ISO 27001 Peppol serviceprovider: OpenPeppol maakt certificering wereldwijd verplicht
Brussel, 13 juli 2026 – OpenPeppol heeft via zijn Managing Committee (MC200) besloten dat elke ISO 27001 Peppol serviceprovider-certificering vanaf 1 juli 2027 verplicht wordt voor alle Peppol Serviceproviders wereldwijd. Daarmee vervangt één uniforme, internationaal erkende beveiligingsstandaard de tot nu toe sterk uiteenlopende nationale eisen per Peppol-autoriteit.
Wat de nieuwe eis inhoudt
ISO/IEC 27001 is het internationaal erkende raamwerk voor informatiebeveiligingsmanagement. Het beschrijft hoe een organisatie risico’s rond informatiebeveiliging systematisch identificeert, beheerst en continu verbetert, en wordt doorgaans getoetst door een onafhankelijke certificerende instantie. Met het besluit van MC200 wordt dit raamwerk de gemeenschappelijke ondergrens voor alle gecertificeerde Peppol Access Points, ongeacht in welk land de serviceprovider actief is.
Providers die nog niet gecertificeerd zijn, krijgen tot 1 juli 2027 de tijd om dit op orde te brengen. In de tussenperiode gelden interim-beveiligingseisen, zodat het netwerk niet plotseling providers verliest die nog middenin een certificeringstraject zitten. Om officieel als Peppol Access Point te mogen opereren, moeten organisaties voortaan aan een vaste set voorwaarden voldoen: lidmaatschap van OpenPeppol, ondersteuning van de Peppol Business Interoperability Specifications (BIS) en de Service Metadata Publisher (SMP), en dus ISO 27001-certificering.
Nederland liep al voorop
Voor Nederlandse serviceproviders is dit minder nieuw dan het lijkt. De Nederlandse Peppolautoriteit (NPa) stelt ISO 27001 al langer verplicht voor serviceproviders, met als alternatief een assurance-rapport (Third Party Memorandum) opgesteld door een onafhankelijke, geregistreerde IT-auditor. Dat rapport moet aantonen dat de informatiebeveiliging van de serviceprovider voldoet aan de ISO 27001-eisen, ook zonder een formeel certificaat.
België hanteerde tot dusver een pragmatischer kader en Duitsland accepteerde meerdere standaarden naast elkaar. Ook Australië en Nieuw-Zeeland verplichtten ISO 27001 al eerder voor lokale Access Points. Het wereldwijde MC200-besluit brengt deze uiteenlopende nationale eisen nu samen onder één noemer, wat voor internationaal opererende serviceproviders en hun klanten meer duidelijkheid en minder administratieve versnippering oplevert.
Wat dit betekent voor bedrijven en Peppol Serviceproviders
Voor finance managers en IT-beslissers die een Peppol serviceprovider selecteren, wordt ISO 27001-certificering hiermee een objectief, controleerbaar keuzecriterium in plaats van een impliciete verwachting. Bedrijven die nu al met een niet-gecertificeerde provider werken, doen er goed aan te vragen naar het certificeringstraject en de planning richting 1 juli 2027, zeker in sectoren waar informatiebeveiliging ook een contractuele of toezichteis is, zoals de financiële sector, de overheid en de zorg.
Voor serviceproviders zelf betekent het besluit dat certificering niet langer een vrijwillig concurrentievoordeel is, maar een harde toetredingsvoorwaarde tot het Peppol-netwerk wordt. Providers die al ISO 27001-gecertificeerd zijn, zoals in Nederland al gebruikelijk was, hoeven inhoudelijk weinig te veranderen. Providers die nog moeten starten, krijgen ongeveer een jaar de tijd om het certificeringstraject te doorlopen, wat gezien de doorlooptijd van een ISO 27001-traject (vaak zes tot twaalf maanden) geen overbodige luxe is.
De maatregel past ook in een bredere trend: naarmate e-facturatie via Peppol verplicht wordt in steeds meer landen, groeit de behoefte aan aantoonbare, uniforme beveiligingsgaranties bij de partijen die facturen namens bedrijven verzenden en ontvangen. Een ISO 27001 Peppol serviceprovider-certificering geeft inkopers en IT-afdelingen een houvast dat losstaat van de reputatie of grootte van de leverancier.
Bedrijven die willen nagaan of hun huidige of toekomstige Peppol serviceprovider aan de nieuwe beveiligingseis voldoet, kunnen dit gebruiken als extra filtercriterium via de vergelijkingstool van Peppol.nu. Meer achtergrond over de vereisten om als gecertificeerde serviceprovider te mogen opereren staat in het eerdere artikel Certified Serviceprovider worden. Kortom: wie vanaf nu een ISO 27001 Peppol serviceprovider selecteert of het certificeringstraject van de huidige provider opvolgt, loopt niet alleen voor op de deadline van 1 juli 2027, maar bouwt ook aan een aantoonbaar veiligere e-facturatieketen.



