Fünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-VerordnungFünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Anmelden oder registrieren
Zurück zur Übersicht
Foto: Taylor Vick auf Unsplash
Informationssicherheit2. April 202611 Min. Lesezeit

ISO/IEC 27001:2022: Der Übergang von 2013 und was bis Oktober 2026 passieren muss

Von CIVAC Redaktion11 Min. Lesezeit

Die Übergangsfrist zur ISO/IEC 27001:2022 ist abgelaufen. Wer noch auf der 2013er-Fassung zertifiziert war, hat die Gültigkeit seines Zertifikats verloren. Ein strukturierter Blick auf die neuen Controls, Themenfelder und die zwingende Re-Zertifizierung auf den aktuellen Standard.

Die internationale Norm für Informationssicherheits-Managementsysteme, ISO/IEC 27001, ist im Oktober 2022 in einer grundlegend überarbeiteten Fassung erschienen. Das International Accreditation Forum (IAF) hat in seinem Beschluss IAF MD 26 eine Übergangsfrist von drei Jahren festgelegt: Zertifizierungen nach der Vorgängerfassung ISO/IEC 27001:2013 haben am 31. Oktober 2025 ihre Gültigkeit verloren. Die Übergangsfrist ist damit bereits abgelaufen. Wer zum heutigen Stichtag noch nicht auf die 2022er-Fassung migriert ist, arbeitet ohne gültiges Zertifikat, auch wenn das ausgedruckte Zertifikat noch im Schrank hängt.

Was sich in der 2022er-Fassung geändert hat

Der Hauptteil der Norm (Klauseln 4 bis 10) wurde lediglich redaktionell überarbeitet, die Grundstruktur eines risikobasierten Informationssicherheits-Managementsystems (ISMS) bleibt unverändert. Der eigentliche Umbau fand in Annex A statt, im Katalog der Maßnahmen (Controls), aus dem sich Organisationen im Rahmen der Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) bedienen.

Von 114 auf 93 Controls

Annex A enthält nun 93 Controls statt zuvor 114. Die Reduktion ist keine Vereinfachung, sondern das Ergebnis einer Konsolidierung: 24 Controls aus der alten Fassung wurden zusammengelegt, 58 überarbeitet, 35 umbenannt, 11 sind komplett neu hinzugekommen. Gleichzeitig wurden die bisherigen 14 Themenbereiche auf vier verdichtet:

ThemenbereichAnzahl ControlsFokus
A.5 Organisational controls37Richtlinien, Verantwortlichkeiten, Lieferanten, Cloud, Vorfälle
A.6 People controls8Personal, Awareness, Disziplinarverfahren, Remote Work
A.7 Physical controls14Zutrittskontrolle, Sicherheit von Einrichtungen
A.8 Technological controls34Zugriffskontrolle, Kryptographie, Netzwerksicherheit, Entwicklung

Die 11 neuen Controls

Die neu aufgenommenen Controls spiegeln die Risikorealität der letzten Jahre wider, insbesondere Cloud-Nutzung, Bedrohungslandschaft und Datenverarbeitung:

  • A.5.7 Threat intelligence, strukturierte Erhebung, Analyse und Verarbeitung von Bedrohungsinformationen.
  • A.5.23 Information security for use of cloud services, Risiko- und Vertragsmanagement für Cloud-Dienste.
  • A.5.30 ICT readiness for business continuity, Bereitschaft der IKT-Dienste im Rahmen des Business-Continuity-Managements.
  • A.7.4 Physical security monitoring, Überwachung physischer Bereiche (Alarmsysteme, Videoüberwachung).
  • A.8.9 Configuration management, sichere Konfiguration von Hardware, Software, Diensten und Netzwerken.
  • A.8.10 Information deletion, dokumentierte Löschung nicht mehr benötigter Informationen.
  • A.8.11 Data masking, Maskierung personenbezogener und sensibler Daten.
  • A.8.12 Data leakage prevention, technische und organisatorische Maßnahmen gegen Datenabfluss.
  • A.8.16 Monitoring activities, kontinuierliches Monitoring von Netzwerken, Systemen und Anwendungen.
  • A.8.23 Web filtering, Kontrolle des Zugriffs auf externe Websites zur Reduzierung von Schadsoftware-Risiken.
  • A.8.28 Secure coding, Grundsätze sicherer Softwareentwicklung.

