Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Revision ISO 27001

Revision ISO 27001

Update ISO 27001 Anforderungen - 2700k Familie

Revision ISO 27001 – Update auf die Version 2022

Warum die Aktualisierung der ISO 27001 notwendig war

Anpassung an moderne Bedrohungen Mit der Revision zur ISO IEC 27001 2022 wurde der internationale Standard für Informationssicherheit an aktuelle technologische Entwicklungen und Bedrohungsszenarien angepasst. Neue Angriffsmethoden, Cloud Dienste, mobile Arbeit und verteilte Infrastrukturen haben die Anforderungen an Informationssicherheit deutlich verändert. Die überarbeitete Norm sorgt dafür, dass Informationssicherheits Managementsysteme heutige Risiken angemessen adressieren und Organisationen besser auf Cyberangriffe reagieren können.

Angleichung an den Leitfaden ISO IEC 27002 2022

Abgestimmtes Maßnahmenframework Parallel zur Revision der ISO 27001 wurde der begleitende Leitfaden ISO IEC 27002 2022 vollständig überarbeitet. Die beiden Standards wurden inhaltlich aufeinander abgestimmt, damit Kontrollen einheitlich beschrieben und umgesetzt werden können. Für Verantwortliche im ISMS bedeutet dies, dass bestehende Maßnahmen mit der neuen Struktur abgeglichen und bei Bedarf um neue Kontrollen ergänzt werden müssen. So bleibt das Sicherheitsniveau konsistent mit dem modernisierten Framework.

Mehr Übersicht und Anwenderfreundlichkeit in der Version 2022

Schlankere Struktur und zeitgemäße Maßnahmen Die neue Version vereinfacht die Anwendung der Norm spürbar. Durch das Zusammenführen redundanter Maßnahmen und die Aufnahme moderner Themen wie Cloud Sicherheit, Bedrohungsinformationen und sichere Datenlöschung erhalten Organisationen ein übersichtlicheres Maßnahmenpaket. Risiken lassen sich gezielter priorisieren und das Informationssicherheits Managementsystem schlanker und effizienter gestalten. Besonders kleine und mittlere Unternehmen profitieren von der klareren Struktur und einem erleichterten Einstieg in die ISO 27001 Zertifizierung.

Update ISO 27001 Anforderungen - 2700k Familie
ISO 27001 Anforderungen – 2700k Familie

Wesentliche Änderungen der ISO 27001 2022

Revision ISO 27001 – Update auf die Version 2022

Modernisierung des Informationssicherheits Standards Die Revision der ISO 27001 bringt tiefgreifende strukturelle Anpassungen und modernisierte Sicherheitsanforderungen mit sich. Der Standard wurde an aktuelle Technologien, hybride Arbeitsmodelle und komplexere Bedrohungsszenarien angepasst. Ziel ist eine klarere, praxisnähere und stärker risikoorientierte Umsetzung der Informationssicherheit im Rahmen des Informationssicherheits Managementsystems.

Annex A – neue Struktur und reduzierte Maßnahmenanzahl

Neue Gliederung in vier Themenbereiche Statt bisher vierzehn Themenbereichen gliedern sich die Kontrollen nun in vier Gruppen. Diese decken organisatorische, personenbezogene, physische und technologische Maßnahmen ab. Ähnliche Themen werden enger zusammengefasst und die Navigation im Standard wird für Verantwortliche im ISMS deutlich übersichtlicher.

Reduzierung von 114 auf 93 Kontrollen Mehrere Maßnahmen wurden zusammengeführt oder gestrichen, wenn sie veraltet oder inhaltlich redundant waren. Damit wird der Maßnahmenkatalog kompakter, ohne an Tiefe zu verlieren. Im Vordergrund steht eine klare Zuordnung relevanter Kontrollen auf Basis der Risikoanalyse, statt ein starres Anwenden aller Vorgaben.

Neue Kontrollen in der ISO IEC 27001 2022

Erweiterung um elf neue Maßnahmen Um moderne Technologien und aktuelle Cyberrisiken abzubilden, wurden insgesamt elf neue Kontrollen eingeführt. Dazu gehören unter anderem Themen wie Bedrohungsinformationen, Cloud Sicherheit, Konfigurations management, physische Sicherheitsüberwachung und Schutz vor Datenlecks. Diese Kontrollen unterstützen Organisationen dabei, Risiken aus Cloud, Automatisierung und vernetzten Systemen gezielt zu adressieren.

