Volljurist und Compliance-Experte
05 May 2026
11 min
.svg)
Die ISO 27001:2022 reduziert die Anzahl der Controls von 114 auf 93 und ordnet sie in vier statt 14 Kategorien.
Die Übergangsfrist von der 2013er-Version endete am 31. Oktober 2025. Bestehende 2013-Zertifizierungen sind seitdem ungültig.
Elf neue Controls adressieren aktuelle Risiken wie Cloud Security, Threat Intelligence und Data Masking.
Die NIS2-Richtlinie macht ISO 27001 zur de-facto-Pflicht für rund 29.000 Unternehmen in Deutschland.
Die ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Am 25. Oktober 2022 hat die International Organization for Standardization die überarbeitete Version ISO/IEC 27001:2022 veröffentlicht. Die neue Version ersetzt die bisherige ISO 27001:2013 und bringt Änderungen, die über ein kosmetisches Update hinausgehen: eine neue Control-Struktur, elf zusätzliche Maßnahmen und schärfere Anforderungen an Planung und Betrieb.
Dieser Artikel erklärt, was sich konkret geändert hat, wie die Migration funktioniert und warum die NIS2-Richtlinie den Standard jetzt für tausende Unternehmen zur Pflicht macht.
Die ISO/IEC 27001:2022 ist die aktuelle Version des internationalen Standards für Informationssicherheits-Managementsysteme (ISMS). Sie löst die Vorgängerversion ISO 27001:2013 ab und bringt vier wesentliche Änderungen: eine modernisierte Normstruktur, eine komplett überarbeitete Control-Architektur, elf neue Sicherheitsmaßnahmen und präzisere Anforderungen an operative Prozesse.
Die Normstruktur folgt jetzt der Harmonized Structure (HS) statt der bisherigen High Level Structure (HLS). Für die Praxis bedeutet das vor allem eine bessere Integration mit anderen Managementsystemen wie ISO 9001 oder ISO 14001. Unternehmen, die bereits ein Qualitätsmanagementsystem betreiben, können gemeinsame Elemente wie Kontext der Organisation, Führung und Performance-Evaluation zusammenführen, statt sie in parallelen Dokumentationen zu pflegen. Die Kernklauseln 4 bis 10 bleiben inhaltlich erhalten, wurden aber in Formulierung und Detailgrad angepasst.
Der Annex A, der die konkreten Sicherheitsmaßnahmen enthält, wurde grundlegend umgebaut. Statt 114 Controls in 14 Kategorien gibt es jetzt 93 Controls in vier Kategorien. Das ist keine Kürzung: Viele Controls wurden zusammengelegt, einige neu strukturiert, und elf kamen hinzu. Die neuen Controls adressieren Risiken, die 2013 noch keine Rolle spielten, etwa Cloud Security (A.5.23), Threat Intelligence (A.5.7) und Data Masking (A.8.11). Diese Ergänzungen spiegeln wider, wie sich die IT-Landschaft in den letzten zehn Jahren verändert hat: Cloud-Nutzung ist Standard geworden, und Bedrohungen wie Supply-Chain-Angriffe erfordern systematische Threat Intelligence.
| Änderungsbereich | Was sich geändert hat | Praxisbedeutung |
|---|---|---|
| Normstruktur | High Level Structure → Harmonized Structure | Einfachere Integration mit ISO 9001, ISO 14001 |
| Annex A | 114 Controls → 93 Controls in 4 Kategorien | Klarere Zuordnung, weniger Redundanz |
| Neue Controls | 11 neue Maßnahmen (Cloud, Threat Intel, DLP) | Aktuelle Risiken abgedeckt |
| Operative Anforderungen | Klausel 6.2 und 8.1 verschärft | Informationssicherheitsziele und Änderungsmanagement präziser dokumentieren |
Zusätzlich wurden die Anforderungen an die Planung von Informationssicherheitszielen (Klausel 6.2) und die operative Steuerung (Klausel 8.1) verschärft. Unternehmen müssen jetzt explizit dokumentieren, wie sie geplante Änderungen steuern und ungeplante Änderungen bewerten. Klausel 6.3 fordert zudem eine formale Planung für jede ISMS-Änderung. Das klingt nach Bürokratie, ist aber in der Praxis ein sinnvoller Schutz: Ungesteuerte Änderungen an IT-Systemen sind einer der häufigsten Auslöser für Sicherheitsvorfälle. Ein Patch, der ohne Impact Assessment eingespielt wird, kann Verfügbarkeitsrisiken erzeugen. Ein Cloudmigrations-Projekt ohne Scope-Prüfung kann Schutzziele verletzen.
