Reicht BSI-IT-Grundschutz statt ISO 27001?

In vielen Ausschreibungen ja — BSI-IT-Grundschutz wird häufig als gleichwertig anerkannt. Maßgeblich ist die konkrete Formulierung in den Vergabeunterlagen.

Muss das ganze Unternehmen zertifiziert sein?

Nein, aber der Geltungsbereich des Zertifikats muss die ausführende Einheit und die betroffene Leistung abdecken.

ISO 27001 in öffentlichen Ausschreibungen: wann sie verlangt wird

ISO 27001 ist eines der häufigsten harten Kriterien in IT-Vergaben — und einer der häufigsten Gründe, an einer Ausschreibung zu scheitern. Hier, wann sie verlangt wird und welche Alternativen gelten.

Aktualisiert am 01. Juni 2026

Kurz gesagt

Öffentliche Auftraggeber fordern ISO 27001 vor allem bei IT-Sicherheits-, Rechenzentrums- und KRITIS-nahen Leistungen. Häufig gilt „oder gleichwertig" — meist wird BSI-IT-Grundschutz anerkannt. Entscheidend ist, dass der Geltungsbereich (Scope) des Zertifikats die ausführende Einheit und die betroffene Leistung abdeckt.

Was ISO 27001 nachweist

ISO/IEC 27001 ist die internationale Norm für ein Informationssicherheits-Managementsystem (ISMS). Das Zertifikat belegt, dass ein Unternehmen Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen systematisch steuert — nicht nur punktuell, sondern als gelebter, auditierter Prozess.

Wann öffentliche Auftraggeber sie fordern

Eine ISO-27001-Pflicht taucht vor allem dort auf, wo sensible Daten oder kritische Systeme im Spiel sind:

IT-Sicherheitsleistungen, SOC-/SIEM-Betrieb und Managed Security.
Betrieb von Rechenzentren, Plattformen oder Fachverfahren mit personenbezogenen oder sicherheitsrelevanten Daten.
Vorhaben im Umfeld kritischer Infrastrukturen (KRITIS) oder mit erhöhten Schutzbedarfen.

Gleichwertige Nachweise und Alternativen

Viele Ausschreibungen verlangen ISO 27001 „oder gleichwertig". Als gleichwertig gilt häufig eine Zertifizierung nach BSI-IT-Grundschutz. Der Auftraggeber muss gleichwertige Nachweise grundsätzlich zulassen — pauschal auf genau ein Zertifikat zu bestehen, ist vergaberechtlich angreifbar.

Entscheidend ist der Geltungsbereich (Scope) des Zertifikats: Es muss die Leistung und die Organisationseinheit abdecken, die den Auftrag erbringt. Ein Zertifikat, das nur eine andere Niederlassung umfasst, hilft nicht.

Was tun, wenn man (noch) nicht zertifiziert ist

Eine ISO-27001-Zertifizierung lässt sich nicht kurzfristig „nachholen" — der Aufbau eines ISMS und das Audit dauern Monate. Über Eignungsleihe oder eine Bietergemeinschaft mit einem zertifizierten Partner kann die Anforderung in manchen Fällen erfüllt werden, sofern der zertifizierte Partner die sicherheitsrelevante Leistung auch tatsächlich erbringt.

Häufige Fragen

Reicht BSI-IT-Grundschutz statt ISO 27001?: In vielen Ausschreibungen ja — BSI-IT-Grundschutz wird häufig als gleichwertig anerkannt. Maßgeblich ist die konkrete Formulierung in den Vergabeunterlagen.
Muss das ganze Unternehmen zertifiziert sein?: Nein, aber der Geltungsbereich des Zertifikats muss die ausführende Einheit und die betroffene Leistung abdecken.
Kann ich ISO 27001 über einen Partner „leihen"?: Teilweise — per Eignungsleihe oder Bietergemeinschaft, wenn der zertifizierte Partner die sicherheitsrelevante Leistung erbringt. Reine Formalpartnerschaften genügen nicht.

Rechtsgrundlagen & Quellen

ISO/IEC 27001 – ISMS
BSI IT-Grundschutz
§ 122 GWB – Eignung
§ 47 VgV – Eignungsleihe