ISO 27001 Zertifizierung Schweiz: Der komplette Leitfaden 2026

Q: Ist die ISO 27001 Zertifizierung in der Schweiz gesetzlich vorgeschrieben?

Nein, die ISO 27001 Zertifizierung ist keine gesetzliche Pflicht. Das nDSG verlangt jedoch geeignete technische und organisatorische Massnahmen, und ein ISMS nach ISO 27001 ist der anerkannteste Rahmen, um dies systematisch nachzuweisen. In bestimmten Branchen wird sie faktisch erwartet.

Q: Was ist der Unterschied zwischen ISO 27001 und ISO 27002?

ISO 27001 definiert die Anforderungen an ein ISMS und ist der zertifizierbare Standard. ISO 27002 ist ein ergänzender Leitfaden mit Implementierungshinweisen. Sie können sich nur nach ISO 27001 zertifizieren lassen, nicht nach ISO 27002.

Q: Können wir die ISO 27001 Zertifizierung ohne externe Hilfe schaffen?

Grundsätzlich ja, allerdings ist externe Unterstützung ratsam. Besonders bei der technischen Prüfung (Penetrationstest, Schwachstellenanalyse) ist unabhängige externe Expertise unverzichtbar und wird von Auditoren als deutlich aussagekräftiger bewertet.

Q: Wie verhält sich die ISO 27001 zum neuen Datenschutzgesetz (nDSG)?

ISO 27001 und das nDSG ergänzen sich hervorragend. Ein zertifiziertes ISMS nach ISO 27001 erfüllt die technischen und organisatorischen Anforderungen des nDSG (Art. 8) in weiten Teilen. Für vollständige nDSG-Compliance müssen datenschutzspezifische Anforderungen wie die Meldepflicht und Informationspflichten separat adressiert werden.

Die ISO 27001 ist der weltweit führende Standard für Informationssicherheits-Managementsysteme (ISMS) – und für Schweizer Unternehmen wird sie zunehmend vom «Nice-to-have» zur strategischen Notwendigkeit. Ob regulatorische Anforderungen, Kundenerwartungen oder der Schutz vor Cyberangriffen: Eine ISO 27001 Zertifizierung signalisiert, dass Ihr Unternehmen Informationssicherheit systematisch und nachweisbar betreibt. Doch wie läuft eine Zertifizierung in der Schweiz konkret ab? Was kostet sie, wie lange dauert sie, und welche Stolperfallen sollten Sie kennen? In diesem Leitfaden beantworten wir alle wichtigen Fragen – praxisnah und auf die Schweizer Gegebenheiten zugeschnitten.

Kernaussage

Die ISO/IEC 27001:2022 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). In der Schweiz ist die SQS (Schweizerische Vereinigung für Qualitäts- und Management-Systeme) eine der führenden akkreditierten Zertifizierungsstellen. Ein Penetrationstest ist ein zentraler Baustein, um die Wirksamkeit der implementierten Sicherheitskontrollen nachzuweisen.

Was ist ISO 27001 und warum ist sie für Schweizer Unternehmen relevant?

Die ISO/IEC 27001 ist ein internationaler Standard, der von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) gemeinsam herausgegeben wird. Er beschreibt die Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Die aktuelle Version – ISO/IEC 27001:2022 – wurde im Oktober 2022 veröffentlicht und ersetzt die Vorgängerversion von 2013.

Für Schweizer Unternehmen ist die ISO 27001 aus mehreren Gründen besonders relevant:

Regulatorische Anforderungen: Das neue Datenschutzgesetz (nDSG) verlangt in Art. 8 «geeignete technische und organisatorische Massnahmen» zur Datensicherheit. Ein ISMS nach ISO 27001 ist der anerkannteste Rahmen, um diese Anforderung systematisch zu erfüllen.
Marktanforderungen: Laut einer Studie des Bundesamtes für Statistik (BFS) aus dem Jahr 2024 verlangen bereits 68% der Schweizer Grossunternehmen von ihren Lieferanten eine ISO 27001 Zertifizierung oder einen gleichwertigen Nachweis der Informationssicherheit.
Wettbewerbsvorteil: Eine Zertifizierung stärkt das Vertrauen bei Kunden, Partnern und Investoren – besonders in sensiblen Branchen wie Finanzdienstleistungen, Gesundheitswesen und öffentliche Verwaltung.
Internationale Geschäftstätigkeit: Die Schweiz als Exportnation profitiert von einem international anerkannten Zertifikat, das grenzüberschreitend verstanden und akzeptiert wird.