Beispiele für neue Kontrollen Neu aufgenommen wurden unter anderem Maßnahmen zu Bedrohungsintelligenz, zur Informationssicherheit bei Nutzung von Cloud Diensten, zur Vorbereitung von IT auf Notfälle, zur Datenlöschung, zur Datenmaskierung und zu Aktivitätenüberwachung. Zusammen erhöhen sie die Praxistauglichkeit der Norm für moderne IT Umgebungen.

Attribute, Flexibilität und risikobasierte Umsetzung

Attributierung jeder Kontrolle Mit der neuen Version werden Kontrollen mit Attributen beschrieben, etwa organisatorisch, personell, physisch oder technologisch. Diese Klassifizierung erleichtert es, Maßnahmen nach Funktion, Zuständigkeit und Einsatzgebiet zuzuordnen. So können Verantwortliche schneller erkennen, welche Bereiche im Unternehmen betroffen sind.

Reduzierung bedeutet nicht Pflicht zur Vollumsetzung Die 93 Kontrollen des Anhangs sind nicht verpflichtend alle umzusetzen. Jede Organisation wählt die relevanten Maßnahmen auf Basis ihrer Risikoanalyse aus. Risiken können reduziert, vermieden, geteilt oder bewusst akzeptiert werden. Entscheidend ist eine nachvollziehbare Begründung für die Auswahl und Behandlung der Risiken, dokumentiert in Risikoanalyse und Anwendbarkeitserklärung.

Neue Struktur des Anhangs A und elf neue Kontrollen im Überblick

Vier Themenbereiche und ihre Kontrollen Die 93 Kontrollen sind nun in vier Abschnitte gegliedert: organisatorische Maßnahmen, personenbezogene Maßnahmen, physische Maßnahmen und technische Maßnahmen. Sie umfassen zum Beispiel 37 organisatorische, 8 personenbezogene, 14 physische und 34 technische Kontrollen. Diese Struktur unterstützt eine logischere und praxisnahe Umsetzung.

Beispiele für neue Kontrollen Zu den Neuerungen zählen unter anderem Maßnahmen zu Bedrohungs intelligenz, Informationssicherheit bei Cloud Diensten, IKT Bereitschaft für Business Continuity, physische Sicherheitsüberwachung, sicheres Konfigurationsmanagement, Datenlöschung, Datenmaskierung, Verhinderung von Datenabflüssen, Überwachung von Aktivitäten, Webfilterung und sicheres Programmieren.

Was sich im Managementsystem Teil nicht geändert hat

High Level Structure bleibt erhalten Der Aufbau des Managementsystems folgt weiterhin der High Level Structure. Die Kapitel zu Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Bewertung und Verbesserung bleiben im Kern gleich. Unternehmen mit bestehendem ISMS müssen das System daher nicht neu aufsetzen, sondern vor allem Annex A und die dazugehörigen Dokumente aktualisieren.

Plan Do Check Act und risikobasierter Ansatz Der PDCA Zyklus bleibt zentraler Bestandteil der Norm. Informationssicherheit ist weiterhin als kontinuierlicher Verbesserungsprozess angelegt. Der risikobasierte Ansatz bleibt Grundlage für die Auswahl von Maßnahmen und die Bewertung ihrer Wirksamkeit. Ebenso bleibt die Einbindung des Top Managements ein zentraler Erfolgsfaktor.

Dokumentationsanforderungen Unternehmen müssen weiterhin den Geltungsbereich definieren, ein wirksames Risikomanagement etablieren und angemessene Richtlinien, Verfahren und Nachweise dokumentieren. Die Dokumentation bleibt ein zentrales Element für interne und externe Audits und belegt die systematische Umsetzung der Informationssicherheit.