Vier neue Attribute für jedes Control

Jedes Control in Annex A trägt nun vier Attribute, die sich in Filtern und Reports nutzen lassen:

  • Control type: preventive, detective, corrective
  • Information security properties: confidentiality, integrity, availability
  • Cybersecurity concepts: identify, protect, detect, respond, recover (angelehnt an NIST CSF)
  • Operational capabilities: governance, asset_management, identity_and_access_management etc. (insgesamt 15)
  • Security domains: governance_and_ecosystem, protection, defence, resilience

Diese Attribute sind keine zusätzliche Pflicht, aber ein wertvolles Werkzeug in der Praxis: Sie erleichtern die Abbildung auf andere Frameworks (NIST CSF, TISAX, SOC 2) und die Darstellung gegenüber Kunden und Aufsichtsbehörden.

Zum Managementsystem (Klauseln 4 bis 10)

Die Grundpflichten bleiben: Kontext der Organisation (Klausel 4), Führung (Klausel 5), Planung einschließlich Risikobeurteilung und -behandlung (Klausel 6), Unterstützung (Klausel 7), Betrieb (Klausel 8), Bewertung der Leistung (Klausel 9), Verbesserung (Klausel 10). Klein, aber wichtig: Klausel 6.2 verlangt nun ausdrücklich, dass Informationssicherheitsziele überwacht werden; Klausel 6.3 ist neu und formalisiert den Umgang mit Änderungen am ISMS; Klausel 9.3 strukturiert die Managementbewertung schärfer.

Warum Kunden und Behörden die 2022er-Fassung fordern

ISO/IEC 27001:2022 ist inzwischen faktischer Standard in Enterprise-Ausschreibungen und im regulierten Umfeld. Das gilt insbesondere für Lieferantenbewertungen großer Konzerne, für Ausschreibungen der öffentlichen Hand, für Branchenstandards wie TISAX (Automotive) und für den Nachweis von Informationssicherheitsmaßnahmen nach Art. 32 DSGVO. Auch der BSI IT-Grundschutz zeigt in seinen Kreuzreferenztabellen die Abbildung auf die 2022er-Controls. Wer 2026 noch mit der 2013er-Fassung arbeitet, fällt in jeder ernsthaften Due-Diligence auf.

Typischer Projektablauf bei der Umstellung

  1. 1Gap-Analyse gegen die 2022er-Fassung: vorhandene Controls auf die neue Struktur abbilden, neue Controls auf Anwendbarkeit prüfen.
  2. 2Statement of Applicability (SoA) überarbeiten: Begründung für jedes Control (einschließlich Ausschlüsse) aktualisieren.
  3. 3Risikobeurteilung und -behandlung aktualisieren: insbesondere Bedrohungen rund um Cloud, Lieferkette und Datenabfluss neu bewerten.
  4. 4Richtlinien und Verfahren anpassen: Threat Intelligence, Datenlöschung, Data Masking und Secure Coding neu dokumentieren.
  5. 5Awareness und Schulung: Mitarbeitende auf die neuen Controls schulen, insbesondere Cloud, DLP und Web Filtering.
  6. 6Internes Audit und Managementbewertung: Wirksamkeit der Umsetzung prüfen, bevor die externe Zertifizierungsstelle kommt.
  7. 7Transition- oder Re-Zertifizierungs-Audit durch eine akkreditierte Zertifizierungsstelle: formale Bestätigung der neuen Zertifizierung.

Quellen

Aus dem Lesen einen Auftrag machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Angebot anfordernMit uns sprechen
Weitere Beiträge
Regulatorik15. April 2026

NIS-2-Umsetzung in Deutschland: Was Geschäftsleitungen 2026 wissen müssen

Weiterlesen
AI & Regulatorik8. April 2026

EU AI Act: Compliance-Pflichten für Unternehmen ab August 2026

Weiterlesen