Zum Inhalt springen
📞 Praxisbezogene & bezahlbare ISO 27001 / TISAX Beratung: Jetzt kostenloses Erstgespräch sichern → Termin vereinbaren
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Revision ISO 27001

Revision ISO 27001

Revision ISO 27001 – Update auf die Version 2022

Mit der Revision der ISO 27001 – auch bekannt als ISO 27001 Aktualisierung oder ISO/IEC 27001:2022 – wurde der internationale Standard für Informationssicherheit an die neuesten technologischen Entwicklungen angepasst. Die überarbeitete Version trägt den wachsenden Anforderungen an Cyberresilienz, Cloud-Sicherheit und Risikomanagement Rechnung. Sie stellt sicher, dass Unternehmen mit ihrem Informationssicherheits-Managementsystem (ISMS) besser auf moderne Bedrohungsszenarien reagieren können.

🔄 Fortlaufende Aktualisierung des Standards

Cyber-Bedrohungen entwickeln sich rasant. Neue Angriffsmethoden, Cloud-Technologien und hybride Arbeitsumgebungen haben die Sicherheitslandschaft in den letzten Jahren drastisch verändert. Das ISO 27001 Update war daher notwendig, um sicherzustellen, dass der Standard weiterhin praxisrelevant bleibt und aktuelle Sicherheitsherausforderungen widerspiegelt. Besonders Unternehmen mit dynamischen IT-Strukturen profitieren von der klareren Definition moderner Controls und einer verbesserten Dokumentationslogik.

⚙️ Angleichung an ISO/IEC 27002:2022

Zeitgleich zur neuen ISO 27001 wurde auch der begleitende Leitfaden ISO/IEC 27002:2022 vollständig überarbeitet. Die beiden Normen wurden inhaltlich aufeinander abgestimmt, damit Organisationen die Controls einheitlich umsetzen und nachvollziehen können. Das bedeutet für ISMS-Verantwortliche: Die bestehenden Sicherheitsmaßnahmen müssen überprüft, an die neue Struktur angepasst und ggf. um neue Kontrollen ergänzt werden. So bleiben die Maßnahmen konsistent mit dem modernisierten Framework.

📘 Mehr Übersicht und Anwenderfreundlichkeit

Die neue Version der ISO 27001 vereinfacht die Anwendung erheblich. Durch das Zusammenlegen redundanter Controls und die Einführung neuer, zeitgemäßer Maßnahmen – etwa für Cloud-Security, Threat Intelligence und Datenlöschung – wird die Umsetzung übersichtlicher und praxisnäher. Damit können Organisationen Risiken gezielter priorisieren und ihr ISMS schlanker und effizienter gestalten. Für kleine und mittlere Unternehmen (KMU) ist dies ein klarer Vorteil, da der Einstieg in die Zertifizierung nun weniger komplex ist.

Update ISO 27001 Anforderungen - 2700k Familie
ISO 27001 Anforderungen – 2700k Familie

Wesentliche Änderungen der ISO 27001:2022

Die Revision der ISO 27001 bringt tiefgreifende strukturelle Anpassungen und modernisierte Sicherheitsanforderungen mit sich. Besonders der Anhang A (Annex A) wurde komplett überarbeitet – mit neuen Themenbereichen, weniger Controls und höherer Flexibilität für Anwender. Ziel ist eine klarere, praxisnähere und risikoorientiertere Umsetzung der Informationssicherheit.

📘 Annex A – Neue Struktur und weniger Controls

  • Neue Gliederung: Statt 14 Themenkategorien gibt es nun 4 übergeordnete Bereiche – Organisatorische, Personenbezogene, Physische und Technologische Controls. Dadurch werden ähnliche Themen logischer gruppiert und die Navigation im Standard vereinfacht.
  • Reduzierung von 114 auf 93 Controls: Mehrere Maßnahmen wurden zusammengeführt oder gestrichen, da sie sich thematisch überschnitten oder veraltet waren.
  • Ziel: Mehr Übersicht, weniger Redundanz und eine klarere Zuordnung für ISMS-Verantwortliche.