ISO 27001 in Zahlen – Schweiz und weltweit

70'000+ Zertifizierungen weltweit (ISO Survey 2024) – ein Anstieg von 20% gegenüber 2021.
1'850+ aktive ISO 27001 Zertifizierungen in der Schweiz (Stand: Ende 2025, gemäss SAS-Datenbank).
35% der Schweizer KMU mit mehr als 50 Mitarbeitenden planen laut einer Erhebung von ICTswitzerland bis Ende 2026 eine ISO 27001 Zertifizierung.
CHF 4,2 Mio. betragen die durchschnittlichen Kosten eines Datenlecks in der Schweiz (IBM Cost of a Data Breach Report 2025).
40% geringere Wahrscheinlichkeit eines schwerwiegenden Sicherheitsvorfalls bei ISO 27001 zertifizierten Unternehmen (BSI-Studie 2024).

Die wichtigsten Änderungen in ISO 27001:2022

Die Revision von 2022 brachte wesentliche Neuerungen, die Schweizer Unternehmen bei der Zertifizierung oder beim Übergang von der 2013er-Version berücksichtigen müssen. Das British Standards Institution (BSI), das die ursprüngliche Norm entwickelt hat, hebt insbesondere folgende Änderungen hervor:

Annex A reorganisiert: Die 114 Massnahmen aus 14 Kategorien wurden in 93 Massnahmen in 4 Themengebieten konsolidiert: Organisatorische Massnahmen (37), Personenbezogene Massnahmen (8), Physische Massnahmen (14) und Technologische Massnahmen (34).
11 neue Kontrollen: Darunter Threat Intelligence, Informationssicherheit bei Cloud-Nutzung, Datenmaskierung und Überwachung von Aktivitäten – alles Themen, die in der heutigen Bedrohungslandschaft essenziell sind.
Stärkerer Fokus auf Kontext: Die Organisation muss interessierte Parteien und deren Anforderungen an das ISMS klarer identifizieren.
Prozessbasierter Ansatz: Klarere Anforderungen an die Planung, Durchführung und Überwachung von Prozessen innerhalb des ISMS.

Übergangsfrist beachten

Unternehmen, die noch nach ISO 27001:2013 zertifiziert sind, müssen bis zum 31. Oktober 2025 auf die Version 2022 umgestellt haben. Seit dem 1. Mai 2024 werden Erstzertifizierungen nur noch nach ISO 27001:2022 durchgeführt. Falls Ihr Unternehmen den Übergang noch nicht abgeschlossen hat, sollten Sie unverzüglich handeln.

Der Zertifizierungsprozess: Schritt für Schritt

Die ISO 27001 Zertifizierung in der Schweiz folgt einem strukturierten Prozess, der – je nach Unternehmensgrösse und Reifegrad der bestehenden Sicherheitsprozesse – zwischen 6 und 18 Monaten dauert. Die Schweizerische Vereinigung für Qualitäts- und Management-Systeme (SQS) und andere akkreditierte Zertifizierungsstellen in der Schweiz folgen diesem bewährten Ablauf:

Phase	Beschreibung	Dauer (typisch)	Wichtige Aktivitäten
1. Gap-Analyse	Ist-Zustand erheben und mit ISO-Anforderungen vergleichen	2–4 Wochen	Bestandsaufnahme, Risikobewertung, Scope-Definition
2. ISMS-Aufbau	Managementsystem konzipieren und implementieren	3–6 Monate	Richtlinien erstellen, Risikobehandlung, Massnahmen umsetzen, Schulungen
3. Internes Audit	Eigenständige Überprüfung des ISMS vor dem externen Audit	2–4 Wochen	Internes Audit, Managementbewertung, Korrekturmassnahmen
4. Penetrationstest	Technische Überprüfung der implementierten Sicherheitsmassnahmen	1–3 Wochen	Penetrationstest, Schwachstellenanalyse, Remediation
5. Stage 1 Audit	Dokumentenprüfung durch die Zertifizierungsstelle	1–2 Tage	Prüfung der ISMS-Dokumentation, Bereitschaftsbewertung
6. Stage 2 Audit	Vor-Ort-Audit der Implementierung	3–5 Tage	Implementierungsprüfung, Interviews, Stichproben, Evidenzprüfung
7. Zertifizierung	Zertifikatserteilung bei positivem Ergebnis	2–4 Wochen	Zertifikatserstellung, Registrierung, Gültigkeit: 3 Jahre
8. Überwachungsaudits	Jährliche Prüfungen zur Aufrechterhaltung	Jährlich	Überwachungsaudit im Jahr 1 und 2, Rezertifizierung im Jahr 3

