ISO 27001 für KMU Schweiz 2026:
Aufwand, Kosten, ehrliche Roadmap

Kurz vorweg: ISO 27001 ist kein Technik-Zertifikat, sondern ein Management-System-Zertifikat. Es prüft, ob Sie Sicherheit systematisch betreiben – nicht, wie modern Ihre Firewall ist. Wer 2026 mit Grosskunden, internationalen Partnern oder als kritischer Lieferant in einer NIS2-betroffenen Lieferkette arbeitet, kommt am ISMS-Aufbau kaum vorbei. Die gute Nachricht: Mit einem modernen Tool-Stack (Vanta/Drata + M365 + Sentinel) ist eine Erst-Zertifizierung für ein 30-Personen-KMU in 6–8 Monaten machbar.

• Ausschreibungs-Druck: Sie verlieren regelmässig Aufträge oder kommen gar nicht erst auf die Long-List, weil ISO 27001 vorausgesetzt wird (Banken, Versicherungen, Pharma, Bund/Kantone).
• NIS2-Lieferketten-Effekt: Ihre Kunden in der EU fallen unter NIS2 und reichen die Anforderungen über Verträge an Sie weiter (ISG-Meldepflicht hat ähnliche Wirkung in der Schweiz).
• Cyber-Versicherung: Versicherer geben spürbare Prämien-Rabatte (20–35%) und höhere Deckungssummen für ISO-27001-zertifizierte Unternehmen.
• M&A oder Investorenrunde: Due Diligence verlangt strukturierte Sicherheitsnachweise – ein gepflegtes ISMS verhindert Last-Minute-Stress.
• SaaS-/Plattform-Anbieter: B2B-Kunden verlangen Trust-Pages mit ISO-27001 (oder SOC 2). Ohne Zertifikat kein Enterprise-Deal.
• Eigenschutz: Strukturierter Umgang mit Sicherheit zahlt sich auch ohne externe Forderung aus – das ISMS ist eine systematische Aufräumübung.

Beispiel: Schweizer Dienstleister mit 40 Mitarbeitenden, 1 Standort, M365 + Sentinel + Defender-Stack, Vanta als ISMS-Plattform. Realistische Gesamtkosten über 3 Jahre inkl. Erst-Zertifizierung und 2 Überwachungs-Audits:

• Beratung & Begleitung (Gap-Analyse, ISMS-Aufbau, Audit-Vorbereitung, Awareness-Training): CHF 25'000–45'000 im Erst-Jahr, CHF 5'000–10'000 in Folgejahren.
• Akkreditierte Zertifizierungsstelle (SQS, TÜV Süd, SGS, Bureau Veritas, DQS): Stage 1 + Stage 2 Audit Erst-Zertifizierung CHF 10'000–18'000, Überwachungs-Audits CHF 5'000–8'000/Jahr, Re-Zertifizierung Jahr 4 ähnlich wie Erst-Audit.
• ISMS-Plattform Vanta/Drata: CHF 8'000–18'000/Jahr für 40 MA, inkl. SOC-2-Vorbereitung.
• Interne Personalkosten: 0.3–0.6 FTE im Erst-Jahr (ISB/CISO + IT-Support), ca. 0.2–0.3 FTE im Regelbetrieb. Bei einem CHF 130'000-Senior entspricht das CHF 25'000–50'000 versteckte Personalkosten.
• Quick-Win-Investitionen falls noch nicht vorhanden: MFA-Rollout (CHF 2'000–8'000), EDR (Defender oder Sophos, CHF 3'000–10'000/Jahr), SIEM (Sentinel/Wazuh, CHF 5'000–20'000/Jahr), Backup-Audit, Awareness-Training-Plattform (CHF 30–80/MA/Jahr).
• Total Jahr 1: CHF 60'000–120'000. Jahre 2–3 typisch CHF 20'000–40'000/Jahr Regelbetrieb. Re-Zertifizierung Jahr 4 erneut CHF 30'000–50'000.

• Scope zu gross gewählt: Statt erstmal einen Bereich zu zertifizieren, alles auf einmal – Folge: doppelter Aufwand und höhere Audit-Kosten.
• Policies aus dem Internet kopiert, ohne sie zu leben: Auditoren prüfen Wirksamkeit. Eine 30-seitige Policy ohne Schulungs-Nachweis bringt nichts.
• Risiko-Register als Pflichtübung: Wer Risiken nur einmal pro Jahr für den Audit aktualisiert, hat den Sinn verfehlt – Risiken werden kontinuierlich gepflegt.
• Lieferanten-Management vergessen: Annex A 5.19–5.23 verlangt Lieferanten-Bewertung. Pflicht: Lieferanten-Liste, DPA, Sicherheits-Klauseln in AGB, Reviews.
• Awareness-Training ohne Messung: 30% Abschluss-Quote ist Audit-Falle. Pflicht: Pflicht-Trainings mit Erinnerungen, Phishing-Simulation, Reporting.
• Incident-Reporting nur informell: Audit verlangt formalen Prozess inkl. Erkennen, Triage, Eskalation, Lessons Learned, Aufbewahrung.
• Zu viel Beratung, zu wenig interne Verantwortung: ISMS ist nicht "vom Berater aufgesetzt", sondern muss vom Unternehmen gelebt werden – sonst kollabiert es nach dem Zertifikat.