ISO/IEC 27001 Zertifizierung
ISO 27001 Beratung
Wir begleiten Ihr Unternehmen durch den vollständigen Zertifizierungspfad nach ISO/IEC 27001 – pragmatisch, auditgerecht und mit klarem Festpreis-Einstieg.
Warum ISO 27001 heute mehr ist als nur ein Zertifikat
ISO/IEC 27001 ist die international anerkannte Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie definiert nicht, welche einzelnen Sicherheitsmaßnahmen ein Unternehmen ergreifen muss, sondern wie es Informationssicherheit systematisch plant, umsetzt, überprüft und verbessert. Genau diese Risikobasiertheit macht die Norm so flexibel – und gleichzeitig anspruchsvoll, weil sie eine echte Auseinandersetzung mit den eigenen Geschäftsprozessen erfordert.
Im Jahr 2026 ist das Zertifikat in vielen B2B-Vergaben de-facto Pflicht. Kunden im Finanzsektor, in der Industrie und im öffentlichen Bereich verlangen es als Nachweis im Lieferantenaudit. Gleichzeitig adressiert ISO 27001 einen erheblichen Teil der Anforderungen aus NIS2 (§ 30 NIS2UmsuCG), DORA (IKT-Risikomanagementrahmen) und dem EU AI Act – ein einziges Governance-Framework, mehrere Compliance-Ergebnisse.
Der wirtschaftliche Wert liegt allerdings nicht im Audit-Stempel, sondern im Prozess dahinter: Unternehmen, die ISO 27001 ernsthaft umsetzen, erkennen Risiken früher, reagieren strukturierter auf Vorfälle und können belegen, dass Sicherheit Teil ihres Tagesgeschäfts ist – nicht ein einmaliges Projekt.
Unser Vorgehen: Vom Kick-off zum Zertifikat in 9–18 Monaten
Wir starten mit einer strukturierten Gap-Analyse gegen die Annex-A-Controls der ISO 27001:2022. Das Ergebnis ist ein priorisierter Umsetzungsplan, der den tatsächlichen Reifegrad Ihrer Organisation berücksichtigt und realistische Aufwände für die offenen Punkte beziffert – kein generischer Maßnahmenkatalog, sondern eine belastbare Roadmap.
Im nächsten Schritt definieren wir gemeinsam den ISMS-Scope. Diese Entscheidung beeinflusst den Aufwand und die spätere Auditkosten erheblich. Wir helfen Ihnen, einen Geltungsbereich zu wählen, der regulatorisch tragfähig ist und gleichzeitig in der vorhandenen Organisationsstruktur tatsächlich umgesetzt werden kann. Anschließend folgen Risikobewertung, Risikobehandlungsplan und die Erstellung des Statement of Applicability (SoA) – das auditkritische Kernstück Ihres ISMS.
In der Umsetzungsphase begleiten wir die Erstellung von Richtlinien, Verfahrensanweisungen und betrieblichen Nachweisen. Wir schulen Ihre Schlüsselrollen, führen interne Audits durch und bereiten Ihr Team auf das externe Zertifizierungsaudit vor. Während des Audits stehen wir als fachlicher Ansprechpartner zur Verfügung und helfen, etwaige Korrekturmaßnahmen zügig und auditkonform abzuschließen.
ISO 27001:2022 – was sich gegenüber der 2013er-Version geändert hat
Mit der Revision von 2022 wurden die Annex-A-Controls grundlegend neu strukturiert: aus 114 Controls in 14 Kategorien sind 93 Controls in vier Themenbereichen (Organisational, People, Physical, Technological) geworden. Inhaltlich kamen elf neue Controls hinzu, die unter anderem Themen wie Threat Intelligence, Cloud-Sicherheit, ICT-Readiness for Business Continuity, Data Masking und Secure Coding adressieren.