🆕 Neue Controls – Anpassung an aktuelle Sicherheitsanforderungen

Insgesamt wurden 11 neue Controls eingeführt, um moderne Technologien und aktuelle Cyberrisiken abzubilden. Dazu zählen insbesondere Themen rund um Cloud-Sicherheit, Datenkontrolle und Bedrohungsanalyse.

  • Threat Intelligence – Erhebung und Nutzung von Bedrohungsinformationen
  • ICT Readiness for Business Continuity – IT-Vorbereitung für Notfälle
  • Physical Security Monitoring – Überwachung physischer Bereiche
  • Configuration Management – Sichere Systemkonfigurationen
  • Data Masking – Anonymisierung sensibler Daten
  • Data Leakage Prevention – Schutz vor ungewolltem Datenabfluss
  • Information Security for Use of Cloud Services – Cloud-spezifische Sicherheitsmaßnahmen

Durch die thematische Bündelung verwandter Controls entfällt unnötige Doppelarbeit, und Unternehmen erhalten eine präzisere Orientierung bei der Umsetzung.

⚙️ Neue Attribute und mehr Flexibilität

Mit der neuen Version führt die ISO 27001 Attributierungen für jedes Control ein – wie „organisational“, „people“, „physical“ oder „technological“. Diese Klassifizierung ermöglicht es, Maßnahmen einfacher nach ihrer Funktion und Verantwortung zuzuordnen.

  • Bessere Transparenz: Unternehmen sehen auf einen Blick, welche Teams oder Bereiche betroffen sind.
  • Mehr Klarheit im Risikomanagement: Maßnahmen können gezielter auf identifizierte Risiken abgestimmt werden.
  • Flexibler Einsatz: Controls lassen sich leichter in hybride, Cloud- oder Multi-Standort-Umgebungen integrieren.

Diese Anpassungen stärken die Praxisorientierung der Norm erheblich und erleichtern die Umsetzung eines modernen, risikobasierten ISMS.

Reduzierung der Maßnahmen (Controls) Anhang A

Die im Anhang A der ISO/IEC 27001:2022 aufgeführten 93 Kontrollen (Maßnahmen) sind nicht verpflichtend vollständig umzusetzen. Jede Organisation kann frei entscheiden, welche Controls für ihre spezifischen Informationsrisiken relevant und notwendig sind. Dieses Vorgehen fördert den risikobasierten Ansatz, der das Herzstück der aktuellen ISO 27001 Revision bildet.

Bei der Einführung der Norm prüft die Organisation, welche Risiken bestehen und wie diese am effektivsten behandelt werden können. Es besteht die Möglichkeit, Risiken durch geeignete Kontrollen zu reduzieren oder sie – je nach Risikostrategie – zu vermeiden, zu teilen oder bewusst zu akzeptieren. Die ISO 27001 schreibt keine bestimmte Maßnahme vor, sondern fordert eine nachvollziehbare Entscheidungsgrundlage, wie mit Risiken umgegangen wird.

Neu gefordert wird in Abschnitt 4.4 der ISO/IEC 27001:2022, dass die Organisation die erforderlichen Prozesse und ihre Wechselwirkungen bestimmt, die für die Aufrechterhaltung und Wirksamkeit des ISMS notwendig sind. Das bedeutet: Nicht die bloße Anzahl der umgesetzten Controls ist entscheidend, sondern deren Wirksamkeit und Integration in die Geschäftsprozesse.

Anhang (Annex) A Kontrollen

Die größten Veränderungen brachte die ISO/IEC 27001:2022 mit der Überarbeitung des Anhangs A. Dieser Abschnitt enthält die Liste aller Kontrollen (Maßnahmen), die Unternehmen zur Reduzierung von Informationssicherheitsrisiken einsetzen können. Die Zahl der Controls wurde von 114 auf 93 reduziert – dafür wurden die Inhalte neu strukturiert und teilweise zusammengeführt.

