Warum jetzt der richtige Zeitpunkt für den Umstieg ist
Die ISO / IEC 27001 gilt weltweit als Referenzrahmen für ein systematisches Informationssicherheits-Management (ISMS). Mit der neuen Version ISO 27001:2022 reagiert die Norm auf veränderte Bedrohungslagen, moderne Technologien (Cloud, IoT, Remote Work) und steigende regulatorische Anforderungen. Für Unternehmen, die bereits nach ISO 27001:2013 zertifiziert sind oder eine Zertifizierung anstreben, stellt sich die Frage: Was genau hat sich geändert – und welche Vorteile bringt das Update? Wir finden es heraus in unserem Vergleich ISO 27001 2013 2022.
Im Folgenden erhalten Sie eine praxisrelevante Gegenüberstellung von ISO 27001:2013 und ISO 27001:2022. Damit können Sie rasch entscheiden, wie Sie Ihr ISMS zukunftssicher aufstellen und den Übergang zu ISO 27001:2022 planen können.
Kernunterschiede im Detail: Vergleich ISO 27001 2013 2022
1. Struktur & Terminologie
- Die übergeordnete Struktur bleibt, wurde aber sprachlich geschärft und an andere Managementsystem-Normen (ISO 9001, 14001 usw.) angepasst.
- Neue Klarheit bei Begriffen: z. B. “Informationssicherheitsziele” statt “ISMS-Ziele”.
2. Annex A – Controls. Vergleich zwischen ISO 27001 2013/2022
- Reduktion von 114 auf 93 Controls durch Zusammenlegung von Maßnahmen.
- 11 neue Controls, u. a. “Threat Intelligence”, “Informationssicherheit für die Nutzung von Cloud-Diensten” und “IKT-Bereitschaft für Business Continuity”.
- Kategorisierung in 4 Themenbereiche (Organisatorische, People, Physische und technische Controls) statt 14 Domänen.
3. Risikomanagement & Planung
- Konkretisierte Anforderungen an die Planung von Änderungen (Abschnitt 6.3).
- Stärkerer Fokus auf kontinuierliche Verbesserung: KPIs und Management Review müssen klar messbare Ergebnisse liefern.
4. Dokumentation & Nachweisführung
- Mehr Freiraum bei der Anforderung: “Dokumentierte Information”, Beispiele für digitale Nachweise (Ticketsysteme, Dashboards) wurden ergänzt.
- Klare Abgrenzung zwischen “aufbewahren” und “aufzeichnen” erleichtert Audit-Vorbereitung.
5. Integration & Aufwand
- Durch die Überarbeitung der Normstruktur lassen sich Qualitäts-, Umwelt- oder Arbeitssicherheitsmanagementsysteme leichter integrieren.
- In der Regel 20-30 % weniger Pflegeaufwand für die Dokumentation der Controls (Erfahrungswerte aus Pilot-Audits).
Tabelle: Vergleich ISO 27001 2013 2022
| Aspekt | ISO 27001:2013 | ISO 27001:2022 | Praktische Auswirkung |
| Anzahl Controls | 114 | 93 | Weniger Redundanz, klarere Priorisierung |
| Control-Gliederung | 14 Domänen | 4 Kategorien | Besseres Mapping zu Risiken |
| Neue Controls | – | 11 | Abdeckung aktueller Bedrohungen (Cloud, IoT, Threat Intelligence) |
| Abschnitt 6.3 “Planung von Änderungen” | nicht explizit | neu gefordert | Verbessertes Change Management des ISMS |
| Übergangsfrist | – | 3 Jahre ab 25.10.2022 (bis 31.10.2025) | Planung spätestens 2024 starten |
Die Übergangsfrist gilt bis 31. Oktober 2025. Spätestens bis dahin müssen Überwachungs- oder Rezertifizierungsaudits nach ISO 27001:2022 erfolgen.
In der Praxis reicht meist ein halbtägiges Zusatzmodul beim nächsten regulären Audit, sofern das ISMS aktuell gehalten wird.
Nein. In den meisten Fällen reicht eine Mapping-Tabelle und die Ergänzung neuer Controls. Nutzen Sie die Gelegenheit, veraltete Prozesse zu modernisieren.
Ja. Viele GRC-Plattformen haben bereits aktualisierte Control-Bibliotheken inklusive ISO 27002-Metriken integriert. Mehr über Tools erfahren.
Gesteigerte Resilienz gegen moderne Angriffe
Weniger Administrationsaufwand dank verschlankter Controls
Einfachere Integration mit anderen Managementsystemen
Höhere Glaubwürdigkeit bei Kunden und Aufsichtsbehörden
Bereit, Ihr ISMS zukunftssicher zu machen?
Planen Sie noch heute Ihr Übergangs-Audit und profitieren Sie von einem ISMS, das wirksam vor aktuellen Bedrohungen schützt.