Der Vergleich zeigt, dass die 2022er-Version kein Patch ist, sondern eine strukturelle Modernisierung. Die folgende Tabelle stellt die beiden Versionen systematisch gegenüber.
| Kriterium | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| Veröffentlichung | Oktober 2013 | Oktober 2022 |
| Normstruktur | High Level Structure (HLS) | Harmonized Structure (HS) |
| Anzahl Controls (Annex A) | 114 | 93 |
| Control-Kategorien | 14 Gruppen (A.5 bis A.18) | 4 Kategorien: Organizational, People, Physical, Technological |
| Neue Themen | Nicht abgedeckt | Cloud Security, Threat Intelligence, Data Masking, ICT Readiness, Secure Coding u.a. |
| Implementierungsreferenz | ISO 27002:2013 | ISO 27002:2022 (komplett überarbeitet) |
| Risikomanagement | Klausel 6.1 (allgemein) | Klausel 6.1 + verschärfte operative Steuerung (8.1) + Klausel 6.3 (Änderungsplanung) |
| Gültigkeit | Abgelaufen seit 31.10.2025 | Aktuelle gültige Version |
Die Zeile "Implementierungsreferenz" verdient besondere Aufmerksamkeit. Die ISO 27002:2022 liefert für jedes der 93 Controls detaillierte Umsetzungsempfehlungen. Sie ist kein eigenständiger Zertifizierungsstandard, sondern das Praxishandbuch zur ISO 27001. Wer die Controls des Anhang A umsetzen will, kommt an der 27002 nicht vorbei. SECJUR nutzt die Vorgaben der ISO 27002:2022 als Referenz für die Maßnahmenempfehlungen im Digital Compliance Office. Das ist relevant, weil die 27002:2022 selbst ebenfalls komplett überarbeitet wurde: Jedes Control hat jetzt einen klar definierten Zweck ("Purpose"), ein Attribut-Tagging für Risikoeigenschaften und aktualisierte Umsetzungshinweise.
Der dritte zentrale Unterschied betrifft das Risikomanagement. Die 2013er-Version verlangte eine Risikobewertung (Klausel 6.1) und deren Umsetzung (Klausel 8). Die 2022er-Version ergänzt in Klausel 6.3 eine explizite Änderungsplanung und verschärft in Klausel 8.1 die Kontrolle externer Prozesse. In der Praxis heißt das: Jede ISMS-Änderung braucht eine dokumentierte Planung, und ausgelagerte Prozesse (Cloud-Services, Managed Security) müssen genauso gesteuert werden wie interne.
Ein weiterer Punkt, der oft übersehen wird: Die Attribut-basierte Kategorisierung in der ISO 27002:2022 ermöglicht es, Controls nach Risikoeigenschaften zu filtern. Jedes Control ist mit fünf Attributen getaggt: Control-Typ (preventive, detective, corrective), Informationssicherheits-Eigenschaft (CIA-Triade), Cybersecurity-Konzept (identify, protect, detect, respond, recover), operative Fähigkeit und Sicherheitsdomäne. Das erleichtert die Risikobehandlung: Wenn Ihre Risikobewertung eine Schwäche bei der Erkennung (detect) identifiziert, können Sie gezielt alle Controls mit diesem Attribut filtern.
