Ab wann gilt ISO 27001:2022 verpflichtend?

ISO 27001:2022 gilt seit dem 31. Oktober 2025 als einzige anerkannte Version. Zertifizierungsaudits werden seither ausschließlich nach der 2022er Norm durchgeführt. Die Transition-Frist für bestehende 2013er Zertifikate lief an diesem Datum ab.

Muss ich mein 2013-Zertifikat neu machen?

Wenn du die Transition bis zum 31. Oktober 2025 nicht abgeschlossen hast, gilt dein Zertifikat als ungültig und du benötigst eine vollständige Rezertifizierung nach ISO 27001:2022. Falls du rechtzeitig transitioniert hast, ist dein Zertifikat weiterhin gültig und läuft normal durch den Surveillance-Zyklus.

Welche Controls sind in ISO 27001:2022 weggefallen?

Es sind keine Controls ersatzlos weggefallen. Die Reduzierung von 114 auf 93 Controls entstand durch Konsolidierung: 24 Controls wurden zu weniger Controls zusammengefasst. Inhaltlich wurden keine Anforderungen gestrichen, sie wurden lediglich strukturell neu organisiert.

Was ist neu bei Cloud-Sicherheit in ISO 27001:2022?

Control A.5.23 ist neu und adressiert explizit die Informationssicherheit bei der Nutzung von Cloud-Diensten. Es fordert einen strukturierten Prozess für Auswahl, Konfiguration, Überwachung und Beendigung von Cloud-Nutzung unter Berücksichtigung des Shared-Responsibility-Modells.

Kostet eine Rezertifizierung nach 2022 extra?

Ja. Eine Rezertifizierung ist teurer als ein reguläres Surveillance-Audit, aber günstiger als eine vollständige Erstzertifizierung, da das ISMS bereits existiert. Die genauen Kosten hängen von der gewählten Zertifizierungsstelle und dem Unternehmensumfang ab. Typisch liegen Rezertifizierungen bei 40 bis 60 Prozent der Erstauditkosten.

Gibt es noch Auditoren, die nach ISO 27001:2013 auditieren?

Nein. Seit dem 1. November 2022 dürfen akkreditierte Zertifizierungsstellen keine Audits mehr nach der 2013er Norm durchführen. Alle Zertifizierungsaudits finden seitdem ausschließlich nach ISO/IEC 27001:2022 statt.

ISO 27001 Content Hub

ISO 27001:2022 Update: Die 11 neuen Controls und der Weg von 2013

Die wichtigsten Änderungen der ISO 27001 Revision: 11 neue Controls, 4 Kategorien statt 14, Threat Intelligence, Cloud Services und das praktische Mapping von 2013 nach 2022.

ISO 27001:2022 wurde im Oktober 2022 veröffentlicht und löst die Version von 2013 ab. Die Transition-Frist für bestehende 2013er- Zertifikate lief bis zum 31. Oktober 2025 ab. Dieser Artikel zeigt die Kernänderungen der Revision, die elf komplett neuen Controls und ein praktisches Mapping der wichtigsten Kontrollnummern von 2013 nach 2022 damit du verstehst, was sich für dein ISMS konkret ändert.

Kernänderungen im Überblick

Der Annex A (Referenzmaßnahmenziele) wurde strukturell grundlegend überarbeitet. Die Zahl der Controls schrumpfte von 114 (in 2013) auf 93 (in 2022), verteilt auf jetzt 4 thematische Kategorien statt 14 Abschnitte. Dabei wurden 24 Controls zusammengefasst (Konsolidierung), 58 Controls inhaltlich unverändert übernommen (reine Umnummerierung), und 11 Controls sind vollständig neu. Die Hauptnorm (Klauseln 4 bis 10) hat sich nur geringfügig geändert, unter anderem wurden in Klausel 6.3 Anforderungen an die Planung von Änderungen ergänzt.

Die Kernaussage der Revision lautet: ISO 27001:2022 adressiert explizit die modernen Risiken der Cloud-Ära und der vernetzten Lieferketten. Die elf neuen Controls sind kein akademisches Konstrukt, sondern die direkte Antwort auf Bedrohungen, die 2013 noch nicht in der Breite existierten.

