ISO 27001 har gått fra å være «noe de store har» til å bli et konkret krav i anbud, kundeavtaler og leverandørvurderinger. Stadig oftere er det en kunde, en investor eller en offentlig oppdragsgiver som spør: «Er dere ISO 27001-sertifisert?» – og svaret avgjør om du kommer videre i prosessen.
Men når en virksomhet først begynner å undersøke hva det koster å sertifisere seg, møter de gjerne en vegg av vage svar. «Det kommer an på.» «Kontakt oss for et tilbud.» Det er forståelig – prisen varierer faktisk mye – men det hjelper deg ikke å budsjettere. Denne artikkelen gir deg en ærlig brekkdown av alle kostnadskomponentene, inkludert den de fleste glemmer å nevne: din egen interne tidsbruk.
Hvorfor norske SMB-er sertifiserer seg nå
ISO 27001 var lenge forbeholdt banker, helseforetak og de store IT-leverandørene. Det har endret seg raskt. Tre drivere skyver små og mellomstore virksomheter mot sertifisering:
Kundekrav og anbud
Stadig flere kontrakter – særlig mot offentlig sektor og større private aktører – stiller krav om dokumentert informasjonssikkerhet. For en SaaS-leverandør eller en underleverandør er ISO 27001 ofte den enkleste måten å svare ut et helt kapittel med sikkerhetsspørsmål i en anbudsbesvarelse. Sertifikatet blir et inngangsbillett, ikke et konkurransefortrinn.
Konsekvens: Uten sertifikat blir du silt ut tidlig i prosesser du faktisk kunne vunnet på pris og kompetanse.
NIS2 og et strengere reguleringslandskap
EUs NIS2-direktiv utvider kravene til sikkerhetsstyring til langt flere virksomheter enn det gamle regelverket, og innføres i norsk rett gjennom egen lovgivning. Et ISO 27001-styringssystem dekker store deler av det NIS2 forventer av risikostyring, hendelseshåndtering og ledelsesforankring. Mange bygger derfor ISMS nå, mens de har tid til å gjøre det ordentlig.
Konsekvens: De som venter til kravet er rettslig bindende, må gjøre den samme jobben under tidspress – og det blir alltid dyrere.
Sikkerhet som tillit i markedet
I bransjer som behandler sensitive opplysninger – for eksempel programvare til barnehage-, helse- eller utdanningssektoren – brukes sertifiseringen aktivt i salg og markedsføring. Den signaliserer at sikkerhet er satt i system, ikke overlatt til enkeltpersoners gode vilje.
Konsekvens: I et marked der konkurrentene begynner å skilte med sertifisering, blir fraværet av den lagt merke til.
De fem kostnadskomponentene
Det er her de fleste prisguider stopper litt for tidlig. En reell ISO 27001-kostnad består av minst fem deler, og bare to av dem er det noen som sender deg en faktura for. Hvis du bare budsjetterer for konsulent og sertifiseringsorgan, undervurderer du totalkostnaden – ofte betydelig.
| Komponent | Hva det er | Hvem fakturerer |
|---|---|---|
| 1. Implementeringsstøtte | Konsulent som etablerer ISMS, dokumentasjon, risikovurdering og kontroller | Konsulent |
| 2. Intern tidsbruk | Dine egne folks timer til møter, beslutninger, gjennomføring og bevisinnsamling | Ingen – men det er reell kostnad |
| 3. Sertifiseringsrevisjon | Akkreditert sertifiseringsorgans gjennomgang (Trinn 1 + Trinn 2) | Sertifiseringsorgan |
| 4. Verktøy og teknologi | Eventuelle nye tekniske tiltak, logging, MDR/SOC, ISMS-verktøy | Diverse leverandører |
| 5. Vedlikehold over tid | Årlige oppfølgingsrevisjoner og resertifisering hvert tredje år | Sertifiseringsorgan + intern/konsulent |
La oss ta dem én etter én.
1. Implementeringsstøtte (konsulent)
Dette er kostnaden ved å faktisk bygge styringssystemet: scope-avgrensning, risikovurdering (RoS), Statement of Applicability, policyer, prosedyrer, kontrollimplementering og forberedelse til revisjon. Omfanget avhenger sterkt av hvor moden virksomheten er fra før.
