ISO 27001 ist in der Schweiz der anerkannte Standard. FINMA verlangt ihn. Kunden und Partner verlangen ihn. NIST Cybersecurity Framework ist ein starkes Planungsinstrument, aber keine Zertifizierung.

ISO 27001 Zertifizierung: CHF 15’000 bis 100’000. NIST-Implementierung: CHF 10’000 bis 60’000. Der Preisunterschied klingt gross, relativiert sich aber: ISO 27001 liefert ein extern anerkanntes Zertifikat, NIST nicht. Nachfolgend die Unterschiede in Kosten, Aufwand und Marktakzeptanz.

Was ist ISO 27001?

ISO 27001 ist ein internationaler Standard der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) — vollständiger Name: ISO/IEC 27001. Er definiert die Anforderungen an ein Information Security Management System (ISMS): ein systematisches Framework zur Verwaltung von Informationssicherheitsrisiken in einer Organisation.

Kernmerkmale von ISO 27001:

  • Zertifizierbar durch akkreditierte Drittparteien (TÜV, SGS, Bureau Veritas u.a.)
  • Risikobasierter Ansatz: Sicherheitsmassnahmen werden anhand identifizierter Risiken ausgewählt
  • Annex A: 93 Kontrollmassnahmen (in der Ausgabe 2022) als Referenzrahmen
  • PDCA-Zyklus (Plan-Do-Check-Act): Kontinuierliche Verbesserung als Pflicht
  • Weltweit anerkannt, in der Schweiz von FINMA, KPMG, EY und grossen Auftraggebern gefordert

Die neueste Version ist ISO/IEC 27001:2022 (revidiert von der 2013-Version). Unternehmen mit Zertifizierung nach der alten Version mussten bis Oktober 2025 auf die neue Version migrieren.

Laut der ISO Survey 2024 haben weltweit über 75’000 Unternehmen eine aktive ISO 27001-Zertifizierung — darunter rund 1’200 in der Schweiz. Das Wachstum in der Schweiz betrug in den letzten drei Jahren 34%.

Was ist das NIST Cybersecurity Framework?

Das NIST Cybersecurity Framework (NIST CSF) wurde vom National Institute of Standards and Technology der US-Regierung entwickelt und 2014 erstmals veröffentlicht. Die aktuelle Version ist NIST CSF 2.0 (veröffentlicht Februar 2024). Es ist freiwillig, nicht zertifizierbar und wurde primär für amerikanische kritische Infrastruktur entwickelt — hat sich aber international als Planungsrahmen verbreitet.

Kernmerkmale des NIST CSF:

  • Strukturiert in sechs Funktionen: Govern, Identify, Protect, Detect, Respond, Recover
  • Flexibel und anpassbar — kein fester Kontrollkatalog wie ISO 27001 Annex A
  • Keine offizielle Zertifizierung möglich (nur Selbsteinschätzung oder Assessment)
  • Kostenlos nutzbar (kein Standard-Kauf nötig)
  • Gut geeignet als internes Planungsinstrument, weniger als Kundenachweis
  • In der EU und Schweiz weniger bekannt als ISO 27001

Das NIST CSF wird in der Schweiz vor allem in der IT-Security-Community als Strukturierungswerkzeug für interne Sicherheitsprogramme genutzt. Als Nachweis gegenüber Kunden, Partnern oder Regulatoren hat es in der Schweiz deutlich weniger Gewicht als ISO 27001.

“In Ausschreibungen und im Rahmen von Lieferantenaudits fragen 90% unserer Kunden nach ISO 27001 — nicht nach NIST. Wer in der Schweiz im B2B-Markt aktiv ist, kommt an ISO 27001 nicht vorbei.” — Informationssicherheitsbeauftragter, Schweizer Technologiekonzern