Praxisbeispiel
Ein mittelständisches IT-Unternehmen mit bestehender ISO 27001:2013 Zertifizierung stellt bei der Gap-Analyse fest: Die bisherigen 14 Kategorien hatten Redundanzen bei Access Control (A.9) und Cryptography (A.10). In der 2022er-Struktur fallen beide unter "Technological Controls", was die Dokumentation vereinfacht. Gleichzeitig fehlen die neuen Controls für Cloud Security (A.5.23) und Threat Intelligence (A.5.7) komplett. Das sind die Bereiche, die bei der Migration am meisten Arbeit erfordern.
Wer die Vorgängerversion im Detail verstehen möchte und wie sich bestehende Zertifizierungen auswirken, findet eine vollständige Analyse in ISO 27001:2013: Was Sie wissen müssen.
Die ISO 27001:2022 strukturiert ihre 93 Controls in vier Kategorien: Organisatorisch (37 Controls), Personenbezogen (8), Physisch (14) und Technologisch (34). Das ist eine fundamentale Vereinfachung gegenüber den 14 Gruppen der Vorgängerversion.
Der Vorteil liegt nicht nur in der Übersichtlichkeit. Die neue Struktur folgt einer logischen Frage: Wer ist für die Umsetzung verantwortlich? Organisatorische Controls liegen bei der Geschäftsführung und dem ISMS-Team. Personenbezogene Controls betreffen HR und Schulung. Physische Controls fallen in den Bereich Facility Management. Technologische Controls gehören zur IT-Abteilung. Diese Zuordnung macht die Verantwortungsverteilung klarer als die alte thematische Gruppierung, bei der ein Thema wie "Kommunikationssicherheit" (A.13 in der 2013er-Version) sowohl organisatorische als auch technische Aspekte vermischt hat.
Informationssicherheitsrichtlinien, Rollen und Verantwortlichkeiten, Klassifizierung von Informationen, Lieferantenmanagement. Neu hinzugekommen sind Threat Intelligence (A.5.7), Cloud-Nutzung (A.5.23) und ICT Readiness for Business Continuity (A.5.30). Die ISO 27002:2022 empfiehlt für A.5.7 etwa die regelmäßige Auswertung von Threat Feeds und die Integration in das Risikomanagement. A.5.23 verlangt, dass Cloud-Services denselben Sicherheitsanforderungen unterliegen wie On-Premises-Systeme, was viele Unternehmen bisher nicht formalisiert hatten.
Screening vor der Einstellung, Awareness-Schulungen, Disziplinarmaßnahmen, Verantwortlichkeiten nach Beendigung des Arbeitsverhältnisses. Diese Kategorie ist kompakt, aber häufig der Bereich mit den meisten Audit-Findings. Der Grund: Schulungsnachweise fehlen, sind veraltet oder decken nicht alle Rollen ab. Besonders A.6.3 (Information Security Awareness) wird oft zu generisch umgesetzt. Die 27002:2022 empfiehlt rollenbasierte Schulungen statt One-Size-Fits-All-Webinare.
Perimeterschutz, Zutrittskontrollen, Schutz von Geräten und Medien, sichere Entsorgung. Die ISO 27002:2022 ergänzt hier Empfehlungen zum Monitoring physischer Sicherheitszonen, die über klassische Zutrittskarten hinausgehen. In einer Welt mit Hybrid-Arbeitsmodellen gewinnt A.7.9 (Security of Assets Off-Premises) an Bedeutung: Laptops im Homeoffice brauchen denselben Schutz wie Geräte im Büro.
Endpoint Security, Netzwerksicherheit, Kryptografie, Secure Development. Neu hinzugekommen sind Data Masking (A.8.11), Data Leakage Prevention (A.8.12), Web Filtering (A.8.23) und Secure Coding (A.8.28). Diese Kategorie hat den größten Zuwachs an neuen Controls, weil sich die technische Bedrohungslandschaft seit 2013 fundamental verändert hat. A.8.28 (Secure Coding) war längst überfällig: Die meisten Sicherheitsvorfälle in Webanwendungen lassen sich auf unsichere Entwicklungspraktiken zurückführen.
