ISO 27001 in Ausschreibungen: Vergaberecht, Eignungskriterien und Praxis

Immer mehr öffentliche Ausschreibungen für IT-Dienstleistungen fordern eine ISO 27001 Zertifizierung als Eignungskriterium. Für Bieter ohne Zertifikat schließt sich die Tür — für zertifizierte Anbieter öffnet sie sich. Doch wann dürfen Vergabestellen ISO 27001 überhaupt verlangen? Was müssen Bieter nachweisen? Und welche Chancen ergeben sich für zertifizierte Softwaredienstleister?

Eine moderne Büroumgebung, stark fokussiert auf einen gläsernen Tisch. Darauf liegen digitale holografische Notebooks in einer Reihe. Im Hintergrund sieht man eine unscharfe Skyline. Ein Symbolbild für ISO-27001 Ausschreibungen.

1. Warum öffentliche Auftraggeber ISO 27001 fordern
2. Vergaberecht: Wann ist ISO 27001 als Kriterium zulässig?
3. In welchen Ausschreibungen ISO 27001 gefordert wird
4. Was Bieter nachweisen müssen
5. Wie TenMedia öffentliche Auftraggeber unterstützt
6. Weiterführende Informationen

Warum öffentliche Auftraggeber ISO 27001 fordern

Die Digitalisierung der öffentlichen Verwaltung schreitet voran — und mit ihr die Abhängigkeit von externen IT-Dienstleistern. Behörden beauftragen Softwareentwicklung, Cloud-Dienste, Wartung und Support zunehmend extern. Das schafft ein Problem: Wie stellt der Auftraggeber sicher, dass der Dienstleister die Informationen der Behörde — und damit die Daten der Bürgerinnen und Bürger — angemessen schützt?

Die DSGVO verpflichtet öffentliche Stellen, bei der Auftragsvergabe geeignete technische und organisatorische Maßnahmen zu fordern. Das NIS-2-Umsetzungsgesetz verschärft die Anforderungen an das Risikomanagement in der Lieferkette. Der IT-Grundschutz des BSI empfiehlt seit Jahren, Informationssicherheitsanforderungen in Ausschreibungen zu verankern.

Eine ISO 27001 Zertifizierung bietet Vergabestellen genau das, was sie brauchen: einen standardisierten, extern geprüften Nachweis, dass der Dienstleister ein funktionierendes Informationssicherheits-Managementsystem betreibt. Kein Selbstauskunftsbogen, den jeder ausfüllen kann, sondern ein Zertifikat, das eine akkreditierte Stelle nach mehrtägigem Audit erteilt hat.

Vergaberecht: Wann ist ISO 27001 als Kriterium zulässig?

Öffentliche Auftraggeber dürfen nicht willkürlich Anforderungen an Bieter stellen. Das Vergaberecht setzt klare Grenzen — lässt aber durchaus Raum für Informationssicherheitsanforderungen.

Eignungskriterien nach § 122 GWB. Vergabestellen dürfen Anforderungen an die technische und berufliche Leistungsfähigkeit der Bieter formulieren. Dazu gehören Zertifizierungen, sofern sie im sachlichen Zusammenhang mit dem Auftragsgegenstand stehen. Wenn der Auftrag die Verarbeitung sensibler Daten umfasst — Sozialdaten, Gesundheitsdaten, Steuerdaten, Sicherheitsinformationen —, ist eine ISO 27001 Zertifizierung als Eignungsnachweis verhältnismäßig und vergaberechtlich zulässig.

Gütezeichen nach § 49 VgV. Die Vergabeverordnung erlaubt es Vergabestellen, Gütezeichen als Nachweis zu akzeptieren, wenn diese auf europäischen oder internationalen Normen beruhen, von unabhängigen Stellen vergeben werden und für alle Unternehmen zugänglich sind. ISO 27001 erfüllt alle drei Kriterien. Vergabestellen dürfen allerdings auch gleichwertige Nachweise akzeptieren — ein Bieter, der kein ISO-27001-Zertifikat besitzt, aber ein gleichwertiges Sicherheitsniveau nachweist, darf nicht allein wegen des fehlenden Zertifikats ausgeschlossen werden. In der Praxis ist dieser Nachweis allerdings erheblich aufwendiger als die Vorlage eines gültigen Zertifikats.

Die Rolle des Geltungsbereichs. Ein ISO 27001 Zertifikat gilt immer für einen definierten Geltungsbereich. Wenn eine Behörde Softwareentwicklung ausschreibt, das Zertifikat des Bieters aber nur „IT-Hosting” abdeckt, genügt das nicht. Vergabestellen prüfen zunehmend, ob der Geltungsbereich des Zertifikats zum Auftragsgegenstand passt.