Die Rolle von Penetrationstests in der ISO 27001

Ein häufiges Missverständnis: Die ISO 27001 schreibt keinen Penetrationstest wörtlich vor. In der Praxis ist er jedoch nahezu unverzichtbar, und das aus guten Gründen. Annex A, Kontrolle A.8.8 («Management von technischen Schwachstellen») verlangt, dass Organisationen «Informationen über technische Schwachstellen der verwendeten Informationssysteme zeitnah erlangen, die Exposition der Organisation gegenüber solchen Schwachstellen bewerten und geeignete Massnahmen ergreifen».

Ein professioneller Penetrationstest ist die wirksamste Methode, um diese Anforderung zu erfüllen. Er geht über automatisierte Vulnerability Scans hinaus und testet die tatsächliche Widerstandsfähigkeit Ihrer Systeme unter realistischen Bedingungen. Die meisten Auditoren akkreditierter Zertifizierungsstellen wie der SQS erwarten entsprechende Pentest-Berichte als Evidenz.

Darüber hinaus unterstützt ein Penetrationstest die Erfüllung weiterer ISO 27001 Kontrollen:

A.5.7 – Threat Intelligence: Penetrationstester liefern aktuelle Erkenntnisse über reale Angriffsvektoren und Bedrohungen.
A.8.9 – Konfigurationsmanagement: Pentests decken Fehlkonfigurationen auf, die bei rein dokumentenbasierten Prüfungen unentdeckt bleiben.
A.8.25 – Secure Development Lifecycle: Application-Penetrationstests prüfen die Sicherheit von eigenentwickelter Software.
A.8.34 – Schutz von Informationssystemen während Audittests: Der kontrollierte Rahmen eines Pentests stellt sicher, dass Tests die Verfügbarkeit nicht gefährden.

Empfehlung: Pentest-Timing im Zertifizierungsprozess

Wir empfehlen, den Penetrationstest mindestens 6–8 Wochen vor dem Stage 2 Audit durchzuführen. So bleibt ausreichend Zeit, um identifizierte Schwachstellen zu beheben und die Korrekturmassnahmen zu dokumentieren – beides wird vom Auditor als Nachweis eines funktionierenden ISMS positiv bewertet.

Für Unternehmen, die auch Red-Teaming-Übungen durchführen möchten, empfiehlt sich ein gestaffelter Ansatz: zuerst der Penetrationstest zur Identifikation technischer Schwachstellen, dann das Red Teaming zur Prüfung der gesamten Abwehrkette einschliesslich Erkennungs- und Reaktionsfähigkeit.

ISO 27001 vs. SOC 2 vs. nDSG: Ein Vergleich

Schweizer Unternehmen stehen oft vor der Frage, welcher Standard oder welches Regelwerk für sie am relevantesten ist. Die Antwort hängt von der Branche, den Kundenbedürfnissen und dem regulatorischen Umfeld ab. Hier ein detaillierter Vergleich:

Kriterium	ISO 27001	SOC 2	nDSG
Art	Internationaler Standard (ISO/IEC)	Branchenrahmenwerk (AICPA)	Schweizer Bundesgesetz
Fokus	Informationssicherheits-Managementsystem	Dienstleistungsorganisations-Kontrollen	Schutz personenbezogener Daten
Verbindlichkeit	Freiwillig (vertraglich oft gefordert)	Freiwillig (marktgetrieben, v.a. US-Kunden)	Gesetzlich vorgeschrieben
Scope	Alle Informationswerte der Organisation	Spezifische Dienstleistungen/Systeme	Personendaten natürlicher Personen
Zertifizierung/Nachweis	Zertifikat (3 Jahre, jährl. Überwachung)	Attestation Report (Type I oder Type II)	Kein Zertifikat – Compliance-Nachweis
Prüfer	Akkreditierte Zertifizierungsstelle (z.B. SQS)	CPA-Wirtschaftsprüfer	EDOEB (Aufsicht), intern (Nachweis)
Internationale Anerkennung	Weltweit anerkannt	Primär in Nordamerika, zunehmend global	Schweiz (Äquivalenz mit DSGVO angestrebt)
Typische Dauer	6–18 Monate	3–12 Monate	Fortlaufende Verpflichtung
Kosten (KMU, Schweiz)	CHF 50'000–150'000	CHF 40'000–120'000	Variabel (keine Zertifizierungskosten)
Sanktionen bei Verstoss	Zertifikatsentzug	Qualifizierter Prüfbericht	Bussen bis CHF 250'000 (natürl. Person)

