Wie lange dauert die ISO 27001 Zertifizierung?

Die meisten Unternehmen benötigen 6–12 Monate von der Implementierungsplanung bis zum Erhalt des Zertifikats. Kleine Unternehmen mit bereits reifen Sicherheitspraktiken können dies auf 3–6 Monate komprimieren. Die eigentliche Zertifizierungsaudit (Stufe 1 + Stufe 2) dauert nach Fertigstellung des ISMS typischerweise 2–3 Monate für Terminvereinbarung und Durchführung. Der Einsatz von Compliance-Automatisierungssoftware reduziert die Implementierungsphase um 40–60 % gegenüber einem vollständig manuellen Ansatz.

Was kostet die ISO 27001 Zertifizierung 2026?

Die Gesamtkosten im ersten Jahr liegen für mittelständische Unternehmen typischerweise zwischen 20.000 und 80.000 Euro. Allein die Zertifizierungsaudit-Gebühren reichen je nach Unternehmensgröße und Umfang von 8.000 bis 25.000 Euro. Überwachungsaudits in Jahr 2 und 3 kosten etwa 30–40 % der initialen Auditgebühren. Compliance-Automatisierungssoftware kann die Kosten der Implementierungs- und Dokumentationsphase um 40–60 % reduzieren.

Welche Zertifizierungsstellen dürfen ISO 27001 Zertifikate ausstellen?

Sie sollten eine akkreditierte Zertifizierungsstelle nutzen – eine, die von einer nationalen Akkreditierungsstelle bewertet wurde, deren Anerkennung über das Global Accreditation Cooperation MRA abgedeckt ist, den Nachfolger der früheren IAF/ILAC-Strukturen. In Deutschland akkreditiert die DAkkS (Deutsche Akkreditierungsstelle) Zertifizierungsstellen. Ein Zertifikat von einer nicht-akkreditierten Stelle wird von Enterprise-Kunden und Aufsichtsbehörden möglicherweise nicht anerkannt.

Was ist der Unterschied zwischen Stufe-1- und Stufe-2-Audit?

Stufe 1 ist eine Dokumentenprüfung: Der Auditor prüft, ob Ihr ISMS korrekt konzipiert ist und ob Richtlinien, Risikobeurteilung, Risikobehandlungsplan und Anwendbarkeitserklärung vollständig sind. Stufe 1 erfolgt oft remote und dauert 1–2 Tage. Stufe 2 ist das eigentliche Zertifizierungsaudit: Der Auditor verifiziert, dass Ihr ISMS so wie dokumentiert in der Praxis funktioniert, durch Mitarbeiterbefragungen, Nachweisüberprüfung und Prozesskontrolle. Stufe 2 findet typischerweise vor Ort statt und dauert 2–5 Tage.

Benötige ich einen Berater für die ISO 27001 Zertifizierung?

Ein Berater ist nicht zwingend erforderlich, beschleunigt den Prozess für Erstimplementierer jedoch erheblich. Viele Unternehmen nutzen einen Berater für die Lückenanalyse und Dokumentationsphase und führen die Implementierung dann intern mit Tool-Unterstützung durch. Compliance-Automatisierungssoftware reduziert den Beratungsbedarf durch automatisierte Nachweiserhebung, Maßnahmenüberwachung und Dokumentationspflege.

Wie verhält sich ISO 27001 zu NIS2 und DORA?

ISO 27001 ersetzt nicht die NIS2- oder DORA-Compliance, aber sie deckt einen großen Teil der Anforderungen beider Regelwerke ab. Die Risikomanagementmaßnahmen gemäß NIS2 Artikel 21 überlappen erheblich mit ISO 27001-Maßnahmen. Die Anforderungen an das IKT-Risikomanagement in DORA Artikel 6 entsprechen weitgehend den ISMS-Anforderungen. Viele Unternehmen nutzen ISO 27001 als Fundament und bilden darauf NIS2/DORA-spezifische Anforderungen ab.

ISO 27001 Zertifizierung erhalten: Praxisleitfaden in 6 Schritten

Published 14. Apr. 2026

By Orbiq Team

ISO 27001 Zertifizierung erhalten: Praxisleitfaden in 6 Schritten

Schritt-für-Schritt-Anleitung zur ISO 27001 Zertifizierung – von der Wahl der Zertifizierungsstelle bis zum bestandenen Stufe-2-Audit. Kosten, Zeitplan, DAkkS-akkreditierte Stellen.

iso-27001

zertifizierung

isms

compliance

audit

bsi

ISO 27001 Zertifizierung erhalten: Praxisleitfaden in 6 Schritten

Die ISO 27001 Zertifizierung signalisiert Enterprise-Kunden, dass Sie ein formales, auditiertes Informationssicherheits-Managementsystem (ISMS) betreiben. Im Jahr 2026 ist sie für B2B-Unternehmen, die an europäische Konzerne, Finanzinstitute und regulierte Branchen verkaufen, de facto die Grundvoraussetzung. Wer sie nicht hat, verliert Deals an Wettbewerber mit Zertifikat.