Für Unternehmen, die noch eine Zertifizierung nach der 2013er-Version halten, läuft die Übergangsfrist Ende Oktober 2026 aus. Wer jetzt erstmals zertifiziert oder rezertifiziert wird, sollte direkt auf die 2022er-Norm aufsetzen – Doppelarbeit lässt sich so vermeiden. Wir bilden die alten Controls strukturiert auf das neue Schema ab und identifizieren konkret die Lücken zur 2022er-Anforderung.
Die neuen Controls sind in der Praxis besonders dann relevant, wenn das Unternehmen Cloud-Dienste nutzt, eine eigene Softwareentwicklung betreibt oder mit kritischen Drittanbietern arbeitet. Wir prüfen pro Control, welcher Nachweis in Ihrem Kontext angemessen ist – und welche Controls ggf. fundiert als „not applicable" eingestuft werden können.
Typische Fallstricke – und wie wir sie vermeiden
Der häufigste Grund für gescheiterte Zertifizierungen ist ein falsch gewählter ISMS-Scope. Ein zu breiter Scope erzeugt unverhältnismäßigen Aufwand; ein zu schmaler Scope wird vom Auditor als Trivialfall zurückgewiesen oder schmälert den Marketingwert des Zertifikats. Wir helfen Ihnen, einen Scope zu finden, der sowohl auditierbar als auch wirtschaftlich umsetzbar ist.
Der zweite typische Fehler ist die Überproduktion von Dokumenten, die in der Organisation nicht gelebt werden. Ein dickes Richtlinien-Handbuch, das niemand kennt, schützt nicht – es erzeugt nur Haftungsrisiken. Wir bauen die Dokumentation so auf, dass sie im Tagesgeschäft nutzbar bleibt: kurze Richtlinien, klare Verantwortlichkeiten, Verfahren, die in den bestehenden Tools (Jira, Confluence, Sharepoint) dokumentiert sind statt in PDFs.
Drittens unterschätzen viele Unternehmen den Koordinationsaufwand: ISO 27001 ist kein IT-Projekt, sondern ein unternehmensweites Governance-Vorhaben. Es braucht Beiträge aus IT, HR, Recht, Einkauf und Geschäftsführung. Wir steuern diesen Prozess als externer Projektleiter und nehmen Ihrer Linienorganisation die Last der Koordination ab – Sie liefern die fachlichen Inputs, wir bauen das System.
Unsere Leistungen
- Gap-Analyse gegen ISO 27001:2022 Annex A
- ISMS-Scope-Definition und Risikoanalyse
- Statement of Applicability (SoA) und Risikobehandlungsplan
- Erstellung lebbarer Richtlinien und Verfahrensanweisungen
- Schulung von Schlüsselrollen und Awareness-Maßnahmen
- Interne Auditdurchführung und Zertifizierungsbegleitung
- Übergang von ISO 27001:2013 auf 2022
Ihre Vorteile
- International anerkannter Sicherheitsnachweis für Kunden- und Lieferantenaudits
- Eine Governance-Basis, mehrere Compliance-Ergebnisse (NIS2, DORA, AI Act)
- Strukturierte Risikominimierung statt punktueller Maßnahmen
- Auditkonforme Dokumentation, die im Tagesgeschäft tatsächlich genutzt wird
- Festpreis-Einstieg über die initiale Gap-Analyse
Vertiefende Seite
Was kostet eine ISO 27001-Zertifizierung?
Transparente Aufstellung der Aufwände für KMU und Mittelstand – inkl. Auditkosten, internen Aufwänden und realistischem Zeitrahmen.
Jetzt ansehenWeitere Ressourcen
ISO 27001 für kleine Unternehmen
Pragmatischer Zertifizierungspfad für Organisationen mit 10–100 Mitarbeitenden – ohne Konzern-Overhead.
ISMS Beratung
Allgemeiner ISMS-Aufbau mit Wahlmöglichkeit zwischen ISO 27001 und BSI IT-Grundschutz.
Externer Informationssicherheitsbeauftragter
Nach der Zertifizierung: laufender ISMS-Betrieb durch einen externen ISB.
BSI IT-Grundschutz als Alternative
Wann der BSI-Weg gegenüber ISO 27001 die bessere Wahl ist – insbesondere für Behörden und KRITIS.