Die 4 neuen Control-Kategorien

Statt der alten 14 Abschnitte (A.5 bis A.18) gibt es jetzt vier thematische Kategorien mit insgesamt 93 Controls:

•A.5 Organisatorische Controls: 37 Controls zu Richtlinien, Rollen, Risikomanagement, Lieferantenbeziehungen, Vorfallmanagement und Business Continuity.
•A.6 Personenbezogene Controls: 8 Controls zu Überprüfung vor der Beschäftigung, Beschäftigungsbedingungen, Disziplinarmaßnahmen, Fernarbeit und Meldung von Vorfällen.
•A.7 Physische Controls: 14 Controls zu physischer Sicherheit, Büro- und Betriebssicherheit, physischer Sicherheitsüberwachung, Arbeiten in sicheren Bereichen und Clear-Desk-Policy.
•A.8 Technologische Controls: 34 Controls zu Endgeräten, privilegierten Zugriffsrechten, Kryptografie, Schwachstellenmanagement, Netzwerksicherheit, sicherer Entwicklung und Monitoring.

Die 11 neuen Controls im Detail

Diese elf Controls existierten in ISO 27001:2013 nicht. Sie müssen bei einer Erst- oder Re-Zertifizierung nach 2022 im Statement of Applicability adressiert und, wenn anwendbar, implementiert werden.

Control	Titel	Beschreibung
A.5.7	Threat intelligence	Prozess zur systematischen Sammlung, Analyse und Nutzung von Bedrohungsinformationen. Organisationen müssen aktuelle Angreifer-Taktiken kennen und in ihre Risikoanalyse einbeziehen.
A.5.23	Information security for use of cloud services	Klares Sicherheitsmanagement für Cloud-Dienste: Auswahl, Konfiguration, Überwachung und Beendigung von Cloud- Nutzungsverträgen unter Berücksichtigung von Shared- Responsibility-Modellen.
A.5.30	ICT readiness for business continuity	Spezifische Vorbereitung der ICT-Infrastruktur für Business-Continuity-Szenarien: Recovery-Ziele (RTO/RPO) für kritische Systeme müssen definiert und regelmäßig getestet werden.
A.7.4	Physical security monitoring	Kontinuierliche Überwachung physischer Zonen und sensibler Bereiche, zum Beispiel durch Zutrittsprotokolle, CCTV oder Alarmsysteme mit definierten Eskalationspfaden.
A.8.9	Configuration management	Dokumentierte Baseline-Konfigurationen (Hardening) für alle IT-Systeme: Server, Netzwerkgeräte, Endpoints. Abweichungen von der Baseline müssen erkannt und begründet werden.
A.8.10	Information deletion	Definierte Löschkonzepte nach Ablauf der Aufbewahrungsfristen: sichere Löschverfahren für Datenträger, Cloud-Storage und Endgeräte unter Berücksichtigung gesetzlicher Vorgaben.
A.8.11	Data masking	Anonymisierungs- und Pseudonymisierungsverfahren für personenbezogene Daten in Entwicklungs-, Test- und Analyseumgebungen, um das Expositionsrisiko zu minimieren.
A.8.12	Data leakage prevention	DLP-Controls zur Verhinderung des unautorisierten Abflusses sensibler Daten: technische Maßnahmen wie E-Mail-Scanning, Endpunkt-DLP und Cloud-Access-Security-Broker.
A.8.16	Monitoring activities	Systematische Log-Analyse und Anomaly Detection über alle kritischen Systeme hinweg: SIEM-Integration, Alert-Regeln, definierte Review-Zyklen und Eskalationspfade für Anomalien.
A.8.23	Web filtering	URL- und DNS-basierte Filterung von Webzugriffen zum Schutz vor Malware und Phishing: Category-Blocking, Allow-/Deny- Listen und Logging aller Filterereignisse.
A.8.28	Secure coding	Dokumentierte Secure-Coding-Richtlinien für die Softwareentwicklung: OWASP Top 10, Code Reviews, Static Application Security Testing (SAST), Dependency-Scanning und Schulungen für Entwickler.

2013 zu 2022: Mapping wichtiger Kontrollbereiche

Die folgende Tabelle zeigt, wie wichtige Kontrollbereiche aus ISO 27001:2013 in die neue Struktur von 2022 überführt wurden. Sie erhebt keinen Anspruch auf Vollständigkeit, sondern zeigt die praxisrelevanten Beispiele für die Transition.

ISO 27001:2013	ISO 27001:2022	Änderung
A.6.1.1	A.5.2	Umbenannt (Rollen und Verantwortlichkeiten)
A.9 (Zugang)	A.5.15-A.5.18, A.8.2-A.8.5	Aufgeteilt auf org. und tech. Kategorien
A.11 (Physisch)	A.7	Neue Kategorie A.7 Physische Controls
A.16 (Incident)	A.5.24-A.5.28	Konsolidiert in org. Kategorie A.5
A.18 (Compliance)	A.5.31-A.5.37	Neu nummeriert in org. Kategorie A.5

Was bedeutet das für bestehende Zertifikate?

Die Transition-Frist lief am 31. Oktober 2025 ab. ISO/IEC 27001:2013- Zertifikate, die bis dahin nicht auf die 2022er Version transitiert wurden, gelten seitdem als ungültig. Zertifizierungsaudits werden seit dem 1. November 2022 ausschließlich nach ISO/IEC 27001:2022 durchgeführt. Das betrifft sowohl Rezertifizierungen als auch Surveillance-Audits. Wenn du noch ein 2013er Zertifikat hattest und die Transition verpasst hast, musst du eine vollständige Rezertifizierung nach dem 2022er Standard durchführen.

Neue Zertifizierungen seit 2022

Seit der Veröffentlichung im Oktober 2022 laufen alle Erstzertifizierungen direkt nach ISO/IEC 27001:2022. Die Norm wurde in Deutschland als DIN EN ISO/IEC 27001:2024 veröffentlicht und ist international gültig. Wenn du heute mit einer Zertifizierung beginnst, arbeitest du ausschließlich mit der 2022er Struktur: 93 Controls in 4 Kategorien, inklusive der elf neuen Controls.

Praktische Auswirkungen für dein ISMS

Für Unternehmen, die nach 2022 arbeiten oder transitieren, ergeben sich konkrete To-Dos:

1.Statement of Applicability aktualisieren: Das SoA muss auf 93 Controls nach 2022-Struktur umgestellt werden. Alle elf neuen Controls müssen explizit adressiert werden, entweder mit konkreter Implementierung oder mit begründetem Ausschluss.
2.Risikoregister prüfen: Cloud-Risiken (A.5.23) und Threat Intelligence (A.5.7) wurden in vielen 2013er-ISMS-Projekten unterbelichtet. Diese Lücken müssen explizit im Risikoregister erfasst und bewertet werden.
3.Secure-Coding-Policy ergänzen: A.8.28 fordert dokumentierte Secure-Coding-Richtlinien. Falls du Software entwickelst oder entwickeln lässt, braucht dein Unternehmen eine entsprechende Policy mit konkreten Vorgaben (z. B. OWASP Top 10 als Mindeststandard).
4.DLP-Strategie definieren: A.8.12 fordert konkrete Data-Leakage-Prevention-Maßnahmen. Das kann von technischen Lösungen bis zu organisatorischen Kontrollen reichen, muss aber dokumentiert und im SoA adressiert sein.

Der interaktive Control-Explorer zeigt dir alle 93 Controls der 2022er Struktur mit Cross-Mappings zu NIS2, TISAX, DSGVO und BSI IT-Grundschutz. Damit siehst du sofort, wo die neuen Controls mit anderen regulatorischen Anforderungen überschneiden.

Nächster Schritt

Wenn du dein ISMS auf ISO 27001:2022 anpassen oder erstmals zertifizieren willst, sind der Control-Explorer und das SoA-Template deine praktischen Einstiegspunkte. Beides ist kostenlos verfügbar.

Jetzt starten:

Weitere ISO 27001 Themen

Start

ISO 27001 Übersicht

ISMS-Standard, Anwendungsbereich, Nutzen

Zertifizierung

Roadmap

12-Monats-Plan zur ISO 27001-Zertifizierung

Statement of Applicability

SoA erklärt + CC-BY-4.0 Template zum Download

Audit-Vorbereitung

Stage 1 + 2 Prüfpunkte und Checklisten zum Download

Kosten

Ehrlicher Kostenvergleich ISO 27001

Annex A Controls

Control-Explorer

93 Controls interaktiv mit Cross-Mappings zu NIS2/TISAX/DORA

Branchen-Anwendung

Manufacturing

ISO 27001 in produzierenden Betrieben

Finance

ISO 27001 im Finanzsektor - mit DORA-Kontext

Healthcare

ISO 27001 im Gesundheitswesen - mit NIS2-Kontext

Framework-Mapping

ISO 27001 vs. NIS2

85 % Überlappung - so nutzt du beides gemeinsam

Lass uns über deine ISO 27001-Einführung sprechen

Kostenlos & unverbindlich