Das Wichtigste in Kürze:
- Seit dem 31. Oktober 2025 ist nur noch ISO/IEC 27001:2022 zertifizierungsfähig. Zertifikate nach der alten 2013er-Fassung haben ihren Status verloren.
- Der Weg zum Zertifikat dauert realistisch sechs bis achtzehn Monate und kostet je nach Größe 25.000 bis über 120.000 Euro – Prüfhonorare noch nicht eingerechnet.
- Die externe Prüfung läuft zweistufig: erst die Unterlagen (Stage 1), dann die gelebte Praxis vor Ort (Stage 2). Das Zertifikat gilt danach drei Jahre.

Rund 29.500 Unternehmen in Deutschland müssen seit Dezember 2025 nachweisen, dass sie Informationssicherheit systematisch steuern. Für die meisten führt der kürzeste Weg dorthin über ISO 27001. Die ISMS-Zertifizierung nach dieser Norm ist der extern geprüfte Nachweis – ausgestellt von einer akkreditierten Stelle und drei Jahre gültig. Dieser Artikel zeigt den Ablauf, nennt realistische Kosten und Zeiträume und erklärt, was seit dem Ende der Übergangsfrist 2025 gilt.
Was bringt eine ISMS-Zertifizierung?
Eine ISMS-Zertifizierung nach ISO 27001 bestätigt, dass ein Unternehmen Informationssicherheit systematisch steuert – geprüft von einer unabhängigen, akkreditierten Stelle. Geprüft wird nicht die einzelne Firewall, sondern der gesamte Steuerungsrahmen: Geltungsbereich, Risikoprozess, Maßnahmen und ihre laufende Verbesserung. Das Zertifikat ist ein Governance-Nachweis, keine technische Sicherheitsbescheinigung.
Der praktische Nutzen zeigt sich vor allem im Vertrieb und in der Lieferkette. In Ausschreibungen und Lieferantenprüfungen verkürzt das Zertifikat die Diskussion von „Wie sichern Sie unsere Daten?" auf einen einzigen Nachweis. Ohne Zertifikat verlangen viele Kunden eigene Sicherheitschecks – und jedes davon kostet Wochen interner Vorbereitung.
Dazu kommt der regulatorische Hebel. Ein nach ISO 27001 aufgebauter Steuerungsrahmen deckt nach Angaben des BSI rund 70 bis 80 Prozent der NIS-2-Anforderungen ab. Wer einmal sauber zertifiziert ist, baut weitere Nachweise wie DORA oder TISAX auf dieser Basis auf – statt jedes Regelwerk von vorn zu beginnen. Das Zertifikat wird so zur gemeinsamen Grundschicht mehrerer Compliance-Themen.
Intern zahlt sich der Weg ebenfalls aus. Die Risikoanalyse zwingt zu einer ehrlichen Bestandsaufnahme – und oft zeigt sich dabei erst, wo Zuständigkeiten oder Nachweise fehlen. Das Zertifikat ist damit weniger das Ziel als das Nebenprodukt eines aufgeräumten Sicherheitsbetriebs.
Wer braucht den Nachweis überhaupt?
Die Norm ist branchen- und größenunabhängig. Trotzdem lässt sich klar sagen, wer den Nachweis in der Praxis am dringendsten braucht. Am stärksten betroffen sind Unternehmen, deren Kunden oder Aufsicht einen Sicherheitsnachweis erwarten.
Typische Fälle sind IT- und SaaS-Dienstleister, Zulieferer großer Konzerne sowie Betreiber in regulierten Sektoren. Im IT-Sektor entfällt bereits der größte Teil aller ausgestellten Zertifikate auf genau diese Kundenerwartung. Wer in solchen Ausschreibungen mitbieten will, kommt am Zertifikat kaum vorbei. Fehlt der Nachweis, fällt ein Anbieter oft schon in der Vorauswahl heraus – noch bevor Preis oder Leistung zählen.
