Zurück zur Übersicht

ISO27001:2022 – die wichtigsten Änderungen und unsere Roadmap für Ihre sichere, auditfeste Umstellung

30.09.2025 Michael Damm
ISO27001:2022 – die wichtigsten Änderungen und unsere Roadmap für Ihre sichere, auditfeste Umstellung
ISO27001 rückt mit der Version 2022 in den Mittelpunkt jeder ernsthaften Sicherheitsstrategie. Wir sprechen Klartext: Was ändert sich wirklich, welche Controls zählen, und wie bringen wir Projekte, Audits und Budget unter einen Hut, ohne ein 24/7-Team aufzubauen. NIS2, DORA und wachsende Ransomware-Risiken erhöhen den Druck; gleichzeitig brauchen wir planbare Kosten und belastbare Reports für Vorstand und Prüfer. In diesem Artikel destillieren wir die relevanten Neuerungen und einen pragmatischen Fahrplan für die Umstellung – damit Sie schneller compliant sind, Risiken senken und souverän durch jedes Audit gehen.

Regeln verschärfen sich, und Fristen laufen. Angreifer warten nicht, aber Audits schon. Wir handeln jetzt, weil ISO27001 entscheidet.

Warum wir mit ISO27001 jetzt handeln müssen: was die Version 2022 wirklich ändert

Der Takt der Regulierung zieht an, und der Spielraum schrumpft. NIS2, DORA und strengere Audit-Programme treffen auf knappes Personal, volle Roadmaps und ein Sicherheitsniveau, das täglich bestehen muss. Wir kennen die Verantwortung, und wir wissen: ISO/IEC 27001:2022 ist keine kosmetische Korrektur, sondern der neue Referenzrahmen, an dem wir uns messen lassen – vom Aufsichtsrat bis zum Incident-Responder, vom Produktionswerk bis zum Rechenzentrum.

Die Uhr tickt. Die Übergangsfrist endet am 31. Oktober 2025; viele Zertifizierungsstellen auditieren schon heute bevorzugt nach der neuen Version. Wer jetzt vorbereitet, spart später teure Feuerwehr-Einsätze und vermeidet Diskussionen im Management-Review, wenn der Auditor gezielte Fragen zu Cloud-Controls, Betriebsbereitschaft und Monitoring stellt. Und ja, es geht um Technik, doch es geht gleichermaßen um Führung, Prioritäten und das Vertrauen unserer Stakeholder.

Was ISO/IEC 27001:2022 wirklich verändert

Die Grundstruktur der Norm bleibt, aber Annex A wurde gründlich neu geordnet: Statt 14 Domänen und 114 Controls sprechen wir nun von 93 Controls in vier Themenbereichen – organisatorisch, personell, physisch und technologisch. Der Fokus ist schärfer, Überschneidungen sind bereinigt, und die Formulierungen sind audit-sicherer. Besonders relevant für unsere Praxis sind die elf neu eingeführten Controls, etwa Threat Intelligence, sichere Nutzung von Cloud-Services, ICT-Betriebsbereitschaft für Business Continuity, physische Sicherheitsüberwachung, Konfigurationsmanagement, Informationslöschung, Data Masking, Data Loss Prevention, Überwachungsaktivitäten, Webfiltering und Secure Coding. Sie adressieren genau jene Lücken, die in Vorfällen und Audits der letzten Jahre wiederkehrten.

Wichtig ist zudem die stärkere Betonung des Changes: Mit Abschnitt 6.3 verlangt die Norm eine geplante, nachweisbare Steuerung von Änderungen am ISMS – vom Prozess über die Tools bis zu Rollen. Das Statement of Applicability muss auf die neue Annex-A-Struktur gemappt werden, Risikobehandlungen sind zu aktualisieren, und Messgrößen gehören klar benannt: was gemessen wird, wie, wann und wer bewertet. ISO/IEC 27002:2022 liefert unterstützende Attribute (z. B. präventiv/detektiv/korrektiv, CIA, Bezug zu Cybersecurity-Konzepten), die unser Reporting und das Mapping zu NIST CSF oder CIS deutlich vereinfachen.

Kurz: Die 2022er-Version bringt Ordnung in die Steuerung, verbindet Cloud-Realität mit Audit-Tiefe und verlangt mehr Verbindlichkeit in der Umsetzung. Das ist Aufwand – und eine Chance, Altlasten zu beenden.

Konsequenzen für Budgets, Teams und Audits

Für mittelständische IT-Organisationen bedeutet das: Wir priorisieren schärfer, automatisieren konsequenter und kaufen gezielt Leistungen zu. Der Fachkräftemangel lässt sich nicht wegmoderieren, aber er lässt sich umschiffen, wenn wir 24/7-Use-Cases – Monitoring, Detection, Incident Response – an einen spezialisierten Partner auslagern und intern die geschäftskritischen Architektur- und Governance-Themen halten. So behalten wir die Steuerung, ohne ein eigenes Schichtmodell zu finanzieren.

Budgetär wirkt die Umstellung zweigleisig. Einerseits entstehen Einmalkosten für Gap-Analyse, SoA-Remapping, Policies und Schulungen; andererseits sinkt das Risiko ungeplanter Ausgaben, weil die neuen Controls präziser definieren, was „ausreichend“ ist. Das lässt sich in Management-Reports zeigen: klar formulierte KPIs für Erkennungszeiten, Patch-Backlogs, Konfigurations-Drift, DLP-Events und Cloud-Härtung. Für Audit und Aufsicht sind das die Argumente, die zählen – messbar, nachvollziehbar, revisionssicher.

Regulatorisch zahlt ISO27001 weiterhin auf Compliance ein: NIS2 fordert Risiko-Management, Incident-Handling, BCM und Supply-Chain-Security; DORA verlangt operative Resilienz in ICT. Die neuen Controls verbinden diese Welten. Wer jetzt sauber aufsetzt, beantwortet Auditfragen schneller – und reduziert die persönliche Angreifbarkeit im Ernstfall erheblich.

Der pragmatische Fahrplan zur Umstellung

  1. Frist und Scope festlegen: Gilt die Umstellung für alle Standorte, Services und Lieferanten? Entscheiden, ob im Surveillance- oder Re-Zertifizierungsaudit gewechselt wird.
  2. Gap-Analyse durchführen: Ist-Stand gegen 27001:2022 und Annex A mapen, Zusammenlegungen/Entfall von Controls berücksichtigen, neue Controls bewerten.
  3. Statement of Applicability neu aufsetzen: Begründungen aktualisieren, Verantwortliche je Control benennen, Abhängigkeiten dokumentieren.
  4. Risiken neu bewerten: Bedrohungsbild aktualisieren (inkl. Cloud, OT, Lieferkette), Risikokriterien schärfen, Behandlungsplan priorisieren.
  5. Maßnahmenplan mit Meilensteinen: Technische und organisatorische Tasks bündeln (z. B. Konfigurationsmanagement, DLP, Logging, Secure Coding), realistische Sprints planen.
  6. Dokumente und Nachweise aktualisieren: Policies, Verfahren, Arbeitsanweisungen, Schulungen und Evidenzen anpassen; Change-Steuerung gemäß 6.3 nachweisen.
  7. Tooling und Automatisierung prüfen: Monitoring-Use-Cases, Alarme, Playbooks, Data Classification und Cloud-Policies technisch verankern.
  8. Interner Audit und Management-Review: Wirksamkeit belegen, Findings priorisieren, Management-Entscheidungen und Ressourcenfreigaben protokollieren.
  9. Zertifizierungstermin fixieren: Auditumfang, Standorte, Stichproben und Remote-Anteile abstimmen; Auditanträge und SoA vorab teilen.
  10. Kommunikation und Training: Rollenbezogene Schulungen rollieren, Key Messages für Führung und Betriebsräte vorbereiten, Lieferanten einbinden.

Wenn wir diesen Fahrplan gehen, vermeiden wir die typische Hektik kurz vor dem Audit. Wir schaffen Fakten: ein ISMS, das Angriffe erkennt, Ausfälle begrenzt und Compliance belastbar nachweist. Das ist kein Selbstzweck, sondern der Sicherheitsgurt unseres Geschäfts – heute, nicht erst nach dem nächsten Vorfall.

Wollen wir die Umstellung beschleunigen und auditfest planen? Dann lassen Sie uns reden: Beratungstermin vereinbaren.

Die Uhr tickt unerbittlich und laut. Standards wandeln sich, und Risiken wachsen. Wir entscheiden jetzt, oder andere entscheiden.