Empfehlungen für die Transition auf die ISO IEC 27001 2022

Gap Analyse und Prioritäten Ein strukturierter Übergang von der Version 2013 zur Version 2022 beginnt mit einer Gap Analyse. Bestehende Kontrollen werden mit der neuen Struktur verglichen und Lücken identifiziert. Anschließend sollten neue oder geänderte Kontrollen priorisiert umgesetzt werden, insbesondere in Bereichen wie Cloud Sicherheit oder Bedrohungsinformationen.

Stakeholder Einbindung und Dokumentenanpassung Geschäftsführung, IT, Fachbereiche und Datenschutz sollten früh informiert und eingebunden werden. Die Dokumentation, insbesondere die Anwendbarkeitserklärung und die Risikoanalyse, wird schrittweise an die neue Struktur angepasst. Dabei bietet sich die Gelegenheit, überholte Dokumente zu konsolidieren und Redundanzen abzubauen.

Schulung und Awareness Mitarbeitende sollten gezielt zu neuen Kontrollen, Prozessen und Verantwortlichkeiten geschult werden. Nur wenn Änderungen verstanden werden, können sie im Alltag wirksam umgesetzt werden.

Übergangsfristen und Fazit zur ISO 27001 2022

Übergangszeitraum und Fristen Unternehmen, die bereits nach ISO 27001 2013 zertifiziert sind, müssen die Umstellung auf die neue Version innerhalb der vom Zertifizierer vorgegebenen Fristen abschließen. Bestehende Zertifikate werden nach Ablauf des Übergangszeitraums nur noch auf Basis der ISO 27001 2022 aufrechterhalten. Eine frühzeitige Planung verhindert Engpässe und Doppelaufwand.

Stärkerer Fokus auf moderne Informationssicherheit Die Revision stärkt Themen wie Threat Intelligence, Cloud Sicherheit und Überwachung von Aktivitäten und legt weiterhin großen Wert auf Risikobewertung und Business Continuity. Damit wird die Norm robuster gegenüber heutigen Cyberbedrohungen und bleibt ein zentrales Instrument, um Informationssicherheit nachweisbar und auditfähig zu steuern.

Unterstützung durch SMCT MANAGEMENT Wer sein ISMS noch nicht auf die ISO 27001 2022 aktualisiert hat, sollte zeitnah handeln. Eine strukturierte Gap Analyse, die Überarbeitung der Anwendbarkeitserklärung und gezielte Schulungen sind entscheidende Schritte. SMCT MANAGEMENT unterstützt bei Transition, Projektstruktur und Auditvorbereitung, damit das System nicht nur konform, sondern auch strategisch auf dem neuesten Stand bleibt.

Was passiert, wenn die ISO 27001 2022 Umstellung verpasst wurde

Folgen, Handlungsbedarf und Unterstützung bei der Nachzertifizierung

Auswirkungen auf bestehende Zertifikate
Unternehmen, die die Umstellung auf die ISO 27001 2022 nicht fristgerecht abgeschlossen haben, verlieren den Status ihrer alten ISO 27001 2013 Zertifikate. Diese gelten nach Ablauf der Übergangsfrist nicht mehr als gültiger Nachweis für ein konformes Informationssicherheits Managementsystem.

Verlust von Kundenanforderungen und Risiken im Geschäft
In vielen Branchen, insbesondere im Automotive Umfeld, bei IT Dienstleistern oder öffentlichen Ausschreibungen, wird ein aktuelles Zertifikat vorausgesetzt. Ein ausgelaufenes Zertifikat kann dazu führen, dass Lieferantenzulassungen verzögert werden, Aufträge wegfallen oder Vertragsklauseln zu Sicherheitsanforderungen nicht mehr erfüllt sind.

Erhöhter Aufwand bei verspäteter Rezertifizierung
Wird die Umstellung erst nach Ablauf der Frist angegangen, ist häufig ein vollständiges Neuaudit notwendig. GAP Analyse, Anpassung der Anwendbarkeitserklärung und Schulungen fallen dann gebündelt an, statt schrittweise in der Übergangszeit. Dies kann Zeit, Budget und Personal stärker belasten als eine frühzeitige Transition.