📘 Neue Struktur der Controls

Die 93 Kontrollen im neuen Anhang A sind nun in vier Themenbereiche gegliedert, um eine klarere und logischere Zuordnung zu schaffen:

  • A.5 Organisatorische Maßnahmen: 37 Kontrollen
  • A.6 Personenbezogene Maßnahmen: 8 Kontrollen
  • A.7 Physische Maßnahmen: 14 Kontrollen
  • A.8 Technische Maßnahmen: 34 Kontrollen

🆕 11 neu eingeführte Maßnahmen (Controls)

Die folgenden 11 neuen Controls wurden eingeführt, um moderne Themen wie Cloud-Sicherheit, Datenlecks oder Threat Intelligence abzudecken:

  • A.5.7: Bedrohungsintelligenz (Threat Intelligence)
  • A.5.23: Informationssicherheit für die Nutzung von Cloud-Diensten
  • A.5.30: IKT-Bereitschaft für Business Continuity
  • A.7.4: Physische Sicherheitsüberwachung
  • A.8.9: Konfigurationsmanagement
  • A.8.10: Löschung von Informationen
  • A.8.11: Datenmaskierung
  • A.8.12: Verhinderung von Datenlecks (Data Leakage Prevention)
  • A.8.16: Überwachung von Aktivitäten
  • A.8.23: Webfilterung
  • A.8.28: Sicheres Coding

🔍 Bedeutung der Änderungen

Durch die neue Struktur wird die Anwendung der ISO 27001 praxisnäher und übersichtlicher. Redundanzen zwischen ähnlichen Maßnahmen wurden beseitigt, und neue Themen wie Cloud, Automatisierung oder Security Monitoring wurden integriert. Dies erleichtert Unternehmen die Implementierung und reduziert gleichzeitig den Dokumentationsaufwand, ohne die Sicherheit zu beeinträchtigen.

Managementsystem-Teil: Was bleibt gleich?

Trotz der umfassenden Überarbeitung der ISO/IEC 27001:2022 bleiben zentrale Elemente des Managementsystems erhalten. Unternehmen, die bereits ein etabliertes ISMS nach der Vorgängerversion betreiben, können viele bestehende Strukturen beibehalten und müssen nur gezielte Anpassungen vornehmen.

🏗️ High-Level Structure (HLS)

Der Managementsystem-Aufbau gemäß der High-Level Structure (HLS) bleibt im Kern identisch. Die Kapitel 4 bis 10 – von „Kontext der Organisation“ bis „Verbesserung“ – behalten ihren strukturellen Aufbau. Unternehmen, die bereits nach ISO 27001:2013 zertifiziert sind, müssen ihr Informationssicherheits-Managementsystem (ISMS) also nicht neu aufsetzen, sondern lediglich punktuell anpassen, etwa im Hinblick auf die neuen Controls in Annex A.

🔁 Plan-Do-Check-Act (PDCA) & Risikobasierter Ansatz

Die bewährten Grundprinzipien der ISO 27001 bleiben bestehen. Der PDCA-Zyklus (Planen – Umsetzen – Überprüfen – Handeln) sorgt weiterhin dafür, dass Informationssicherheit als fortlaufender Verbesserungsprozess verstanden wird. Ebenso zentral ist der risikobasierte Ansatz, der Risiken systematisch identifiziert, bewertet und behandelt, um eine nachhaltige Informationssicherheit zu gewährleisten. Auch die Einbindung des Top-Managements bleibt ein zentrales Element.

📄 Anforderungen an Dokumentation und Umsetzung

Auch in der neuen Version gilt: Unternehmen müssen den Geltungsbereich des ISMS eindeutig definieren, ein wirksames Risikomanagement betreiben und angemessene Richtlinien, Verfahren und Nachweise etablieren. Die Dokumentation bleibt also Pflicht – sie dient als Beweis für die systematische Umsetzung der Informationssicherheit und ist weiterhin ein zentrales Element bei internen und externen Audits.

Empfehlungen für die Transition auf ISO/IEC 27001:2022

Der Übergang von der ISO 27001:2013 zur aktualisierten ISO 27001:2022 erfordert ein strukturiertes Vorgehen. Die folgenden Schritte helfen, Ihr Informationssicherheits-Managementsystem (ISMS) effizient an die neuen Anforderungen anzupassen.

