Im Oktober 2022 veröffentlichte die ISO die überarbeitete Fassung von ISO/IEC 27001. Die Revision war die erste umfassende Überarbeitung seit 2013 und bringt wesentliche strukturelle und inhaltliche Änderungen. Für Unternehmen mit bestehender Zertifizierung gilt: Die Übergangsfrist endet im Oktober 2025 — danach verlieren Zertifikate nach der alten Version ihre Gültigkeit.

Was hat sich strukturell verändert?

Der normative Teil der ISO 27001 (Klauseln 4–10) blieb weitgehend unverändert. Die wesentlichen Änderungen betreffen den Annex A — das Verzeichnis der Sicherheitskontrollen:

  • Die Anzahl der Controls wurde von 114 auf 93 reduziert (durch Zusammenlegungen)
  • Die 14 Kontrollbereiche der alten Version wurden durch 4 Themen ersetzt: Organizational, People, Physical, Technological
  • 11 neue Controls wurden hinzugefügt, die moderne Bedrohungen und Technologien adressieren

Die 11 neuen Controls im Detail

Die neuen Controls adressieren Bereiche, die in der 2013er Version noch keine ausreichende Berücksichtigung fanden:

  • 5.7 Threat Intelligence — Systematische Sammlung und Auswertung von Bedrohungsinformationen
  • 5.23 Information Security for Use of Cloud Services — Sicherheitsanforderungen an Cloud-Dienste
  • 5.30 ICT Readiness for Business Continuity — IKT-Bereitschaft für Geschäftskontinuität (überlappt mit ISO 22301)
  • 7.4 Physical Security Monitoring — Überwachung physischer Sicherheitsbereiche
  • 8.9 Configuration Management — Verwaltung sicherer Konfigurationen für Hardware, Software und Dienste
  • 8.10 Information Deletion — Datenlöschung bei Ablauf der Aufbewahrungsfrist
  • 8.11 Data Masking — Maskierung personenbezogener und sensibler Daten
  • 8.12 Data Leakage Prevention — Schutz vor Datenlecks (DLP)
  • 8.16 Monitoring Activities — Überwachung von Netzwerken, Systemen und Applikationen
  • 8.23 Web Filtering — Filterung von Web-Zugang zur Reduktion von Malware-Risiken
  • 8.28 Secure Coding — Sicherheitsprinzipien in der Softwareentwicklung
Praxistipp: Nicht alle neuen Controls sind für jedes Unternehmen anwendbar. Die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) muss für jede neue Control entweder eine Anwendung oder eine begründete Ausnahme dokumentieren.

Was bedeutet das für bestehend zertifizierte Unternehmen?

Der Übergang zur 2022er Version erfordert keine Neuzertifizierung von Grund auf — aber konkrete Maßnahmen:

  1. Gap-Analyse gegen die neuen Controls durchführen: Welche der 11 neuen Controls sind für Ihr Unternehmen anwendbar?
  2. SoA aktualisieren: Alle neuen Controls aufnehmen, Anwendbarkeit begründen
  3. Richtlinien und Verfahren anpassen: Bestehende Dokumente gegen neue Control-Anforderungen prüfen
  4. Risikoassessment wiederholen: Neue Risiken im Kontext der neuen Controls bewerten
  5. Übergangsaudit mit der Zertifizierungsstelle abstimmen: Die meisten akkreditierten Stellen bieten kombinierte Surveillance-/Transitionsaudits an
Deadline: Zertifikate nach ISO 27001:2013 verlieren ab dem 31. Oktober 2025 ihre Gültigkeit. Wer den Übergang nicht rechtzeitig abschließt, muss eine vollständige Neuzertifizierung durchlaufen — mit deutlich höherem Aufwand und Kosten.

Neue Zertifizierungen: Direkt nach 2022er Version starten

Unternehmen, die heute mit der ISO-27001-Implementierung beginnen, zertifizieren direkt nach der 2022er Version. Das hat einen Vorteil: Die neue Struktur ist klarer und praxisnäher — insbesondere die explizite Adressierung von Cloud-Sicherheit, Threat Intelligence und Secure Coding entspricht der aktuellen Realität moderner IT-Landschaften.