Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
ISO 27001: Anforderungen, Schritte & Zertifizierung | vsca
ISO 27001 / ISMSZuletzt aktualisiert: 2026-06-23

ISO 27001: Definition, Anforderungen und Zertifizierung im Überblick

Zuletzt aktualisiert: 23.06.2026

ISO 27001 ist die international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS) – aktuell in der Fassung ISO/IEC 27001:2022. Sie beschreibt, wie ein Unternehmen Informationssicherheit nicht dem Zufall, sondern einem strukturierten, dokumentierten und überprüfbaren Managementansatz überlässt: Risiken systematisch erkennen, behandeln, nachweisen und kontinuierlich verbessern. Auf dieser Seite erklären wir verständlich, was ISO 27001 ist, wer die Norm braucht, welche Anforderungen sie stellt, wie die ISO 27001 Zertifizierung abläuft – und wie ein ISMS Ihre Nachweise unter NIS2 und DORA stützt. Alle regulatorischen Angaben sind auf dem Stand vom 23. Juni 2026.

Zur ISO-27001-Beratungtabea@vsquadrat.de · +49 151 40701461

Inhaltsverzeichnis

  1. Was ist ISO 27001? Eine kurze Definition
  2. ISO 27001, ISMS und ISO 27002 – die Begriffe sortiert
  3. Aktuelle Fassung und rechtlicher Stand 2026
  4. Wer braucht ISO 27001?
  5. Die Anforderungen der ISO 27001 im Überblick
  6. In sieben Schritten zur ISO 27001 Zertifizierung
  7. ISO 27001 im Zusammenspiel mit NIS2, DORA und Co.
  8. Praxis: typische Stolpersteine
  9. Häufige Fragen zu ISO 27001

Was ist ISO 27001? Eine kurze Definition

ISO 27001 ist die weltweit führende Norm für die Informationssicherheit. Herausgegeben von der International Organization for Standardization (ISO) gemeinsam mit der International Electrotechnical Commission (IEC), legt sie die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) fest. Der vollständige Name lautet ISO/IEC 27001 – umgangssprachlich spricht fast jede:r nur von „ISO 27001".

Der entscheidende Punkt: ISO 27001 ist kein Werkzeug und keine Technik. Sie schreibt Ihnen keine bestimmte Firewall, kein bestimmtes Backup-Produkt und keine bestimmte Software vor. Stattdessen beschreibt sie einen Managementansatz: Wie identifiziert ein Unternehmen seine Informationssicherheitsrisiken, wie bewertet und behandelt es sie, wie dokumentiert es das Ganze und wie sorgt es dafür, dass das System dauerhaft wirksam bleibt? ISO 27001 fragt also nicht „Welche Tools setzen Sie ein?", sondern „Können Sie belegen, dass Sie die richtigen Dinge aus den richtigen Gründen tun?".

Schützenswert ist dabei jede Form von Information – ob digital, auf Papier oder im Kopf der Mitarbeitenden. Die drei klassischen Schutzziele der Informationssicherheit lauten:

  • Vertraulichkeit – Informationen sind nur für Berechtigte zugänglich.
  • Integrität – Informationen sind korrekt und vollständig und werden nicht unbemerkt verändert.
  • Verfügbarkeit – Informationen und Systeme stehen zur Verfügung, wenn sie gebraucht werden.

Ein ISMS nach ISO 27001 sorgt dafür, dass diese drei Ziele systematisch und nachweisbar verfolgt werden – und nicht nur punktuell und nach Bauchgefühl.