Eine vollständige Übersicht aller 93 Controls mit konkreten Umsetzungstipps finden Sie in unserem Guide zu den Anhang-A-Controls.
Die Übergangsfrist von ISO 27001:2013 auf ISO 27001:2022 endete am 31. Oktober 2025. Seit diesem Datum sind Zertifizierungen nach der 2013er-Version ungültig. Akkreditierte Zertifizierungsstellen dürfen keine Audits mehr nach dem alten Standard durchführen. Das IAF Mandatory Document 26 regelte die Transition: Unternehmen hatten ab dem 25. Oktober 2022 genau 36 Monate Zeit für die Umstellung.
Je nach Ausgangslage ergeben sich drei unterschiedliche Szenarien.
Szenario: Bestehende 2013-Zertifizierung
Unternehmen, die bis zum 31.10.2025 ein Transition Audit absolviert haben, sind auf die 2022er-Version migriert. Wer die Frist verpasst hat, muss eine Neuzertifizierung nach ISO 27001:2022 durchführen. Das bedeutet: Stage 1 und Stage 2 Audit von Grund auf, nicht nur ein Delta-Audit. Der Zeitaufwand und die Kosten steigen dadurch erheblich, weil der Zertifizierer das gesamte ISMS neu prüfen muss statt nur die Änderungen.
Szenario: Neu-Zertifizierung geplant
Wer jetzt erstmals eine ISO 27001 Zertifizierung anstrebt, zertifiziert sich direkt nach der 2022er-Version. Die 2013er-Version ist keine Option mehr. Der vollständige Zertifizierungsprozess mit allen Audit-Stufen dauert erfahrungsgemäß 6 bis 12 Monate, abhängig von der Unternehmensgröße und dem ISMS-Reifegrad. Je kleiner das Unternehmen und je fokussierter der ISMS-Scope, desto schneller geht es.
Szenario: Noch kein ISMS vorhanden
Unternehmen ohne bestehendes ISMS bauen direkt nach ISO 27001:2022 auf. Die 2013er-Version spielt hier keine Rolle. Der Vorteil: Keine Altlasten, kein Migrationsaufwand. Die Dokumentation muss nicht umgebaut, sondern nur einmal korrekt aufgebaut werden. Mit einer ISMS-Plattform wie SECJUR lässt sich die Vorbereitungszeit erfahrungsgemäß um bis zu 50 % verkürzen, weil Vorlagen, Workflows und Mappings auf die 2022er-Controls bereits integriert sind.
Was tun, wenn die Frist verpasst wurde?
Eine verspätete Migration ist kein Beinbruch, aber teurer als eine rechtzeitige. Wer die Frist verpasst hat, sollte sofort einen Zertifizierungsdienstleister kontaktieren und einen Termin für das Stage 1 Audit vereinbaren. Parallel dazu: Gap-Analyse gegen die 2022er-Anforderungen durchführen, fehlende Controls (insbesondere die 11 neuen) implementieren und die Dokumentation aktualisieren. Priorisieren Sie die Controls, die Ihr Risikoprofil am stärksten betreffen. Je schneller das passiert, desto kürzer die Lücke in der Zertifizierung.
Wie Sie eine systematische Risikobewertung nach ISO 27001 durchführen, erklären wir Schritt für Schritt in einem eigenen Leitfaden.
Die NIS2-Richtlinie macht ISO 27001 zur de-facto-Pflicht für rund 29.000 Unternehmen in Deutschland. §30 des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) verlangt von betroffenen Unternehmen Risikomanagement-Maßnahmen nach dem "Stand der Technik". ISO 27001 ist der international anerkannte Standard, der diesen Stand der Technik für Informationssicherheit definiert.
Die Verbindung ist kein Zufall: Die zehn Maßnahmenbereiche aus §30 NIS2UmsuCG lesen sich wie das Inhaltsverzeichnis eines ISMS. Risikoanalyse, Incident Management, Business Continuity, Lieferkettensicherheit, Kryptografie, Zugriffskontrolle. Wer ein ISMS nach ISO 27001:2022 betreibt, erfüllt die technisch-organisatorischen NIS2-Anforderungen weitgehend. Wer keins hat, muss genau diese Strukturen trotzdem aufbauen.