Chancen bei konsequentem Nachziehen
Unternehmen, die die Umstellung jetzt strukturiert nachholen, können ihren Kunden ein modernes, zukunftsfähiges ISMS präsentieren. Ein aktualisiertes System ist ein starkes Signal, dass Informationssicherheit ernst genommen und aktiv weiterentwickelt wird.

Systematische Unterstützung bei der ISO 27001 2022 Umstellung
Unsere ISMS Expertinnen und Experten begleiten Sie Schritt für Schritt durch die Revision. Vom ersten Überblick bis zur erfolgreichen Zertifizierung sorgen wir dafür, dass Ihr Informationssicherheits Managementsystem effizient an die neue Norm angepasst wird.

Analyse des Ist Zustands und GAP Bewertung
Zunächst prüfen wir Ihr bestehendes ISMS im Hinblick auf die Anforderungen der ISO 27001 2022. Wir identifizieren Lücken, bewerten Risiken und legen gemeinsam Prioritäten fest. So entsteht eine belastbare Grundlage für die Umstellung.

Maßnahmenplanung und Umsetzung
Auf Basis der Analyse erarbeiten wir einen detaillierten Plan, mit dem neue Kontrollen, Richtlinien und Prozesse integriert werden. Dabei achten wir darauf, vorhandene Strukturen zu nutzen und den Aufwand für Ihr Unternehmen realistisch zu halten.

Interne Audits und Schulung des Teams
Gemeinsam führen wir interne Audits durch, um die Wirksamkeit der umgesetzten Kontrollen zu prüfen. Ergänzend schulen wir Mitarbeitende zielgerichtet, damit sie die neuen Anforderungen verstehen und im Alltag anwenden können.

Vorbereitung und Begleitung im Zertifizierungsaudit
Wir unterstützen Sie bei der Dokumentation, organisieren die notwendigen Nachweise und begleiten den Austausch mit der Zertifizierungsstelle. Ziel ist ein reibungsloser Ablauf und eine erfolgreiche Zertifizierung ohne unnötige Verzögerungen.

Ihr Mehrwert auf einen Blick
Eine konsequente Umstellung auf die ISO 27001 2022 hält Ihr ISMS fachlich und technisch aktuell, unterstützt ein integriertes Managementsystem und stärkt Vertrauen und Compliance gegenüber Kunden, Partnern und Behörden. Gleichzeitig werden Prozesse geschärft, Risiken transparenter und Reaktionsfähigkeit auf neue Bedrohungen verbessert.

Jetzt unverbindliches Erstgespräch vereinbaren
Wenn Sie die Umstellung noch vor sich haben oder Unterstützung in einzelnen Phasen des Projekts benötigen, sprechen Sie uns an. Gemeinsam klären wir, wo Sie stehen, welcher Aufwand realistisch ist und wie Ihr Weg zur ISO 27001 2022 Zertifizierung aussehen kann.

Jetzt kostenloses Erstgespräch vereinbaren

Fazit – ISO 27001 Revision 2022

Die ISO 27001 Revision 2022 ist ein entscheidender Schritt in Richtung Zukunftssicherheit für Unternehmen, die sensible Daten verarbeiten. Der stärker risikobasierte Ansatz und die verschlankten, modernisierten 93 Kontrollen im aktualisierten Anhang A sorgen für mehr Klarheit, Effizienz und Widerstandsfähigkeit gegenüber heutigen Cyberbedrohungen.

Durch die verbesserte Struktur und die enge Abstimmung mit der ISO/IEC 27002:2022 lässt sich die Integration der neuen Inhalte deutlich leichter umsetzen. Unternehmen profitieren von einer praxisnäheren Ausrichtung und einem konsistenteren Vorgehen beim Aufbau und Betrieb ihres Informationssicherheits Managementsystems.

Die ISO 27001:2022 ist inzwischen vollständig etabliert. Da die Übergangsfristen für Zertifikate nach ISO 27001:2013 im April 2024 ausgelaufen sind, bleibt Organisationen nur die vollständige Umstellung auf die neue Normversion.

Die Revision brachte zahlreiche Erweiterungen mit sich – darunter Themen wie Threat Intelligence, Cloud Security, Data Leakage Prevention und eine klarere Ausrichtung auf Business Continuity. Diese Ergänzungen stärken die Cyber Resilienz und unterstützen Unternehmen dabei, Informationssicherheit ganzheitlich und zukunftsorientiert umzusetzen.