ISO 27001, ISMS und ISO 27002 – die Begriffe sortiert

Rund um ISO 27001 kursieren mehrere Begriffe, die gerne durcheinandergeraten. Drei sollten Sie sauber auseinanderhalten:

  • ISMS (Informationssicherheits-Managementsystem) ist das, was Sie in Ihrem Unternehmen aufbauen und betreiben: der strukturierte Managementansatz, mit dem Sie Informationssicherheitsrisiken steuern.
  • ISO/IEC 27001 ist die Norm, also der Maßstab, an dem ein ISMS gemessen und gegen den es zertifiziert wird. Der normative Teil enthält die verpflichtenden Anforderungen an das Managementsystem; im Anhang A führt die Norm einen Katalog von Sicherheitsmaßnahmen (Controls) auf.
  • ISO/IEC 27002 ist ein begleitender Leitfaden, der die Maßnahmen aus Anhang A der ISO 27001 ausführlich erläutert. Gegen ISO 27002 wird nicht zertifiziert; sie hilft bei der Umsetzung.

Vereinfacht: Das ISMS ist Ihr Auto, ISO 27001 ist die Prüfordnung, gegen die es geprüft wird – und ISO 27002 ist das Handbuch, das erklärt, wie die einzelnen Bauteile funktionieren. Wenn Sie zunächst den Aufbau des Managementsystems in den Vordergrund stellen wollen, vertieft das unsere ISMS-Beratung; geht es um den formalen Nachweis durch ein Zertifikat, ist die ISO-27001-Beratung der richtige Einstieg.

Aktuelle Fassung und rechtlicher Stand 2026

Anders als NIS2, DORA oder die DSGVO ist ISO 27001 kein Gesetz, sondern ein freiwilliger internationaler Standard. Es gibt keine gesetzliche Pflicht „zur ISO 27001" und keine Behörde, die ein Zertifikat erzwingt. Trotzdem hat die Norm eine quasi-verbindliche Wirkung erlangt – als Marktstandard, als Vertragsvoraussetzung und als anerkanntes Nachweisgerüst für gesetzliche Anforderungen.

Für den Stand 2026 ist vor allem die Fassung entscheidend:

PunktStand 2026
Maßgebliche FassungISO/IEC 27001:2022
Vorgängerversion :2013abgelöst
Übergangsfrist für Alt-Zertifikate (:2013 → :2022)Ende 2025 ausgelaufen

Konkret heißt das: Die aktuelle Fassung ist ISO/IEC 27001:2022. Die frühere Version :2013 ist abgelöst, und die Übergangsfrist, in der bestehende Zertifikate noch auf der alten Fassung beruhen durften, ist Ende 2025 ausgelaufen. Wer heute ein ISMS aufbaut, sich erstmals zertifizieren lässt oder ein bestehendes Zertifikat rezertifiziert, arbeitet ausschließlich nach der Fassung 2022. Aktualisierungen wie die Fassung 27001:2022 betreffen unter anderem die Struktur und Gruppierung der Maßnahmen in Anhang A – wir bauen Ihr System von Beginn an auf dem aktuell maßgeblichen Stand auf.

Zuletzt aktualisiert: 23.06.2026: ISO 27001 selbst ist kein Gesetz. Die regulatorischen Bezüge auf dieser Seite (NIS2, DORA) geben den Rechtsstand vom 23. Juni 2026 wieder.

Wer braucht ISO 27001?

Weil ISO 27001 keine gesetzliche Pflicht ist, lautet die ehrliche Antwort: niemand muss sich zwingend zertifizieren lassen – aber für immer mehr Unternehmen führt praktisch kein Weg daran vorbei. Drei Treiber bringen ISO 27001 auf die Agenda:

1. Kund:innen, Ausschreibungen und Lieferketten

In vielen Branchen ist ein gültiges ISO-27001-Zertifikat zur Eintrittskarte geworden. Großkunden, öffentliche Auftraggeber und Konzerne machen den Auftrag zunehmend vom Nachweis eines anerkannten Sicherheitsmanagements abhängig. Wer in Ausschreibungen mitbieten oder als Lieferant gelistet bleiben will, braucht das Zertifikat oft schlicht als Voraussetzung – unabhängig davon, wie gut die eigene Sicherheit tatsächlich ist.