Warum steigt die Nachfrage 2026?
Der Auslöser heißt NIS-2. Mit dem NIS2-Umsetzungsgesetz, das seit dem 6. Dezember 2025 gilt, wächst der Kreis der regulierten Einrichtungen in Deutschland von rund 4.500 auf etwa 29.500. Viele dieser Unternehmen brauchen erstmals einen strukturierten Nachweis ihrer Informationssicherheit – und greifen dafür zur etablierten Norm.
Gleichzeitig steigt der Druck aus der Privatwirtschaft. Konzerne, Banken und Versicherer verlangen den Nachweis zunehmend als Zugangsvoraussetzung. Wie eng ISO 27001 und die neuen gesetzlichen Pflichten zusammenhängen, zeigt unser Überblick zu den NIS-2-Pflichten und ihren Nachweisen. Der Trend ist eindeutig: Aus dem Wettbewerbsvorteil von gestern wird die Zugangsvoraussetzung von morgen.
Die Umsetzung hinkt allerdings hinterher. Bis zur Frist im März 2026 hatten sich erst rund 11.500 der geschätzt 29.500 betroffenen Unternehmen beim BSI registriert. Mehr als die Hälfte ist damit im Verzug – und dieser Nachholbedarf trifft 2026 mit voller Wucht auf die ohnehin knappe Kapazität der Prüfstellen.
Wie läuft die ISMS-Zertifizierung ab?
Der Weg zum Zertifikat folgt einem festen Muster. Zwischen dem ersten Kick-off und dem ausgestellten Zertifikat liegen acht Schritte:
- Gap-Analyse – der Ist-Zustand wird gegen die 93 Maßnahmen des Anhangs A und die Kapitel 4 bis 10 der Norm gespiegelt. Ergebnis ist ein priorisierter Maßnahmenplan.
- Geltungsbereich festlegen – welche Standorte, Prozesse und Systeme das Zertifikat abdeckt. Ein klar geschnittener Scope spart später Aufwand.
- Risiken bewerten – die Informationswerte werden erfasst, Risiken bewertet und passende Maßnahmen zugeordnet.
- Anwendbarkeitserklärung (SoA) – dieses Pflichtdokument hält fest, welche Maßnahmen gelten und welche begründet ausgeschlossen sind.
- Umsetzen und betreiben – Richtlinien, Rollen und technische Maßnahmen greifen im Alltag. Erst wenn sie gelebt werden, lohnt der Gang zur Prüfstelle.
- Intern prüfen – die eigene Organisation prüft sich selbst und hält eine Managementbewertung ab, bevor externe Prüfer kommen.
- Stage 1 – Dokumentenprüfung – der externe Prüfer sichtet die Unterlagen auf Vollständigkeit und deckt erste Lücken auf.
- Stage 2 – Vor-Ort-Prüfung – jetzt prüft die Prüfstelle, ob die Praxis zur Dokumentation passt: Interviews, Stichproben, gelebte Prozesse.
Besteht das Unternehmen Stage 2 ohne schwere Abweichung, empfiehlt die Prüfstelle die Zertifizierung. Das Zertifikat gilt danach drei Jahre – abgesichert durch jährliche Überwachungsaudits und eine Re-Zertifizierung am Ende des Zyklus. Die Prüfstelle wählen Sie frei unter den akkreditierten Zertifizierungsstellen wie TÜV, DEKRA oder DQS. Die Anforderungen der Norm sind überall identisch, Honorare und Vorgehen unterscheiden sich.
Stage 1 und Stage 2 prüfen bewusst Unterschiedliches. Der erste Termin klärt, ob die Unterlagen vollständig sind; der zweite, ob sie im Alltag auch gelebt werden. Schon Stage 1 deckt erfahrungsgemäß fünf bis fünfundzwanzig kleinere Punkte auf, die vor dem Vor-Ort-Termin zu schließen sind. Findet die Prüfstelle eine schwere Abweichung, ruht die Empfehlung, bis sie behoben ist. Kleinere Abweichungen halten Sie in einem Korrekturplan fest und arbeiten sie im laufenden Betrieb ab.