1️⃣ Gap-Analyse durchführen

Vergleichen Sie Ihr bestehendes ISMS – insbesondere die aktuellen Annex-A-Kontrollen – mit den neuen Anforderungen der ISO/IEC 27001:2022. Eine strukturierte Gap-Analyse zeigt Ihnen auf einen Blick, wo Lücken bestehen und welche Anpassungen erforderlich sind. Nutzen Sie hierzu die neue Control-Struktur als Leitfaden, um Prioritäten gezielt festzulegen.

2️⃣ Prioritäten setzen

Prüfen Sie, welche neuen Controls besonders kritisch für Ihre Organisation sind. Themen wie Cloud Security, Threat Intelligence oder Data Leakage Prevention gewinnen zunehmend an Bedeutung – insbesondere für Unternehmen mit hybriden IT-Infrastrukturen. Beginnen Sie mit diesen Schlüsselbereichen, um ein stabiles Fundament für die Transition zu schaffen.

3️⃣ Stakeholder frühzeitig einbinden

Informieren Sie Geschäftsführung, IT-Abteilung, HR und alle relevanten Fachbereiche frühzeitig über die Änderungen. Durch frühzeitige Kommunikation schaffen Sie Akzeptanz und sichern die erforderlichen Ressourcen. Gemeinsame Workshops helfen, Verantwortlichkeiten und konkrete Umsetzungspläne festzulegen.

4️⃣ Dokumentation sukzessive angleichen

Aktualisieren Sie Ihre bestehende ISMS-Dokumentation, Richtlinien und das Statement of Applicability (SoA) schrittweise an die neuen Anforderungen. Nutzen Sie die Gelegenheit, überholte Dokumente zu konsolidieren und Redundanzen zu beseitigen – das spart Aufwand und verbessert die Übersichtlichkeit bei künftigen Audits.

5️⃣ Mitarbeiterschulungen durchführen

Neue Controls und Prozesse entfalten ihre Wirkung nur, wenn sie im Alltag verstanden und angewendet werden. Planen Sie daher gezielte Awareness-Trainings und Workshops für alle beteiligten Mitarbeitenden. So schaffen Sie ein gemeinsames Verständnis für die Neuerungen und fördern die aktive Mitarbeit im ISMS-Prozess.

Übergangsfristen zur ISO 27001:2022

Unternehmen, die bereits nach ISO 27001:2013 zertifiziert sind, müssen ihre Umstellung auf die neue ISO 27001:2022 innerhalb von drei Jahren abschließen – also bis spätestens April 2024. Danach verlieren bestehende Zertifikate nach der alten Norm ihre Gültigkeit.

⏱️ Zertifizierungszeitraum und Fristen

  • ISO 27001:2022 veröffentlicht: Oktober 2022
  • Zertifizierungen nach ISO 27001:2013 sind nur noch bis April 2024 möglich (18 Monate nach Veröffentlichung der neuen Norm).
  • Ab Januar 2023 sind Zertifizierungen nach der neuen ISO 27001:2022 offiziell zulässig.
  • Übergangsfrist: Alle bestehenden Zertifikate müssen bis spätestens April 2024 auf die neue Version umgestellt werden.

📋 Bedeutung für Unternehmen

Für bereits zertifizierte Unternehmen bedeutet dies, dass sie ihre internen Prozesse, Dokumentationen und das Statement of Applicability (SoA) rechtzeitig an die neuen Anforderungen anpassen müssen. Neue Kunden werden bereits ausschließlich nach ISO 27001:2022 zertifiziert. Ein frühzeitiger Start der Transition hilft, Engpässe bei Auditoren und Zertifizierungsstellen zu vermeiden.

💡 Empfehlung

Planen Sie die Umstellung spätestens 2024, um ausreichend Zeit für die Umsetzung neuer Controls, Schulungen und Dokumentationsanpassungen zu haben. Viele Organisationen kombinieren die Transition mit einem internen Audit oder Re-Zertifizierungsaudit, um Aufwand und Kosten zu reduzieren.

