ISO 27001 Zertifizierung: Ablauf, Kosten, Dauer

Die ISO 27001 Zertifizierung ist der formale Nachweis. Sie bestätigt, dass dein Informationssicherheits-Managementsystem (ISMS) der internationalen Norm entspricht. Eine akkreditierte Zertifizierungsstelle prüft dein ISMS und stellt das Zertifikat aus. Es gilt drei Jahre. In den drei Jahren prüfen jährliche Überwachungsaudits, ob dein ISMS weiter wirksam ist.

Kunden, Partner und Aufsichtsbehörden erwarten den Nachweis zunehmend. In vielen B2B-Lieferketten ist er vertraglich gefordert. Dieser Leitfaden zeigt dir den Ablauf nach ISO/IEC 27001:2022. Von den Voraussetzungen über Stage 1 und Stage 2 bis zu Kosten und Dauer. Mit Querverweisen auf unsere Detail-Guides zu jedem Schritt.

Wer kann sich zertifizieren lassen?

Die Norm ist branchen- und größenunabhängig. Jede Organisation kann ein ISMS aufbauen und zertifizieren lassen. Typische Anwender sind:

• •SaaS- und IT-Dienstleister, die den Nachweis für Enterprise-Kunden brauchen
• •Automotive-Zulieferer in TISAX-Lieferketten, mit ISO 27001 als Basis
• •Finanzdienstleister mit BaFin- oder DORA-Bezug
• •KRITIS-Betreiber, die §8a BSIG mit ISO 27001 kombinieren
• •Beratungen und Agenturen mit sensiblen Kundendaten
• •Behörden und öffentliche Stellen

Voraussetzungen für die Zertifizierung

Drei Dinge musst du vor dem Audit vorweisen können. Erstens ein dokumentiertes ISMS mit definiertem Scope. Zweitens ein gelebtes Risikomanagement nach Klausel 6.1 der Norm. Drittens umgesetzte Maßnahmen aus Anhang A, festgehalten in der Erklärung zur Anwendbarkeit (SoA).

Dazu kommen Pflichtnachweise: interne Audits, Managementbewertung, Schulungen und Korrekturmaßnahmen. Die Norm verlangt, dass diese Prozesse mindestens einmal vor der Erstzertifizierung durchlaufen werden. Mehr Detail zur SoA findest du im SoA-Leitfaden.

Der Ablauf: 4 Phasen bis zum Zertifikat

Phase 1: Vorbereitung und Gap-Analyse

Du legst den Scope deines ISMS fest. Dann vergleichst du den Ist-Zustand mit den Anforderungen der Norm. Eine Gap-Analyse zeigt dir, wo Lücken sind. Aus diesen Lücken entsteht dein Umsetzungsplan. Diese Phase dauert typisch zwei bis vier Wochen.

Phase 2: Aufbau des ISMS

Du baust die Bausteine des ISMS auf. Dazu zählen Politiken, Rollen, Risikoprozess, Maßnahmen und Nachweise. Schulungen für die Belegschaft gehören dazu. Diese Phase ist der Hauptteil. Sie dauert typisch drei bis sechs Monate, je nach Größe.

Phase 3: Stage 1 Audit (Documentation Review)

Der externe Auditor prüft deine Dokumentation. Er stellt fest, ob das ISMS reif genug für den Stage 2 ist. Stage 1 läuft oft remote oder mit ein bis zwei Tagen vor Ort. Findest du Lücken, hast du Zeit, sie vor Stage 2 zu schließen. Typischer Abstand zwischen Stage 1 und Stage 2: vier bis acht Wochen.

Phase 4: Stage 2 Audit (Certification Audit)

Jetzt prüft der Auditor, ob das ISMS gelebt wird. Er spricht mit Mitarbeitern, sichtet Nachweise und überprüft die Umsetzung der Controls. Dauert je nach Größe drei bis zehn Tage vor Ort. Am Ende gibt es einen Bericht. Bei einer positiven Empfehlung erhältst du das Zertifikat. Tiefer in die Prüfpunkte gehst du im Leitfaden zur Audit-Vorbereitung.

Wie lange dauert die Zertifizierung?

Realistisch sind sechs bis zwölf Monate. Kleine Organisationen mit klarem Scope und etwas Vorarbeit schaffen es in vier bis sechs Monaten. Mittelständler ohne Vorarbeit brauchen oft neun bis zwölf Monate. Komplex aufgestellte Konzerne kalkulieren ein Jahr und mehr. Den vollständigen Zeitplan mit Meilensteinen findest du in unserer ISO 27001 Roadmap.

Was kostet die Zertifizierung?

Die Bandbreite ist groß. Sie reicht von rund 8.000 EUR für sehr kleine Scopes bis 150.000 EUR und mehr für komplexe Konzerne. Treiber sind die Organisationsgröße, die Reife deines ISMS, der Umsetzungsweg (Beratung, intern, GRC-Software) und der Auditor selbst.

Dazu kommen laufende Kosten. Pro Jahr fallen Überwachungsaudits an. Nach drei Jahren steht die Rezertifizierung an. Plane diese Posten von Anfang an ein. Den ehrlichen Kostenvergleich der drei Wege findest du im Kosten-Leitfaden, inklusive interaktivem Rechner.

Nach der Zertifizierung

Das Zertifikat gilt drei Jahre. Jedes Jahr besucht der Auditor dich erneut. Er prüft Stichproben und kritische Änderungen. Im dritten Jahr steht die Rezertifizierung an, ein vollständiges Audit über alle Bereiche. Wer das ISMS dauerhaft lebt, geht entspannt rein. Wer es einschlafen lässt, riskiert Major Findings und im Worst Case den Verlust des Zertifikats.

Häufige Fehler vor der Zertifizierung

• 1.Scope zu breit gewählt. Der gesamte Konzern beim ersten Audit ist Stress. Starte fokussiert, erweitere später.
• 2.Dokumentation ohne gelebten Prozess. Ein perfektes Handbuch ohne tägliche Praxis fällt im Stage 2 auf. Auditoren fragen die Belegschaft.
• 3.Risikoprozess als Pflichtübung. Wer Risiken nur einmalig listet, verliert den Sinn. Die Norm verlangt einen laufenden Prozess.
• 4.Interne Audits zu spät. Ohne mindestens einen internen Audit-Durchlauf fehlt eine Pflicht-Voraussetzung für Stage 2.
• 5.Auditor zu spät anfragen. Gute Zertifizierungs- stellen sind oft drei bis sechs Monate ausgebucht. Plane früh.

Mit Kopexa schneller zur Zertifizierung

Kopexa bildet das komplette ISMS in einer Plattform ab. Frameworks, Risiken, Policies, Maßnahmen, Nachweise und Audit-Trail sind miteinander verknüpft. Cross-Framework-Mappings reduzieren Doppelarbeit, wenn du ISO 27001 mit NIS2, DSGVO oder TISAX kombinierst.

Was das praktisch bringt: kürzere Aufbauphase, weniger Dokumentationsaufwand und ein Audit-Trail, der jede Maßnahme dem passenden Control zuordnet. So sparst du Zeit vor dem Stage 1 und Stress beim Stage 2. Buche eine kurze Demo, wenn du wissen willst, wie das in deinem Setup aussieht.