In welchen Ausschreibungen ISO 27001 gefordert wird

ISO 27001 taucht nicht in jeder IT-Ausschreibung auf — aber in einer wachsenden Zahl. Typische Szenarien:

Auftragsgegenstand	ISO-27001-Bezug	Beispiel
Softwareentwicklung mit Sozialdaten	Eignungskriterium (Mindestanforderung)	Fachverfahren für Jobcenter oder Sozialämter
Cloud-Dienste für Behörden	Eignungskriterium oder Zuschlagskriterium	Hosting von Fachanwendungen, E-Akte-Systeme
Managed Services für Verwaltungs-IT	Eignungskriterium	Betrieb und Wartung behördlicher IT-Systeme
IT-Projekte im KRITIS-Umfeld	Eignungskriterium (häufig zwingend)	Software für Energieversorger, Wasserwirtschaft
Beratungs- und Integrationsleistungen	Zuschlagskriterium (Wertungsvorteil)	IT-Sicherheitsberatung, Systemintegration

Der Trend ist eindeutig: Seit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes Ende 2025 nehmen Ausschreibungen mit ISO-27001-Anforderung spürbar zu. Besonders betroffen sind IT-Dienstleistungen im Umfeld der erweiterten NIS-2-Sektoren — von der Gesundheitsbranche über die Abfallwirtschaft bis zu digitalen Diensten.

Was Bieter nachweisen müssen

Wer sich auf eine Ausschreibung mit ISO-27001-Anforderung bewirbt, muss in der Regel folgende Unterlagen beibringen:

Gültiges Zertifikat einer akkreditierten Stelle. Das Zertifikat muss von einer nach DIN EN ISO/IEC 17021 akkreditierten Zertifizierungsstelle ausgestellt sein — in Deutschland typischerweise TÜV Süd, TÜV Nord, DEKRA, DQS oder BSI Group. Das Zertifikat enthält den Geltungsbereich, das Gültigkeitsdatum und die Zertifizierungsstelle. Abgelaufene Zertifikate werden nicht akzeptiert.

Passender Geltungsbereich. Der Geltungsbereich des Zertifikats muss die ausgeschriebene Leistung abdecken. Ein Praxistipp für Bieter: Prüfen Sie vor der Bewerbung, ob Ihr Zertifikat den Auftragsgegenstand umfasst. Ein Geltungsbereich „Softwareentwicklung und -wartung” deckt die meisten IT-Ausschreibungen ab. Ein Geltungsbereich „Rechenzentrumsbetrieb” tut das nicht.

Aktualität nach ISO 27001:2022. Seit dem 31. Oktober 2025 werden Zertifizierungen ausschließlich nach der 2022er-Fassung der Norm erteilt. Vergabestellen achten zunehmend darauf, dass Bieter nach der aktuellen Version zertifiziert sind.

Ergänzende Nachweise. Je nach Ausschreibung können zusätzliche Unterlagen gefordert werden: das Statement of Applicability (Erklärung zur Anwendbarkeit), Ergebnisse des letzten Überwachungsaudits oder eine Bestätigung, dass der Geltungsbereich nicht seit der letzten Zertifizierung eingeschränkt wurde.

Wie TenMedia öffentliche Auftraggeber unterstützt

TenMedia ist durch den TÜV Süd nach ISO/IEC 27001:2022 zertifiziert. Der Geltungsbereich unserer Zertifizierung umfasst die Entwicklung, den Betrieb und die Wartung von Individualsoftware — und deckt damit den typischen Auftragsgegenstand öffentlicher IT-Ausschreibungen ab.

Ergänzend verfügen wir über eine ISO 9001 Zertifizierung (Qualitätsmanagement) und langjährige Erfahrung in der Entwicklung von Verwaltungssoftware für den öffentlichen Sektor. Unsere Entwicklungsprozesse folgen den Anforderungen des BSI CON.8 (Software-Entwicklung) und integrieren die Annex-A-Controls der ISO 27001 in den gesamten Softwareentwicklungsprozess.

Für Vergabestellen bedeutet das: Bei der Eignungsprüfung müssen Sie keinen umfangreichen Fragebogen versenden und auswerten — unser TÜV-Zertifikat liefert den standardisierten Nachweis, den das Vergaberecht vorsieht.

Für Bieter, die gemeinsam mit uns als Unterauftragnehmer anbieten möchten, stellen wir die erforderlichen Zertifizierungsnachweise selbstverständlich zur Verfügung.

Weiterführende Informationen

ISO 27001 zertifizierte Softwareentwicklung — Unsere Leistungen als zertifizierter IT-Dienstleister
ISO 27001 in der Softwareentwicklung — Annex A, Secure SDLC und Praxis
ISO 27001 — Definition, Aufbau der Norm und Abgrenzung
NIS-2 — EU-Richtlinie und Umsetzungsgesetz
KRITIS — Kritische Infrastrukturen und NIS-2
IT-Compliance — Unser Compliance-Versprechen
Verwaltungssoftware — Software für den öffentlichen Sektor
ISO 27001 Zertifizierung: Pflicht oder Kür? — Kosten, Ablauf und Vorteile
ISO 27001-Zertifikat vs. ISO 27001-Standard — Echte Zertifikate erkennen
Maintenance, Wartung und Support Service

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.