ISO 27001 in der Fertigung

Produzierende Unternehmen stehen 2026 unter einem Compliance-Druck, den es so noch nie gab. OEMs und Tier-1-Zulieferer fordern von ihren Lieferketten lückenlose Informationssicherheit, Cyberangriffe auf mittelständische Fertiger haben sich innerhalb von zwei Jahren verdoppelt, und mit NIS2 ist ein nennenswerter Teil der industriellen Fertigung erstmals direkt reguliert. ISO 27001 ist in diesem Umfeld nicht mehr nur ein Qualitätssignal, sondern häufig die formale Voraussetzung, um überhaupt im Bieterverfahren zu bleiben.

Gleichzeitig hat die Fertigung eigene Besonderheiten, die eine ISO 27001-Einführung anders laufen lassen als bei einem reinen IT-Dienstleister. Die Konvergenz von IT und OT, historisch gewachsene Shop-Floor-Netze, lange Lebenszyklen von Maschinen und ein dichtes Netz aus externen Dienstleistern sind die Realität, mit der du arbeitest. Dieser Leitfaden zeigt dir, welche Controls in produzierenden Unternehmen den größten Hebel haben, was du realistisch an Zeit und Budget einplanen solltest und wie sich ISO 27001 mit TISAX und NIS2 verzahnt.

Warum ISO 27001 in der Fertigung

Der Druck kommt aus drei Richtungen gleichzeitig. Erstens verlangen Automotive-OEMs wie Volkswagen, BMW oder Daimler von strategischen Zulieferern TISAX, das auf ISO 27001 als Basis aufbaut. Zweitens erwarten Pharmakonzerne und Luftfahrt-OEMs ISO 27001 direkt als Lieferantengate, oft im Rahmen der Qualifizierung als Tier-1- oder Tier-2-Lieferant. Drittens greift NIS2 für Hersteller, die unter Anhang I und II der Richtlinie fallen, von Chemie über Maschinenbau bis zu Lebensmitteln. Wer einen Jahresumsatz über 10 Mio. EUR erzielt und mehr als 50 Mitarbeitende beschäftigt, ist häufig direkt betroffen.

Hinzu kommt das operative Risiko. Ein Ransomware-Vorfall in einem Produktionsbetrieb legt nicht nur die IT lahm, sondern stoppt die Fertigung. Jeder Stillstandstag kostet bei einem mittelständischen Hersteller schnell einen sechsstelligen Betrag. ISO 27001 zwingt dich, genau die Themen strukturiert anzugehen, die im Ernstfall über den Schaden entscheiden, etwa Backup-Strategie, Netzsegmentierung und Business Continuity.

Relevante Controls für produzierende Betriebe

Nicht jede der 93 Annex A Controls ist in der Fertigung gleich wichtig. Die folgenden acht Controls solltest du mit besonderer Sorgfalt behandeln, weil sie genau die Risiken adressieren, an denen produzierende Unternehmen im Audit regelmäßig scheitern.

Zeitlicher und finanzieller Rahmen

Für einen mittelständischen Fertiger zwischen 100 und 500 Mitarbeitenden ist eine ISO 27001-Einführung in 10 bis 14 Monaten realistisch. Wer bereits ein TISAX-Assessment oder ein gut gepflegtes IT-Grundschutz- Kompendium hat, kommt am unteren Ende an. Wer bei Null startet, sollte eher mit 14 bis 18 Monaten rechnen.

Die Kosten setzen sich aus drei Blöcken zusammen. Der Zertifizierungsauditor kostet je nach Unternehmensgröße 8.000 bis 20.000 EUR für Stage 1 plus Stage 2, dazu jährlich 3.000 bis 5.000 EUR für Surveillance-Audits. Interne Aufwände liegen realistisch bei 120 bis 200 Personentagen verteilt auf CISO, IT, HR und Fachbereiche. Externe Beratung ist optional und kostet zwischen 15.000 und 60.000 EUR je nach Reifegrad und Umfang. Self-Service mit einer Plattform wie Kopexa reduziert den Beratungsanteil deutlich, ersetzt aber nicht die internen Aufwände.

Insgesamt landest du im ersten Jahr bei 30.000 bis 100.000 EUR, je nachdem wie viel extern eingekauft wird. Danach fallen jährlich typischerweise 5.000 bis 15.000 EUR an. Detailzahlen findest du in unserer ISO 27001 Kostenübersicht.

Framework-Synergien: ISO 27001, TISAX und NIS2

Die häufigste Frage, die uns Fertigungskunden stellen, lautet: ISO 27001 oder TISAX. Die ehrliche Antwort ist, es hängt von deinen Kunden ab. TISAX ist im deutschen Automotive-Umfeld faktisch Pflicht, ISO 27001 ist international anerkannt und deckt einen deutlich breiteren Anwendungsbereich ab. Für die meisten produzierenden Unternehmen ist die Kombination sinnvoll, weil TISAX auf ISO 27001 als Basis aufbaut und du beide Nachweise parallel einsammelst.

Unser Vergleich ISO 27001 vs. TISAX zeigt im Detail, welcher Nachweis welchen Anwendungsfall abdeckt. Wenn du unter NIS2 fällst, deckt ein ISO 27001-ISMS bereits rund 85 Prozent der Anforderungen aus Art. 21 NIS2UmsuCG ab. Die verbleibenden 15 Prozent sind vor allem Meldepflichten und Geschäftsleitungs- Verantwortung, die du in ISO-Begriffen als zusätzliche Klauseln abbildest.

Typische Fallstricke in der Fertigung

• 1.Shop-Floor wird als "out of scope" deklariert: Das funktioniert selten. Wenn Fertigungssysteme mit der Office-IT kommunizieren oder Produktionsdaten verarbeiten, gehören sie in den Scope. Alles andere bringt dich im Audit in Erklärungsnot.
• 2.Wartungszugänge vergessen: VPN-Zugänge externer Wartungsfirmen werden oft ad hoc eingerichtet und nie wieder kontrolliert. Im Audit ist das ein klassisches Major-Finding. Jeder externe Zugang gehört in ein strukturiertes Access-Management.
• 3.Legacy-Maschinen ohne Patch-Strategie: Eine 20-jährige CNC-Maschine lässt sich nicht patchen. Der Weg ist nicht, das Control A.8.9 als "nicht anwendbar" zu deklarieren, sondern kompensierende Maßnahmen wie Netzsegmentierung und strikte Zugangskontrolle zu dokumentieren.
• 4.Business Continuity bleibt Theorie: Ein BCM-Dokument ohne Übung ist im Audit wertlos. Mindestens einmal jährlich eine Tischübung mit dokumentierten Ergebnissen ist der Minimalstandard.

FAQ: ISO 27001 in der Fertigung

Nächster Schritt