Dieser Leitfaden erklärt die konkreten Schritte zur Zertifizierung – nicht die Theorie, sondern die praktische Abfolge von Maßnahmen: von der Entscheidung für die Zertifizierung bis zum Erhalt des Zertifikats.

Auf einen Blick

Zertifizierung dauert 6–12 Monate für die meisten Unternehmen; 3–6 Monate mit starken bestehenden Sicherheitspraktiken und Automatisierungstools
Gesamtkosten im ersten Jahr: 20.000–80.000 € je nach Größe, Umfang und Automatisierungsgrad
Stufe-1- und Stufe-2-Audits sind obligatorisch: Stufe 1 prüft die Dokumentation, Stufe 2 verifiziert die Umsetzung
Akkreditierte Zertifizierungsstellen mit Anerkennung über das Global Accreditation Cooperation MRA sind der belastbare Weg zu anerkannten Zertifikaten
ISO 27001 deckt NIS2 und DORA – eine Zertifizierung erfüllt einen Großteil der Risikomanagement-Anforderungen beider Regelwerke

Schritt 1: Geltungsbereich festlegen

Der ISMS-Geltungsbereich definiert, welche Teile Ihres Unternehmens, welche Systeme und welche Informationswerte unter ISO 27001 fallen. Die richtige Festlegung des Geltungsbereichs ist die folgenreichste frühe Entscheidung.

Zu eng: Ein Geltungsbereich, der wesentliche Systeme ausschließt, mag einen Auditor befriedigen, lässt aber materielle Risiken außerhalb des Programms – und Kunden, die Due Diligence betreiben, werden das bemerken.

Zu breit: Ein Geltungsbereich, der alles umfasst, macht die Implementierung unhandhabbar und treibt die Auditkosten unnötig in die Höhe.

Die meisten B2B-SaaS-Unternehmen definieren ihren Geltungsbereich rund um ihre Kernprodukt-Infrastruktur, die Entwicklungsumgebung und die unterstützenden organisatorischen Prozesse. Kundensupport, HR und Finanzsysteme können je nach verarbeiteten Datentypen in den Geltungsbereich fallen oder nicht.

Dokumentieren Sie den Geltungsbereich als formales Schriftstück. Ihr Stufe-1-Auditor wird es als erstes prüfen – es zeigt, ob Sie die Norm verstanden haben.

Schritt 2: Lückenanalyse (Gap-Analyse) durchführen

Eine Lückenanalyse vergleicht Ihre aktuellen Sicherheitsmaßnahmen und Dokumentation mit den ISO 27001-Anforderungen. Sie beantwortet die Frage: Wie weit sind wir von der Auditreife entfernt?

Führen Sie die Lückenanalyse auf zwei Ebenen durch:

ISO 27001-Klauseln (4–10): Die verbindlichen Anforderungen – Kontext, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung und Verbesserung. Diese decken Ihre Managementsystem-Struktur ab.
Anhang A-Maßnahmen (93 Maßnahmen in 4 Kategorien): Die Referenzmaßnahmen, die Sie basierend auf Ihrer Risikobeurteilung auswählen und implementieren. Nicht alle 93 sind obligatorisch – Ihre Anwendbarkeitserklärung (SoA) begründet, welche anwendbar sind.

Das Ergebnis der Lückenanalyse ist ein priorisierter Maßnahmenplan. Die meisten Erstimplementierer stellen erhebliche Dokumentationslücken und einige substantielle Kontrolllücken fest. Wesentliche Infrastrukturlücken sind bei SaaS-Unternehmen mit modernen Cloud-Architekturen seltener – technische Maßnahmen wie MFA, Verschlüsselung und Access-Logging sind meist vorhanden, nur nicht dokumentiert.

Schritt 3: ISMS aufbauen und Pflichtdokumentation erstellen

ISO 27001 verlangt eine spezifische Dokumentensammlung. Ihr Auditor nutzt diese als primäre Nachweisquelle. Fehlende oder unvollständige Dokumentation ist der häufigste Grund, warum Unternehmen Stufe 1 nicht bestehen.