Für Unternehmen, die bereits ISO 27001 zertifiziert sind, ergibt sich ein konkreter Vorteil: Sie können dem BSI gegenüber nachweisen, dass ihr Risikomanagement dem Stand der Technik entspricht. Das ersetzt nicht die Registrierungspflicht oder die Meldepflichten nach §32, aber es deckt den umfangreichsten Teil der NIS2-Compliance ab. Wer noch kein ISMS hat und unter NIS2 fällt, sollte die ISO 27001:2022 als Rahmen nutzen, statt die zehn Maßnahmenbereiche aus §30 einzeln und ohne System umzusetzen.
Wichtig dabei: Die 2022er-Version ist hier klar im Vorteil gegenüber der alten. Die elf neuen Controls decken NIS2-Anforderungen ab, die mit der 2013er-Version noch Lücken gelassen hätten. Supply-Chain-Sicherheit (§30 Abs. 2 Nr. 4 NIS2UmsuCG) wird durch die neuen Controls A.5.19 bis A.5.22 systematisch adressiert. ICT Readiness for Business Continuity (A.5.30) schließt die Lücke zu den NIS2-Anforderungen an Krisenmanagement und Wiederherstellung (§30 Abs. 2 Nr. 3). Unternehmen, die jetzt ein ISMS aufbauen, profitieren davon, beide Anforderungswelten in einem System abzudecken.
"Die Migration auf ISO 27001:2022 ist mehr als ein Versionsupdate. Cloud Security, Threat Intelligence und Data Leakage Prevention waren 2013 Nischenthemen. Heute sind sie Pflichtprogramm. Unternehmen, die jetzt auf die 2022er-Version umsteigen, schließen nicht nur eine Zertifizierungslücke, sondern die Lücke zwischen ihrem ISMS und der realen Bedrohungslage."
Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR
NIS2-Check: Braucht mein Unternehmen ISO 27001?
NIS2 betrifft Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz in 18 definierten Sektoren (Energie, Transport, Gesundheit, Digitale Infrastruktur u.a.). Wenn Ihr Unternehmen in diese Kategorie fällt, ist ein ISMS nach ISO 27001 der effizienteste Weg, die NIS2-Anforderungen zu erfüllen. Die Alternative wäre, die §30-Maßnahmen einzeln nachzuweisen, was in der Praxis deutlich aufwändiger ist als eine strukturierte ISMS-Implementierung.
Die Migration auf ISO 27001:2022 (oder der Neuaufbau eines ISMS) erfordert eine systematische Gap-Analyse, die Implementierung fehlender Controls und die Aktualisierung der gesamten ISMS-Dokumentation. Das ist mit klassischer Beratung möglich, bindet aber erhebliche interne Ressourcen über Monate. Der Aufwand verteilt sich auf Dokumentation, Risikoanalyse, Control-Implementierung und Audit-Vorbereitung.
Das SECJUR Digital Compliance Office bildet die ISO 27001:2022-Anforderungen digital ab. Die Plattform enthält Vorlagen und Workflows für alle 93 Controls, basierend auf den Umsetzungsempfehlungen der ISO 27002:2022. Die integrierte Gap-Analyse zeigt, welche Controls bereits erfüllt sind und wo Handlungsbedarf besteht. Für Unternehmen, die von der 2013er-Version migrieren, identifiziert die Plattform automatisch die Deltas zu den elf neuen Controls.
Der Zeitvorteil ist konkret: Statt 9 bis 12 Monate mit einem Berater rechnen viele KMU mit einer Plattform wie SECJUR mit 3 bis 6 Monaten. Der Grund liegt nicht in einer Abkürzung, sondern in der Automatisierung wiederkehrender Aufgaben: Risikobewertung, Maßnahmenzuordnung, Dokumentenvorlagen und Audit-Checklisten sind vorkonfiguriert statt von Grund auf erstellt zu werden.