For en typisk norsk SMB ligger konsulentbistanden til en førstegangsimplementering normalt på 80–250 timer, avhengig av størrelse, kompleksitet og hvor mye dere gjør selv. Med en timepris for erfaren rådgivning i intervallet 1 400–1 800 kr gir det en konsulentkostnad i størrelsesorden 110 000–400 000 kr for de fleste SMB-er.
2. Intern tidsbruk (den skjulte kostnaden)
Dette er posten ingen sender deg faktura for, og nettopp derfor den som oftest sprenger budsjettet. Et ISMS kan ikke settes ut i sin helhet – standarden krever at ledelsen er reelt involvert, at risiko eies internt, og at kontrollene faktisk etterleves av organisasjonen.
I praksis betyr det møter, beslutninger, opplæring, og innsamling av bevis som revisor kan kontrollere. For en liten virksomhet snakker vi gjerne 100–300 interne timer spredt over implementeringsperioden, fordelt på daglig leder, IT-ansvarlig og noen nøkkelpersoner. Regn med det. En konsulent som later som denne kostnaden ikke finnes, gjør deg en bjørnetjeneste.
3. Sertifiseringsrevisjon (sertifiseringsorgan)
Selve sertifikatet utstedes av et akkreditert sertifiseringsorgan – ikke av konsulenten. Det er et viktig skille: organet som reviderer deg, kan ikke være det samme som har bygget systemet ditt. Revisjonen gjennomføres i to trinn – en dokumentgjennomgang (Trinn 1) og en hovedrevisjon (Trinn 2) – og prises etter antall revisjonsdager, som igjen styres av virksomhetens størrelse og kompleksitet.
For en SMB er det vanlig å ende på et sted mellom 3 og 8 revisjonsdager for førstegangssertifiseringen samlet. Med norske dagsatser gir det en typisk kostnad på 50 000–140 000 kr for selve sertifiseringen. Be alltid om et skriftlig estimat fra to–tre organer før du velger.
4. Verktøy og teknologi
Denne posten varierer mest, fordi den avhenger helt av hva dere allerede har på plass. Noen virksomheter oppdager i risikovurderingen at de mangler grunnleggende tiltak – sentralisert logging, overvåkning, eller en MDR/SOC-tjeneste – og må investere i dette. Andre har det meste fra før og trenger bare å dokumentere det.
ISO 27001 krever ikke at du kjøper bestemte verktøy. Den krever at risiko er vurdert og at valgte tiltak står i forhold til risikoen. En god implementering skiller tydelig mellom hva sertifiseringen utløser av reelle behov, og hva som er «nice to have».
5. Vedlikehold over tid
Et sertifikat er gyldig i tre år, men du blir kontrollert hvert år. Etter førstegangssertifiseringen kommer to årlige oppfølgingsrevisjoner (mindre i omfang), og i år tre en resertifisering. I tillegg kommer intern tid til å holde systemet levende: oppdatere risikovurderinger, gjennomføre internrevisjon og ledelsens gjennomgang.
Realistisk løpende kostnad for en SMB ligger på 30 000–80 000 kr per år til oppfølgingsrevisjon og eventuell ekstern støtte, pluss intern tid. ISO 27001 er ikke en engangsinvestering – det er en driftskostnad. Det bør være med i beslutningen fra dag én.
Hva koster det totalt? Veiledende totalpriser
Tabellen under samler komponentene til realistiske totalintervaller for førstegangssertifisering, gruppert etter virksomhetens størrelse. Tallene forutsetter en virksomhet med rimelig orden i eget hus fra før, og inkluderer ikke større tekniske investeringer (komponent 4), som varierer for mye til å tallfestes generelt.
| Virksomhet | Konsulentbistand | Sertifiseringsorgan | Førstegangs totalkostnad (eks. intern tid) |
|---|---|---|---|
| Liten (1–15 ansatte, enkelt scope) | 110 000 – 180 000 kr | 50 000 – 80 000 kr | 160 000 – 260 000 kr |
| Mellomstor (15–50 ansatte) | 180 000 – 320 000 kr | 70 000 – 110 000 kr | 250 000 – 430 000 kr |
| Større SMB (50–200 ansatte, flere lokasjoner/systemer) | 300 000 – 450 000 kr | 100 000 – 140 000 kr | 400 000 – 590 000 kr |
\* Alle priser er veiledende og eks. mva. Endelig pris avhenger av scope, modenhet og hvor mye arbeid som gjøres internt. Legg til intern tidsbruk (100–300 timer) og eventuelle tekniske investeringer for et fullstendig bilde.
