ISO 27001:2022 — Was ist neu?
Die Version ISO/IEC 27001:2022 löst die seit 2013 geltende Vorgängerversion ab. Für zertifizierte Unternehmen galt eine dreijährige Übergangsfrist bis 31. Oktober 2025 — die inzwischen abgelaufen ist. Wer aktuell nach ISO 27001 zertifiziert ist, muss auf 27001:2022 migriert haben. Wer neu zertifiziert, startet direkt mit der 2022er Version.
Dieser Artikel zeigt, was sich konkret geändert hat, wie die Migration gelingt und welche Controls neu hinzugekommen sind.
1. Die zentralen Neuerungen im Überblick
Die wichtigsten Änderungen:
- Reduzierung von 114 auf 93 Annex-A-Controls — durch Konsolidierung
- Neue Struktur: vier Themengruppen statt 14 Klauseln
- 11 neue Controls — insbesondere Cloud, Bedrohungsintelligenz, sichere Softwareentwicklung
- Angleichung an die High-Level Structure (HLS) der neueren ISO-Managementstandards
- Stärkerer Fokus auf kontinuierliche Risikobewertung
Die Hauptteile der Norm (Klauseln 4-10) sind inhaltlich weitgehend gleich geblieben — die große Umgestaltung findet im Annex A statt.
2. Die vier neuen Themengruppen
Statt der 14 Control-Kategorien aus 2013 hat 2022 vier übergeordnete Themen:
| Themengruppe | Anzahl Controls | Beispiele |
|---|---|---|
| A.5 Organizational controls | 37 | Informationssicherheits-Policies, Rollenverteilung, Lieferantensicherheit, Cloud-Nutzung |
| A.6 People controls | 8 | Background Checks, Awareness, Schulung |
| A.7 Physical controls | 14 | Gebäudesicherheit, Sicherheitszonen, Entsorgung |
| A.8 Technological controls | 34 | Kryptografie, Monitoring, Malware-Schutz, SDL |
Diese Struktur ist schlanker und besser geeignet für moderne IT-Landschaften.
3. Die 11 neuen Controls
Die wichtigsten neuen Controls in 2022:
| Control | Thema |
|---|---|
| A.5.7 | Threat Intelligence — systematische Bedrohungsanalyse |
| A.5.23 | Informationssicherheit bei Cloud-Nutzung |
| A.5.30 | ICT-Readiness für Business Continuity |
| A.7.4 | Physische Sicherheit — Überwachung |
| A.8.9 | Konfigurationsmanagement |
| A.8.10 | Informationslöschung |
| A.8.11 | Datenmaskierung |
| A.8.12 | Verhinderung von Datenlecks (DLP) |
| A.8.16 | Monitoring-Aktivitäten |
| A.8.23 | Webfilterung |
| A.8.28 | Sichere Codierung |
Diese Controls spiegeln die moderne Bedrohungslage wider — Cloud-Umgebungen, Supply-Chain-Angriffe, Datenabfluss.
4. Was bleibt gleich?
- Die Hauptteile (Klauseln 4-10) — Scope, Leadership, Planning, Support, Operation, Performance Evaluation, Improvement
- Der grundlegende Plan-Do-Check-Act-Zyklus
- Die Pflicht zur Risikoanalyse und zum Statement of Applicability (SoA)
- Das dreistufige Audit-Modell (Stage 1, Stage 2, Überwachung)
- Die Gültigkeitsdauer des Zertifikats: drei Jahre
5. Die Migration — Was war zu tun?
Zertifizierte Unternehmen mussten bis zum 31. Oktober 2025 auf 27001:2022 migriert haben. Die Migration umfasste:
- Gap-Analyse gegen die neuen Controls
- SoA aktualisieren — alle Controls neu bewerten und dokumentieren
- Richtlinien anpassen — insbesondere für Cloud, DLP, Threat Intelligence
- Management-Review und Freigabe
- Transition-Audit durch die Zertifizierungsstelle (oft im Rahmen eines Überwachungs- oder Rezertifizierungsaudits)
Unternehmen, die die Frist verpasst haben, verloren ihre Zertifizierung — und müssen neu zertifizieren.
6. Typische Stolpersteine
Cloud-Sicherheit (A.5.23)
Viele Unternehmen hatten bisher keine spezifische Cloud-Security-Policy. 2022 verlangt klar dokumentierte Anforderungen: Welche Dienste erlaubt, welche nicht? Vertragliche Sicherheitsanforderungen? Exit-Strategie?
Threat Intelligence (A.5.7)
Früher selten operationalisiert. Jetzt Pflicht: strukturierte Erfassung und Bewertung von Bedrohungen, idealerweise mit Feed-Anbindung.
Sichere Codierung (A.8.28)
Betrifft alle Unternehmen mit eigener Softwareentwicklung. SDL (Secure Development Lifecycle), Code Reviews, statische Analyse werden konkret gefordert.
DLP (A.8.12)
Datenlecks zu verhindern ist eine komplexe technische Disziplin. Für mittelständische Unternehmen oft eine echte Investition.
7. Zusammenspiel mit NIS2 und DORA
ISO 27001:2022 ist besser auf neue Regulierungen abgestimmt als die 2013er Version:
- NIS2 Art. 21 — die neuen Cloud-, Threat-Intel- und Monitoring-Controls erfüllen gleichzeitig NIS2-Anforderungen
- DORA Art. 9 (ICT-Sicherheitsmaßnahmen) — starke Überlappung mit 2022er Controls
- EU AI Act — die KI-Kompetenz-Aspekte werden nicht direkt adressiert, aber A.6 (People Controls) kann als Rahmen dienen
Eine Multi-Framework-Plattform wie Matproof nutzt die Überlappungen systematisch: Ein Nachweis für Control A.8.16 (Monitoring) erfüllt gleichzeitig NIS2 Art. 21 Nr. 6 und DORA Art. 9 Abs. 2 — das ist der eigentliche Wert moderner GRC-Tools.
8. Für Neueinsteiger: Direkt zu 2022
Unternehmen, die erstmals zertifizieren, starten direkt mit ISO 27001:2022 — kein Umweg über 2013. Der Implementierungsaufwand unterscheidet sich nur marginal. Die neue Struktur ist sogar moderner und leichter zu lehren. Tipp: Moderne ISMS-Software liefert 27001:2022-Control-Kataloge vorkonfiguriert — ohne Migrationsaufwand.
Fazit
ISO 27001:2022 ist keine revolutionäre Überarbeitung, aber eine solide Modernisierung: mehr Cloud-Realität, mehr Bedrohungsfokus, mehr Betriebsautomatisierung. Wer noch an der alten 2013er Version hängt, arbeitet mit veralteten Strukturen und muss für jede Regulierung (NIS2, DORA) manuelle Überbrückungen schaffen.
Mit einer modernen ISMS-Plattform gelingt die 2022er Umsetzung in 4-6 Wochen. Matproof-Kunden, die von 2013 auf 2022 migriert haben, berichten typisch von 60-70 Prozent Zeitersparnis gegenüber manueller Migration.
Weiterführend:
- ISMS-Software — ISO 27001:2022 vorkonfiguriert
- ISO 27001 Audit — Stage 1 + Stage 2 Vorbereitung
- ISO 27001 Zertifizierung Kosten
- Frameworks: ISO 27001