Detaillierter Framework-Vergleich: ISO 27001 vs. NIST CSF

DimensionISO 27001NIST CSF 2.0
HerkunftInternational (ISO/IEC, Genf)USA (NIST, Gaithersburg)
Aktuelle VersionISO/IEC 27001:2022NIST CSF 2.0 (2024)
Zertifizierung möglichJa (durch akkreditierte Drittpartei)Nein (nur Self-Assessment)
Anerkennung SchweizSehr hoch (FINMA, Kunden, Partner)Mittel (IT-Community, US-Zulieferer)
Anerkennung EU (NIS2/DORA)Hoch (anerkannt als Äquivalenz)Niedrig (kein offizieller EU-Status)
Kosten: Standard-DokumentCHF 150–220 (Kauf bei ISO)Kostenlos (Download auf nist.gov)
Kosten: ZertifizierungCHF 15’000–50’000 (extern)Nicht anwendbar
Kosten: Implementierung KMUCHF 30’000–100’000 gesamtCHF 10’000–40’000 (kein Zertifikat)
ImplementierungsaufwandHoch (12–24 Monate für KMU)Mittel (3–12 Monate für Assessment)
KontrollkatalogAnnex A: 93 Kontrollen in 4 Kategorien6 Funktionen, 22 Kategorien, 106 Subcategories
VerbindlichkeitsgradFormal (Zertifikat nach Audit)Informell (selbst definiert)
Update-ZyklusAlle 5–10 Jahre (letztes: 2022)Alle 5–10 Jahre (CSF 2.0: 2024)
Eignung KMUGut (mit erfahrenem Berater)Sehr gut (niedrige Einstiegshürde)
Eignung als KundennachweisSehr gutSchwach in der Schweiz
Integration mit anderen StandardsISO 27002, ISO 27005, SOC 2NIST SP 800-53, ISO 27001 mappbar
Empfohlen für CH-KMUJa, wenn Zertifikat angestrebtAls ergänzendes internes Werkzeug

Kosten im Detail: Was kostet ISO 27001 in der Schweiz?

Die Gesamtkosten einer ISO 27001-Zertifizierung für ein Schweizer KMU setzen sich aus mehreren Komponenten zusammen:

Implementierungskosten (einmalig)

  • Externer Berater / ISMS-Implementierung: CHF 20’000–60’000 (je nach Ausgangslage und KMU-Grösse)
  • Interne Ressourcen (Projektleiter, ISMS-Beauftragter): 20–40% einer Vollzeitstelle für 12–18 Monate
  • Tool-Kosten (GRC-Software, ISMS-Plattformen wie Vanta, Sprinto, 6clicks): CHF 5’000–20’000/Jahr
  • Training und Zertifizierung (ISO 27001 Lead Implementer/Auditor): CHF 3’000–8’000 pro Person

Zertifizierungsaudit (einmalig + alle 3 Jahre)

  • Erstzertifizierung (Stage 1 + Stage 2 Audit): CHF 8’000–20’000 (je nach Grösse und Auditor)
  • Überwachungsaudit (Jahr 1 und 2 nach Erstzertifizierung): CHF 3’000–8’000/Jahr
  • Rezertifizierung (alle 3 Jahre): CHF 6’000–15’000

Laufende Kosten (jährlich, nach Zertifizierung)

  • ISMS-Pflege (interne Ressource oder externer ISMS-Manager): CHF 10’000–30’000/Jahr
  • Interne Audits: CHF 3’000–8’000/Jahr
  • Überwachungsaudit: CHF 3’000–8’000/Jahr
  • Kontinuierliche Verbesserung (Schulungen, Tool-Updates): CHF 5’000–15’000/Jahr

Gesamtkosten für ISO 27001-Zertifizierung (KMU, 50–200 MA, 3 Jahre): CHF 80’000–160’000 gesamt inkl. Erst- und Überwachungsaudits

Zur Einordnung: Für B2B-Dienstleister, die grossen Unternehmen, Banken oder dem öffentlichen Sektor zuliefern, ist dieses Investment oft Pflicht — oder Türöffner für Millionen-Aufträge.

Was kostet NIST CSF?

Das NIST CSF selbst ist kostenlos. Die Implementierungskosten entstehen durch:

  • Externer Berater für Assessment: CHF 10’000–25’000
  • Interner Aufwand für Self-Assessment: 50–150 Stunden
  • Gap-Analyse und Massnahmenplan: CHF 5’000–15’000 (extern)
  • Keine Zertifizierungskosten

Der Nachteil: Das Ergebnis ist ein internes Dokument, kein extern anerkanntes Zertifikat. Gegenüber Kunden oder der FINMA hat ein NIST-Assessment keinen formellen Nachweiswert.

ISO 27001 und NIST: Kombination statt Entweder-oder

Die gute Nachricht: ISO 27001 und NIST CSF schliessen sich nicht aus — sie ergänzen sich. Viele Schweizer KMU nutzen NIST CSF als internes Planungsinstrument und Reifegradmessung, streben aber ISO 27001 als externes Zertifikat an.

Praktisches Vorgehen:

  1. NIST CSF Self-Assessment durchführen (Wo stehen wir heute?)
  2. Gap-Analyse gegen ISO 27001-Anforderungen
  3. ISMS aufbauen mit ISO 27001 als Zielstandard
  4. NIST CSF als kontinuierliches Monitoring-Framework nutzen

Beide Frameworks lassen sich gut mappen — eine NIST-zu-ISO-Mappingtabelle ist öffentlich verfügbar und reduziert den Doppelaufwand erheblich.

“Wir nutzen NIST CSF intern zur Steuerung unseres Sicherheitsprogramms — die monatliche Self-Assessment-Routine gibt uns schnelle Einblicke. Für alle externen Nachweise setzen wir auf ISO 27001. Das eine ist unser Navigationssystem, das andere unsere Fahrzulassung.” — Head of Information Security, Schweizer SaaS-Unternehmen (120 Mitarbeitende)

Empfehlung für Schweizer KMU nach Branche

Finanzdienstleister und Fintech

Klare Empfehlung: ISO 27001 — Die FINMA erwartet ein angemessenes ISMS, und ISO 27001 ist die anerkannte Referenz. DORA (Digital Operational Resilience Act) gilt ab 2025 für viele Finanzinstitute und erfordert ebenfalls ein strukturiertes ISMS. ISO 27001 dient hier als Nachweis und Grundlage.

Gesundheitswesen und Medtech

Empfehlung: ISO 27001 (Pflicht bei Patientendaten) — Das Schweizer Datenschutzgesetz (DSG) und die kantonalen Gesundheitsgesetze verlangen angemessene technische und organisatorische Massnahmen. ISO 27001 ist der anerkannte Nachweis, ergänzt durch ISO 27799 für das Gesundheitswesen.

Technologie- und SaaS-Unternehmen

Empfehlung: ISO 27001, mit SOC 2 für US-Markt — B2B-SaaS-Unternehmen werden von Unternehmenskunden nach ISO 27001 gefragt (EU/CH) oder nach SOC 2 Type II (US). NIST CSF kann intern als Planungsrahmen genutzt werden.

Industrieunternehmen und Zulieferer

Empfehlung: ISO 27001 — NIS2-Direktive und entsprechende CH-Umsetzung erhöhen die Anforderungen an Zulieferer kritischer Infrastruktur. ISO 27001-Zertifizierung wird zunehmend zur Ausschreibungsvoraussetzung.

KMU ohne regulatorische Anforderungen

Empfehlung: Mit NIST CSF starten, ISO 27001 mittelfristig anstreben — Für KMU, die keine sofortige Zertifizierung benötigen, ist das kostenlose NIST CSF ein ausgezeichneter Einstieg. Es schafft Struktur, ohne sofort hohe Investitionen zu erfordern. Wenn dann Zertifizierungsanforderungen entstehen, ist der Weg zu ISO 27001 klar.

Red Teaming validiert Ihre Framework-Implementierung

Ein häufiger Fehler: Unternehmen implementieren ISO 27001 oder NIST CSF, erhalten ihr Zertifikat — und nehmen an, sie seien nun sicher. Ein Framework ist jedoch ein Prozessrahmen, kein Sicherheitsgarant.

Red Teaming testet, ob die technischen Kontrollen aus ISO 27001 Annex A (oder den NIST CSF Protect/Detect-Funktionen) unter realen Bedingungen funktionieren. Typische Erkenntnisse aus Red Team-Engagements bei ISO-zertifizierten Unternehmen:

  • Annex A.9 (Zugriffskontrolle): Zertifiziert, aber Lateral Movement im Netz möglich
  • Annex A.12.4 (Logging und Monitoring): SIEM implementiert, aber 40% der Angriffstechniken nicht erkannt
  • Annex A.7.2 (Security Awareness): Schulungen dokumentiert, aber 60% der Mitarbeitenden klicken auf Phishing-Links

Das Red Team-Engagement liefert den empirischen Nachweis: Funktioniert Ihr ISMS in der Praxis — oder nur auf dem Papier? Das ist der Unterschied zwischen Compliance und echter Sicherheit.

Weiterführende Informationen finden Sie in unserem Leitfaden Was ist Red Teaming? und in unserer Übersicht der Red Team Anbieter Schweiz.

Häufige Fragen aus der Praxis

Muss ich mich für ein Framework entscheiden? Nein. ISO 27001 und NIST CSF können kombiniert werden und ergänzen sich gut. ISO 27001 für externe Nachweise, NIST CSF für internes Monitoring.

Wie lange dauert eine ISO 27001-Implementierung für ein KMU? Für ein KMU mit 50–200 Mitarbeitenden realistisch 12–18 Monate bis zur Erstzertifizierung. Mit erfahrenem Berater und klarem Projektmanagement kann es in 9–12 Monaten gelingen.

Ist ISO 27001 teuer für ein KMU mit 30 Mitarbeitenden? Die Gesamtinvestition (Beratung + Zertifizierung + interne Kosten) liegt bei CHF 40’000–80’000 für kleine KMU. Wenn Sie dadurch Aufträge von grossen Kunden gewinnen, amortisiert sich das Investment rasch.

Anerkennt die FINMA ISO 27001? Ja. Die FINMA (Eidgenössische Finanzmarktaufsicht) anerkennt ISO 27001 als geeignete Grundlage für ein ISMS. Es ersetzt jedoch nicht die spezifischen FINMA-Rundschreiben (RS 2023/1 zu Cyberrisiken).

Sind Penetrationstests für ISO 27001 Pflicht? Annex A.8.8 (Technisches Schwachstellenmanagement) erfordert Schwachstellenmanagement. Annex A.5.36 verweist auf Sicherheitsüberprüfungen. ISO-Auditoren erwarten technische Prüfungen — ob das Scans, Pentests oder Red Teaming sind, hängt von Ihrem Risikoumfeld ab. Details zur Entscheidung zwischen Scan und Pentest in unserem Vergleich Penetrationstest vs. Vulnerability Scan.

Fazit

Für Schweizer KMU ist die Empfehlung klar: ISO 27001 ist der Standard der Wahl für externe Anerkennung, Kundenanforderungen und regulatorische Compliance. Das NIST CSF ist ein wertvolles, kostenloses Planungsinstrument für die interne Steuerung — kein Ersatz für ISO 27001, aber eine gute Ergänzung.

Der entscheidende Punkt: Ein Framework — egal ob ISO 27001 oder NIST — beschreibt, was vorhanden sein soll. Es prüft nicht, ob es funktioniert. Red Teaming schliesst diese Lücke: Es testet unter realen Angriffsbedingungen, ob Ihre Sicherheitsmassnahmen standhalten.

Zertifizierung ist der Anfang. Wirkliche Sicherheit braucht den Beweis unter Feuer.

Validieren Sie Ihre ISO 27001-Implementierung mit einem professionellen Red Team-Engagement. Unsere zertifizierten Experten zeigen Ihnen, welche Ihrer Kontrollen unter realen Angriffsbedingungen funktionieren — und welche nicht. Klar, strukturiert, mit direktem Bezug zu Ihren ISO-Kontrollen.

Jetzt Red Team-Engagement anfragen — ab CHF 11’900