ISO27001:2022 im Überblick: neue Struktur mit 93 Controls und 11 frischen Impulsen

ISO27001 ist mehr als ein Zertifikat, denn der Standard ist für uns betriebliche Lebensversicherung und Management-Werkzeug zugleich. Mit der Revision 2022 hat sich der Takt erhöht, aber der Takt ist machbar. Die Annex-A-Controls wurden von 114 auf 93 verdichtet, neu geordnet und in vier Domänen gebündelt: Organisation, Menschen, Physisch und Technologisch. Das schafft Klarheit, senkt Redundanzen und fordert uns, Prioritäten sauber zu setzen – gerade unter Budgetdruck und bei knappen Köpfen.

Wir sehen in der neuen Struktur einen Vorteil: Sie verknüpft Governance und Umsetzung enger mit Risiko, Resilienz und regulatorischen Pflichten wie NIS2, DORA oder branchenspezifischen Aufsichten. Gleichzeitig liefert ISO/IEC 27001:2022 mit den aktualisierten Attributen aus 27002 (z. B. Kontrolltyp, Informationssicherheits-Eigenschaften, Cybersecurity-Konzepte) eine klarere Management-Sprache. Für uns heißt das: Wir entscheiden schneller, begründen besser und berichten fokussierter gegenüber der Geschäftsführung.

Was hat sich strukturell geändert?

Die auffälligste Veränderung ist die Konsolidierung: überlappende Controls wurden zusammengeführt, Lücken wurden geschlossen und moderne Themen aufgewertet. Das Statement of Applicability (SoA) bleibt der Dreh- und Angelpunkt, jedoch verlangt die neue Version mehr Linie: Controls sind jetzt thematisch gruppiert, was das Mapping auf Risiken, Prozesse und Tools vereinfacht. Wir können so sauber zeigen, warum ein Control relevant ist, wie es gemessen wird und welcher Owner Verantwortung trägt. Diese Stringenz ist Gold wert, wenn Audit-Fragen hart nachbohren – oder wenn ein Vorfall den Ernstfall erklärt.

Parallel verschiebt die 2022er-Version den Fokus vom Papier zur Wirksamkeit. Metriken, Automatisierung, Erkennung und Reaktion rücken näher aneinander. Für mittelständische Organisationen, die kein 24/7-Blaulichtteam stemmen können, ist das eine pragmatische Ansage: Besser konsistent messen und priorisieren, als lückenhaft alles gleichzeitig versuchen. Wir planen Roadmaps in Quartalen, nicht in Sprints – doch wir liefern jede Woche sichtbare Fortschritte.

Die 11 neuen Impulse im Alltag

Die elf neuen Controls sind kein Selbstzweck. Sie spiegeln die operative Realität wider: Cloud-first, DevOps, permanente Bedrohungslage, strengere Aufsicht. Richtig umgesetzt, senken sie Komplexität und Risiko zugleich. Wir verankern sie dort, wo es wirkt: in Architektur, Prozessen, Monitoring und Kultur.

  • Threat Intelligence: Erkenntnisse systematisch sammeln und anwenden.
  • Information Security for Use of Cloud Services: Cloud-Risiken steuern, nicht auslagern.
  • ICT Readiness for Business Continuity: Technik für Krisen wirklich belastbar machen.
  • Physical Security Monitoring: Gebäude und Räume kontinuierlich überwachen.
  • Configuration Management: Baselines definieren, Änderungen nachvollziehbar steuern.
  • Information Deletion: Löschung nachweisbar, vollständig, nachvollziehbar durchführen.
  • Data Masking: Daten zweckgerecht entkoppeln und minimieren.
  • Data Leakage Prevention: Abflüsse verhindern, detektieren und melden.
  • Monitoring Activities: Ereignisse kontextreich sammeln und korrelieren.
  • Web Filtering: Zugriffe steuern, Inhalte risikobasiert begrenzen.
  • Secure Coding: Sicherheit vom ersten Commit an verankern.

Diese Punkte zahlen direkt auf Ransomware-Resilienz, Audit-Fähigkeit und Betriebsstabilität ein. Wir empfehlen, jeden Impuls einem klaren Metrik-Set zuzuordnen: Was messen wir, wie oft, welcher Schwellenwert, welche Reaktion? So wird das SoA zur Management-Tafel, nicht zum Museumsstück.

