ISO 27001 Zertifizierungskosten

Es gibt deutliche Unterschiede bei der ISO 27001 Zertifizierung bei Konzernen gegenüber kleinen Unternehmen. Der Zeitaufwand für die Erstellung der Dokumentation ist deutlich geringer. Auch die Auditoren benötigen viel weniger Tage, um das Informationssicherheits-Managementsystem zu prüfen und den Vorort-Audit durchzuführen. Ein solches Information Security Management System (ISMS) kann man nicht einfach mal in 2 Stunden erstellt werden.  Wo ein Konzern schnell mehrere Millionen Euro  verbrennt, kann ein KMU Dokumentation und Audit zu deutlich geringeren Kosten durchführen.

Was kostet eine ISO 27001 Zertifizierung für kleine Unternehmen?

Kleine Unternehmen haben meist nicht die Zeit, um eigenständig das ISO 27001 Informationssicherheits-Managementsystem zu erstellen. Folglich braucht man hier eine wirtschaftliche Lösung, die aber dennoch eine individuelle Version des Managementsystems ermöglicht. Erfahrene Auditoren erkennen schnell 08/15 Vorlagen, die keinen realen Bezug zum geprüften Unternehmen haben. Das kann teuer werden, wenn man nochmals zum Audit antreten muss.

Folgendes Beispiel zeigt was ein KMU mit ca. 1-10 Mitarbeiter rechnen kann:

  • Erstellung von Managementsystemdokumenten (4.000-12.000 EUR)
  • IT Audit durch unsere Experten (1.200-8.000 EUR)
  • Awareness Training für Mitarbeiter (100-500 EUR)
  • Audit der Unterlagen (3.000-12.000 EUR)
  • Vorortaudit inkl. Anfahrtskosten (1.500-3.500 EUR)
  • Ausstellung des ISO 27001 Zertifikat (500-1.000 EUR)

Folglich können KMUs schon ab 8.000 EUR ein individuelles Managementsystem (ISMS) und die ISO/IEC 27001 Zertifizierung erhalten.

Je komplexer die IT Landschaft und das Geschäftsmodel, desto gefährdeter sind die Daten eines Unternehmen. Durch die Einführung eines ISMS Management Systems sollen diese kritischen Daten besser geschützt werden.

Was gehört zu einer ISO 27001 Zertifizierung bei KMUs?

Damit ein KMU die ISO 27001:2022 erfolgreich durchführen kann, muss es folgende Schritte durchlaufen:

  • Vorbesprechung des ISO 27001 Vorhabens
  • Erstellung der ISO 27001:2022 Dokumentation
  • Erkennung von notwendigen Verbesserungsmaßnahmen
  • Vorbereitung der Audit Unterlagen
  • Schulung von Mitarbeitern
  • Einreichung des ISMS-Managementkonzept beim Auditor
  • Durchführung des Vorort-Audits
  • Abarbeitung von eventuellen Nachbesserungsanforderungen
  • Aktualisierung von ISO 27001 Unterlagen

In einem kleinen Unternehmen lassen sich diese Arbeitsschritte aber sehr schlank gestalten. Bei einer guten Vorbereitung, erhält man in der Regel nach dem Audit meist nur wenige oder keine Nachbesserungsaufforderungen.

ISO 27001 Regelwerke können komplex oder schlank gestaltet werden

Wie kann die Auswahl einer Zertifizierungsstelle in die Höhe treiben?

Viele Unternehmen glauben, dass externe Auditoren von den Zertifizierern mit Gold überhäuft werden. In der Realität sind die Honorare der externen Auditoren nur ein Bruchteil der dem Unternehmen in Rechnung gestellten Zertifizierungskosten. Namhafte Zertifizierungsorganisationen bezahlen ihren freien Mitarbeitern einen kleinen (teilweise unattraktiven) Tagessatz. Das hat jedoch Folgen für die Unternehmen in der Warteliste. 

Gerade in speziellen Fachgebieten existieren in den Zertifizierungsorganisationen und auf dem freien Market wenige Fachkräfte, die ein Audit normkonform auditieren können und dürfen. Das führt zu einem Engpass. Zertifizierungsstellen versuchen bestmöglich die begrenzten Personalressourcen einzusetzen und zu erweitern. Die Berufung eines Auditors ist jedoch an eine sehr lange und komplizierte Prozesskette gebunden. Dadurch brauchen neue Auditoren fast ein Jahr bis sie eigenständig auch als Lead Auditor aktiv werden können. Infolgedessen teilen sich mehrere Zertifizierungsstellen ihre freiberuflichen Auditoren, da nicht jedes ihrer Kunden immer zeitgleich auditiert werden muss.

Die Kosten einer Zertifizierung kann aber in die Höhe getrieben werden, wenn die Abstände zwischen den Audits und Korrekturmaßnahmen unverhältnismäßig ausufern. Dabei spielen auch die Akkreditierungsstellen eine gravierende Rolle da nicht jede Aufsichtsstelle die gleichen Anforderungen an Zertifizierer stellen. Die DAkkS ist eine sehr strenge und anspruchsvolle Akkreditierungsstelle. Dadurch müssen häufig deutsche Zertifizierer einen höheren Aufwand treiben, der letztendlich auch die Kosten für ihre Kunden steigen lässt. Die Zertifizierungsstellen sind aufgrund ihres Einblicks in die betriebliche Praxis ihrer Kunden sehr bedacht wirtschaftlich, effizient und maßvoll zu handeln. 

Daher ist nicht jede Zertifizierungsstelle vergleichbar und kann interessante Vorteile bieten. Da diese Auswahl recht komplex werden kann, begleiten wir unsere Kunden durch den gesamten Zertifizierungsprozess.