Häufige Fragen
Wie lange dauert eine ISO 27001-Erstzertifizierung?
Realistisch zwischen 9 und 18 Monaten ab Projektstart. Bei einer reifen Organisation mit vorhandener Sicherheitsdokumentation sind 9 Monate machbar; bei einem Greenfield-Aufbau in einer 100-Mitarbeiter-Organisation sind eher 12 bis 18 Monate anzusetzen. Beschleunigende Faktoren: klares Management-Commitment, verfügbare interne Kapazitäten und ein scharf definierter Scope. Verzögernde Faktoren: parallele Großprojekte, unklare Verantwortlichkeiten und Unterschätzung des Koordinationsaufwands. Wir planen mit Ihnen vom ersten Tag an einen realistischen Zeithorizont.
Was kostet eine ISO 27001-Zertifizierung typischerweise?
Die Gesamtkosten setzen sich aus drei Blöcken zusammen: externe Beratung, internes Personal und Auditkosten. Für ein KMU mit 30–80 Mitarbeitenden liegen die externen Beratungsaufwände typischerweise zwischen 25.000 und 60.000 Euro über die Projektlaufzeit; die Auditkosten der Zertifizierungsstelle bewegen sich zwischen 8.000 und 20.000 Euro für das Erstaudit (Stage 1 + Stage 2). Die größte – und am häufigsten unterschätzte – Position ist der interne Personalaufwand. Eine detaillierte Aufstellung finden Sie auf unserer Seite zu den ISO 27001-Kosten.
Reicht ISO 27001 für NIS2- und DORA-Compliance?
ISO 27001 deckt einen erheblichen Teil der NIS2-Art.-21-Maßnahmen sowie des IKT-Risikomanagementrahmens unter DORA ab – aber nicht 1:1 vollständig. NIS2 verlangt zusätzlich konkrete Meldepflichten (24-Stunden-Frühwarnung, 72-Stunden-Bericht), die in einem reinen ISO-ISMS so nicht modelliert sind. DORA erfordert spezifische Anforderungen an Drittanbieter-Register und digitale operative Resilienztests, die über das ISO-Standardvorgehen hinausgehen. Wir bauen das ISMS so auf, dass ISO 27001 die Basis bildet und NIS2/DORA als zusätzliche Module sauber andocken – ohne Dokumentationsdoppelung.
Brauchen wir vor der Beratung schon eine eigene IT-Sicherheitsabteilung?
Nein. Viele unserer Mandanten starten ohne dezidierte Sicherheitsorganisation – sie haben eine IT-Abteilung mit operativen Aufgaben, aber keinen Informationssicherheitsbeauftragten. Wir bauen die Sicherheitsorganisation gemeinsam mit Ihnen auf, definieren die notwendigen Rollen und können bei Bedarf den Informationssicherheitsbeauftragten als externe Rolle übernehmen. Was wir auf Ihrer Seite benötigen: einen ISMS-Sponsor auf Geschäftsleitungsebene und eine fachliche Hauptansprechperson, die das Projekt operativ trägt.
Was passiert nach der Erstzertifizierung?
Das ISO-27001-Zertifikat gilt drei Jahre. In dieser Zeit sind jährliche Überwachungsaudits (Surveillance Audits) durch die Zertifizierungsstelle Pflicht, am Ende des dritten Jahres steht die vollständige Rezertifizierung an. Operativ bedeutet das: Risikobewertungen aktuell halten, Vorfälle dokumentieren, interne Audits durchführen, Korrekturmaßnahmen verfolgen. Wir bieten ISMS-Pflege als Retainer-Modell an oder übernehmen die Rolle des externen Informationssicherheitsbeauftragten. Für Unternehmen, die intern Kompetenz aufbauen möchten, gibt es ein Übergangsmodell mit schrittweiser Übergabe.
Kontakt aufnehmen
Bereit für den nächsten Schritt?
Sprechen Sie mit uns über Ihre Sicherheitsanforderungen – konkret, ohne Verpflichtung und auf Augenhöhe.