Unsere Empfehlung

Für die meisten Schweizer Unternehmen ist die ISO 27001 der richtige Ausgangspunkt: Sie deckt die nDSG-Anforderungen mit ab, ist international anerkannt und bietet einen strukturierten Rahmen für die kontinuierliche Verbesserung. Unternehmen mit überwiegend US-amerikanischer Kundschaft sollten ergänzend einen SOC 2 Report in Betracht ziehen. In jedem Fall bildet ein Penetrationstest die Grundlage für den Nachweis technischer Wirksamkeit – unabhängig vom gewählten Rahmenwerk.

Kosten einer ISO 27001 Zertifizierung in der Schweiz

Die Gesamtkosten einer ISO 27001 Zertifizierung variieren erheblich je nach Unternehmensgrösse, Komplexität der IT-Landschaft und dem Reifegrad bestehender Sicherheitsprozesse. Für Schweizer KMU (50–250 Mitarbeitende) lassen sich folgende Richtwerte angeben:

Typische Kostenaufstellung

Gap-Analyse und Beratung: CHF 10'000–30'000
ISMS-Aufbau und Implementierung: CHF 20'000–60'000 (intern/extern)
Penetrationstest: CHF 8'000–25'000 (je nach Scope)
Zertifizierungsaudit (Stage 1 + 2): CHF 12'000–25'000 (abhängig von der Zertifizierungsstelle)
Überwachungsaudits (pro Jahr): CHF 5'000–12'000
Interne Ressourcen: 0,5–1 FTE über 6–12 Monate

Hinweis: Die Kosten für die Zertifizierung durch die SQS richten sich nach der Mitarbeiterzahl und dem Geltungsbereich des ISMS. Detaillierte Preislisten können direkt bei der SQS angefordert werden.

Dem gegenüber stehen die durchschnittlichen Kosten eines Datenlecks in der Schweiz von CHF 4,2 Millionen (IBM, 2025) sowie mögliche persönliche Bussen von bis zu CHF 250'000 unter dem nDSG. Eine ISO 27001 Zertifizierung ist somit eine vergleichsweise geringe Investition in den Schutz Ihres Unternehmens und Ihrer persönlichen Haftung.

Die wichtigsten Zertifizierungsstellen in der Schweiz

In der Schweiz sind mehrere Zertifizierungsstellen für ISO 27001 akkreditiert. Die Akkreditierung erfolgt durch die Schweizerische Akkreditierungsstelle (SAS), eine Einheit des Staatssekretariats für Wirtschaft (SECO). Die wichtigsten Stellen im Überblick:

SQS (Schweizerische Vereinigung für Qualitäts- und Management-Systeme): Die grösste und bekannteste Schweizer Zertifizierungsstelle. Seit über 40 Jahren aktiv, mit umfassender Erfahrung in der ISO 27001 Zertifizierung und Schweiz-spezifischer Expertise.
SGS Société Générale de Surveillance: Globaler Prüf- und Zertifizierungskonzern mit Hauptsitz in Genf. Stark bei international tätigen Unternehmen.
BSI Group (British Standards Institution): Der Entwickler des ursprünglichen BS 7799, aus dem die ISO 27001 hervorging. Besonders für Unternehmen mit UK-Geschäftsbeziehungen relevant.
TÜV SÜD / TÜV Rheinland: Deutsche Zertifizierungsstellen mit Präsenz in der Schweiz. Häufig gewählt von Unternehmen mit DACH-Fokus.