Organisationen, die ihre Umstellung noch nicht abgeschlossen haben, sollten zeitnah handeln. Eine strukturierte GAP Analyse, die Überarbeitung der Anwendbarkeitserklärung (SoA) und gezielte Schulungen sind zentrale Schritte, um Compliance, Auditfähigkeit und Sicherheit langfristig sicherzustellen.

Eine frühzeitige Planung verhindert unnötige Zusatzkosten durch verspätete Rezertifizierungen und stärkt gleichzeitig die Position gegenüber Kunden, Partnern und Behörden.

SMCT MANAGEMENT unterstützt Unternehmen bei der Transition zur ISO 27001:2022 mit praxisnaher Beratung, klarer Projektstruktur und begleitender Auditvorbereitung. So bleibt Ihr ISMS nicht nur konform, sondern auch strategisch und technisch auf dem neuesten Stand.

Jetzt Beratung zur ISO 27001:2022 Umstellung anfragen

FAQ zur Revision der ISO 27001 2022

1 Was bedeutet die Revision der ISO 27001 2022

Die Revision der ISO 27001 im Jahr 2022 ist eine Überarbeitung des internationalen Standards für Informationssicherheits Managementsysteme. Sie passt den Standard an moderne Technologien, aktuelle Bedrohungen und neue Arbeitsformen an und ersetzt die frühere Version aus dem Jahr 2013.

2 Was hat sich im Anhang A der ISO 27001 2022 geändert

Der Anhang A wurde umfassend überarbeitet. Die Kontrollen wurden von 114 auf 93 reduziert, neu strukturiert und in vier Themenbereiche gegliedert. Zusätzlich wurden elf neue Kontrollen eingeführt, etwa zu Cloud Sicherheit, Bedrohungsinformationen und Schutz vor Datenlecks.

3 Muss jedes Unternehmen alle 93 Kontrollen umsetzen

Nein. Die ISO 27001 arbeitet risikobasiert. Organisationen wählen die relevanten Kontrollen auf Basis ihrer Risiken. Nicht angewandte Kontrollen müssen jedoch in der Anwendbarkeitserklärung mit einer nachvollziehbaren Begründung aufgeführt werden.

4 Was bleibt im Managementsystem Teil der Norm unverändert

Der Aufbau entlang der High Level Structure bleibt erhalten. Kapitel zu Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung und Verbesserung bleiben im Kern gleich. Auch der PDCA Zyklus und der risikobasierte Ansatz bleiben zentrale Elemente des Standards.

5 Wie wirkt sich die Revision auf bestehende Zertifikate aus

Zertifikate nach ISO 27001 2013 mussten innerhalb der festgelegten Übergangsfristen auf die neue Version umgestellt werden. Nach Ablauf dieser Fristen gelten Zertifikate auf Basis der alten Norm nicht mehr als gültiger Nachweis für ein konformes Informationssicherheits Managementsystem.

6 Welche Schritte sind für die Umstellung auf die ISO 27001 2022 sinnvoll

Empfohlen werden eine Gap Analyse zwischen altem und neuem Anhang A, die Aktualisierung der Risikoanalyse, die Überarbeitung der Anwendbarkeitserklärung, Anpassungen in Richtlinien und Prozessen sowie gezielte Schulungen. Diese Schritte sollten in einem strukturierten Projektplan zusammengeführt werden.

7 Warum lohnt sich die Umstellung auf die neue Version

Die Revision macht die Norm moderner, klarer und besser anschlussfähig an aktuelle Technologien. Ein aktualisiertes ISMS erhöht die Widerstandsfähigkeit gegenüber heutigen Cyberbedrohungen, stärkt das Vertrauen von Kunden und Partnern und sichert die Zertifizierungsfähigkeit des Unternehmens für die nächsten Jahre.

Weiterführende Inhalte zu ISO 27001 und Informationssicherheit

Vertiefende Artikel, Angebote und Praxisbeiträge

Grundlagen der Informationssicherheit
Informationssicherheit – Grundlagen und Schutzziele

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel