BitKollegen GmbH
Zurück zum Blog
ISO-Zertifizierungsservice

ISO 27001:2022 erklärt: Änderungen, Anforderungen und Umsetzung in der Praxis

Die ISO 27001:2022 bringt neue Controls, eine überarbeitete Struktur und konkrete Anforderungen an moderne Bedrohungslagen. Was sich gegenüber 2013 geändert hat und wie die Umsetzung in der Praxis gelingt.

Tags: ISO 27001
ISO 27001:2022

Was ist ISO 27001:2022 und warum wurde die Norm aktualisiert?

ISO 27001:2022 ist die aktuell gültige internationale Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie wurde im Oktober 2022 veröffentlicht und löst die Vorgängerversion ISO 27001:2013 ab. Die Norm legt fest, wie Unternehmen Informationssicherheitsrisiken systematisch identifizieren, bewerten und kontrollieren.

Der Grund für die Überarbeitung: Die Bedrohungslage hat sich seit 2013 grundlegend verändert. Cloud-Umgebungen, Remote-Arbeit und komplexe Lieferketten erfordern andere Sicherheitsmaßnahmen als vor zehn Jahren. Die neue Version trägt dem Rechnung – sowohl im Hauptteil der Norm als auch im überarbeiteten Annex A.

Unternehmen mit bestehender ISO-27001-Zertifizierung mussten bis zum 31. Oktober 2025 auf die neue Version umstellen. Neuantragsteller werden bereits ausschließlich nach ISO 27001:2022 zertifiziert.

Was hat sich gegenüber ISO 27001:2013 geändert?

Die Änderungen betreffen zwei Bereiche: den normativen Hauptteil (Kapitel 4–10) und den informativen Annex A mit den Security Controls.

Änderungen im Hauptteil

Der normative Hauptteil wurde moderat angepasst. Die wichtigsten Punkte:

  • Kapitel 6.3 – Planung von Änderungen: Neu eingeführt. Unternehmen müssen Änderungen am ISMS künftig systematisch planen und dokumentieren, bevor sie umgesetzt werden.
  • Kapitel 4.2 – Anforderungen interessierter Parteien: Unternehmen müssen nun explizit festlegen, welche Anforderungen relevant sind und welche nicht – eine klarere Abgrenzungspflicht als zuvor.
  • Sprache und Struktur: Verschiedene Formulierungen wurden präzisiert, um Interpretationsspielräume zu reduzieren.

Änderungen im Annex A – die neue Kontrollstruktur

Hier liegen die größten Unterschiede. Der frühere Annex A umfasste 114 Controls in 14 Kategorien. Die neue Version bündelt diese in 93 Controls in 4 Themenbereichen:

  • Organisatorische Maßnahmen (37 Controls)
  • Personenbezogene Maßnahmen (8 Controls)
  • Physische Maßnahmen (14 Controls)
  • Technologische Maßnahmen (34 Controls)

Diese Struktur ist deutlich klarer und praxisnäher als das frühere Kategoriesystem.

Welche neuen Controls wurden eingeführt?

11 Controls sind in ISO 27001:2022 neu hinzugekommen. Sie adressieren Themen, die in der Vorgängerversion noch nicht oder kaum berücksichtigt wurden:

  • Bedrohungsintelligenz (Threat Intelligence): Unternehmen sollen aktiv Informationen über aktuelle Bedrohungen sammeln und auswerten.
  • Cloud-Sicherheit: Erstmals gibt es einen dedizierten Control für die Nutzung von Cloud-Diensten.
  • Datenmaskierung: Schutz personenbezogener und sensibler Daten durch Anonymisierung oder Pseudonymisierung.
  • Data Leakage Prevention (DLP): Maßnahmen zur Verhinderung unkontrollierter Datenabflüsse.
  • Überwachung physischer Sicherheit: Erweiterte Anforderungen an physischen Zugangsschutz.
  • Web-Filterung: Kontrolle von Webzugriffen zum Schutz vor Malware und unerwünschten Inhalten.
  • Sichere Programmierung: Anforderungen an Softwareentwicklungsprozesse.
  • Konfigurationsmanagement: Systematische Verwaltung und Dokumentation von Systemkonfigurationen.
  • Informationssicherheit für ICT-Dienste: Spezifische Anforderungen bei Nutzung externer IT-Dienstleister.
  • Business-Continuity-Bereitschaft für ICT: Detailliertere Anforderungen an die IT-Ausfallsicherheit.
  • Physische Sicherheitsüberwachung: Einsatz von Überwachungstechnologien in sicherheitskritischen Bereichen.

Zusätzlich wurden Controls zusammengeführt oder neu strukturiert, ohne inhaltlich grundlegend verändert zu werden.

Wer ist von ISO 27001:2022 betroffen?

Die Norm gilt für alle Organisationen unabhängig von Größe und Branche. Ob mittelständisches Produktionsunternehmen, IT-Dienstleister, Gesundheitseinrichtung oder öffentliche Verwaltung – überall, wo Informationssicherheit systematisch gemanagt werden soll oder muss, ist ISO 27001:2022 der Maßstab.

Besonders relevant ist die Norm für Unternehmen, die:

  • als IT-Dienstleister oder Zulieferer für größere Unternehmen tätig sind und eine Zertifizierung als Zugangsvoraussetzung benötigen,
  • personenbezogene Daten in großem Umfang verarbeiten,
  • in regulierten Branchen wie Finanzen, Gesundheit oder kritischer Infrastruktur operieren,
  • ihre Cybersecurity-Reife gegenüber Kunden und Partnern nachweisen wollen.

Wie läuft die Zertifizierung nach ISO 27001:2022 ab?

Eine ISO 27001 Zertifizierung folgt einem strukturierten Prozess, der typischerweise mehrere Monate in Anspruch nimmt.

Schritt 1 – Gap-Analyse: Zunächst wird der Ist-Zustand des vorhandenen ISMS mit den Anforderungen der Norm verglichen. Dabei werden Lücken identifiziert – sowohl im Hauptteil als auch bei den Controls des Annex A.

Schritt 2 – Aufbau oder Anpassung des ISMS: Fehlende Prozesse, Richtlinien und Maßnahmen werden eingeführt. Das umfasst unter anderem die Risikobeurteilung, das Statement of Applicability (SoA), interne Audits und den Management Review.

Schritt 3 – Internes Audit: Vor der externen Zertifizierung prüft das Unternehmen eigenständig, ob alle Anforderungen erfüllt sind. Mängel können so noch intern behoben werden.

Schritt 4 – Stage-1-Audit (Dokumentenprüfung): Der externe Auditor prüft die Dokumentation des ISMS – Richtlinien, Risikobeurteilung, SoA und weitere Nachweise.

Schritt 5 – Stage-2-Audit (Implementierungsprüfung): Der Auditor prüft vor Ort, ob die dokumentierten Maßnahmen tatsächlich gelebt werden. Interviews, Systemdemonstrationen und Stichproben sind typische Prüfmethoden.

Schritt 6 – Zertifikatserteilung und Überwachungsaudits: Bei erfolgreicher Prüfung wird das Zertifikat ausgestellt. Es ist drei Jahre gültig, erfordert aber jährliche Überwachungsaudits.

Wie erfolgt die Transition für bereits zertifizierte Unternehmen?

Unternehmen mit einem bestehenden ISO-27001:2013-Zertifikat müssen ihr ISMS an die neue Version anpassen. Die Umstellung lässt sich in drei Kernbereiche unterteilen:

Annex-A-Mapping: Bestehende Controls aus dem alten Annex A müssen den neuen 93 Controls zugeordnet werden. Das Statement of Applicability muss entsprechend aktualisiert werden.

Neue Controls integrieren: Die 11 neuen Controls müssen bewertet, und – sofern anwendbar – umgesetzt werden. Für jeden nicht anwendbaren Control ist eine Begründung im SoA erforderlich.

Hauptteil-Anpassungen dokumentieren: Insbesondere die neuen Anforderungen aus Kapitel 6.3 (Änderungsplanung) müssen im ISMS verankert werden.

Ein häufiger Fehler bei der Transition: Unternehmen behandeln das Annex-A-Mapping rein formal und ordnen Controls eins zu eins zu, ohne die neuen Controls inhaltlich zu bewerten. Auditoren prüfen jedoch, ob die neuen Controls auch tatsächlich verstanden und implementiert wurden – nicht nur ob sie im SoA angekreuzt sind.

Was prüfen Auditoren bei ISO 27001:2022 konkret?

Auditoren prüfen keine Checklisten, sondern Evidenzen. Das bedeutet: Nicht die Existenz einer Richtlinie zählt, sondern der Nachweis, dass sie bekannt, angewendet und regelmäßig überprüft wird.

Typische Prüfpunkte:

  • Liegt eine aktuelle Risikobeurteilung vor, die alle relevanten Assets und Bedrohungen berücksichtigt?
  • Ist das Statement of Applicability vollständig, aktuell und nachvollziehbar begründet?
  • Werden interne Audits regelmäßig durchgeführt und Ergebnisse dokumentiert?
  • Findet ein Management Review statt, der messbare Ergebnisse zur Informationssicherheit bespricht?
  • Sind die neuen Controls – insbesondere zu Cloud, Threat Intelligence und DLP – konkret umgesetzt oder plausibel ausgeschlossen?

Für die elf neuen Controls gilt: Auditoren erwarten bei Cloud-Nutzung etwa konkrete Richtlinien für Cloud-Dienste, Vertragsregelungen mit Anbietern und Nachweise zur regelmäßigen Überprüfung der Cloud-Konfigurationen.

Fazit: Effizient zur ISO-27001:2022-Zertifizierung

ISO 27001:2022 ist kein bürokratischer Selbstzweck. Die Norm schafft einen strukturierten Rahmen, der Unternehmen hilft, Sicherheitsrisiken systematisch zu steuern – und das gegenüber Kunden, Partnern und Aufsichtsbehörden nachzuweisen.

Der sinnvollste nächste Schritt für Unternehmen ohne Zertifizierung: eine strukturierte Gap-Analyse, die den tatsächlichen Aufwand einschätzbar macht. Für bereits zertifizierte Unternehmen liegt die Priorität auf dem Annex-A-Mapping und der Integration der neuen Controls – idealerweise bevor das nächste Überwachungsaudit ansteht.

Unternehmen, die die Norm pragmatisch angehen und Sicherheitsmaßnahmen an bestehende Prozesse andocken statt parallel aufzubauen, kommen schneller ans Ziel und erhalten ein ISMS, das im Alltag tatsächlich funktioniert.