Die Wahl der Zertifizierungsstelle sollte von Faktoren wie Branchenexpertise, internationaler Anerkennung, Kosten und Verfügbarkeit abhängen. Ein ISO 27001 Zertifikat ist unabhängig von der ausstellenden Stelle international gültig, solange die Stelle durch eine anerkannte Akkreditierungsbehörde akkreditiert ist.

Häufige Stolperfallen bei der ISO 27001 Zertifizierung

Basierend auf unserer Erfahrung mit Dutzenden von Schweizer Unternehmen, die eine ISO 27001 Zertifizierung angestrebt haben, sehen wir immer wieder die gleichen Fehler. Hier die sechs häufigsten Stolperfallen – und wie Sie sie vermeiden:

1. Zu breiter oder zu enger Scope: Definieren Sie den Geltungsbereich des ISMS sorgfältig. Zu breit macht die Implementierung unverhältnismässig aufwendig; zu eng führt zu Lücken und Nachfragen im Audit. Der Scope sollte alle Geschäftsprozesse umfassen, die kritische Informationswerte verarbeiten.
2. Risikobewertung als Formalität behandeln: Die Risikobewertung ist das Herzstück des ISMS. Auditoren erkennen sofort, wenn sie nur «pro forma» durchgeführt wurde. Investieren Sie Zeit in eine fundierte Bedrohungsanalyse mit realistischen Szenarien.
3. Fehlende Management-Unterstützung: ISO 27001 Klausel 5 verlangt explizit das Engagement der obersten Leitung. Ohne sichtbare Unterstützung der Geschäftsleitung scheitern ISMS-Projekte regelmässig an mangelnden Ressourcen und fehlender Priorisierung.
4. Dokumentation ohne gelebte Praxis: Auditoren prüfen nicht nur Dokumente, sondern ob die beschriebenen Prozesse tatsächlich gelebt werden. Erstellen Sie keine theoretischen Richtlinien, die niemand kennt oder befolgt.
5. Technische Tests vergessen: Viele Unternehmen konzentrieren sich auf Richtlinien und Prozesse und vernachlässigen den technischen Nachweis. Ein Penetrationstest schliesst diese Lücke und liefert Auditoren belastbare Evidenz.
6. Kontinuierliche Verbesserung vernachlässigen: Die Zertifizierung ist kein Endpunkt, sondern der Beginn eines kontinuierlichen Prozesses. Planen Sie von Anfang an die Ressourcen für die fortlaufende Pflege und Verbesserung des ISMS ein.

So unterstützt RedTeam Partners Ihre ISO 27001 Zertifizierung

Als CREST-zertifiziertes Cybersicherheitsunternehmen begleiten wir Schweizer Organisationen gezielt bei den technischen Aspekten der ISO 27001 Zertifizierung. Unsere Leistungen umfassen:

Technische Gap-Analyse: Wir bewerten Ihre bestehenden technischen Sicherheitskontrollen und identifizieren Lücken in Bezug auf die Annex-A-Anforderungen der ISO 27001:2022.
Penetrationstest: Unser CREST-akkreditierter Penetrationstest liefert den technischen Nachweis, den Auditoren erwarten. Der Bericht ist speziell für ISO 27001 Audits strukturiert und enthält eine Zuordnung der Findings zu den relevanten Annex-A-Kontrollen.
Red Teaming: Für Unternehmen mit höheren Sicherheitsanforderungen bieten wir Red-Teaming-Engagements an, die über den klassischen Penetrationstest hinausgehen und Ihre gesamte Abwehrkette testen.
Bedrohungsanalyse: Unsere Bedrohungsanalyse unterstützt die nach ISO 27001 geforderte Risikobewertung mit aktuellen Daten zu branchenspezifischen Bedrohungen und Angriffsvektoren.
Remediation-Unterstützung: Wir begleiten Ihr Team bei der Behebung identifizierter Schwachstellen und führen Nachtests zur Validierung der Massnahmen durch.

Checkliste: Sind Sie bereit für die ISO 27001 Zertifizierung?

☐ ISMS-Scope ist definiert und von der Geschäftsleitung genehmigt
☐ Informationssicherheitsrichtlinie ist dokumentiert und kommuniziert
☐ Risikobewertung und Risikobehandlungsplan liegen vor
☐ Statement of Applicability (SoA) ist erstellt
☐ Alle relevanten Annex-A-Massnahmen sind implementiert
☐ Penetrationstest wurde durchgeführt und Findings behoben
☐ Internes Audit wurde durchgeführt
☐ Managementbewertung (Management Review) ist dokumentiert
☐ Mitarbeitende sind geschult und sensibilisiert
☐ Incident-Response-Plan ist getestet und einsatzbereit
☐ Kontinuierlicher Verbesserungsprozess (KVP) ist etabliert
☐ Zertifizierungsstelle ist ausgewählt und Auditdatum vereinbart

🏔️ Weiterführende Ressourcen

RedTeam Partners ist stolzer Träger des Alpine-Excellence-Siegels für herausragende Schweizer Cybersicherheit.

Häufig gestellte Fragen (FAQ)

Wie lange dauert eine ISO 27001 Zertifizierung in der Schweiz?

Die Dauer hängt vom Ausgangszustand und der Unternehmensgrösse ab. Für ein typisches Schweizer KMU mit 50–250 Mitarbeitenden liegt die Gesamtdauer von der ersten Gap-Analyse bis zur Zertifikatserteilung bei 6–18 Monaten. Unternehmen, die bereits über strukturierte Sicherheitsprozesse verfügen (z.B. durch eine bestehende nDSG-Compliance), können den Prozess deutlich beschleunigen. Die reine Auditphase (Stage 1 und Stage 2) dauert in der Regel 4–7 Tage, verteilt auf zwei Termine.

Ist die ISO 27001 Zertifizierung in der Schweiz gesetzlich vorgeschrieben?

Nein, die ISO 27001 Zertifizierung ist in der Schweiz keine gesetzliche Pflicht. Das nDSG verlangt jedoch «geeignete technische und organisatorische Massnahmen» (Art. 8 nDSG), und ein ISMS nach ISO 27001 ist der weltweit anerkannteste Rahmen, um dies systematisch nachzuweisen. In bestimmten Branchen – insbesondere im Finanzsektor (FINMA-Rundschreiben 2023/1) und im Gesundheitswesen – wird eine ISO 27001 Zertifizierung von den Aufsichtsbehörden faktisch erwartet oder vertraglich durch Grosskunden vorausgesetzt.

Was ist der Unterschied zwischen ISO 27001 und ISO 27002?

ISO 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem und ist der zertifizierbare Standard. ISO 27002 ist ein ergänzender Leitfaden, der Implementierungshinweise für die in Annex A der ISO 27001 aufgeführten Massnahmen enthält. Sie können sich nur nach ISO 27001 zertifizieren lassen – nicht nach ISO 27002. Beide Dokumente sollten jedoch im Zusammenspiel verwendet werden: ISO 27001 sagt, was Sie tun müssen, ISO 27002 erklärt, wie Sie es umsetzen können.

Können wir die ISO 27001 Zertifizierung ohne externe Hilfe schaffen?

Grundsätzlich ja, allerdings ist es in der Praxis für die meisten Unternehmen ratsam, zumindest punktuell externe Unterstützung beizuziehen. Die ISO 27001 erfordert Fachwissen in Informationssicherheit, Risikomanagement und Audit-Methodik. Besonders bei der technischen Prüfung (Penetrationstest, Schwachstellenanalyse) ist externe Expertise unverzichtbar, da diese Prüfung unabhängig und objektiv erfolgen muss. Ein CREST-zertifizierter Penetrationstest durch einen unabhängigen Anbieter wird von Auditoren als deutlich aussagekräftiger bewertet als interne Scans.

Wie verhält sich die ISO 27001 zum neuen Datenschutzgesetz (nDSG)?

ISO 27001 und das nDSG ergänzen sich hervorragend. Das nDSG fokussiert auf den Schutz personenbezogener Daten, während ISO 27001 alle Informationswerte abdeckt. Ein zertifiziertes ISMS nach ISO 27001 erfüllt die technischen und organisatorischen Anforderungen des nDSG (Art. 8) in weiten Teilen. Zusätzlich müssen für die vollständige nDSG-Compliance jedoch datenschutzspezifische Anforderungen wie die Datenschutz-Folgenabschätzung (Art. 22 nDSG), die Meldepflicht bei Datenschutzverletzungen (Art. 24 nDSG) und die Informationspflichten (Art. 19-21 nDSG) separat adressiert werden. In der Praxis empfehlen wir Schweizer Unternehmen, ISO 27001 als Fundament zu nutzen und die nDSG-spezifischen Anforderungen darauf aufzubauen.