Hvad koster ISO 27701:2025-certificering egentlig for en SMV?
De overordnede tal, du ser online (£50,000-£100,000), er typisk for store organisationer med flere lokationer og kompleks databehandling. For en SMV er tallene væsentligt lavere.
| Omkostningskomponent | SMV-gruppe (1-50 ansatte) | SMV-gruppe (50-150 ansatte) |
|---|---|---|
| Gebyrer for revision af certificeringsorganer | £ 3,000 - £ 8,000 | £ 6,000 - £ 15,000 |
| Compliance-platform | £5,000 – £10,000/år | £7,000 – £12,000/år |
| Konsulent (valgfrit) | £ 0 - £ 8,000 | £ 3,000 - £ 15,000 |
| Intern tid | 1-2 dage/uge i 3-6 måneder | 2-3 dage/uge i 4-8 måneder |
| Samlede omkostninger for det første år (ingen konsulent) | £ 8,000 - £ 18,000 | £ 13,000 - £ 27,000 |
For en SaaS-virksomhed med 30 ansatte er £12,000-£15,000 i det første år et realistisk budget, når man bruger en compliance-platform og nej konsulentDet er mindre end prisen for én ansættelse på mellemniveau i en måned.
Hvorfor synes SMV'er at certificering er for dyrt?
Opfattelsesproblemet stammer fra tre kilder:
- Virksomhedsfokuseret prissætning er det, folk ser — De fleste offentliggjorte omkostningsguider beskriver virksomhedsimplementeringer med konsulenter, flere lokationer og komplekse omfang. SMV'er læser disse tal og antager, at de gælder.
- Konsulentomkostninger dominerer samtalen — Traditionel implementering var i høj grad afhængig af konsulenter (£20,000–£50,000+). En compliance-platform med præbyggede frameworks reducerer eller eliminerer denne omkostning helt.
- 2019-udgaven krævede først ISO 27001 — Under den gamle model skulle man opbygge og certificere et ISMS, før man tilføjede ISO 27701. 2025 enkeltstående model fjerner denne forudsætning, hvilket reducerer de samlede omkostninger betydeligt for organisationer, der kun har brug for privatlivscertificering.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvor kan SMV'er spare penge?
1. Brug en compliance-platform, ikke en konsulent
En platform som ISMS.online med forudkonfigureret ISO 27701:2025 krav og Bilag A kontrollerer erstatter størstedelen af det, en konsulent leverer. Politikskabeloner, risikoregisterstrukturer, generering af SoA og implementeringsvejledning er indbygget. De fleste SMV'er kan implementere uden ekstern konsulentstøtte.
2. Certificer selvstændigt
Hvis du ikke allerede har ISO 27001, og dit primære behov er privatlivscertificering, undgår den separate ISO 27701:2025-rute at opbygge to ledelsessystemer. Én certificering, én revision, ét sæt gebyrer.
3. Start med et tæt kikkertsigte
Du behøver ikke at certificere alle dele af din virksomhed. Definer et omfang, der dækker dine mest kommercielt vigtige databehandlingsaktiviteter – typisk de tjenester, du leverer til virksomhedskunder. Et snævrere omfang betyder færre revisionsdage og lavere gebyrer. Du kan udvide omfanget i fremtidige cyklusser, efterhånden som virksomheden vokser.
4. Sammenlign tilbud fra certificeringsorganer
Revisionsgebyrer varierer betydeligt mellem certificeringsorganer. For en lille organisation kan forskellen mellem det billigste og dyreste tilbud være £3,000-£5,000. Indhent mindst tre tilbud, og sammenlign den fulde pris for den treårige cyklus, ikke kun den indledende revision.
5. Time din implementering omkring tilgængeligheden af revisioner
Nogle certificeringsorganer tilbyder lavere priser i roligere perioder (typisk 1. og 3. kvartal). Fleksibel planlægning kan reducere dine revisionsgebyrer med 10-15 %.
Hvad koster det IKKE at have en certificering?
Omkostningerne ved certificering er synlige. Omkostningerne ved ikke at have det skjult, men ofte større:
| Skjulte omkostninger | Indvirkning på SMV'er |
|---|---|
| Tabte virksomhedsaftaler | Et enkelt afvist tilbud eller en tabt kontrakt, fordi du mangler privatlivscertificering, kan overstige de samlede omkostninger ved certificeringen. For SMV'er, der sælger til virksomheder, er dette den største risiko. |
| Byrde af sikkerhedsspørgeskemaet | Uden certificering sender hver virksomhedskunde et skræddersyet sikkerhedsspørgeskema. Med 20-40 timer hver koster 5 spørgeskemaer om året 100-200 timer af dit teams tid. Certificering reducerer dette til en brøkdel. |
| Reguleringsmæssig eksponering | SMV'er står over for de samme GDPR-bøder som store organisationer (op til 20 millioner euro eller 4 % af omsætningen). Et struktureret PIMS reducerer sandsynligheden for og alvoren af regulatoriske tiltag. |
| Brudomkostninger | De gennemsnitlige omkostninger ved et databrud for små virksomheder er £8,000-£15,000 (DCMS Cyber Security Breaches Survey). En enkelt forebygget eller bedre inddæmmet hændelse kan dække omkostningerne ved certificering. |
| Konkurrencemæssig ulempe | Når en kunde vælger mellem en certificeret og en ukertificeret leverandør, taber den ukertificerede leverandør. Efterhånden som ISO 27701-implementeringen vokser, forværres denne ulempe. |
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Er certificering det værd for en virksomhed med 10 personer?
