ISO 27001:2022 Übergang: Was sich konkret ändert und wie Sie nachziehen

Mit der Veröffentlichung der ISO/IEC 27001:2022 im Oktober 2022 hat die ISO eine grundlegende Neustrukturierung des Annex A vollzogen. Die Übergangsfrist endet nach IAF-Resolution am 31. Oktober 2026. Wer bis dahin nicht auf die neue Fassung umgestellt hat, verliert die Zertifizierung. Im Kern sind es 93 Controls statt 114, vier statt vierzehn Themen-Bereiche und elf neue Controls, die zuvor nicht explizit gefordert waren. Die zugrundeliegende Hauptnorm (Klauseln 4 bis 10) wurde dagegen nur marginal angepasst, mit dem Schwerpunkt auf der Klausel 6.3 (geplante Änderungen). Für Bestandskunden mit gültigem Zertifikat heißt das: Der Übergangs-Audit wird häufig mit dem nächsten Überwachungs- oder Rezertifizierungstermin verbunden.

Dieser Beitrag fokussiert auf das Delta zwischen 2013 und 2022 und auf die Frage, was das für das Tagesgeschäft des ISB, für die Soll-Maßnahmen-Liste (Statement of Applicability, SoA) und für die Aufwände im internen und externen Audit bedeutet. Sie erhalten einen Überblick, welche Controls neu sind, welche zusammengelegt wurden, wie die Übergangsplanung mit dem Zertifizierer abläuft und an welcher Stelle die Plattform-Sicht den Aufwand spürbar reduziert. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Am Ende steht eine Einschätzung, in welchem Modell der Übergang am verlässlichsten gelingt.

Die augenfälligste Änderung ist die Neuordnung des Annex A. Statt vierzehn Abschnitten (A.5 bis A.18) gibt es jetzt vier Themengruppen: organisatorische Controls (A.5), personenbezogene Controls (A.6), physische Controls (A.7) und technologische Controls (A.8). Diese Vier-Themen-Logik orientiert sich an der ISO/IEC 27002:2022, die parallel als Leitfaden für die Umsetzung der Controls neu strukturiert wurde. Die alten Abschnitte sind in den vier Gruppen aufgegangen, einige Controls wurden zusammengefasst, andere präzisiert. Die Struktur ist dadurch besser handhabbar, weil Themen wie Zugriff, Daten oder Lieferantenbeziehungen nicht mehr über mehrere Abschnitte verstreut sind.

Konkret enthält der Annex A:2022 nun 93 Controls. Im Vergleich zur Vorgängerfassung mit 114 Controls bedeutet das eine spürbare Konsolidierung, aber keine Erleichterung. Die Inhalte der zusammengefassten Controls bleiben erhalten, sie sind nur kompakter strukturiert. Wer ein bestehendes Statement of Applicability (SoA) übersetzt, muss eine Mapping-Tabelle vom alten in den neuen Annex erstellen, mit Begründung für jeden Control-Status (anwendbar oder nicht anwendbar). Das ist Pflicht, nicht Kür: Ohne nachvollziehbare Mapping-Begründung wird der Auditor in jedes einzelne Control nachfragen.

Hinzu kommen Attribut-Klassifizierungen, die ISO/IEC 27002:2022 einführt: Control-Typ (präventiv, detektivisch, korrektiv), Information-Sicherheitsziel (Vertraulichkeit, Integrität, Verfügbarkeit), Cybersecurity-Konzepte (Identify, Protect, Detect, Respond, Recover), operationelle Fähigkeiten und Sicherheitsdomänen. Diese Attribute sind keine Zertifizierungsanforderung, helfen aber bei der Strukturierung des SoA und der Tagging-Logik im Workspace. Für die Auditierbarkeit zählt die Anwendung der Controls, nicht das Attribut-Schema. Der bestellte Informationssicherheitsbeauftragte entscheidet, in welcher Tiefe die Attribute genutzt werden. In kleineren Organisationen reicht die Standard-Tagging-Logik, in größeren Konzernen lohnt sich das volle Attribut-Modell für Reporting an die Geschäftsführung.