Ein konkreter Anwendungsfall: Ein Unternehmen mit bestehender 2013-Zertifizierung lädt seine aktuelle Statement of Applicability (SoA) in die Plattform. SECJUR mappt die bisherigen 114 Controls auf die neue 93-Control-Struktur und zeigt drei Ergebnisse: Controls, die direkt übertragen werden können, Controls, die zusammengelegt wurden und deren Dokumentation konsolidiert werden muss, und die elf neuen Controls, die komplett neu implementiert werden müssen. Dieser Mapping-Schritt allein spart erfahrungsgemäß zwei bis vier Wochen gegenüber einer manuellen Analyse. Den gesamten ISMS-Scope richtig zu definieren ist dabei die Grundlage für eine erfolgreiche Migration.
Wie interne Audits und Management Reviews nach ISO 27001 ablaufen, erfahren Sie in einem eigenen Leitfaden.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Die ISO/IEC 27001:2022 ist die aktuelle Version des internationalen Standards für Informationssicherheits-Managementsysteme (ISMS). Sie ersetzt die Vorgängerversion von 2013 und enthält 93 Controls in vier Kategorien statt der bisherigen 114 Controls in 14 Kategorien.
Die wichtigsten Änderungen: Die Control-Struktur wurde von 14 auf 4 Kategorien vereinfacht (93 statt 114 Controls), 11 neue Controls wurden ergänzt (u.a. Cloud Security, Threat Intelligence), die Normstruktur folgt jetzt der Harmonized Structure, und die operativen Anforderungen an Änderungsmanagement wurden verschärft.
Die Übergangsfrist endete am 31. Oktober 2025. Bestehende Zertifizierungen nach ISO 27001:2013 sind seitdem ungültig. Unternehmen, die die Frist verpasst haben, müssen eine vollständige Neuzertifizierung nach der 2022er-Version durchführen.
Nicht direkt, aber de facto ja. Die NIS2-Richtlinie verlangt von rund 29.000 Unternehmen in Deutschland Risikomanagement nach dem Stand der Technik. ISO 27001 ist der anerkannte Standard, der diesen Stand definiert. Ein ISMS nach ISO 27001 erfüllt die technisch-organisatorischen NIS2-Anforderungen weitgehend.
ISO 27001 definiert die Anforderungen an ein ISMS und ist der zertifizierbare Standard. ISO 27002 liefert detaillierte Umsetzungsempfehlungen für die Controls aus Anhang A der ISO 27001. Die 27002 ist kein Zertifizierungsstandard, sondern das Praxishandbuch für die Implementierung.
Das BSI ist die zentrale Aufsichtsbehörde für NIS2 in Deutschland. Registrierungspflicht, Aufsichtsmaßnahmen und Audit-Vorbereitung im Überblick.
Tauchen Sie ein in die Welt der Datenschutz-Grundverordnung (DSGVO) und erfahren Sie in unserem neuen Blogartikel alles Wichtige rund um dieses bedeutende Thema. Erfahren Sie, was die DSGVO ist und warum sie eine immense Bedeutung hat. Entdecken Sie die vielfältigen Anforderungen und Maßnahmen, die Unternehmen beachten und umsetzen müssen, um im Einklang mit der DSGVO zu agieren. Tauchen Sie ein in konkrete Anwendungsbeispiele aus dem Unternehmensalltag und erhalten Sie wertvolle Tipps, wie Unternehmen die DSGVO einfach einhalten können.
Viele Unternehmen lagern zentrale Prozesse an externe Dienstleister aus, doch die Verantwortung für Informationssicherheit bleibt immer intern. Dieser Leitfaden zeigt praxisnah, wie Sie mit ISO 27001 Kapitel 8.4 Outsourcing- und Lieferkettenrisiken systematisch steuern, Lieferanten wirksam kontrollieren und Sicherheitslücken in der Lieferkette vermeiden. So machen Sie externe Abhängigkeiten zu einem kontrollierten Bestandteil Ihrer Compliance-Strategie.
.svg)
.svg)
.svg){kind=small}