Det afhænger af, hvem du sælger til. Hvis dine kunder er andre virksomheder (især store virksomheder), og du behandler deres personoplysninger, er certificering sandsynligvis det værd, selv ved 10 personer. Den kommercielle fordel ved at fjerne indkøb Friktion og den operationelle fordel ved struktureret privatlivsstyring leverer værdi, der opvejer omkostningerne.
Hvis du er en lille B2C-virksomhed med enkel databehandling og ingen store kunder, kan det være mere proportionelt at implementere ISO 27701-principperne uden formel certificering. Du kan altid certificere senere, når den kommercielle situation styrkes.
Hvordan ser et realistisk SMV-budget ud over 3 år?
| År | Lille SMV (1–50) | Mellemstor SMV (50–150) |
|---|---|---|
| År 1 (implementering + certificering) | £ 10,000 - £ 18,000 | £ 15,000 - £ 27,000 |
| År 2 (overvågning + platform) | £ 7,000 - £ 12,000 | £ 10,000 - £ 16,000 |
| År 3 (recertificering + platform) | £ 8,000 - £ 14,000 | £ 12,000 - £ 20,000 |
| 3-årigt i alt | £ 25,000 - £ 44,000 | £ 37,000 - £ 63,000 |
For en lille SMV er det £700-£1,200 om måneden. Til sammenligning bruger de fleste SMV'er mere end dette på deres CRM, regnskabssoftware eller cloudhosting. Privatlivscertificering er ikke en luksus for virksomheder – det er en driftsomkostning, der giver et målbart kommercielt afkast.
Hvorfor vælge ISMS.online for ISO 27701:2025?
- Bygget til organisationer i alle størrelser — Ikke et nedskaleret virksomhedsværktøj. Platformen er designet til at kunne bruges fra dag ét uden ugers konfiguration.
- Erstatter konsulentudgifter — Præbyggede rammer, politikskabeloner, vejledningsnotater og automatiseret generering af SoA dækker det arbejde, som konsulenter opkræver £15,000-£50,000 for
- Hurtig tid til værdiansættelse — Start implementeringen i den første uge, ikke efter flere ugers opsætning. SMV'er har ikke råd til at bruge tid på at konfigurere et værktøj.
- Selvstændig ISO 27701:2025-understøttelse — Specialudviklet til 2025-udgaven, inklusive den separate certificeringsvej, der sparer SMV'er for at skulle have ISO 27001 først
- Forudsigelige omkostninger — Årligt abonnement, ingen overraskelser, ingen omfangsforskydning. Budgetter med ro i sindet.
- Skalerer efterhånden som du vokser — Start med ISO 27701, tilføj ISO 27001 eller GDPR senere, hvis det er nødvendigt. Betal for det, du bruger.
- Reducerer den løbende indsats — Dashboards, opgavestyring og gennemgangscyklusser holder dit PIMS opdateret uden et dedikeret compliance-team
Klar til at se hvad certificeringsomkostningers for din organisation? Book en demo og udforske hvordan ISMS.online gør ISO 27701: 2025 certificering tilgængelige for SMV'er.
Ofte stillede spørgsmål
Er der en minimumsstørrelse for en virksomhed for at blive ISO 27701-certificeret?
Nej. Der er intet krav til minimumsstørrelse. Organisationer af enhver størrelse kan opnå certificering. Standarden tilpasses din kontekst – en virksomhed med 5 personer vil have et enklere PIMS end en virksomhed med 500 personer, men begge kan opfylde kravene. Varigheden (og dermed omkostningerne) af certificeringsorganauditering skaleres med størrelsen, så mindre organisationer betaler mindre.
Kan jeg implementere ISO 27701 uden dedikeret compliance-personale?
Ja. Mange SMV'er tildeler ISO 27701-ansvaret til en eksisterende rolle (DPO, IT-chef, driftsleder) i stedet for at ansætte en dedikeret compliance-ansvarlig. En compliance-platform med indbygget vejledning gør dette praktisk ved at give den struktur og ekspertise, der ellers ville kræve en specialist.
Skal jeg først have ISO 27001, eller kan jeg gå direkte til ISO 27701?
I 2025-udgaven kan du gå direkte til uafhængig ISO 27701-certificering uden ISO 27001. Dette er en betydelig omkostningsbesparelse for SMV'er, hvis primære behov er privatlivscertificering snarere end bredere informationssikkerhedscertificering.
Hvor meget intern tid bør et lille team budgettere?
For en lille SMV (under 50 ansatte) bør der budgetteres med 1-2 dage om ugen fra en ledende person over 3-6 måneder, plus lejlighedsvis input fra andre teammedlemmer til specifikke områder (IT-sikkerhed, HR-processer, juridisk gennemgang). Efter certificering falder vedligeholdelsen til cirka en halv dag om ugen. En præbygget platform reducerer tidsbehovet betydeligt sammenlignet med manuel implementering.
Hvad hvis jeg ikke har råd til certificering lige nu?
Start med at implementere ISO 27701-principperne ved hjælp af en compliance-platform. Dette giver dig de operationelle fordele og opbygger dit evidensgrundlag. Når budgettet tillader det, eller en kommerciel drivkraft opstår (f.eks. en kunde, der kræver certificering), kan du fortsætte med formel certificering, hvor det meste af arbejdet allerede er udført. Platforminvesteringen er ikke spildt – den fremskynder din endelige certificering.