2. Regulatorische Anforderungen

Gesetze wie NIS2 und DORA fordern strukturierte technische und organisatorische Risikomanagementmaßnahmen. Ein ISMS nach ISO/IEC 27001:2022 ist ein anerkanntes Gerüst, das viele dieser Anforderungen abdeckt und den Nachweis erheblich erleichtert. Auch wenn das Zertifikat den gesetzlichen Nachweis nicht eins zu eins ersetzt, erspart es viel Doppelarbeit.

3. Eigenschutz und Vertrauen

Unabhängig von Druck von außen ist Informationssicherheit eine Frage von Haftung, Geschäftskontinuität und Reputation. Ein Datenleck, ein Ransomware-Vorfall oder ein längerer Systemausfall kann den Geschäftsbetrieb empfindlich treffen. Ein ISMS senkt diese Risiken strukturiert – und ein Zertifikat macht die Anstrengung nach außen sichtbar.

Typische Kandidaten sind damit IT- und Software-Dienstleister, SaaS-Anbieter, Rechenzentren, Maschinen- und Anlagenbauer mit vernetzten Produkten, Telekommunikations- und Energieunternehmen, Finanzdienstleister sowie Mittelständler, die als Zulieferer großer Konzerne agieren. Entscheidend ist nicht primär die Mitarbeiterzahl, sondern der gewählte Geltungsbereich (Scope) und der Schutzbedarf der verarbeiteten Informationen – ein ISMS lässt sich von wenigen bis zu vielen tausend Beschäftigten skalieren.

Die Anforderungen der ISO 27001 im Überblick

Die Anforderungen der ISO 27001 lassen sich in zwei große Blöcke teilen: die verpflichtenden Managementsystem-Anforderungen (der normative Hauptteil) und den Maßnahmenkatalog in Anhang A (die Controls).

Der normative Hauptteil – das Managementsystem

Die ISO 27001 ist nach der gemeinsamen Grundstruktur moderner Managementsystem-Normen aufgebaut (High Level Structure). Diese Anforderungen sind verpflichtend und betreffen unter anderem:

  • Kontext der Organisation – Verständnis der internen und externen Themen sowie der Erwartungen interessierter Parteien; Festlegung des Geltungsbereichs (Scope) des ISMS.
  • Führung – Verpflichtung der obersten Leitung, eine Informationssicherheitsleitlinie und klare Rollen und Verantwortlichkeiten.
  • Planung – im Zentrum die Risikobeurteilung und Risikobehandlung sowie Informationssicherheitsziele.
  • Unterstützung – Ressourcen, Kompetenz, Bewusstsein (Awareness), Kommunikation und dokumentierte Information.
  • Betrieb – Umsetzung der geplanten Maßnahmen und der Risikobehandlung im Tagesgeschäft.
  • Bewertung der Leistung – Überwachung, Messung, interne Audits und Managementbewertung.
  • Verbesserung – Umgang mit Abweichungen, Korrekturmaßnahmen und kontinuierliche Verbesserung.

Über allem steht das PDCA-Prinzip (Plan-Do-Check-Act): planen, umsetzen, überprüfen, nachjustieren. Ein ISMS ist damit kein einmaliges Projekt, sondern ein dauerhafter Kreislauf.

Anhang A – der Maßnahmenkatalog (Controls)

Anhang A der ISO/IEC 27001:2022 listet die Sicherheitsmaßnahmen auf, aus denen Sie risikobasiert auswählen. In der Fassung 2022 sind diese Controls in vier Themenbereiche gruppiert:

  • Organisatorische Maßnahmen – z. B. Richtlinien, Rollen, Lieferantensteuerung, Umgang mit Informationssicherheitsvorfällen.
  • Personenbezogene Maßnahmen – z. B. Sensibilisierung, Schulung, Verantwortlichkeiten von Mitarbeitenden.
  • Physische Maßnahmen – z. B. Zutrittskontrolle, Schutz von Räumen, Geräten und Datenträgern.
  • Technologische Maßnahmen – z. B. Zugriffskontrolle, Verschlüsselung, Protokollierung, Schutz vor Schadsoftware.