Fazit – ISO 27001 Revision 2022 (Stand 2025)

Die ISO 27001:2022 ist inzwischen vollständig etabliert – die Übergangsfristen für Zertifikate nach der alten Version ISO 27001:2013 sind im April 2024 ausgelaufen. Unternehmen, die ihre Umstellung bis dahin nicht abgeschlossen haben, müssen ihr ISMS vollständig auf die neue Version umstellen, um weiterhin zertifiziert zu bleiben.

Die Revision brachte zahlreiche Verbesserungen: eine modernisierte Struktur mit 93 Kontrollen, neue Themen wie Threat Intelligence, Cloud Security und Data Leakage Prevention sowie eine klarere Fokussierung auf Risikomanagement und Business Continuity. Diese Anpassungen machen die Norm robuster gegenüber den heutigen Cyberbedrohungen.

Für Organisationen bedeutet das: Wer sein Informationssicherheits-Managementsystem jetzt noch nicht aktualisiert hat, sollte zeitnah handeln. Eine strukturierte GAP-Analyse, die Überarbeitung der Anwendbarkeitserklärung (SoA) und gezielte Schulungen sind entscheidende Schritte, um Compliance und Auditfähigkeit sicherzustellen.

SMCT MANAGEMENT unterstützt Sie bei der Transition zur ISO 27001:2022 mit praxisnaher Beratung, klarer Projektstruktur und begleitender Auditvorbereitung. So bleibt Ihr ISMS nicht nur konform, sondern auch strategisch und technisch auf dem neuesten Stand.

📩 Jetzt Beratung zur ISO 27001:2022 Umstellung anfragen

Was passiert, wenn Unternehmen die ISO 27001:2022-Umstellung 2024 verpasst haben?

Unternehmen, die bis April 2024 keine Umstellung auf die ISO 27001:2022 abgeschlossen haben, verlieren den Zertifizierungsstatus ihrer alten ISO 27001:2013-Zertifikate. Diese Zertifikate gelten nach Ablauf der Übergangsfrist nicht mehr als gültiger Nachweis für ein konformes Informationssicherheits-Managementsystem (ISMS).

Für viele Organisationen bedeutet das ein konkretes Risiko: Verlust von Kundenanforderungen (insbesondere bei Automotive, IT oder öffentlichen Ausschreibungen), Verzögerungen bei Lieferantenzulassungen sowie potenzielle Vertragsstrafen bei Nichterfüllung vereinbarter Sicherheitsstandards.

Zudem kann eine überfällige Rezertifizierung teurer werden, da Auditoren ein komplettes Neuaudit durchführen müssen. Der Aufwand für GAP-Analyse, Anpassung der Anwendbarkeitserklärung und Schulungen fällt dann gebündelt an – anstatt schrittweise während der Übergangszeit. Frühzeitiges Handeln ist daher deutlich kosteneffizienter und risikoärmer.

Unternehmen, die jetzt handeln, sichern sich nicht nur ihre Zertifizierung, sondern gewinnen einen klaren Wettbewerbsvorteil: Sie können ihren Kunden und Partnern den Nachweis eines modernen, zukunftsfähigen ISMS liefern – basierend auf der neuesten Norm.

Wie wir Sie bei der ISO 27001:2022-Umstellung unterstützen

Unsere erfahrenen ISMS-Expertinnen und -Experten begleiten Sie Schritt für Schritt durch die Revision der ISO 27001. Von der ersten Analyse bis zur erfolgreichen Zertifizierung sorgen wir dafür, dass Ihr Informationssicherheits-Managementsystem (ISMS) effizient an die neue Norm angepasst wird.

🔍 IST-Analyse & GAP-Bewertung

Wir prüfen Ihr bestehendes ISMS auf Übereinstimmung mit der neuen ISO 27001:2022 und ermitteln, welche Maßnahmen zur Anpassung erforderlich sind. Dabei decken wir Lücken auf, priorisieren Risiken und schaffen eine solide Grundlage für Ihr Update.

🧭 Maßnahmenplan & Umsetzung

Basierend auf der GAP-Analyse entwickeln wir einen detaillierten Projektplan. So werden die neuen Controls, Richtlinien und Prozesse effizient eingeführt – mit Fokus auf Ihre Ressourcen und unternehmensspezifischen Anforderungen.

