ISO 27001 har blitt et begrep også blant små bedrifter. Mange kjenner på en følelse av at de «burde» være sertifisert – at det er sånn seriøse virksomheter gjør det. Men sertifisering er et virkemiddel, ikke et mål i seg selv. Det egentlige spørsmålet er ikke «ISO 27001 eller ikke». Det er: hvilket problem prøver du faktisk å løse?
Jeg lever av å hjelpe virksomheter med informasjonssikkerhet, og jeg kunne tjent godt på å anbefale full sertifisering til alle. Men det ville vært dårlig rådgivning. For en del små bedrifter er ISO 27001 helt riktig. For andre er det å bruke en halv million på et sertifikat ingen kunde har bedt om, mens den faktiske sikkerheten kunne vært løftet for en brøkdel. Denne artikkelen hjelper deg å se hvilken kategori du er i.
Hva ISO 27001 faktisk er – og ikke er
ISO 27001 er to ting som ofte blandes sammen. Det ene er et styringssystem for informasjonssikkerhet (ISMS): en strukturert måte å vurdere risiko på og styre tiltak deretter. Det andre er sertifiseringen: en uavhengig bekreftelse fra et akkreditert organ på at styringssystemet finnes og fungerer.
Verdien for din egen sikkerhet ligger i styringssystemet. Verdien av sertifikatet ligger i at en tredjepart – en kunde, en investor, en oppdragsgiver – stoler på det uten å måtte undersøke deg selv. Det er et viktig skille, fordi det avgjør hva du faktisk betaler for.
Når ISO 27001 er riktig valg
Sertifisering lønner seg når du har en konkret, ekstern grunn til å bevise sikkerheten din. De vanligste er:
- Kunde- eller anbudskrav. En kunde eller oppdragsgiver krever sertifisering for å inngå avtale. Da er sertifikatet en inngangsbillett, og regnestykket er enkelt.
- NIS2 eller annet regelverk. Hvis virksomheten din kommer i scope for kommende krav, er et ISO 27001-styringssystem et godt fundament for å oppfylle dem – se hva NIS2 betyr for norske bedrifter.
- Salg i et sikkerhetssensitivt marked. Selger du til sektorer der sikkerhet er avgjørende, kan sertifisering være et reelt konkurransefortrinn.
- Investor, oppkjøp eller vekst. Skal du hente kapital eller selges, er en dokumentert sikkerhetspraksis verdt mye i en due diligence.
Har du én av disse driverne, betaler sertifiseringen ofte for seg selv. Da er spørsmålet bare hvordan du kommer dit mest effektivt – og hva det koster.
Når en enklere baseline holder – og er smartere
Har du ingen ekstern bevisdriver – ingen kunde som krever det, intet regelverk som treffer deg – er bildet et annet. Da er det fullt mulig å oppnå mesteparten av den reelle sikkerheten et ISMS gir, uten kostnaden ved en formell sertifisering. Sikkerheten kommer av tiltakene du innfører, ikke av sertifikatet på veggen.
Konsekvens: Å sertifisere seg uten en driver er å betale for tredjeparts tillit du ikke trenger ennå. Pengene gjør mer nytte i faktiske tiltak.
Alternativene til full sertifisering
For en liten bedrift finnes det flere gode rammeverk som gir struktur uten sertifiseringsløpet:
| Tilnærming | Kostnad | Ekstern bevisverdi | Egnet for |
|---|---|---|---|
| NSMs grunnprinsipper for IKT-sikkerhet | Lav (gratis rammeverk) | Lav–middels | De fleste norske SMB-er som vil ha en praktisk, anerkjent baseline |
| CIS Controls (IG1) | Lav | Lav–middels | Teknisk orienterte virksomheter som vil prioritere tiltak etter effekt |
| GDPR-internkontroll | Lav | Lav (men lovpålagt) | Alle som behandler personopplysninger – dette er uansett et minstekrav |
| ISO 27001-basert ISMS uten sertifisering | Middels | Middels | De som vil ha ISO-strukturen, men ikke trenger sertifikatet ennå |
| ISO 27001 med sertifisering | Høy | Høy | De med en konkret ekstern driver |
To poenger er verdt å merke seg. NSMs grunnprinsipper er et gratis, praktisk og anerkjent norsk rammeverk, og et utmerket sted å begynne for de fleste. Og GDPR-internkontroll er ikke valgfritt – behandler du personopplysninger, må du ha det uansett, så det er en naturlig kjerne i enhver baseline.
