ISO 27001:2022 — Alle Änderungen und Neuerungen im Überblick

ISO 27001:2022 — Was hat sich geändert?

Die internationale Norm ISO 27001 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS) und Teil der ISO 27000 Familie. Mit der Veröffentlichung der ISO 27001:2022 im Oktober 2022 wurde die bisherige Version aus dem Jahr 2013 grundsätzlich überarbeitet. Für Unternehmen, die bereits zertifiziert sind oder eine Zertifizierung anstreben, ergeben sich daraus weitreichende Konsequenzen.

Die Revision berücksichtigt aktuelle Bedrohungslagen wie Ransomware, Cloud-Sicherheit und Datenschutz in einer zunehmend digitalisierten Welt. In diesem vollständigen Leitfaden erfahren Sie alle wesentlichen Änderungen, die neuen Controls und was Sie für die Migration Ihres bestehenden ISMS beachten müssen.

Die Aktualisierung war längst überfällig: Seit 2013 hat sich die IT-Landschaft dramatisch verändert. Cloud Computing, Remote Work, Internet of Things und immer raffiniertere Cyberangriffe erfordern ein modernes Rahmenwerk, das die ISO 27001:2022 nun bietet.

Die wichtigsten Änderungen im Überblick

Neuer Titel und erweiterter Geltungsbereich

Der offizielle Titel lautet nun „Information security, cybersecurity and privacy protection — Information security management systems — Requirements“. Die Erweiterung um Cybersecurity und Privacy Protection verdeutlicht, dass moderne Informationssicherheit weit über klassische IT-Sicherheit hinausgeht.

Diese Namensänderung ist mehr als kosmetisch — sie signalisiert eine strategische Neuausrichtung. Unternehmen müssen Datenschutz und Informationssicherheit integriert betrachten und nicht mehr als getrennte Disziplinen behandeln.

Änderungen in den Hauptklauseln (Clauses 4–10)

Die Kernstruktur der Norm (High Level Structure) bleibt weitgehend erhalten. Dennoch gibt es relevante Anpassungen:

• Clause 4.2: Anforderungen interessierter Parteien müssen nun explizit dem ISMS zugeordnet werden
• Clause 4.4: Prozesse und deren Wechselwirkungen im ISMS sind zu identifizieren
• Clause 6.2: Informationssicherheitsziele müssen überwacht und dokumentiert verfügbar sein
• Clause 6.3: Neue Anforderung — Änderungen am ISMS müssen geplant durchgeführt werden
• Clause 8.1: Kriterien für Sicherheitsprozesse müssen festgelegt und die Prozesse entsprechend gesteuert werden
• Clause 9.1: Evaluierungsmethoden sollen vergleichbare und reproduzierbare Ergebnisse liefern
• Clause 9.3: Managementbewertung berücksichtigt nun explizit Änderungen bei Anforderungen interessierter Parteien
• Clause 10: Die Reihenfolge wurde geändert — fortlaufende Verbesserung (10.1) vor Korrekturmaßnahmen (10.2)

Diese Änderungen zielen darauf ab, das ISMS stärker in die Geschäftsprozesse zu integrieren und die Wirksamkeit kontinuierlich nachweisbar zu machen.

Neue Annex-A-Struktur: Von 114 auf 93 Controls

Die größte sichtbare Änderung betrifft den Annex A. Die bisherigen 114 Maßnahmen in 14 Kategorien wurden zu 93 ISO 27002 Controls in 4 Themenbereichen umstrukturiert:

• Organisational Controls (37): Richtlinien, Rollen, Verantwortlichkeiten, Asset Management, Zugriffskontrolle, Lieferantenbeziehungen
• People Controls (8): Screening, Sensibilisierung, Schulungen, Disziplinarverfahren, Remote Work
• Physical Controls (14): Perimetersicherheit, Zutrittskontrollen, Geräte- und Medienschutz
• Technological Controls (34): Endpunktsicherheit, Zugangsrechte, Kryptografie, Netzwerksicherheit, sichere Entwicklung

Die Reduzierung von 114 auf 93 Controls bedeutet nicht weniger Sicherheit — viele bisherige Controls wurden zusammengeführt oder in vollständigere Maßnahmen integriert. Die neue Struktur ist logischer aufgebaut und erleichtert die praktische Umsetzung erheblich.