Was kostet die ISMS-Zertifizierung und wie lange dauert sie?
Eine pauschale Zahl gibt es nicht, aber belastbare Korridore. Die Gesamtkosten teilen sich in zwei Blöcke: den Aufwand für den Aufbau und die Honorare der Prüfstelle.
Für die Vorbereitung (interner Aufwand plus externe Beratung) gelten grob folgende Werte:
- Kleiner, klar geschnittener Geltungsbereich: rund 25.000 bis 50.000 Euro
- Mittelständische Organisation: etwa 50.000 bis 120.000 Euro
- Konzern mit komplexer Infrastruktur: 150.000 Euro und mehr
Dazu kommen die externen Honorare der Prüfstelle von rund 6.000 bis 35.000 Euro pro Drei-Jahres-Zyklus – abhängig von Mitarbeiterzahl, Standorten und Branchenrisiko. Den größten Kostenblock verursacht fast immer der interne Aufbau, nicht die Prüfung selbst.
Bei der Dauer entscheidet der Reifegrad. Ein kleines Unternehmen mit sauberer Vorarbeit schafft es in vier bis sechs Monaten. Ein Mittelständler ohne Vorlauf braucht neun bis zwölf Monate, ein Konzern oft länger. Ein Faktor wird dabei regelmäßig unterschätzt: akkreditierte Prüfstellen sind oft drei bis sechs Monate ausgebucht – der Termin gehört früh in die Planung.
Der Aufwand lässt sich senken. Wer bereits TISAX, einen BSI-Grundschutz-Nachweis oder SOC 2 betreibt, deckt damit schon 30 bis 60 Prozent der Maßnahmen ab. Auch Cloud-Provider übernehmen mit ihren eigenen Zertifikaten einen Teil der technischen Nachweise – vorausgesetzt, die Verantwortlichkeiten sind sauber abgegrenzt. Geprüfte Vorlagen ersparen zusätzlich das Schreiben jeder Richtlinie von Grund auf.
Was hat sich mit der Norm 2022 geändert?
Wer noch Zahlen aus älteren Ratgebern im Kopf hat, sollte aufpassen. Die oft zitierten „114 Maßnahmen in 14 Kategorien" stammen aus der Fassung von 2013 – und die ist Geschichte.
Seit dem 31. Oktober 2025 ist die Übergangsfrist abgelaufen. Zertifikate nach ISO 27001:2013 haben ihren Akkreditierungsstatus verloren; in regulierten Branchen kommt das einem Zertifikatsverlust gleich. Zertifizierungsfähig ist nur noch die Version ISO/IEC 27001:2022. Wer die Frist verpasst hat, braucht ein neues Erstaudit statt einer einfachen Re-Zertifizierung.
Inhaltlich wurde vor allem der Anhang A umgebaut:
- Statt 114 gibt es jetzt 93 Maßnahmen (Controls), gegliedert in vier Themen statt vierzehn: organisatorisch (37), personenbezogen (8), physisch (14) und technologisch (34).
- Elf Maßnahmen sind neu und greifen Risiken auf, die 2013 kaum eine Rolle spielten – etwa Cloud-Sicherheit, Threat Intelligence und Data Masking.
- Der Hauptteil (Kapitel 4 bis 10) verlangt jetzt zusätzlich, geplante Änderungen bewusst zu steuern und zu dokumentieren.
Für die Praxis heißt das: weniger, aber präziser gefasste Maßnahmen. Die Reduzierung ist keine Abschwächung – viele alte Punkte wurden nur zusammengelegt.
Welche Nachweise verlangt die Prüfstelle?
Vor Ort trennt sich Papier von Praxis. Die Prüfer im Stage-2-Termin achten nicht nur darauf, ob Dokumente existieren, sondern ob die Prozesse dahinter gelebt werden. Der häufigste Grund für Findings ist eine Dokumentation, die nicht zur Realität passt.
Für den technischen Nachweis brauchen Unternehmen eine belastbare Übersicht ihrer IT. Dazu zählen:
- Geräte- und Software-Inventar samt Lizenzen
- Benutzerrechte und Zugriffskontrollen
- Nachweise über Patch- und Update-Stände
- Netzpläne und Abhängigkeiten der Systeme
Genau hier scheitern viele an der Aktualität: Eine Übersicht, die älter als drei Monate ist, gilt in der Praxis als unzuverlässig. Und der Druck endet nicht mit dem Zertifikat – jede jährliche Kontrolle verlangt erneut aktuelle Daten. Eine automatisch gepflegte IT-Dokumentation als belastbare Grundlage nimmt diesen wiederkehrenden Druck aus dem Verfahren. Softwaregestützte Werkzeuge wie Docusnap für Inventarisierung, Risikobetrachtung und Notfallhandbuch liefern die Nachweise auf Knopfdruck – statt sie vor jedem Prüftermin manuell zusammenzusuchen.
ISMS-Zertifizierung: Welche Fehler kosten am meisten Zeit?
Die meisten verzögerten Verfahren lassen sich auf wenige Muster zurückführen:
- Zu früh zur Prüfstelle gehen. Wer Prozesse nur auf Papier hat, kassiert beim Vor-Ort-Termin Findings. Erst leben, dann prüfen lassen.
- Den Geltungsbereich zu weit fassen. Ein zu großer Scope verlängert Aufbau und Prüfung unnötig. Lieber klein und sauber starten.
- Die Kapazität der Prüfstelle vergessen. Wer sie spät anfragt, wartet Monate auf einen Termin.
- Die Anwendbarkeitserklärung als Formsache behandeln. Wer alle 93 Maßnahmen ungeprüft als „anwendbar" markiert, fällt jedem erfahrenen Prüfer sofort auf.
Der wichtigste Rat aus der Praxis: Behandeln Sie den Weg zum Zertifikat als eigenes Projekt – mit Ressourcen und Zeitplan, nicht als Nebenaufgabe im Tagesgeschäft.
FAQs
Direkt vorgeschrieben ist sie nur für wenige Bereiche, etwa Betreiber kritischer Infrastrukturen. Für die meisten Unternehmen ist sie formal freiwillig – wird aber durch Kunden, Versicherer und NIS-2 faktisch erwartet. In vielen B2B-Lieferketten ist der Nachweis vertraglich gefordert.
Das Zertifikat gilt drei Jahre ab dem erfolgreichen Abschluss. In den Jahren dazwischen prüfen jährliche Kontrollen, ob der Steuerungsrahmen weiter wirksam ist. Nach drei Jahren folgt eine vollständige Re-Zertifizierung.
Beide beschreiben, wie Informationssicherheit systematisch gesteuert wird, sind aber unterschiedlich aufgebaut. ISO 27001 ist international und risikobasiert, der BSI IT-Grundschutz liefert konkretere Maßnahmenkataloge und ist in Deutschland verbreitet. Eine Zertifizierung nach ISO 27001 ist auch auf Basis des IT-Grundschutzes möglich.
Ja, gerade kleinere Organisationen mit klarer Struktur schaffen den Weg auch intern. Externe Beratung verkürzt vor allem die Zeit bis zur Prüfreife und hilft bei der Auswahl der passenden Maßnahmen. Eine Lead-Implementer-Schulung kann den Beratungsbedarf spürbar senken.
Prüfsichere Dokumentation ohne Handarbeit
Docusnap erfasst Ihre IT automatisch und hält die Nachweise für die Prüfung jederzeit aktuell. Statt vor jeder Prüfung Daten zusammenzusuchen, ziehen Sie Berichte auf Knopfdruck. So gehen Sie vorbereitet in Stage 1 und Stage 2.
Docusnap jetzt kostenlos testen!