So planen wir die Umstellung pragmatisch

Erstens, wir beginnen mit einem schlanken Gap-Assessment gegen ISO 27001:2022. Keine Mammutstudie, sondern eine fokussierte Analyse, die Risiken, Quick Wins und Abhängigkeiten sichtbar macht. Zweitens, wir aktualisieren die Risikobehandlung: Bedrohungsbild, Geschäftsprozesse, Lieferkette – analog zu NIS2 und DORA, weil Aufsicht selten isoliert prüft. Drittens, wir mappen das bestehende SoA sauber auf die 93 Controls, dokumentieren Begründungen und legen Messgrößen fest. Viertens, wir realisieren in Wellen: zuerst die Controls mit höchstem Risikobeitrag oder Audit-Relevanz, danach die Strukturthemen, dann die Kulturthemen.

Aus unserer Erfahrung gelingt die Umstellung in drei bis sechs Monaten – abhängig von Größe, Cloud-Anteil und Tool-Landschaft. Wichtig ist die Rollenklärung: Wer verantwortet was, und mit welchem Zeitbudget? Wir binden Fachbereiche früh ein, weil Security hier nur mitwirkt, aber der Betrieb entscheidet. Und wir automatisieren, wo immer es messbar entlastet: Log-Korrelation, Konfigurations-Drift, Zugriffs-Governance. So bleibt das Team arbeitsfähig, obwohl Security-Backlogs wachsen.

Für die Berichterstattung an die Geschäftsführung setzen wir auf klare Kennzahlen: Risikotrend, Audit-Findings, Mean Time to Detect/Respond, Realisierungsgrad pro Control-Cluster. Kein Jargon, sondern belastbare Aussagen, die Budget, Risiko und Compliance verbinden. Das schafft Vertrauen – und senkt die persönliche Fallhöhe im Ernstfall.

Am Ende ist ISO27001:2022 kein bürokratisches Upgrade, sondern eine Einladung zum Aufräumen. Weniger Überschneidungen, mehr Wirkung, bessere Nachweise. Wenn wir jetzt starten, gewinnen wir Zeit: für Audits, für Vorfälle, für das Geschäft. Und wir kaufen Klarheit – die knappste Ressource im vollen IT-Alltag.

Beratungstermin vereinbaren

Es knirscht in den Normen. Und die Uhr tickt erbarmungslos. Doch wir haben einen Plan.

Von ISO27001:2013 zu ISO27001:2022: die wichtigsten Änderungen und der Umstellungsfahrplan

Zwischen Fachkräftemangel, Regulierungsschüben und 24/7-Erwartung verlangt die neue ISO 27001:2022 klare Entscheidungen – und Tempo. Wir sprechen über Konsequenzen, nicht über kosmetische Korrekturen, denn Annex A wurde grundlegend neu strukturiert, während Auditoren und Aufsicht gleichermaßen den Takt verschärfen. Unser Ziel bleibt pragmatisch: Risiken senken, Nachweise liefern, Budgets schonen, dennoch das Sicherheitsniveau spürbar heben.

Wer heute die Gesamtverantwortung für eine komplexe IT-Landschaft trägt, braucht eine Roadmap, die sowohl technisch belastbar als auch managementtauglich ist. Genau dort setzt ISO27001 in der jüngsten Fassung an: weniger Silos, mehr Klarheit, bessere Anschlussfähigkeit an regulatorische Vorgaben wie NIS2 und DORA. Und weil die Uhr weiter tickt, priorisieren wir die Umstellung entlang von Geschäftswirkung, nicht entlang akademischer Vollständigkeit.

Die Kernänderungen in Annex A – verständlich und wirksam

Der größte Umbau betrifft Annex A: Aus vormals 114 Kontrollen in 14 Domänen werden 93 Kontrollen, gebündelt in vier Themenfeldern – organisatorisch, personell, physisch und technologisch. Das ist keine kosmetische Vereinfachung, sondern eine inhaltliche Neuordnung, die moderne IT-Realitäten abbildet: Cloud, DevOps, Telemetrie und Automatisierung. Neue Kontrollen wie Threat Intelligence, Cloud-Nutzung, Secure Coding, Datenmaskierung, DLP, Konfigurationsmanagement, physische Sicherheitsüberwachung und ICT-Readiness für Business Continuity adressieren Lücken, die in vielen Audits der letzten Jahre offenkundig waren.

Wichtig ist zudem das Attributsystem der neuen ISO 27002:2022, auf die Annex A verweist. Kontrollen lassen sich nun entlang von Schutzzielen, Cybersecurity-Konzepten und operativen Fähigkeiten taggen. Das erleichtert Priorisierung und Berichterstattung: Wir können zeigen, welche Kontrollen konkret Ransomware-Risiken dämpfen, welche Resilienz stärken und welche Compliance-Hebel für NIS2 oder DORA liefern. Gleichzeitig fordert die Norm mit 6.3 ein explizites Änderungsmanagement: Geplante Veränderungen an ISMS und Kontrollen müssen bewertbar, begründet und nachweisbar sein – ein Punkt, den Auditoren lieben werden, weil er Reife sichtbar macht.

Für die Praxis heißt das: Das Statement of Applicability wandert ins Zentrum, weil wir darüber die neue Struktur, ausgeschlossene Kontrollen und kompensierende Maßnahmen schlüssig erklären. Und weil viele Unternehmen bereits gute Bausteine besitzen, vermeiden wir Big-Bang-Projekte. Wir integrieren Bestehendes, schließen die Lücken gezielt, belegen Fortschritt kontinuierlich – mit Kennzahlen, die auch im Vorstand Bestand haben.

In 90 Tagen zur belastbaren Migration

Wir planen die Umstellung mit klarem Fokus auf Wirkung und Auditreife. Die Reihenfolge folgt der Frage: Wo ist das Risiko, und wo brauchen Sie rasch belastbare Evidenz? Auf dieser Basis liefert der folgende Plan Geschwindigkeit, Substanz und Nachweisbarkeit:

  1. Tag 0–15: Kontext, Risiken, SoA-Entwurf aktualisieren; Gaps gegen Annex A 2022 belegen.
  2. Tag 16–30: Prior-Controls designen (z. B. Threat Intelligence, Cloud, DLP), Metriken definieren.
  3. Tag 31–60: Implementierungssprints, Härtungsleitlinien und Automatisierungen in Betrieb bringen.
  4. Tag 61–75: Evidenzen konsolidieren, Playbooks und Verantwortlichkeiten operationalisieren.
  5. Tag 76–85: Interne Audits, Management-Review, Korrekturmaßnahmen schließen.
  6. Tag 86–90: Auditor-Pack, Risikoaktualisierung, SoA finalisieren – Go für Zertifizierung oder Update.

So entsteht Substanz: nicht nur Policies, sondern wirksame Kontrollen im Alltag. Wir koppeln Change-, Incident- und Vulnerability-Prozesse enger, damit Findings nicht in Workarounds versanden. Außerdem binden wir die Fachbereiche ein, weil gerade Cloud- und App-Teams den Unterschied zwischen Papierlage und Schutzwirkung ausmachen. Kurz: Wir bauen keine Papierburg, sondern eine belastbare Betriebsdisziplin.

Von der Pflicht zur Kür: Nutzen für Vorstand, Audit und Betrieb

Regulatorisch zahlt die Umstellung doppelt: Erstens wird die Anschlussfähigkeit an NIS2, DORA und branchenspezifische Aufsichten sichtbar besser, weil Kontrollen und Attribute Berichtslogiken vorstrukturieren. Zweitens lassen sich Budgets argumentieren, denn wir belegen Wirkung in Kennzahlen: reduzierte Mean Time to Detect, härtere Konfigurationen, geringere Exfiltrationsfläche. Und weil das Team ohnehin ausgelastet ist, verlagern wir 24/7-Anforderungen in klar definierte Services – mit planbaren Kosten statt Investitionsspitzen.

Im Ernstfall zählt Geschwindigkeit. Deshalb verknüpfen wir Annex-A-Kontrollen mit Incident-Playbooks, die juristische, forensische und kommunikative Schritte abbilden. Das reduziert persönliches Haftungsrisiko, weil wir Sorgfalt nachweisen können: geeignetes ISMS, dokumentierte Entscheidungen, geübte Abläufe. Gleichzeitig liefern wir Management-Reports, die auf einer Seite erklären, wo wir stehen, was es kostet, und welches Risiko wir dadurch real senken. Das ist der Punkt, an dem aus Pflicht Kür wird – und aus Security ein belastbarer Teil der Unternehmenssteuerung.

So übersetzen wir Annex A in die Praxis: passgenau für unsere Systeme und Prozesse

Beratungstermin vereinbaren

ISO27001: Umstellung auf die Version 2022 – Änderungen verstehen, pragmatisch handeln

Die Regeln ändern sich abrupt. Und Prüfstände werden gnadenlos ehrlicher. Jetzt entscheidet Tempo über Vertrauen.

Die Revision ist da, der Kalender unerbittlich, und wir stehen mitten im Tagesgeschäft: NIS2 und DORA erhöhen den Druck, Ransomware bedroht Produktion und Versorgung, Budgets bleiben knapp. Genau hier liefert ISO27001 in der Fassung 2022 den Hebel, um Security steuerbar zu machen, ohne ein eigenes 24/7-Team aufzubauen. Wir zeigen, wie wir die Änderungen nutzen, Risiken priorisieren und gleichzeitig die Anforderungen von Audit, Compliance und Geschäftsführung auf eine Linie bringen.

Was sich mit ISO27001:2022 wirklich ändert

Der Dreh- und Angelpunkt der Revision ist Annex A, der nun direkt auf die modernisierte ISO/IEC 27002:2022 verweist. Die Controls sind von 114 auf 93 konsolidiert und entlang von vier Themen neu strukturiert; elf neue Controls adressieren Technologien und Betriebsrealitäten, die in mittelständischen Umgebungen längst Alltag sind – von Cloud-Nutzung über Konfigurationsmanagement bis Threat Intelligence. Dazu kommt mit Klausel 6.3 eine klarere Leitplanke für geplante Änderungen im ISMS: Wer ändert, muss Risiken, Ressourcen, Verantwortlichkeiten und Auswirkungen nachweisbar bewerten. Das klingt nach Formalie, ist aber für Audits der rote Faden zwischen Vorstandsvorlage, Ticket und technischem Change.

  • 93 statt 114 Kontrollen und vier Themenbereiche (Organisational, People, Physical, Technological) schaffen Ordnung und Klarheit.
  • Elf neue Kontrollen, u. a. zu Threat Intelligence, sicherer Cloud-Nutzung, Konfigurationsmanagement, Information Deletion, Data Masking, DLP, Monitoring Activities, Physical Security Monitoring, Web Filtering, Secure Coding und ICT-Readiness für Business Continuity.
  • Statement of Applicability (SoA) wird schärfer: Jede Auswahl braucht eine Risiko- und Business-Begründung – und muss auf 93 Kontrollen referenzieren.
  • Klausel 6.3 verankert das Management geplanter Änderungen – relevant für Change- und Projektportfolios.
  • Übergangsfrist: Zertifizierte Organisationen müssen bis 31. Oktober 2025 auf die neue Fassung umstellen.

Für uns im Mittelstand ist das weniger Bürokratie als Chance. Die neue Struktur verkürzt Diskussionen mit Auditoren, weil sie sprachlich näher an Betrieb, Cloud und DevOps ist. Wer die SoA als Managementdokument ernst nimmt, überführt endlose Tool-Debatten in priorisierte Risiken, zugewiesene Verantwortlichkeiten und messbare Wirksamkeit.

Der Umstellungsfahrplan unter Budgetdruck

Wir starten nicht mit Papier, sondern mit Wirkung. Zuerst mappen wir Ihre bestehende SoA und Controls auf die 93er-Struktur und identifizieren Gaps gegen die elf neuen Kontrollen. Parallel prüfen wir, ob Ihr Risk Assessment die tatsächlichen Geschäftsprozesse, Lieferketten und Cloud-Abhängigkeiten widerspiegelt. Gerade angesichts NIS2, verstärkter Meldepflichten und branchenkritischer Abhängigkeiten ist die Lieferkette kein Anhang mehr, sondern Kern des Scopes.

Dann verdichten wir: Welche Kontrollen liefern heute echten Risikonutzen, welche sind nur Ritual? Wir verbinden Asset- und Prozesssicht, damit Fertigung, OT, Healthcare-Workloads oder Verwaltungsprozesse nicht in Silos laufen. Wo 24/7-Detection fehlt, schließen wir mit Managed Detection & Response und klaren SLAs die Lücke – messbar über MTTD/MTTR statt über Bauchgefühl. Dokumentierte Information wird dabei nicht zum Selbstzweck: Jedes Artefakt (von Runbook bis Playbook) steht im Kontext eines konkreten Risikos, einer Kontrolle und eines Nachweises.