Die 11 neuen Controls

Besonders relevant sind die 11 vollständig neuen Controls, die aktuelle Bedrohungen und Technologien adressieren:

1. A.5.7 — Threat Intelligence: Sammlung und Analyse von Bedrohungsinformationen zur vorausschauenden Abwehr
2. A.5.23 — Cloud-Nutzung: Informationssicherheit bei der Nutzung von Cloud-Diensten systematisch steuern
3. A.5.30 — ICT-Readiness für Business Continuity: IT-Systeme müssen auf Geschäftskontinuität vorbereitet sein
4. A.7.4 — Physical Security Monitoring: Überwachung sensibler Bereiche durch Kameras oder Sensoren
5. A.8.9 — Configuration Management: Systematisches Management von Systemkonfigurationen
6. A.8.10 — Information Deletion: Sichere und fristgerechte Löschung von Informationen
7. A.8.11 — Data Masking: Maskierung sensibler Daten in Test- und Entwicklungsumgebungen
8. A.8.12 — Data Leakage Prevention: Maßnahmen gegen unkontrollierten Datenabfluss (DLP)
9. A.8.16 — Monitoring Activities: Aktive Überwachung von Netzwerken und Systemen auf Anomalien
10. A.8.23 — Web Filtering: Filterung des Webzugriffs zum Schutz vor schädlichen Inhalten
11. A.8.28 — Secure Coding: Sichere Programmierpraktiken als verbindliche Anforderung

Diese neuen Controls spiegeln die Realität moderner IT-Umgebungen wider. Besonders Threat Intelligence, Cloud-Nutzung und Data Leakage Prevention adressieren Themen, die in der Version 2013 noch kaum relevant waren.

Attribut-Taxonomie: Neue Klassifizierung der Controls

Eine wesentliche Innovation der ISO 27001:2022 ist die Einführung von Attributen zur Klassifizierung der Controls. Jedes Control wird anhand von fünf Attributen beschrieben:

• Control Type: Preventive, Detective, Corrective
• Information Security Properties: Confidentiality, Integrity, Availability — die klassischen Schutzziele der Informationssicherheit
• Cybersecurity Concepts: Identify, Protect, Detect, Respond, Recover (angelehnt an NIST)
• Operational Capabilities: z.B. Governance, Asset Management, Identity and Access Management
• Security Domains: Governance and Ecosystem, Protection, Defence, Resilience

Die Attribut-Taxonomie ermöglicht es Unternehmen, Controls nach verschiedenen Perspektiven zu filtern und zu gruppieren. Dies erleichtert die Kommunikation mit verschiedenen Stakeholdern und die Integration mit anderen Frameworks wie dem BSI-Grundschutz oder dem NIST Cybersecurity Framework.

Übergangsfristen und Zeitplan

Für Unternehmen mit bestehender ISO-27001-Zertifizierung gelten folgende Fristen:

• 25. Oktober 2022: Veröffentlichung der ISO 27001:2022
• Seit April 2024: Erstakkreditierungen nur noch nach ISO 27001:2022
• 31. Oktober 2025: Deadline — alle bestehenden Zertifikate nach ISO 27001:2013 verlieren ihre Gültigkeit

Wichtig: Die Übergangsfrist ist bereits abgelaufen! Unternehmen, die noch nicht migriert haben, müssen jetzt schnellstmöglich handeln. Zertifizierungsstellen führen keine Audits nach der alten Version mehr durch. Wer seine Zertifizierung aufrechterhalten möchte, muss die Anforderungen der ISO 27001:2022 vollständig erfüllen.