Pflichtdokumentation umfasst:

Dokument	Inhalt
ISMS-Geltungsbereich	Welche Systeme, Prozesse und Organisationseinheiten abgedeckt sind
Informationssicherheitsleitlinie	Übergeordnete Richtlinienerklärung, unterzeichnet von der Geschäftsleitung
Risikobeurteilungsmethodik	Wie Sie Informationssicherheitsrisiken identifizieren, bewerten und behandeln
Risikoregister	Inventar identifizierter Risiken mit Wahrscheinlichkeit, Auswirkung und Behandlungsentscheidungen
Risikobehandlungsplan	Wie und bis wann identifizierte Risiken adressiert werden
Anwendbarkeitserklärung (SoA)	Alle 93 Anhang A-Maßnahmen – Anwendbarkeits-/Ausschlussstatus und Begründung
Informationssicherheitsziele	Messbare Ziele für das ISMS
Internes Auditprogramm	Zeitplan und Methodik für interne Audits
Managementbewertungsprotokoll	Nachweis, dass die Geschäftsleitung die ISMS-Performance bewertet
Nachweise für Nichtkonformitäten und Korrekturmaßnahmen	Wie Abweichungen von der Richtlinie behandelt werden

Die Anwendbarkeitserklärung verdient besondere Aufmerksamkeit. Sie ist das erste Dokument, das die meisten Auditoren anfordern – sie bildet Ihre Risikobehandlungsentscheidungen auf spezifische Maßnahmen ab, und jede als anwendbar markierte Maßnahme muss durch Nachweise belegt werden.

Schritt 4: Akkreditierte Zertifizierungsstelle auswählen

Nicht alle Zertifizierungsstellen genießen die gleiche Anerkennung. Ihr Zertifikat sollte von einer Stelle stammen, die durch eine nationale Akkreditierungsstelle akkreditiert ist, deren Anerkennung über das Global Accreditation Cooperation MRA abgedeckt ist. Dieses MRA ist seit 2026 der Nachfolger der früheren IAF/ILAC-Strukturen.

Nationale Akkreditierungsstellen nach Land:

Land	Akkreditierungsstelle
Deutschland	DAkkS (Deutsche Akkreditierungsstelle)
Frankreich	COFRAC (Comité français d'accréditation)
Niederlande	RvA (Raad voor Accreditatie)
Vereinigtes Königreich	UKAS (United Kingdom Accreditation Service)
Norwegen	Norsk Akkreditering (NA)

Bekannte Zertifizierungsstellen in Europa: BSI Group, Bureau Veritas, TÜV SÜD, TÜV Rheinland, DNV und LRQA. Holen Sie mindestens 2–3 Angebote ein – die Auditgebühren für mittelständische Unternehmen liegen typischerweise zwischen 8.000 und 25.000 Euro für die Erstzertifizierung [1].

Stellen Sie potenziellen Zertifizierungsstellen zwei praktische Fragen: Verfügen Sie über Erfahrung in Ihrer Branche? Und wie lange sind die aktuellen Wartezeiten für Stufe-2-Audits? Manche akkreditierten Stellen haben 3–6 Monate Vorlaufzeit.

Schritt 5: Internes Audit und Managementbewertung abschließen

Bevor Sie Ihr Stufe-1-Audit terminieren, verlangt ISO 27001, dass Sie mindestens einen vollständigen Zyklus abgeschlossen haben:

Internes Audit: Eine unabhängige Überprüfung, ob Ihr ISMS den ISO 27001-Anforderungen entspricht und wirksam umgesetzt ist. Der interne Auditor muss kompetent und unabhängig von den geprüften Bereichen sein – dies bedeutet typischerweise einen qualifizierten internen Auditor aus einem anderen Team oder einen externen Berater.

Managementbewertung: Eine formale Überprüfung durch die Unternehmensleitung der ISMS-Performance, einschließlich interner Auditergebnisse, Vorfälle, Zielfortschritt und Verbesserungsmöglichkeiten. Das Ergebnis muss dokumentiert werden – Auditoren fordern Managementbewertungsprotokolle routinemäßig als Nachweis des Engagements der Unternehmensführung an.

Beides muss vor Stufe 1 abgeschlossen sein. Eine Managementbewertung, die zwei Tage vor Stufe 1 stattgefunden hat, wirft Fragen auf.

Schritt 6: Stufe-1- und Stufe-2-Audit bestehen

Stufe 1: Dokumentenprüfung

Stufe 1 dauert typischerweise 1–2 Tage und konzentriert sich darauf, ob Ihr ISMS korrekt konzipiert ist. Der Auditor prüft:

ISMS-Geltungsbereich
Informationssicherheitsleitlinie
Risikobeurteilung und Risikobehandlungsdokumentation
Anwendbarkeitserklärung (SoA)
Interne Audit- und Managementbewertungsprotokolle

Das Ergebnis ist ein Stufe-1-Bericht, der wesentliche Nichtkonformitäten (müssen vor Stufe 2 behoben werden) und geringfügige Nichtkonformitäten oder Beobachtungen (müssen adressiert werden, blockieren aber nicht die Zertifizierung) ausweist.

Stufe 2: Umsetzungsverifizierung

Stufe 2 ist das eigentliche Zertifizierungsaudit – typischerweise 2–5 Tage vor Ort je nach Unternehmensgröße. Der Auditor verifiziert, dass Ihr ISMS wie dokumentiert in der Praxis funktioniert:

Mitarbeiterbefragungen: Auditoren befragen Mitarbeitende aus allen Bereichen – nicht nur den CISO, sondern auch Entwickler, Betrieb, HR und Management. Sie wollen bestätigen, dass Menschen Richtlinien kennen und Verfahren einhalten.
Nachweisüberprüfung: Auditoren fordern spezifische Maßnahmennachweise an: Zugangsprotokolle, Schwachstellenscan-Ergebnisse, Schulungsnachweise, Vorfallsberichte, Lieferantenbewertungen und Backup-Testergebnisse.
Prozessbeobachtung: Für operative Maßnahmen können Auditoren Prozesse direkt beobachten oder Screenshots laufender Systeme prüfen.

Das Bestehen von Stufe 2 bedeutet, dass der Auditor keine wesentlichen Nichtkonformitäten feststellt. Geringfügige Nichtkonformitäten werden dokumentiert, und Sie verpflichten sich zu Korrekturmaßnahmen. Die Zertifizierungsstelle stellt dann Ihr ISO 27001-Zertifikat aus, das drei Jahre gültig ist.

Nach der Zertifizierung: ISMS aufrechterhalten

Die Zertifizierung ist kein einmaliges Ereignis. Um sie aufrechtzuerhalten:

Jährliche Überwachungsaudits: In Jahr 1 und 2 führt Ihre Zertifizierungsstelle kürzere Überwachungsaudits (typischerweise 1–2 Tage) durch, um die fortlaufende Compliance zu verifizieren.

Rezertifizierung in Jahr 3: Vor Ablauf Ihres Zertifikats ist ein vollständiges Audit erforderlich, das den Stufe-1- und Stufe-2-Prozess wiederholt.

Kontinuierliche Nachweiserhebung: Das Intervall zwischen Jahresaudits ist der Bereich, in dem die meisten ISMS-Programme straucheln. Richtlinien werden nicht aktualisiert. Risikoregister veralten. Schulungsnachweise laufen ab. Compliance-Automatisierungstools, die kontinuierlich Nachweise erfassen und bei Maßnahmenlücken warnen, verhindern das hektische Aufholen vor jedem Audit.

ISO 27001 und EU-Regularien

ISO 27001 ersetzt nicht die NIS2-, DORA- oder DSGVO-Compliance, aber schafft ein starkes Fundament:

NIS2 Artikel 21 (NIS2UmsuCG): Risikomanagementmaßnahmen – Zugangskontrolle, Incident-Handling, Lieferkettensicherheit, Kryptographie – entsprechen weitgehend ISO 27001 Anhang A-Maßnahmen
DORA Artikel 6 (IKT-Risikomanagement-Framework): Anforderungen entsprechen ISMS-Struktur und Dokumentationspflichten
DSGVO Artikel 32: Technische und organisatorische Sicherheitsmaßnahmen werden teilweise durch ISO 27001-Maßnahmen erfüllt

Für B2B-Unternehmen im EU-Markt ist die ISO 27001-Zertifizierung zusammen mit NIS2/DORA-Compliance der Standardrahmen. Orbiq's ISMS-Software bildet ISO 27001-Maßnahmen auf NIS2-, DORA- und DSGVO-Anforderungen ab, damit Sie eine einzige Nachweisbasis für alle drei Regelwerke pflegen.

Jetzt starten

Orbiq unterstützt B2B-Unternehmen dabei, ISO 27001-Zertifizierung schneller zu erreichen – durch automatisierte Nachweiserhebung, Maßnahmenüberwachung und Dokumentationspflege. Die Plattform bildet NIS2, DORA und DSGVO ab, damit Ihr ISMS-Programm alle wesentlichen EU-Anforderungen erfüllt.

Wie Orbiq die ISO 27001-Zertifizierung beschleunigt →

Weiterführende Artikel

Quellen

High Table — How Much Does ISO 27001 Certification Cost? (2026 Price Guide)
Secureframe — ISO 27001 Certification Timeline
Glocert International — ISO 27001 Certification Process: Stage 1 vs Stage 2 Guide
ISMS.online — ISO 27001:2022 Audit Cycle: Phases and Timelines Explained
Global Accreditation Cooperation — Global ACI launch and MRA continuity
DAkkS — Deutsche Akkreditierungsstelle
ISO — ISO/IEC 27001 information security management systems
Hyperproof — Steps to Achieve ISO 27001 Certification