Welche dieser Maßnahmen für Sie gelten, halten Sie in der Anwendbarkeitserklärung (Statement of Applicability, SoA) fest – einem zentralen Dokument, das begründet, welche Controls Sie anwenden, welche nicht und warum. Genau hier zeigt sich der risikobasierte Charakter der Norm: Nicht jedes Unternehmen braucht jede Maßnahme, aber jede Entscheidung muss nachvollziehbar dokumentiert sein.

Welche dieser Bausteine wir konkret mit Ihnen aufbauen – von der Gap-Analyse über das Risikomanagement bis zur Anwendbarkeitserklärung – beschreibt unsere ISO-27001-Beratung.

In sieben Schritten zur ISO 27001 Zertifizierung

Der Weg zur ISO 27001 Zertifizierung lässt sich strukturieren. Wie lange er dauert, hängt stark vom Ausgangspunkt, vom Umfang des Geltungsbereichs und von den bereits vorhandenen Maßnahmen ab – belastbar wird das erst nach einer Gap-Analyse. Das grundsätzliche Vorgehen sieht so aus:

  1. Geltungsbereich festlegen: Bestimmen Sie, welche Standorte, Prozesse und Informationswerte das ISMS umfasst. Ein sauber abgegrenzter Scope ist die Grundlage für ein wirtschaftliches und auditfähiges System.
  2. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden technischen und organisatorischen Maßnahmen mit den Anforderungen der ISO/IEC 27001:2022 und legen Sie die Lücken offen – risikobasiert priorisiert.
  3. Risiken bewerten und behandeln: Bauen Sie den Kern des ISMS auf: Risiken identifizieren, bewerten und behandeln, inklusive Risikobehandlungsplan und Anwendbarkeitserklärung (SoA).
  4. Maßnahmen umsetzen und dokumentieren: Erstellen Sie die geforderten Leitlinien und Verfahren und setzen Sie die ausgewählten Controls um – prüffest dokumentiert, aber schlank gehalten.
  5. Schulen und betreiben: Sensibilisieren und schulen Sie Mitarbeitende und Leitungsorgane, etablieren Sie den laufenden Betrieb und den PDCA-Kreislauf.
  6. Interne Audits und Managementbewertung: Prüfen Sie das ISMS selbst auf Wirksamkeit und lassen Sie die Leitung das System bewerten – beides ist Voraussetzung für die Zertifizierung.
  7. Zertifizierungsaudit: Eine akkreditierte Zertifizierungsstelle prüft Ihr ISMS in zwei Stufen (Dokumentenprüfung und Vor-Ort-Audit). Nach erfolgreichem Abschluss erhalten Sie das Zertifikat.

Das Zertifikat ist in der Regel drei Jahre gültig; in dieser Zeit finden jährliche Überwachungsaudits statt, am Ende eine Rezertifizierung. ISO 27001 ist also ausdrücklich kein „einmal bestanden und fertig", sondern ein dauerhafter Nachweis gelebter Informationssicherheit.

Wenn Sie diesen Weg nicht allein gehen möchten, begleiten wir Sie in der ISO-27001-Beratung durch den gesamten Prozess – von der Standortbestimmung bis zur Begleitung im Zertifizierungsaudit, pragmatisch und nach dem Baukastenprinzip.

ISO 27001 im Zusammenspiel mit NIS2, DORA und Co.

ISO 27001 steht selten allein. Gerade 2026 greifen mehrere Cybersicherheits-Regelwerke ineinander – und ein ISMS ist das Gerüst, das vieles davon trägt.

  • NIS2: Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft, ohne allgemeine Übergangsfrist; betroffen sind rund 29.500 Einrichtungen in 18 Sektoren ab 50 Mitarbeitenden oder 10 Mio. € Umsatz, mit persönlicher Haftung der Geschäftsleitung. Ein ISMS nach ISO/IEC 27001:2022 deckt viele der dort geforderten Risikomanagementmaßnahmen ab und erleichtert den Nachweis erheblich. Es ist allerdings kein automatischer NIS2-Nachweis – die NIS2-spezifischen Lücken müssen identifiziert und gezielt geschlossen werden.
  • DORA: Für Finanzunternehmen gilt seit dem 17. Januar 2025 der Digital Operational Resilience Act; 2026 steht die aktive Aufsicht durch BaFin und Bundesbank im Fokus. Auch hier liefert ein ISMS einen großen Teil der geforderten Strukturen. Wichtig: Über den sogenannten Flow-down werden auch IT- und Cloud-Dienstleister mit Finanzkunden vertraglich mitverpflichtet, ohne selbst Finanzunternehmen zu sein.
  • CRA (Cyber Resilience Act): Wer „Produkte mit digitalen Elementen" herstellt oder vertreibt, muss den CRA beachten; dessen Meldepflichten greifen ab dem 11. September 2026, die Vollanwendung folgt am 11. Dezember 2027. Auch hier zahlt ein etabliertes ISMS auf die Sicherheitsorganisation ein.
  • ISO 37301: Geht es nicht um Informationssicherheit, sondern um ein Compliance-Managementsystem insgesamt, ist die einschlägige Norm ISO 37301. ISO 27001 und ISO 37301 ergänzen sich, adressieren aber unterschiedliche Managementsysteme.

Der pragmatische Weg ist, diese Anforderungen nicht in Silos abzuarbeiten, sondern gemeinsam zu denken. Genau dafür verbinden wir juristische Tiefe mit operativer Umsetzung – als Teil unseres Produkts CaaS (Compliance as a Service). Vertiefend hilft je nach Ausgangslage die ISMS-Beratung, die NIS2-Beratung, die DORA-Beratung oder die Cyber-Resilience-Act-Beratung.

Praxis: typische Stolpersteine

Aus der Beratungspraxis kennen wir die Fehler, die Unternehmen auf dem Weg zur ISO 27001 Zertifizierung am häufigsten ausbremsen:

  • Der Scope wird zu groß gewählt: Wer „das ganze Unternehmen" zertifizieren will, ohne den Reifegrad zu kennen, schafft sich ein unnötig teures und schwer betreibbares System. Ein schlank geschnittener Geltungsbereich ist oft der pragmatischere Einstieg.
  • ISO 27001 wird als IT-Projekt behandelt: Informationssicherheit betrifft Verträge, Personal, physische Sicherheit und Lieferketten – nicht nur die Technik. Ohne Rückhalt der Geschäftsleitung bleibt ein ISMS Stückwerk.
  • Dokumentation als Selbstzweck: Aktenordner für die Schublade helfen niemandem. Entscheidend sind gelebte Prozesse und Nachweise, die im Audit Bestand haben – schlank, aber prüffest.
  • Das ISMS wird nach dem Zertifikat „eingefroren": Ohne interne Audits, Managementbewertung und PDCA verliert das System seine Wirksamkeit – und das nächste Überwachungsaudit wird zum Problem.
  • Das Zertifikat wird mit gesetzlicher Konformität verwechselt: ISO 27001 erleichtert NIS2- und DORA-Nachweise, ersetzt sie aber nicht. Die spezifischen gesetzlichen Lücken müssen separat geschlossen werden.

Vermeiden lassen sich diese Stolpersteine am besten, indem Sie risikobasiert vorgehen: erst eine ehrliche Standortbestimmung, dann ein klar geschnittener Scope und ein priorisierter Fahrplan – statt pauschaler Versprechen.

Häufige Fragen zu ISO 27001

Was ist ISO 27001 einfach erklärt? ISO 27001 ist die international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS). Sie legt fest, wie ein Unternehmen seine Informationssicherheitsrisiken systematisch erkennt, bewertet, behandelt, dokumentiert und kontinuierlich verbessert. Es geht nicht um einzelne Tools, sondern um einen strukturierten Managementansatz – und um den Nachweis, dass er funktioniert.

Was ist der Unterschied zwischen ISO 27001 und einem ISMS? Das ISMS (Informationssicherheits-Managementsystem) ist der strukturierte Managementansatz, den Sie in Ihrem Unternehmen aufbauen und betreiben. ISO 27001 ist die Norm, an der ein ISMS gemessen und gegen die es zertifiziert wird. Vereinfacht: Das ISMS ist das, was Sie aufbauen – ISO 27001 ist der Maßstab. Mehr zum Aufbau eines ISMS finden Sie in unserer ISMS-Beratung.

Welche Version der ISO 27001 ist heute maßgeblich? Die aktuelle Fassung ist ISO/IEC 27001:2022. Die Vorgängerversion :2013 ist abgelöst; die Übergangsfrist für bestehende Zertifikate ist Ende 2025 ausgelaufen. Wer heute ein ISMS aufbaut, sich erstmals zertifizieren lässt oder rezertifiziert, arbeitet ausschließlich nach der Fassung 2022.

Ist ISO 27001 gesetzlich vorgeschrieben? Nein. ISO 27001 ist ein freiwilliger internationaler Standard, kein Gesetz. In der Praxis wird ein Zertifikat aber häufig von Kund:innen, in Ausschreibungen und in Lieferketten verlangt – und ein ISMS nach ISO 27001 erleichtert die Erfüllung gesetzlicher Anforderungen wie NIS2 und DORA erheblich.

Hilft uns ISO 27001 bei NIS2 und DORA? Ja. Ein ISMS nach ISO/IEC 27001:2022 ist ein anerkanntes Gerüst, das viele der bei NIS2 und DORA geforderten Risikomanagementmaßnahmen abdeckt und den Nachweis erheblich erleichtert. Es ist allerdings kein automatischer Freibrief: Welche spezifischen Anforderungen zusätzlich zu erfüllen sind, prüfen wir individuell. Vertiefend helfen unsere NIS2-Beratung und DORA-Beratung.

Wie lange dauert der Weg bis zur ISO 27001 Zertifizierung? Das hängt stark von Ihrem Ausgangspunkt, der Größe des Geltungsbereichs und Ihren bestehenden Maßnahmen ab. Deshalb beginnt jedes seriöse Projekt mit einer Gap-Analyse, die den realistischen Aufwand sichtbar macht – statt einer pauschalen Zusage. Auf dieser Basis erhalten Sie eine belastbare Einschätzung und einen priorisierten Fahrplan. Wie wir Sie dabei begleiten, zeigt unsere ISO-27001-Beratung.

Bringen Sie Ihre Informationssicherheit auf Norm-Niveau

Ob Marktzugang, regulatorische Pflicht oder schlicht der Schutz Ihrer wichtigsten Werte: Mit einem ISMS nach ISO/IEC 27001:2022 schaffen Sie Informationssicherheit, die nachweisbar ist. Wir klären Ihren Reifegrad, schließen die Lücken zwischen Soll und Ist und bereiten Sie prüffest auf die Zertifizierung vor – pragmatisch, risikobasiert, prüffest.

Zur ISO-27001-Beratung – im kostenlosen Erstgespräch klären wir Ihren Bedarf und die nächsten Schritte.

Jetzt zur ISO-27001-Beratung · Zur ISMS-Beratung

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben auf dieser Seite geben den Stand vom 23.06.2026 wieder. ISO 27001 ist ein freiwilliger Standard, kein Gesetz. Diese Seite dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.