Für Unternehmen, die eine Erst-Zertifizierung nach ISO 27001 planen, gilt ausschließlich die Version 2022. Dies hat den Vorteil, dass keine Migration notwendig ist — allerdings müssen die neuen Controls von Anfang an berücksichtigt werden.

Migration bestehender ISMS: Praktische Schritte

Die Umstellung Ihres ISMS auf die ISO 27001:2022 erfordert eine systematische Vorgehensweise:

1. Gap-Analyse durchführen

Vergleichen Sie Ihr bestehendes ISMS mit den neuen Anforderungen. Identifizieren Sie Lücken sowohl in den Hauptklauseln als auch im Annex A. Besonders die 11 neuen Controls erfordern in der Regel zusätzliche Maßnahmen.

2. Statement of Applicability (SoA) aktualisieren

Die Erklärung zur Anwendbarkeit muss auf die neue Control-Struktur mit 93 Controls angepasst werden. Dokumentieren Sie für jedes Control, ob und wie es umgesetzt wird.

3. Risikobehandlungsplan anpassen

Überprüfen Sie Ihre Risikoanalyse und den Risikobehandlungsplan. Die neuen Controls können zusätzliche Behandlungsoptionen bieten.

4. Dokumentation überarbeiten

Aktualisieren Sie Ihre ISMS-Dokumentation: Richtlinien, Verfahrensanweisungen, Arbeitsanweisungen und Nachweise. Die neue Nummerierung der Controls muss sich durchgängig wiederfinden.

5. Schulungen durchführen

Sensibilisieren Sie Ihre Mitarbeiter für die Änderungen. Insbesondere Verantwortliche für neue Controls wie Threat Intelligence oder Data Leakage Prevention benötigen spezifisches Know-how.

6. Internes Audit und Managementbewertung

Führen Sie ein internes Audit gegen die neuen Anforderungen durch und lassen Sie die Ergebnisse in die Managementbewertung einfließen, bevor Sie das Transition-Audit beim Zertifizierer beauftragen.

Auswirkungen auf verschiedene Branchen

Die ISO 27001:2022 betrifft alle Branchen, hat aber je nach Sektor unterschiedliche Schwerpunkte:

Fertigungsindustrie

Neue Controls für OT-Sicherheit (Operational Technology) und Supply Chain Security sind besonders relevant. Configuration Management (A.8.9) wird für Produktionsumgebungen mit vielen vernetzten Systemen zum zentralen Thema.

Finanzsektor

Data Leakage Prevention (A.8.12) und Monitoring Activities (A.8.16) ergänzen die bereits strengen regulatorischen Anforderungen. Die Attribut-Taxonomie erleichtert die Zuordnung zu bestehenden Compliance-Frameworks wie DORA oder MaRisk.

Gesundheitswesen

Information Deletion (A.8.10) und Data Masking (A.8.11) sind besonders für den Umgang mit Patientendaten relevant. Cloud Security (A.5.23) gewinnt mit der zunehmenden Digitalisierung im Gesundheitswesen an Bedeutung.

IT-Dienstleister

Secure Coding (A.8.28) und Cloud Security (A.5.23) sind Kernthemen. Web Filtering (A.8.23) und Threat Intelligence (A.5.7) stärken die Verteidigungsfähigkeit gegenüber fortgeschrittenen Bedrohungen.

ISO 27001:2022 und NIS2

Die NIS2-Richtlinie der EU stellt seit Oktober 2024 erweiterte Cybersecurity-Anforderungen an viele Unternehmen. Die ISO 27001:2022 kann als solides Fundament für die NIS2-Compliance dienen:

• Die neuen Controls für Incident Response, Business Continuity und Supply Chain Management decken zentrale NIS2-Anforderungen ab
• Threat Intelligence (A.5.7) unterstützt die NIS2-Meldepflichten
• Das ISMS nach ISO 27001 bietet den systematischen Rahmen, den NIS2 für das Risikomanagement fordert

Unternehmen, die sowohl ISO 27001:2022 als auch NIS2 umsetzen müssen, sollten beide Vorhaben integriert angehen, um Doppelarbeit zu vermeiden und Synergien zu nutzen.

Kosten und Aufwand der Migration

Der Aufwand für die Migration hängt von der Reife Ihres bestehenden ISMS ab:

• Gut aufgestellte Organisationen: 2–4 Monate, hauptsächlich Dokumentationsanpassung und Gap-Closing für neue Controls
• Organisationen mit Nachholbedarf: 4–8 Monate, vollständigere Anpassungen an Prozessen und technischen Maßnahmen
• Externe Beratung: 5.000–25.000 Euro je nach Unternehmensgröße und Ausgangslage
• Transition-Audit: Üblicherweise im Rahmen eines regulären Überwachungsaudits möglich, Mehrkosten 1.000–5.000 Euro

Die Investition lohnt sich: Ein auf dem aktuellen Stand gehaltenes ISMS bietet besseren Schutz vor modernen Bedrohungen und stärkt das Vertrauen von Kunden und Partnern.

Häufig gestellte Fragen zur ISO 27001:2022

Muss ich mein bestehendes Zertifikat umstellen?

Ja. Die Übergangsfrist endete am 31. Oktober 2025. Zertifikate nach ISO 27001:2013 sind nicht mehr gültig. Eine Neuzertifizierung nach ISO 27001:2022 ist zwingend erforderlich, wenn Sie Ihre Zertifizierung aufrechterhalten möchten.

Sind die 11 neuen Controls verpflichtend?

Nicht automatisch. Wie bisher müssen Sie im Rahmen Ihrer Risikoanalyse bewerten, welche Controls anwendbar sind. Allerdings müssen Sie eine Nichtanwendbarkeit nachvollziehbar begründen — und für viele Unternehmen sind gerade die neuen Controls hochrelevant.

Kann ich direkt nach ISO 27001:2022 zertifiziert werden?

Ja. Für Erstakkreditierungen ist ausschließlich die Version 2022 verfügbar. Dies gilt seit April 2024 für alle akkreditierten Zertifizierungsstellen.

Was ändert sich bei der Risikoanalyse?

Die grundsätzliche Methodik der Risikoanalyse bleibt gleich. Durch die neuen Controls und die Attribut-Taxonomie ergeben sich jedoch zusätzliche Behandlungsoptionen und eine differenziertere Bewertung.

Wie verhält sich ISO 27001:2022 zum BSI-Grundschutz?

Der BSI IT-Grundschutz wurde ebenfalls aktualisiert und referenziert die ISO 27001:2022. Die beiden Standards sind kompatibel und ergänzen sich weiterhin. Eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz ist weiterhin möglich.

Was bedeutet die Änderung für kleine Unternehmen?

Kleine und mittelständische Unternehmen profitieren von der klareren Struktur der neuen Version. Die Reduzierung auf 93 Controls und die thematische Gruppierung erleichtern die Übersicht. Gleichzeitig können KMU den Umfang über die Risikoanalyse an ihre Größe anpassen.

DATUREX GmbH: Ihr Partner für die ISO 27001:2022

Als externer Informationssicherheitsbeauftragter unterstützt die DATUREX GmbH Sie bei der Migration Ihres ISMS auf die ISO 27001:2022 sowie bei der Erst-Zertifizierung. Unsere Leistungen umfassen:

• Gap-Analyse Ihres bestehenden ISMS gegen ISO 27001:2022
• Begleitung der Migration inkl. Dokumentationsupdate
• Implementierung der 11 neuen Controls
• Vorbereitung auf das Transition- oder Zertifizierungsaudit
• Laufende Betreuung als externer ISB

Kontaktieren Sie uns für ein unverbindliches Erstgespräch. Wir analysieren Ihre aktuelle Situation und erstellen einen individuellen Migrationsplan für Ihr Unternehmen.

