ISO 27001:2022: Die Umstellung ist jetzt Pflicht
Die Übergangsfrist ist abgelaufen: Seit Oktober 2025 ist die alte ISO 27001:2013 offiziell ungültig. Unternehmen, die noch nicht auf die ISO 27001:2022 migriert sind, riskieren den Verlust ihrer Zertifizierung.
Die neue Version bringt wesentliche Änderungen in der Struktur und im Inhalt der Sicherheitsmaßnahmen (Controls). Diese Änderungen sind keine reine Formalität, sie reagieren auf die veränderte Bedrohungslandschaft und aktuelle technologische Entwicklungen.
93 statt 114 Controls: Was sich geändert hat
Die auffälligste Änderung: Die Anzahl der Controls im Annex A wurde von 114 auf 93 reduziert. Das bedeutet nicht weniger Sicherheit, sondern eine bessere Strukturierung:
- Neue Gruppierung: Statt 14 Kategorien gibt es jetzt vier übersichtliche Gruppen: Organisatorisch (37), Personell (8), Physisch (14) und Technologisch (34).
- 11 komplett neue Controls wurden aufgenommen, darunter zentrale Themen der modernen Informationssicherheit.
Die wichtigsten neuen Controls im Überblick:
| Control | Thema | Bedeutung |
|---|---|---|
| 5.7 | Threat Intelligence | Systematische Erfassung und Auswertung von Bedrohungsinformationen |
| 5.23 | Cloud Security | Sicherheitsanforderungen für die Nutzung von Cloud-Diensten |
| 5.30 | ICT Readiness | Sicherstellung der Business Continuity im IT-Bereich |
| 7.4 | Physical Security Monitoring | Überwachung physischer Sicherheitsbereiche |
| 8.9 | Configuration Management | Verwaltung von Systemkonfigurationen |
| 8.10 | Information Deletion | Sichere Löschung von Informationen |
| 8.11 | Data Masking | Maskierung sensibler Daten |
| 8.12 | Data Leakage Prevention | Schutz vor ungewolltem Datenabfluss |
| 8.16 | Monitoring Activities | Überwachung von Netzwerken und Systemen |
| 8.23 | Web Filtering | Filterung von Webinhalten |
| 8.28 | Secure Coding | Sichere Softwareentwicklung |
Der Fokus liegt klar auf modernen Cyber-Bedrohungen: Cloud-Nutzung, Datenabfluss, Bedrohungsanalyse und sichere Softwareentwicklung sind jetzt fester Bestandteil der Norm.
NIS2-Richtlinie: ISO 27001 als De-facto-Pflicht
Die NIS2-Richtlinie der EU verschärft die Anforderungen an die Cybersicherheit erheblich. Sie betrifft Unternehmen in 18 Sektoren, darunter Energie, Gesundheit, Transport, digitale Infrastruktur, Finanzwesen und verarbeitendes Gewerbe.
Die Verbindung zur ISO 27001 ist direkt:
- NIS2 fordert ein systematisches Risikomanagement für Informationssicherheit. ISO 27001 liefert genau diesen Rahmen.
- Behörden und Aufsichtsstellen akzeptieren eine ISO 27001-Zertifizierung als Nachweis für die Umsetzung der NIS2-Anforderungen.
- Geschäftspartner und Auftraggeber verlangen zunehmend eine ISO 27001-Zertifizierung als Voraussetzung für die Zusammenarbeit.
Auch wenn die ISO 27001-Zertifizierung nicht direkt gesetzlich vorgeschrieben ist, wird sie durch NIS2 für viele Unternehmen zur praktischen Pflicht.
ISO 27001 und DSGVO: Technischer Nachweis für Datenschutz
Die Verbindung zwischen ISO 27001 und Datenschutz wird immer enger. Die DSGVO fordert in Art. 32 "geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. ISO 27001 liefert genau diesen Rahmen.
Konkret bedeutet das:
- Eine ISO 27001-Zertifizierung dient als Nachweis für die Umsetzung von TOMs im Sinne der DSGVO.
- Die neue ISO 27001:2022 enthält Controls, die direkt auf Datenschutzanforderungen einzahlen (Data Masking, Information Deletion, Data Leakage Prevention).
- Als Ergänzung bietet die ISO 27701 ein spezifisches Privacy Information Management System (PIMS), das auf ISO 27001 aufbaut.
Für regulierte Branchen wie Finanzdienstleistung, Gesundheitswesen oder den öffentlichen Sektor ist die Kombination aus ISO 27001 und DSGVO-Compliance ein wesentlicher Wettbewerbsvorteil.
Informationssicherheit wird strategisch
Ein zentraler Trend: Informationssicherheit ist nicht mehr nur ein IT-Thema. Sie wird zum Bestandteil der Unternehmensführung und Governance.
Die ISO 27001:2022 spiegelt diese Entwicklung wider:
- Unternehmensrisiko: Informationssicherheitsrisiken werden als Geschäftsrisiken betrachtet und auf Vorstandsebene behandelt.
- Governance: Die Verantwortung für Informationssicherheit liegt bei der Geschäftsführung, nicht bei der IT-Abteilung.
- Resilienz: Es geht nicht nur um Prävention, sondern auch um die Fähigkeit, Sicherheitsvorfälle schnell zu erkennen, darauf zu reagieren und sich davon zu erholen.
ISO 27001 entwickelt sich damit zum Business Risk und Resilience Framework, das weit über den klassischen IT-Sicherheitsbegriff hinausgeht.
Was Unternehmen jetzt tun sollten
Ob Migration von der alten Version oder Neuzertifizierung: Jetzt ist der richtige Zeitpunkt zum Handeln.
- Bereits zertifiziert nach 2013? Die Migration auf ISO 27001:2022 ist überfällig. Prüfen Sie mit Ihrer Zertifizierungsstelle den schnellstmöglichen Termin für ein Übergangsaudit.
- Noch nicht zertifiziert? Starten Sie direkt mit der ISO 27001:2022. Das spart den Umweg über die alte Version und bereitet Sie gleichzeitig auf NIS2-Anforderungen vor.
- NIS2-betroffen? Prüfen Sie, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt und nutzen Sie ISO 27001 als strukturierten Weg zur Compliance.
Verinorm unterstützt Sie bei der Implementierung und Zertifizierung Ihres Informationssicherheitsmanagementsystems nach ISO 27001:2022. Kontaktieren Sie uns für eine kostenlose Erstberatung.
