Konsequente Weiterentwicklung: ISO/IEC 27001:2022 aktualisiert Regelungen der ISO/IEC 27001:2013
Die ISO/IEC 27001 stellt Unternehmen Leitlinien für die Cybersicherheit zur Verfügung, mit denen sie Risiken managen und sich vor Bedrohungen schützen können. Betriebe, die sich daran orientieren, können wertvolle Informationen wie Finanzdaten, personenbezogene Daten und geistiges Eigentum besser schützen. Das betrifft auch Informationen über die Geschäftstätigkeit und die Mitarbeiter:innen sowie über Kunden und Lieferanten.
Immer häufiger sorgen Ransomware-Angriffe und Datenschutzvergehen für Schlagzeilen. Die weltpolitischen Spannungen verschärfen die Situation zusätzlich. Darüber hinaus setzen sehr viele Unternehmen mittlerweile auf Cloud-basierte Infrastrukturen und in vielen Ländern arbeitet inzwischen etwa ein Drittel der Belegschaft zumindest zeitweise an einem anderen Ort. Cybersicherheit sollte deshalb jetzt ganz oben auf der Tagesordnung jedes Unternehmens stehen. Organisationen sollten ihre Risiken und Gegenmaßnahmen im Rahmen ihres Information Security Management Systems (ISMS) strukturiert neu bewerten. Die 2013 veröffentlichte ISO/IEC 27001:2013 trug den genannten Entwicklungen nicht mehr hinreichend Rechnung – mit der ISO/IEC 27001:2022 steht nun ein aktualisierter Standard zur Verfügung.
| Annex A | ISO/IEC 27001:2013 | ISO/IEC 27001:2022 |
|---|---|---|
| Zahl der Kontrollen | 114 | 93 |
| Kategorien der Kontrollen | 13 | 4
|
Die neue Bezeichnung der ISO/IEC 27001:2022 verdeutlicht den verstärkten Fokus auf Cybersicherheit und Datenschutz. Die neue Version spiegelt auch die Veränderungen am Arbeitsplatz und in der Bedrohungslage wider – auch solche, die auf zunehmende mobile Arbeit und die Nutzung von Cloud-Speichern zurückgehen. Darüber hinaus wurden fünf Attributwerte eingeführt, die jeder der in Anhang A genannten Kontrollen zugeordnet werden können – so lassen sich diese nach festgelegten Attributen sortieren. Dies ermöglicht eine Anpassung und Interoperabilität des Standards ISO/IEC 27001:2022 mit anderen Best Practices im Bereich Cybersicherheit wie z. B. den Veröffentlichungen der US-amerikanischen Bundesbehörde National Institute of Standards and Technology (NIST).
Darüber hinaus enthält ISO/IEC 27001:2022 auch eine geringfügige Anpassung an die ISO High Level Structure, auf die andere Managementsystemnormen wie ISO 9001:2015 und ISO 22301:2019 verweisen. Diese Änderungen verdeutlichen jedoch eher bestehende Anforderungen, statt wesentliche neue hinzuzufügen.
Übergangsfristen und Termine
Der Standard ISO/IEC 27001:2022 wurde im Oktober 2022 veröffentlicht. Der Übergangszeitraum beträgt drei Jahre. Damit die Zertifizierung gültig bleibt, müssen Zertifikate gemäß ISO/IEC 27001:2013 vor dem 1. November 2025 in eine Zertifizierung gemäß ISO/IEC 27001:2022 umgewandelt worden sein.
Das Umwandlungsaudit kann im Rahmen der planmäßigen Audits während der dreijährigen Übergangsphase oder als zusätzliches Sonderaudit durchgeführt werden.
Zwei Meilensteine in der Übergangsphase sind dabei besonders zu beachten:
1. Mai 2024 – Sämtliche Audits für Erst- und Rezertifizierungen müssen ab diesem Datum den Vorgaben der ISO/IEC 27001:2022 entsprechen.
Ende Oktober 2025 – Ende der Übergangsphase: Zertifizierungen nach ISO/IEC 27001:2013 verlieren ihre Gültigkeit.
- Umwandlungen gemäß ISO/IEC 27001:2022, die während eines Überwachungs- oder Sonderaudits durchgeführt werden, erfordern einen Tag zusätzliche Auditzeit. Das auf Zertifikaten eingetragene Gültigkeitsdatum gilt weiterhin.
- Umwandlungen gemäß ISO/IEC 27001:2022, die während eines Rezertifizierungsaudits durchgeführt werden, erfordern einen halben Tag zusätzliche Auditzeit. Nach erfolgreichem Abschluss des Audits verlängert sich die Gültigkeit um drei Jahre.
- Die zusätzliche Auditzeit für die Prüfung einer ISO/IEC 27001:2022-Umstellung ist im Dokument MD 26:2022 „Transitionsregelungen für ISO/IEC 27001:2022“ des International Accreditation Forum (IAF) vermerkt.
Die Schritte zur Umstellung auf ISO/IEC 27001:2022
So unterstützen wir Sie auf diesem Weg
Wir stehen Ihnen rund um Erst- oder Umstellungsaudits nach ISO/IEC 27001:2022 mit folgenden Services professionell zur Seite:
- In unserem ISO/IEC 27001:2022-Training machen wir Sie mit den wichtigsten Änderungen und dem Umstellungsprozess vertraut.
- Mit unseren Bewertungen identifizieren wir potenzielle Lücken, die aufzeigen, wie gut ein ISMS die Anforderungen der ISO/IEC 27001:2022 erfüllt.
- Wir führen bei Ihnen Audits nach ISO/IEC 27001:2022 durch, um Ihre jetzige Zertifizierung in die neue Version des Standards zu überführen.
Der Weg zu ISO/IEC 27001:2022: In unserem On-Demand Webinar gewinnen Sie wichtige Einblicke
Sie möchten mehr über die Umstellung auf ISO/IEC 27001:2022 oder die entsprechende Zertifizierung erfahren? Dann registrieren Sie sich für unser englischsprachiges On-Demand Webinar. Darin erfahren Sie mehr über die notwendigen Schritte, um eine Zertifizierung nach ISO/IEC 27001:2022 zu erlangen.
Kontakt