Die 11 neuen Controls der ISO 27001:2022 im Detail

Die ISO 27001:2022 führt elf völlig neue Controls ein, die den aktuellen Bedrohungslandschaften Rechnung tragen. Diese neuen Maßnahmen adressieren Themen, die in der Vorgängerversion von 2013 noch nicht oder nur unzureichend abgedeckt waren.

Threat Intelligence (A.5.7)

Unternehmen müssen Bedrohungsinformationen systematisch sammeln, analysieren und in ihre Sicherheitsstrategie einfließen lassen. Dies umfasst das Monitoring von Schwachstellen-Datenbanken, Branchenwarnungen und Informationsaustausch mit anderen Organisationen. Für KMU in Sachsen empfiehlt sich die Nutzung der BSI-Warnmeldungen und branchenspezifischer ISACs.

Cloud-Sicherheit (A.5.23)

Erstmals gibt es einen dedizierten Control für Cloud-Sicherheit. Unternehmen müssen Prozesse für die Beschaffung, Nutzung, Verwaltung und Beendigung von Cloud-Diensten definieren. Dies schließt Verantwortlichkeiten, Datenlokation, Backup-Strategien und Exit-Pläne ein.

ICT-Readiness für Business Continuity (A.5.30)

Dieser Control verknüpft Informationssicherheit mit Business Continuity Management. IT-Systeme müssen so konzipiert und betrieben werden, dass sie auch im Krisenfall verfügbar bleiben. Dies ergänzt den bestehenden BCM-Ansatz um eine explizite IT-Perspektive.

Weitere neue Controls

Die übrigen neuen Controls umfassen: physische Sicherheitsüberwachung (A.7.4), Konfigurationsmanagement (A.8.9), Informationslöschung (A.8.10), Datenmaskierung (A.8.11), Data Leakage Prevention (A.8.12), Monitoring-Aktivitäten (A.8.16), Web-Filterung (A.8.23) und Secure Coding (A.8.28). Jeder dieser Controls adressiert spezifische Risiken der modernen IT-Landschaft.

Häufige Fragen zur ISO 27001:2022

Bis wann muss ich auf ISO 27001:2022 umstellen?

Die Übergangsfrist für bestehende Zertifizierungen nach ISO 27001:2013 endete am 31. Oktober 2025. Seit dem 1. November 2025 werden ausschließlich Zertifizierungen nach ISO 27001:2022 ausgestellt. Unternehmen mit noch gültigen 2013er-Zertifikaten sollten die Migration dringend anstoßen, da das Zertifikat sonst bei der nächsten Rezertifizierung nicht erneuert werden kann.

Wie aufwendig ist die Migration von 2013 auf 2022?

Der Aufwand hängt vom Reifegrad Ihres bestehenden ISMS ab. Typischerweise benötigen Unternehmen 3–6 Monate für die vollständige Migration. Die Hauptarbeit liegt in der Neustrukturierung der Dokumentation (von 14 auf 4 Kategorien), der Implementierung der 11 neuen Controls und der Anpassung des Statement of Applicability (SoA). DATUREX GmbH begleitet Sie durch den gesamten Migrationsprozess.

Was kostet die ISO 27001:2022 Zertifizierung?

Die Kosten variieren je nach Unternehmensgröße. Kleine Unternehmen (bis 50 MA) sollten mit 15.000–40.000 Euro rechnen, mittelständische Unternehmen mit 40.000–120.000 Euro. Detaillierte Informationen finden Sie in unserem Artikel ISO 27001 Kosten. Als externer Informationssicherheitsbeauftragter bietet DATUREX GmbH kosteneffiziente ISMS-Beratung speziell für den sächsischen Mittelstand.