Elf Controls sind in der ISO/IEC 27001:2022 vollständig neu. Sie spiegeln die Entwicklung der Bedrohungslage seit 2013 und die zunehmende Bedeutung von Cloud, Datenflüssen und Resilienz wider. Die Liste umfasst: A.5.7 Threat Intelligence, A.5.23 Information Security for Use of Cloud Services, A.5.30 ICT Readiness for Business Continuity, A.7.4 Physical Security Monitoring, A.8.9 Configuration Management, A.8.10 Information Deletion, A.8.11 Data Masking, A.8.12 Data Leakage Prevention, A.8.16 Monitoring Activities, A.8.23 Web Filtering und A.8.28 Secure Coding. Jedes dieser Controls fordert eine Richtlinie, eine Verantwortlichkeit und einen Nachweis der Wirksamkeit über das Berichtsjahr.

Drei dieser Controls sind besonders aufwandsrelevant: A.5.7 Threat Intelligence verlangt eine strukturierte Sammlung und Auswertung von Bedrohungsinformationen, was eine Quellenliste, einen Auswerterhythmus und eine Verbindung zum Risikomanagement nach Klausel 6.1.2 erfordert. A.5.23 Information Security for Use of Cloud Services verlangt Richtlinien für Auswahl, Nutzung und Beendigung von Cloud-Diensten, einschließlich Exit-Strategie. A.8.28 Secure Coding verlangt definierte Sicherheits-Coding-Standards, Schulung und Code-Reviews, was für Software-entwickelnde Organisationen besonders prüfungsrelevant ist.

Die übrigen acht Controls sind in vielen Unternehmen faktisch bereits umgesetzt, etwa Configuration Management (A.8.9) oder Data Leakage Prevention (A.8.12). Hier geht es weniger um den Aufbau neuer Maßnahmen als um die saubere Dokumentation des bestehenden Status. Audit-fest, dokumentiert, § ISO-fest: Der Prüfer ruft an, der Nachweis liegt bereit. Wer den Workspace nutzt, legt für jedes neue Control ein Maßnahmenblatt mit Verantwortlichem, Frequenz, Kontrolle und Verweis auf das Risikoregister an. Die Verknüpfung zum Vorfallsprozess ist insbesondere bei A.8.16 Monitoring Activities und A.5.7 Threat Intelligence prüfungsrelevant, weil hier die Brücke zwischen Sensorik und Reaktionsfähigkeit beobachtet wird. Wer den Vorfallsprozess mit Tickets oder ITSM verknüpft, dokumentiert Reaktionszeiten automatisch.

Die Hauptnorm der ISO/IEC 27001:2022 ist nahezu identisch mit der 2013er-Fassung. Die wichtigste Ergänzung findet sich in Klausel 6.3 Planung von Änderungen. Diese verlangt explizit, dass Änderungen am ISMS in geplanter Weise erfolgen müssen, mit Zweck, Konsequenzen, verfügbaren Ressourcen, Zuweisung von Verantwortlichkeiten und Beachtung der Risikobewertung. Was vorher implizit war, ist jetzt prüfungsrelevant: Änderungsanträge im ISMS werden mit ihrer Begründung und Freigabe dokumentiert. Im Audit wird gezielt nach einer Stichprobe von Änderungen aus dem zurückliegenden Jahr gefragt, inklusive Bewertung der Auswirkung auf das Risiko.

Weitere kleinere Anpassungen betreffen die Klausel 9.3 (Managementbewertung), in der nun explizit die Themen aufgenommen sind, die das Management bewerten muss, sowie eine präzisere Formulierung in Klausel 7.5 zur dokumentierten Information. In der Praxis sind diese Änderungen redaktioneller Natur, sie verändern die Audit-Logik nicht grundlegend. Ein bestehendes ISMS auf Basis 27001:2013 ist mit überschaubarem Aufwand auf 2022 zu übersetzen, wenn die Dokumentation gepflegt ist. Wer dagegen 2013 nur mit Mühe zertifizierungsfähig war, sollte den Übergang als Chance nutzen, das ISMS strukturell aufzuräumen. Ein bestehender Verbesserungsplan aus der letzten Managementbewertung lässt sich häufig direkt in die Übergangsphase überführen.

Wichtiger als die Klauselanpassungen ist die konsistente Verbindung zwischen Hauptnorm und Annex A. Das Statement of Applicability nimmt nun nicht nur auf die 93 Controls Bezug, sondern muss die Auswahl mit Verweis auf die Risikobewertung begründen. Wer im SoA mehrere Controls als nicht anwendbar markiert, sollte die Begründung im Risikoregister festhalten, nicht nur als Fußnote im SoA. Bestellurkunde, unterschrieben, abgelegt, belegbar gilt auch für die Verantwortlichkeit der Top-Management-Freigabe des SoA.

Die Praxis zeigt drei Phasen. Phase 1 (Monate 1 bis 2): Delta-Analyse und Gap-Identifikation. Eine Mapping-Tabelle von 27001:2013 zu 27001:2022 wird erstellt, der Bestand der bestehenden Controls auf die neue Struktur gespiegelt. Die elf neuen Controls werden bewertet: tatsächlich neu oder bereits umgesetzt, aber bisher nicht dokumentiert. Ergebnis ist eine priorisierte Maßnahmenliste mit Ressourcenschätzung und Verantwortlichen. Die Geschäftsleitung erhält in dieser Phase eine erste Aufwandsschätzung als Entscheidungsgrundlage.

Phase 2 (Monate 3 bis 6): Umsetzung. Neue Richtlinien werden geschrieben, etwa für Threat Intelligence, Cloud-Nutzung, Secure Coding. Bestehende Richtlinien werden aktualisiert, das Risikoregister wird auf die neuen Controls bezogen, das SoA wird neu erstellt. Schulungen für ISB, IT-Leitung und kritische Rollen werden durchgeführt. In dieser Phase ist die Verzahnung mit der Datenschutz-Funktion wichtig, weil viele neue Controls (etwa Data Masking, Information Deletion, Data Leakage Prevention) Berührungspunkte mit Art. 32 DSGVO haben.

Phase 3 (Monate 7 bis 9): Internes Audit, Korrektur, Zertifizierungsaudit. Das interne Audit prüft die neuen Controls auf Wirksamkeit, identifizierte Abweichungen werden korrigiert. Die Zertifizierungsstelle führt den Übergangs-Audit durch, häufig kombiniert mit einem Überwachungsaudit oder einer Rezertifizierung. Wer den Übergang in den Audit-Zyklus integriert, spart einen separaten Termin. Die CIVAC-SLA für die ISB-Bestellung liegt bei zwei Werktagen, im klassischen Markt sind zwei bis sechs Wochen üblich, was den Übergangsplan unter Zeitdruck setzen kann. Wer die Bestellung erst nach Phase 1 angeht, läuft Gefahr, das Zeitfenster für interne Audits zu verlieren. Die Stage-1- und Stage-2-Termine der Zertifizierungsstelle sind in der zweiten Jahreshälfte 2026 erfahrungsgemäß stark nachgefragt.

Das Statement of Applicability ist das zentrale Dokument im Zertifizierungsaudit. In der neuen Fassung umfasst es 93 Zeilen, jeweils mit Status (anwendbar oder nicht), Umsetzungsstand, Verweis auf Maßnahme und Verweis auf das Risiko. Die Versuchung, das SoA als reine Tabelle zu führen, ist groß, sie ist aber falsch und im Audit teuer. Jeder Eintrag muss mit dem Risikoregister verknüpft sein, damit der Auditor die Logik nachvollziehen kann: Warum ist Control X anwendbar, welches Risiko adressiert es, welches Risikolevel verbleibt nach Anwendung.

Die Risikobewertung selbst bleibt strukturell unverändert: Identifikation, Analyse, Bewertung, Behandlung. Neu ist, dass die Risikobehandlung explizit auf die 93 Controls verweist. Ein Risiko wie unautorisierter Zugriff auf personenbezogene Daten wird typischerweise mit mehreren Controls adressiert, etwa A.5.15 Access Control, A.8.3 Information Access Restriction, A.8.12 Data Leakage Prevention. Im SoA werden alle drei als anwendbar markiert und mit dem Risiko verknüpft. Diese Vielfach-Verknüpfung ist im Audit erklärungspflichtig und sollte im Workspace mit klaren Referenzen geführt werden.

Wer das SoA und die Risikobewertung in zwei getrennten Excel-Dateien führt, ist im Audit angreifbar, weil die Konsistenz händisch geprüft werden muss. Im CIVAC-Workspace sind SoA und Risikoregister verknüpfte Module: Eine Änderung im Risiko propagiert in das SoA, eine Änderung im Control propagiert in das Risiko. So entsteht eine Audit-feste Aktenlage ohne Excel-Kopien, ohne Versionen-Chaos und ohne mühsame händische Konsolidierung kurz vor dem Audit. Die Plattform-Sicht reduziert den typischen Auditvorbereitungs-Sprint von zwei Wochen auf wenige Tage und gibt dem ISB Kapazität für die fachliche Tiefe statt für Dokumentenpflege.

Der Informationssicherheitsbeauftragte ist die operative Schaltstelle des Übergangs. Er bewertet die elf neuen Controls, koordiniert die Umsetzung mit IT, Recht und Fachbereichen und führt das SoA. Eine Bestellurkunde mit klar definierten Aufgaben, Befugnissen, Zeitbudget und Berichtslinie ist Voraussetzung für die belastbare Arbeit. Ohne Bestellurkunde fehlt im Audit die formale Träger-Funktion, was zu Beanstandungen in Klausel 5.3 (Rollen, Verantwortlichkeiten und Befugnisse) führen kann. Bestellurkunde, unterschrieben, abgelegt, belegbar: Dieser Reflex unterscheidet ein gepflegtes ISMS von einem improvisierten. Bei externer Bestellung wird die Urkunde Teil des Dienstleistungsvertrags und versioniert geführt.

Interne Auditoren benötigen eine Schulung zur 2022er-Fassung, weil sich die Checklisten ändern. Die Schulung sollte vor der Phase 3 stattfinden, damit das interne Audit auf der neuen Norm aufsetzt. Auch das Top-Management ist betroffen: Die Managementbewertung nach Klausel 9.3 ist anzupassen, die Freigabe des aktualisierten SoA ist formal zu dokumentieren. Eine Sitzung mit Protokoll und Beschluss genügt, sofern der Beschluss inhaltlich auf die Übergangsmaßnahmen Bezug nimmt und die Ressourcenzuweisung dokumentiert.

Wer intern keine Kapazität hat, lagert die ISB-Funktion aus. CIVAC ist Compliance-Plattform und Officer-as-a-Service: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Der externe ISB übernimmt die operative Steuerung des Übergangs, die Letztverantwortung bleibt nach § 13 OWiG bei der Geschäftsleitung. Eine Berichtslinie an die Leitung wird mindestens quartalsweise schriftlich geführt, mit Maßnahmenstand, Risiken und Empfehlungen. Im Workspace erzeugt sich der Tätigkeitsbericht aus den ohnehin gepflegten Daten, der ISB liefert die fachliche Bewertung. Die Berichtslinie ist damit nicht abhängig von einzelnen Personen oder Excel-Templates, sondern strukturell verankert.

Die ISO/IEC 27001:2022 wird in der Praxis zunehmend mit weiteren Regulierungen verzahnt. NIS-2 fordert für betroffene Unternehmen ein Risikomanagement nach Art. 21 NIS-2-Richtlinie, das in weiten Teilen auf einem ISMS aufsetzt. Wer 27001:2022-zertifiziert ist, erfüllt mit überschaubarem Mehraufwand die NIS-2-Anforderungen an Risikomanagement, Lieferketten-Sicherheit, Incident-Handling und Business Continuity. Die 24-Stunden-Frühwarnung und die 72-Stunden-Folgemeldung bei NIS-2-Vorfällen ergänzen den ISMS-Vorfallsprozess, ersetzen ihn aber nicht. Frist läuft ab Kenntnis: Der Meldepfad muss daher technisch und organisatorisch erprobt sein, mit Vertretungsregelung und definiertem Eskalationsweg an die Geschäftsleitung.

Die DSGVO setzt nach Art. 32 angemessene technische und organisatorische Maßnahmen voraus. Ein zertifiziertes ISMS ist starkes Indiz, aber nicht automatisch ausreichend, weil die DSGVO auf konkrete Verarbeitungstätigkeiten abstellt. Die elf neuen Controls (insbesondere A.8.10 Information Deletion, A.8.11 Data Masking, A.8.12 Data Leakage Prevention) haben unmittelbare DSGVO-Relevanz. Datenpannen sind nach Art. 33 DSGVO innerhalb von 72 Stunden zu melden, der ISMS-Vorfallsprozess sollte den DSGVO-Meldepfad mit abbilden.

Branchen-spezifische Regulierungen ergänzen das Bild: KRITIS-Sektoren mit BSI-Kritisverordnung, DORA für Finanzdienstleister, das deutsche IT-Sicherheitsgesetz 2.0 und der EU Cyber Resilience Act für vernetzte Produkte. Wer ISO 27001:2022, NIS-2, DSGVO und branchen-spezifische Anforderungen in einem einzigen Compliance-Workspace pflegt, hat im Audit eine konsistente Aktenlage. Wer jede Norm in einem eigenen Aktenordner führt, vervielfacht den Pflegeaufwand und das Risiko von Inkonsistenzen. Die Querverweise zwischen den Normen lassen sich in einer einzigen Aktenstruktur deutlich kostengünstiger pflegen, ohne dass fachliche Tiefe verloren geht. Ein einziges Update einer Richtlinie wirkt zugleich in ISO 27001, NIS-2 und DSGVO, sofern die Verknüpfung korrekt gesetzt ist.

Die ISO/IEC 27001:2022 selbst macht den Übergang nicht aufwändiger, der Aufwand entsteht durch die Pflege von Dokumenten in Word, Excel und SharePoint. Drei Schmerzpunkte tauchen in fast jedem Übergangsprojekt auf: die händische Mapping-Tabelle 2013 zu 2022, die Inkonsistenz zwischen SoA und Risikoregister und die fehlende Versionierung von Richtlinien. Der Auditor erkennt diese Schmerzpunkte sofort, weil sie zu Rückfragen führen, die im sauber gepflegten System nicht entstehen. Auch ein Wechsel des Zertifizierers wird einfacher, weil die Aktenlage nicht erst aufbereitet werden muss.

Der CIVAC-Workspace deckt die ISO/IEC 27001:2022 mit einem strukturierten Modul ab: 93 Controls als Vorlage, jeweils mit Status, Verantwortlichem, Maßnahme, Risikoverknüpfung und Nachweisablage. SoA, Risikoregister, Maßnahmenplan und Auditplan sind verknüpfte Sichten auf denselben Datensatz. Versionsstände werden automatisch geführt, Eskalationsfristen erinnern an Maßnahmenfristen, EU-Datenresidenz ist Standard. Die 490 einsatzbereiten Audit-Vorlagen decken interne Audit-Programme, Managementbewertung, Vorfalldokumentation und Übergangs-Mapping ab. Für Bestandskunden mit gepflegter 2013er-Dokumentation gibt es einen Import-Pfad, der die alten Inhalte strukturiert übernimmt und das Mapping-Sheet in einem Schritt erzeugt. Bestellurkunde, unterschrieben, abgelegt, belegbar: Der Prüfer ruft an, der Nachweis liegt bereit.

Operativ heißt das: Wer den Workspace einsetzt, kann den Übergang in sechs Monaten statt neun abschließen, weil die Mapping-Tabelle und das SoA nicht händisch geführt werden müssen. Der interne Audit nutzt Checklisten direkt aus dem Workspace, der Tätigkeitsbericht des ISB an die Geschäftsleitung erzeugt sich aus den vorhandenen Daten. Aus dem Lesen einen Auftrag machen: Der schnellste Weg in die saubere 2022er-Aktenlage ist die Konsolidierung in einer einzigen Plattform.

Wenn Sie den Übergang vor sich haben, sind drei Fragen entscheidend: Bis wann muss das Übergangsaudit abgeschlossen sein, welche Kapazität hat Ihr ISB für die Umsetzung, und wie ist Ihre aktuelle Dokumentationsqualität. Aus diesen drei Antworten ergibt sich der Maßnahmenplan. Wer noch keinen ISB bestellt hat, klärt diese Frage zuerst. Wer einen ISB hat, der die Übergangsaufwände nicht zusätzlich tragen kann, klärt die Frage der temporären Unterstützung. Eine ehrliche Selbsteinschätzung in dieser Phase spart später den Frust beschleunigter Audit-Vorbereitung.

CIVAC ist Compliance-Plattform und Officer-as-a-Service. Das heißt: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im Workspace-Modell erhalten Sie das ISO/IEC 27001:2022-Modul mit 93 Controls, SoA-Generator, Risikoregister, Maßnahmenplan und 490 Audit-Vorlagen. Im Officer-Modell übernimmt ein bestellter externer ISB mit zertifizierter Qualifikation die operative Steuerung. Die Erstbestellung erfolgt in zwei Werktagen, statt zwei bis sechs Wochen im klassischen Markt. Die Berichtslinie zur Geschäftsleitung wird vertraglich abgesichert.

Beide Modelle lassen sich kombinieren: Workspace für die laufende Pflege, externer ISB für die Übergangsphase. Wenn Sie eine erste Einschätzung wünschen, ob Ihr ISMS bis Oktober 2026 trägt, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten innerhalb von zwei Werktagen eine erste Bewertung mit Modellempfehlung, Aufwandsschätzung und Bestellpfad. Vergleichen Sie die Inhalte auch mit unserem Übergangs-Brief zum Stichtag Oktober 2026. Aus dem Lesen einen Auftrag machen: Der schnellste Weg in eine saubere 2022er-Aktenlage ist die belastbare Bestellung, getragen von einem ISB mit Mandat, Workspace und einem klaren Übergangsplan bis Oktober 2026.