Was ist ISO 27001?
Der internationale Standard für Informationssicherheit
ISO/IEC 27001 ist die weltweit am weitesten verbreitete Norm für den Aufbau, Betrieb und die Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Sie definiert Anforderungen, keine Lösungen — und lässt sich daher in Unternehmen jeder Größe und Branche umsetzen.
Die aktuelle Version ISO 27001:2022 löst die Vorgängerversion von 2013 ab und wurde grundlegend modernisiert: Die Controls in Annex A wurden von 114 auf 93 konsolidiert und in vier thematische Gruppen gegliedert. Elf neue Controls adressieren aktuelle Themen wie Cloud Security, Threat Intelligence und sichere Softwareentwicklung.
Unternehmen, die nach der 2013er Version zertifiziert waren, mussten bis Oktober 2025 auf die neue Version migrieren. Alle Neuzertifizierungen erfolgen ausschließlich nach ISO 27001:2022.
Warum ISO 27001?
Mehr als ein Zertifikat — ein strategischer Vorteil
ISO 27001 ist ein ganzheitlicher Rahmen für nachhaltiges Informationssicherheitsmanagement. Immer mehr Auftraggeber, Behörden und Geschäftspartner fordern es als Voraussetzung für die Zusammenarbeit.
Unser Beratungsansatz in 6 Phasen
Definition des ISMS-Geltungsbereichs, Bewertung des aktuellen Status gegen ISO 27001:2022 und Identifikation des Handlungsbedarfs.
Systematische Identifikation, Bewertung und Behandlung aller relevanten Informationssicherheitsrisiken nach einem strukturierten Risikomanagementprozess.
Erstellung aller erforderlichen Richtlinien, Prozesse, Verfahrensanweisungen und Nachweise gemäß ISO 27001:2022 Annex A.
Umsetzung der technischen und organisatorischen Sicherheitsmaßnahmen (TOMs) inkl. Sensibilisierung der Mitarbeiter.
Durchführung eines internen Audits und Management Reviews als Nachweis der Normanforderungen vor dem externen Audit.
Begleitung während des zweistufigen Zertifizierungsaudits (Stage 1 & Stage 2) durch den akkreditierten Auditor.
ISO 27001:2022
Was hat sich 2022 geändert?
Die Revision bringt 11 neue Controls und einen modernisierten Annex A — speziell auf die Bedrohungslandschaft der 2020er Jahre ausgerichtet.
11 neue Controls adressieren moderne Bedrohungen
Für wen lohnt es sich?
ISO 27001 ist keine Frage der Größe
Von mittelständischen Unternehmen bis zu Konzernen — ISO 27001 ist skalierbar. Besonders relevant ist die Zertifizierung in folgenden Situationen:
Behörden und öffentliche Auftraggeber fordern zunehmend ISO 27001 als Nachweis für den Umgang mit sensitiven Daten.
Exportorientierte Unternehmen mit Kunden in der EU, den USA oder Asien werden oft zur Zertifizierung verpflichtet.
Ein ISO 27001-ISMS deckt große Teile der NIS2-Anforderungen ab und reduziert den Mehraufwand für beide Compliance-Ziele.
Unternehmen in Gesundheit, Finanzen, Recht oder IT-Dienstleistungen, die personenbezogene oder vertrauliche Daten verarbeiten.
IT-Dienstleister und Cloud-Anbieter, die ihren Kunden nachweisen müssen, dass deren Daten sicher verwaltet werden.
Unser Leistungspaket
Was Sie von uns erhalten
Sie haben bereits ein ISMS in Teilen aufgebaut? Wir unterstützen auch punktuell: als externer CISO auf Zeit, bei der Risikoanalyse, der Dokumentation oder gezielt zur Vorbereitung auf das Zertifizierungsaudit.
Compliance-Synergie
ISO 27001 + NIS2: Zwei Ziele, ein Projekt
Wer unter NIS2 fällt und ISO 27001 anstrebt, kann beide Anforderungen in einem gemeinsamen Projekt deutlich effizienter erfüllen.
NIS2-Überlappung
Rund 70 % der NIS2-Kernanforderungen werden durch ein ISO 27001-konformes ISMS bereits abgedeckt.
Risikoanalyse
Eine strukturierte Risikoanalyse genügt für beide Frameworks — kein Doppelaufwand bei Dokumentation und Bewertung.
Mehrwert
Sie erhalten gleichzeitig ein anerkanntes Zertifikat und erfüllen gesetzliche NIS2-Pflichten — maximaler ROI.
Zukunftssicher
ISO 27001 ist die Basis für weitere Zertifizierungen wie ISO 27017 (Cloud), ISO 27701 (Datenschutz) oder TISAX.
Häufige Fragen
ISO 27001: Ihre Fragen, unsere Antworten
Was kostet eine ISO 27001 Zertifizierung?
Die Gesamtkosten setzen sich aus Beratungskosten, internem Aufwand und dem Zertifizierungsaudit durch eine akkreditierte Stelle zusammen. Für ein KMU mit 50–200 Mitarbeitern sollten Sie realistisch mit einem Gesamtbudget von 30.000 – 80.000 € rechnen. Wir erstellen Ihnen nach einem ersten Gespräch ein transparentes Festpreisangebot.
Wie lange dauert der Weg zur Zertifizierung?
Abhängig vom aktuellen Reifegrad Ihrer Informationssicherheit dauert das Projekt typischerweise 9–18 Monate. Gut vorbereitete Organisationen mit bestehenden Sicherheitsprozessen können auch in 6 Monaten zertifizierungsreif sein. Nach dem Kickoff legen wir gemeinsam einen realistischen Zeitplan fest.
Brauchen wir einen eigenen CISO?
Nein — aber Sie benötigen einen benannten Informationssicherheitsbeauftragten (ISB). Diese Rolle kann intern besetzt oder durch uns als externen ISB-Service übernommen werden. Wir bieten die Funktion des virtuellen CISO (vCISO) als dauerhaften Service an.
Welche Zertifizierungsstelle soll ich wählen?
Wir arbeiten mit mehreren DAkkS-akkreditierten Zertifizierungsstellen zusammen (z.B. TÜV, DQS, Bureau Veritas). Die Wahl hängt von Branche, Größe und internationalem Bedarf ab. Wir beraten Sie unabhängig bei der Auswahl der für Sie passenden Stelle.
Was passiert nach der Zertifizierung?
Das Zertifikat gilt 3 Jahre. In Jahr 1 und 2 finden Überwachungsaudits statt, nach 3 Jahren ein Re-Zertifizierungsaudit. Wir begleiten Sie optional als dauerhafter Partner durch den gesamten Zyklus und stellen sicher, dass Ihr ISMS kontinuierlich verbessert wird.
Gilt ISO 27001:2013 noch?
Nein. Die Übergangsfrist endete im Oktober 2025. Alle Zertifikate nach der alten 2013er Version sind abgelaufen. Neuzertifizierungen und Verlängerungen erfolgen ausschließlich nach ISO/IEC 27001:2022.
Jetzt ISO 27001 Projekt starten
In einem kostenlosen 60-minütigen Erstgespräch analysieren wir Ihren aktuellen Stand, klären den Scope und geben Ihnen eine erste Einschätzung zu Aufwand und Zeitplan.