🎓 Interne Audits & Schulungen

Gemeinsam mit Ihnen führen wir interne Audits durch, um die Wirksamkeit der neuen Controls zu prüfen. Zusätzlich schulen wir Ihr Team praxisnah, damit alle Beteiligten die neuen Anforderungen verstehen und umsetzen können.

🏁 Zertifizierungsvorbereitung & Begleitung

Wir begleiten Sie während der gesamten Zertifizierungsvorbereitung – von der Dokumentation bis zur Kommunikation mit Auditoren. Ziel ist, dass Sie die ISO 27001:2022-Zertifizierung ohne Verzögerungen oder Abweichungen erfolgreich abschließen.

Ihr Mehrwert auf einen Blick

  • 🚀 Zukunftssicherheit: Mit einer erfolgreichen ISO 27001 Revision bleibt Ihr ISMS auf dem neuesten Stand der Informationssicherheit.
  • ⚙️ Prozessoptimierung: Die überarbeitete Normstruktur fördert ein effizienteres, integriertes Managementsystem.
  • 🔒 Vertrauen & Compliance: Zeigen Sie Kunden, Partnern und Behörden, dass Ihr Unternehmen höchste Standards im Datenschutz und in der Informationssicherheit erfüllt.
📩 Jetzt kostenloses Erstgespräch vereinbaren

Fazit – ISO 27001 Revision 2022

Die ISO 27001 Revision 2022 ist für Unternehmen, die sensible Daten und Informationen verarbeiten, ein entscheidender Schritt in Richtung Zukunftssicherheit. Die überarbeiteten 93 Kontrollen im Anhang A sowie der stärker risikobasierte Ansatz sorgen dafür, dass Ihr Informationssicherheits-Managementsystem den modernen Anforderungen an Cyber-Resilienz entspricht.

Durch die vereinfachte Struktur der Norm und die bessere Verknüpfung zu ISO/IEC 27002:2022 gelingt die Integration der neuen Inhalte reibungslos – insbesondere, wenn Sie auf eine systematische Vorgehensweise setzen. Mit einem klaren Projektplan, internen Schulungen und kompetenter Unterstützung lässt sich die Umstellung effizient und sicher umsetzen.

Wenn Sie Fragen zur praktischen Umsetzung haben oder Unterstützung beim Update Ihres ISMS benötigen, sprechen Sie uns gerne an – wir begleiten Sie Schritt für Schritt durch die ISO 27001:2022 Transition und machen Ihr System fit für die Zukunft.

📩 Jetzt Beratung zur ISO 27001 Revision anfragen

Fazit – ISO 27001 Revision 2022 (Stand 2025)

Die ISO 27001:2022 ist inzwischen vollständig etabliert – die Übergangsfristen für Zertifikate nach der alten Version ISO 27001:2013 sind im April 2024 ausgelaufen. Unternehmen, die ihre Umstellung bis dahin nicht abgeschlossen haben, müssen ihr ISMS vollständig auf die neue Version umstellen, um weiterhin zertifiziert zu bleiben.

Die Revision brachte zahlreiche Verbesserungen: eine modernisierte Struktur mit 93 Kontrollen, neue Themen wie Threat Intelligence, Cloud Security und Data Leakage Prevention sowie eine klarere Fokussierung auf Risikomanagement und Business Continuity. Diese Anpassungen machen die Norm robuster gegenüber den heutigen Cyberbedrohungen.

Für Organisationen bedeutet das: Wer sein Informationssicherheits-Managementsystem jetzt noch nicht aktualisiert hat, sollte zeitnah handeln. Eine strukturierte GAP-Analyse, die Überarbeitung der Anwendbarkeitserklärung (SoA) und gezielte Schulungen sind entscheidende Schritte, um Compliance und Auditfähigkeit sicherzustellen.

SMCT MANAGEMENT unterstützt Sie bei der Transition zur ISO 27001:2022 mit praxisnaher Beratung, klarer Projektstruktur und begleitender Auditvorbereitung. So bleibt Ihr ISMS nicht nur konform, sondern auch strategisch und technisch auf dem neuesten Stand.

📩 Jetzt Beratung zur ISO 27001:2022 Umstellung anfragen
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel