Häufige Fragen zu
Compliance & Zertifizierung

iso-easy begleitet Sie durch die 8 wichtigsten Compliance-Themen für deutsche und europäische Unternehmen:

• ISO 27001 — Informationssicherheits-Managementsystem (ISMS)
• TISAX — Informationssicherheit in der Automobilbranche
• ISO 42001 — KI-Management-System
• NIS-2 — Cybersicherheit für kritische und wichtige Einrichtungen
• DORA — Digitale operationelle Resilienz im Finanzsektor
• DSGVO — Datenschutz-Grundverordnung
• HinSchG — Hinweisgeberschutzgesetz
• EU AI Act — Regulatorik für KI-Systeme

Zu jeder Norm bieten wir einen Leitfaden, einen Readiness-Check und ein Ready-Kit.

Die Kosten hängen ab von Norm, Unternehmensgröße, Anzahl Standorte und vorhandener Dokumentation. Grobe Orientierung:

• ISO 27001: 10.000–40.000 € Beratung + 6.000–15.000 € Zertifizierung
• TISAX: 8.000–25.000 € je nach Assessment-Level (AL2/AL3)
• ISO 42001: 12.000–35.000 € je nach KI-System-Umfang
• Regulatorik (NIS-2, DORA, DSGVO, HinSchG, AI Act): 5.000–20.000 € Beratung, keine Zertifizierungsgebühr

Konkrete Werte liefern unsere Kostenkalkulatoren pro Norm.

Mit strukturierter Begleitung erreichen Sie folgende Zeiträume:

• ISO 27001: 6–12 Monate (mit Ready-Kit 3–5 Monate)
• TISAX AL2: 4–6 Monate
• TISAX AL3: 6–9 Monate
• ISO 42001: 6–10 Monate
• Regulatorik: 2–4 Monate Umsetzung (keine klassische Zertifizierung, aber Nachweispflicht)

ISO/IEC 27001 ist der international anerkannte Standard für den Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS). Er sichert Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Die aktuelle Version ist ISO 27001:2022 mit 93 Controls im Anhang A (A.5 Organizational, A.6 People, A.7 Physical, A.8 Technological).

Verpflichtend ist ISO 27001 nur für wenige Unternehmen (z. B. Betreiber kritischer Infrastrukturen), aber de-facto erforderlich wenn Sie:

• als IT-Dienstleister oder SaaS-Anbieter größere Kunden ausschreiben
• im Automotive-Umfeld arbeiten (TISAX setzt oft ISO 27001 voraus)
• von Banken oder Versicherungen beauftragt werden (DORA-Drittanbieter)
• Vertrauen durch ein international anerkanntes Zertifikat aufbauen wollen

Der Standardablauf in 5 Phasen:

1. Gap-Analyse / Readiness-Check (2–4 Wochen)
2. ISMS-Aufbau: Geltungsbereich, Richtlinien, Risikoanalyse, Controls (2–4 Monate)
3. Internes Audit (2–3 Wochen)
4. Stage-1-Audit: Dokumentenprüfung durch Zertifizierer (1 Tag)
5. Stage-2-Audit: Vor-Ort-Audit mit Stichproben (1–3 Tage) → Zertifikat

Details dazu im Blog: ISO 27001 Audit Ablauf.

Ein Information Security Management System (ISMS) ist das Gesamtsystem aus Prozessen, Richtlinien, Rollen und Maßnahmen, mit dem Ihr Unternehmen Informationssicherheit systematisch steuert.

Controls sind die 93 konkreten Sicherheitsmaßnahmen aus Anhang A der ISO 27001 — z. B. Zugangskontrolle, Kryptografie, Patch-Management, Incident Response. Welche für Ihr Unternehmen gelten, legen Sie in der Statement of Applicability (SoA) fest.

TISAX (Trusted Information Security Assessment Exchange) ist der Informationssicherheits-Standard der deutschen Automobilindustrie, entwickelt vom VDA. Er basiert auf ISO 27001, legt aber zusätzlichen Fokus auf Prototypenschutz, Datenschutz und Kundenvertrauen.

TISAX-Assessments werden im ENX-Portal ausgetauscht — Sie lassen sich einmal auditieren und können das Ergebnis mit beliebig vielen OEMs teilen.

TISAX ist de-facto verpflichtend für alle Unternehmen, die Daten von Automobilherstellern oder Zulieferern (OEMs/Tier-1) verarbeiten. Das betrifft insbesondere IT-Dienstleister, Software-Entwickler, Engineering-Büros, Agenturen, Logistikpartner und Service-Provider.

Mit einem TISAX-Check prüfen Sie in 3 Minuten, ob Sie betroffen sind.

• AL2 (Assessment Level 2): Standard-Audit inkl. Remote-Interviews und Dokumentenprüfung. Geeignet für die meisten Dienstleister.
• AL3 (Assessment Level 3): Verstärktes Audit mit Vor-Ort-Prüfung. Für höchste Schutzbedürfnisse — z. B. Prototypenschutz, VS-Daten.

Den richtigen Level wählen Sie nach Vertragsvorgabe des OEM. Details: TISAX AL2 vs AL3.

NIS-2 ist die EU-Richtlinie zur Netzwerk- und Informationssicherheit (2022/2555). Sie verpflichtet Unternehmen in 18 kritischen Sektoren zu:

• Einführung eines Risikomanagements für Informationssicherheit
• Meldepflichten bei Sicherheitsvorfällen (24h Frühwarnung / 72h detailliert)
• Geschäftsleitungs-Haftung für Umsetzung

NIS-2 gilt für über 29.000 Unternehmen in Deutschland. Grundsätzlich betroffen sind Unternehmen mit:

• ≥ 50 Mitarbeitenden und
• ≥ 10 Mio. € Jahresumsatz (bzw. Bilanzsumme) und
• Tätigkeit in einem der 18 Sektoren (Energie, Verkehr, Gesundheit, digitale Infrastruktur, Finanzen, Cloud/Hosting, digitale Dienste u. v. m.)

Prüfen Sie Ihre Betroffenheit mit dem NIS-2-Check.

Die nationale Umsetzung (NIS2UmsuCG) war ursprünglich für Oktober 2024 geplant. Aktuell läuft das Gesetzgebungsverfahren — mit Inkrafttreten in Deutschland zwischen Mitte und Ende 2026.

Nicht warten: Wer die Anforderungen umsetzt, reduziert sein Risiko heute schon und ist am Stichtag compliant. Mehr dazu im Artikel NIS-2 Umsetzungsfrist 2026.

DORA (Digital Operational Resilience Act) ist die EU-Verordnung (2022/2554) zur digitalen operationellen Resilienz im Finanzsektor. Sie regelt 5 Säulen:

1. IKT-Risikomanagement
2. Meldepflichten bei IKT-Vorfällen
3. Testpflichten (Threat-Led Penetration Testing)
4. Management von Drittanbieter-Risiken
5. Informationsaustausch zu Cyberbedrohungen

Geltung: seit 17. Januar 2025 — unmittelbar als Verordnung, ohne nationale Umsetzung.

DORA gilt für 22 Arten von Finanzunternehmen: Banken, Zahlungsdienstleister, E-Geld-Institute, Versicherungen, Kapitalverwaltungsgesellschaften, Wertpapierfirmen, Kryptodienstleister u. v. m. — plus deren IKT-Drittanbieter (Cloud-Dienste, SaaS-Anbieter).

Mehr dazu: DORA für FinTechs. Betroffenheit prüfen mit dem DORA-Check.

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet jedes Unternehmen, das personenbezogene Daten verarbeitet, zu:

• Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO
• Rechtsgrundlage für jede Verarbeitung (Einwilligung, Vertrag, berechtigtes Interesse, gesetzliche Pflicht)
• Technische und organisatorische Maßnahmen (TOM) zum Datenschutz
• Meldepflichten bei Datenpannen (binnen 72 h)
• Betroffenenrechte umsetzen (Auskunft, Löschung, Widerspruch u. a.)

Praxisleitfaden: VVT erstellen.

Ein DSB ist gesetzlich verpflichtend wenn:

• ≥ 20 Mitarbeitende ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG)
• Sie umfangreich besondere Kategorien von Daten verarbeiten (Gesundheit, biometrisch, Herkunft)
• Sie eine umfangreiche Überwachung von Personen durchführen
• Sie Daten gewerblich an Dritte übermitteln (z. B. Adresshändler)

iso-easy übernimmt auf Wunsch die Rolle des externen DSB.

Das HinSchG (in Kraft seit 02.07.2023) schützt Personen, die Rechtsverstöße im beruflichen Umfeld melden. Unternehmen müssen:

• eine interne Meldestelle einrichten
• Vertraulichkeit der Hinweisgeber sicherstellen
• Meldungen binnen 7 Tagen bestätigen und binnen 3 Monaten bearbeiten
• Repressalien-Verbot durchsetzen

Pflicht zur Einrichtung einer internen Meldestelle haben:

• Unternehmen mit ≥ 50 Mitarbeitenden
• Alle Unternehmen im Finanzsektor (unabhängig von der Größe)

Die Meldestelle kann intern (eigene Mitarbeitende) oder extern (Dienstleister wie iso-easy) betrieben werden. Vergleich: Interne vs. externe Meldestelle.

Der EU AI Act (Verordnung 2024/1689) ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Er klassifiziert KI-Systeme nach Risiko und verpflichtet Anbieter und Nutzer zu:

• Risikobewertung und Dokumentation
• Transparenzpflichten gegenüber Nutzern
• Qualitätsmanagement für Hochrisiko-KI
• Menschliche Aufsicht und Nachvollziehbarkeit

Zeitplan: gestufte Geltung 2025–2027 — Verbotene Praktiken seit Feb 2025, Hochrisiko-KI ab Aug 2026.

Der AI Act kennt 4 Risikostufen:

1. Verboten (Social Scoring, manipulative KI, biometrische Kategorisierung im öffentlichen Raum)
2. Hochrisiko (HR-Screening, medizinische Diagnose, kritische Infrastruktur)
3. Begrenztes Risiko (Chatbots, Deepfakes — Transparenzpflicht)
4. Minimales Risiko (Spam-Filter, KI in Spielen — frei)

Beispiele pro Stufe: EU AI Act Risikoklassen. Prüfen: AI-Act-Check.

ISO/IEC 42001 (Ende 2023 veröffentlicht) ist der erste internationale Standard für KI-Management-Systeme (AIMS). Er definiert, wie Unternehmen KI verantwortungsvoll entwickeln, einsetzen und überwachen.

Analog zu ISO 27001 bei Informationssicherheit: Risikobasierter Ansatz, Policy, Rollen, Controls — aber fokussiert auf KI-spezifische Themen wie Bias, Erklärbarkeit, Datenherkunft und Modell-Governance.

Keine Entweder-Oder-Entscheidung — sie ergänzen sich:

• EU AI Act ist Pflicht für Anbieter und Nutzer regulierter KI-Systeme in der EU
• ISO 42001 ist freiwillig — aber der praktische Weg, die AI-Act-Anforderungen umzusetzen und nachzuweisen

Analogie: AI Act ist der Gesetzestext, ISO 42001 die Umsetzungs-Blaupause. Details: ISO 42001 vs. EU AI Act.

• Internes Audit: Sie prüfen Ihr eigenes Management-System vor dem offiziellen Audit — entweder durch interne Mitarbeitende oder durch einen externen Dienstleister. Pflicht bei ISO 27001, TISAX, ISO 42001.
• Externes (Zertifizierungs-)Audit: Durchgeführt von einer akkreditierten Zertifizierungsstelle (DQS, TÜV NORD etc.). Besteht aus Stage-1 (Dokumentenprüfung) und Stage-2 (Vor-Ort-Audit). Nur das externe Audit führt zum Zertifikat.

iso-easy bietet internes Audit als Service — prüft Sie zertifizierungsreif.

Nur akkreditierte Stellen vergeben international anerkannte Zertifikate. Für Deutschland sind das u. a.:

• DQS — Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (seit 1985)
• TÜV NORD — mit 150+ Jahren Erfahrung, in 100+ Ländern aktiv
• TÜV SÜD, TÜV Rheinland, DNV — weitere etablierte Anbieter

iso-easy arbeitet eng mit DQS und TÜV NORD zusammen und begleitet Sie bis zum Zertifikat.