Hva driver prisen opp – eller ned?
Det er stor forskjell på den nedre og øvre enden av disse intervallene, og forskjellen handler sjelden om størrelse alene. De viktigste prisdriverne er:
- Scope. Et tett avgrenset scope – ett produkt, ett team, ett sett systemer – er langt billigere å sertifisere enn «hele virksomheten». Riktig scope-avgrensning er den enkeltbeslutningen som påvirker prisen mest.
- Modenhet fra før. Har dere allerede databehandleravtaler, tilgangsstyring, backup-rutiner og en viss orden på dokumentasjon? Da implementerer vi; vi bygger ikke fra bunnen.
- Antall lokasjoner og systemer. Flere fysiske lokasjoner og komplekse tekniske miljøer øker både konsulent- og revisjonsdager.
- Hvor mye dere gjør selv. Dette er den store knappen du selv kontrollerer (se under).
- Outsourcet drift. Mye av IT-driften hos en ekstern leverandør med egne kontroller? Da kan deler av kontrollansvaret dokumenteres gjennom leverandøren, noe som reduserer egen byrde.
Slik holder du kostnaden nede
Jeg tjener på å selge timer, så det føles litt bakvendt å skrive dette – men en velinformert kunde er en bedre kunde, og dette er rådene jeg faktisk gir:
- Avgrens scope stramt. Start med det produktet eller den tjenesten som faktisk har et sertifiseringskrav. Du kan alltid utvide senere. Et oppblåst scope er den dyreste feilen folk gjør.
- Gjør bevisinnsamlingen selv. Konsulenten bør designe systemet og lære dere opp – men selve innsamlingen av bevis, referater og dokumentasjon kan og bør gjøres internt. Det er billigere og bygger eierskap som revisor faktisk ser.
- Ikke kjøp verktøy før risikovurderingen. La risikoen styre teknologivalgene, ikke omvendt. Mange kjøper dyre løsninger de strengt tatt ikke trengte for å bli sertifisert.
- Velg sertifiseringsorgan bevisst. Hent inn estimat fra flere akkrediterte organer. Dagsatser og estimert antall dager varierer.
- Planlegg for drift fra start. Bygg systemet slik at det er lett å vedlikeholde. Et tungrodd ISMS koster deg hvert eneste år etterpå.
Hvorfor SPADE Consulting kan tilby konkurransedyktige priser
Som uavhengig konsulent med sertifisering som ISO 27001 Lead Implementer og ISO 27005 Lead Risk Manager, basert i Bodø og ikke i Oslo, kan jeg tilby seniorkompetanse til mer kostnadseffektive priser enn de store byråene. Jeg har ingen overhead fra dyre kontorlokaler eller salgsteam – bare direkte, kvalitetssikret rådgivning fra én erfaren spesialist som faktisk gjør jobben selv.
Jeg jobber gjerne med fastpris på definerte leveranser, slik at du vet hva implementeringen koster før vi starter. Og jeg er ærlig om den interne tidsbruken fra første møte, fordi et ISMS som ikke eies internt, består uansett ikke en revisjon.
Usikker på hva dere trenger?
Er du i tvil om dere i det hele tatt trenger full sertifisering – eller om en enklere baseline holder – les ISO 27001 eller en enklere sikkerhetsbaseline først.
Book et gratis, uforpliktende møte, så ser vi på scope og modenhet sammen og gir deg et realistisk estimat – ikke et «det kommer an på».
Kilder og videre lesning
- Standard Norge: ISO/IEC 27001:2022 – Ledelsessystemer for informasjonssikkerhet – gjeldende versjon av standarden
- Datatilsynet: Internkontroll og informasjonssikkerhet – krav til sikkerhet ved behandling av personopplysninger
- Nasjonal sikkerhetsmyndighet (NSM): NSMs grunnprinsipper for IKT-sikkerhet – anerkjent rammeverk som utfyller ISO 27001
- PECB: ISO 27001 sertifiseringsrammeverk – sertifiseringsordning for implementere og revisorer
Sist oppdatert: Mai 2026. Prisinformasjon er veiledende og basert på markedsobservasjoner og erfaring fra konsulentoppdrag i det norske markedet. Endelig pris avtales basert på oppdragets omfang og kompleksitet.
Vil du ha hjelp med dette i praksis?
SPADE Consulting hjelper med personvern, informasjonssikkerhet, AI-styring og praktisk etterlevelse uten unødvendig byråkrati.