samengevoegd, hernoemd of opnieuw gecategoriseerd.

In de praktijk pak je elke clausule beet bij je eerste GAP-sessie; meestal loop je in een dagdeel de hele tabel door en zie je waar je grootste hiaten zitten.

Veelgestelde vragen

Wat moet er in een gap-analyse?

Een gap-analyse vergelijkt de huidige situatie (ist) met de gewenste situatie (soll) volgens ISO 27001. Per clausule en control beoordeel je: is dit aanwezig, gedeeltelijk aanwezig of afwezig? Concreet bevat de analyse: scopebepaling, review van bestaande documentatie en beleid, beoordeling van technische maatregelen, interviews met medewerkers, en een eindrapport met prioriteiten, inspanningsschatting en aanbevolen route naar certificering. Een goede gap-analyse duurt 2–5 dagen.

Wat zijn de 4 stappen van een kloofanalyse?

De vier stappen van een kloof- of gap-analyse zijn: (1) huidige situatie analyseren door data te verzamelen en de status quo te begrijpen, (2) ideale toekomstige situatie definiëren conform de norm of het doel, (3) de gap identificeren en mogelijke oplossingen evalueren, en (4) een actieplan opstellen en implementeren met concrete strategieën, owners en deadlines. Voor ISO 27001 is dit de standaard startpunt vóór certificering.

Wat verdient een ISO 27001 auditor?

Een interne ISO 27001-auditor verdient in Nederland tussen € 4.800 en € 6.000 bruto per maand fulltime, afhankelijk van ervaring en certificeringen. Externe lead auditors van certificerende instellingen rekenen dagtarieven van € 1.200–€ 2.000. Voor een gap-analyse of pre-audit door een externe consultant betaal je doorgaans € 3.500–€ 7.500 voor MKB, afhankelijk van scope en omvang. Een goede investering vóór de officiële certificeringsaudit.

Wat is de contextanalyse volgens ISO 27001?

De contextanalyse (clausule 4.1 en 4.2) is het startpunt van je ISMS volgens ISO 27001. Je brengt systematisch in kaart welke interne en externe factoren invloed hebben op informatiebeveiliging: marktdynamiek, regelgeving (AVG, NIS2), technologische ontwikkelingen, organisatiestructuur, en belanghebbenden zoals klanten, leveranciers en toezichthouders. De uitkomst bepaalt direct de scope en risicoaanpak van je ISMS en is verplichte input voor de risicoanalyse.