Trappetrinnsmodellen: ikke kast bort innsatsen
Det smarteste for de fleste små bedrifter er å tenke i trinn:
- Etabler en baseline. Start med NSMs grunnprinsipper og en ryddig GDPR-internkontroll. Dette løfter sikkerheten der det betyr mest, raskt og rimelig.
- Modne praksisen. Få risikovurdering, tilgangsstyring, backup og hendelseshåndtering til å sitte som rutine, ikke som dokumenter.
- Steg opp ved behov. Dukker det opp en driver – en kunde som krever sertifisering, eller NIS2 som treffer deg – bygger du videre på baselinen mot full ISO 27001.
Det viktige er at trinn 1 og 2 ikke er bortkastet hvis du senere sertifiserer deg. Baselinearbeidet blir fundamentet ISMS-et bygges på. Du betaler ikke to ganger; du betaler i takt med behovet.
Den vanligste feilen
Det er egentlig to feil, og den ene er langt vanligere enn den andre.
Den ene er å overinvestere: å gå for full sertifisering uten noen ekstern driver, drevet av en følelse av at man «burde». Det skjer, men det er sjeldnere.
Den andre – og den farlige for små bedrifter – er å gjøre ingenting, fordi ISO 27001 fremstår som for stort og dyrt. Man lar det perfekte stå i veien for det gode, og ender opp helt uten struktur. En oppnåelig baseline hadde gitt reell beskyttelse; i stedet ble resultatet null. Det er den feilen jeg ser oftest, og den jeg helst vil hjelpe folk å unngå.
Slik bestemmer du
Tre spørsmål tar deg langt:
- Er det noen som krever et bevis? Kunde, regelverk, investor? Hvis ja, peker det mot sertifisering. Hvis nei, holder sannsynligvis en baseline.
- Hva er det reelle risikobildet? Hvilke opplysninger og systemer har du, og hva står på spill? Tiltakene skal stå i forhold til dette.
- Hvor moden er du i dag? Har du lite på plass, gir en baseline størst løft per krone akkurat nå.
Hvordan SPADE Consulting kan hjelpe
Jeg hjelper virksomheter på alle nivåer av denne trappen – og en del av jobben er å si fra når du ikke trenger full sertifisering ennå. Gjennom mentorarbeid med små og voksende bedrifter, blant annet i det grønne og blå næringslivet, ser jeg hvor mye en rett dimensjonert baseline kan gjøre for en virksomhet som ikke har ubegrensede ressurser.
Som ISO 27001 Lead Implementer og ISO 27005 Lead Risk Manager, basert i Bodø og uten overhead fra et stort byrå, kan jeg hjelpe deg å velge riktig nivå – og bygge det slik at du kan steg opp senere uten å starte på nytt.
Usikker på hvilket nivå dere trenger?
Book et gratis, uforpliktende møte, så vurderer vi driverne og modenheten deres sammen – og finner det nivået som faktisk passer.
Kilder og videre lesning
- Nasjonal sikkerhetsmyndighet (NSM): NSMs grunnprinsipper for IKT-sikkerhet – gratis, anerkjent norsk baseline
- CIS: CIS Critical Security Controls – prioriterte sikkerhetstiltak, med Implementation Group 1 for mindre virksomheter
- Datatilsynet: Internkontroll og informasjonssikkerhet – krav til internkontroll ved behandling av personopplysninger
- Standard Norge: ISO/IEC 27001:2022 – standarden for styringssystemer for informasjonssikkerhet
Sist oppdatert: Mai 2026. Artikkelen gir generell veiledning og er ikke en erstatning for en konkret vurdering av virksomhetens behov.
Vil du ha hjelp med dette i praksis?
SPADE Consulting hjelper med personvern, informasjonssikkerhet, AI-styring og praktisk etterlevelse uten unødvendig byråkrati.