Die Umstellung selbst lässt sich in einem Projekt von zwölf bis sechzehn Wochen realisieren – abhängig von Scope und Reifegrad. Bereits geplante Rezertifizierungen oder Überwachungsaudits nutzen wir als Trägerrakete: Wir aktualisieren Politik, SoA und Risk Treatment Plan, schließen technische Gaps in enger Taktung und trainieren Rollen zielgruppengerecht – Engineers tief, Management prägnant. Wichtig ist das Timing mit Ihrem Zertifizierer: Frühzeitig die Umstellung anmelden, Auditkriterien klären, Stichproben definieren, und wir sparen später teure Schleifen.

Auditfest berichten, Geschäftsführung überzeugen

ISO27001 lebt von Metriken, nicht von Meinungen. Wir übersetzen technische Signale in Management-Storys: Angriffserkennung in Minuten statt Stunden, Patching-Quoten entlang Kritikalität, Backup-Recovery-Tests mit belegter Wiederanlaufzeit, EDR-Abdeckung pro Standort, Lieferanten-Compliance entlang Risikoklassen. Aus diesen Kennzahlen bauen wir ein wiederverwendbares Reporting, das sowohl Auditoren als auch die Geschäftsführung bedienen kann – konsistent, komprimiert, kenntnisreich. Zahlen schlagen Bauchgefühl, doch nur, wenn sie regelmäßig, vergleichbar und handlungsleitend sind.

Regulatorik bleibt Begleitmusik: NIS2 fordert Risikomanagement, Melde- und Resilienzpflichten; DORA zieht kritische IKT-Dienstleister enger in die Verantwortung. Wer die 2022er-Anforderungen mit einem modernen ISMS verzahnt, reduziert Auditstress und schafft Planbarkeit. Und wer sein Incident- und Change-Management sauber koppelt, entlastet Teams bei gleichzeitiger Nachweispflicht – genau dort, wo Fachkräftemangel am härtesten trifft.

Unser Versprechen ist pragmatisch: Wir priorisieren, automatisieren, dokumentieren – in dieser Reihenfolge. So entsteht aus der Revision kein Kostenstrudel, sondern ein System, das Risiken sichtbar macht, Reaktionen beschleunigt und Budgets schützt. Risiko, Cloud, Lieferkette: wie wir ISO27001 alltagstauglich machen.

Beratungstermin vereinbaren>

Die Frist rückt unerbittlich näher.

Ransomware lauert, Audits werden schärfer.

Jetzt liefern wir einen belastbaren Plan.

ISO27001:2022 im Mittelstand – Änderungen und Umstellungsfahrplan

Was sich wirklich ändert – präzise und praxisnah

ISO27001 bleibt der Goldstandard, doch die 2022er-Revision setzt neue Schwerpunkte und räumt auf. Annex A ist von 114 auf 93 Maßnahmen konsolidiert worden und folgt nun der Struktur von ISO/IEC 27002:2022 mit den vier Themenbereichen Organisation, Personen, Physisch und Technologisch. Das ist keine kosmetische Korrektur, sondern eine Modernisierung, die Cloud, DevOps und kontinuierliche Überwachung ernst nimmt. Konkret neu sind Anforderungen rund um Threat Intelligence, Cloud-Dienste, sichere Softwareentwicklung, Konfigurationsmanagement, Datenlöschung, Data Masking, DLP, Monitoring, Web-Filterung sowie die betriebliche Resilienz der IT. Wir übersetzen diese Schlagworte in belastbare Kontrollen, denn schöne Folien schützen keine Werke und keine Leitstellen.

Auf Management-Ebene ändert sich der Takt der Steuerung. Die Kapitel 4–10 wurden geschärft, insbesondere die Planung und Steuerung von Änderungen, die Wirksamkeitsmessung sowie das dokumentierte Wissen. Das bedeutet für uns: Ziele müssen messbar sein und mit Kennzahlen belegt werden, Risiken müssen mit aktueller Bedrohungslage korrelieren, und die Statement of Applicability referenziert Annex A:2022 mit klarer Begründung für jedes enthaltene oder ausgeschlossene Control. Keine Gießkanne, sondern Begründung, Priorisierung, Ownership. So überleben wir auch kritische Rückfragen von Auditoren, Beiräten und Aufsichtsgremien.

Wichtig für den Mittelstand: Die Revision erleichtert die Verzahnung mit NIS2 und DORA. Wer heute die neuen Kontrollen sauber designt, spart morgen doppelte Nachweiserbringung. Und weil viele Teams personell ausgereizt sind, zählen Automatisierung, Telemetrie und klar definierte Playbooks doppelt. Was Sie nicht messen, können Sie nicht managen; was Sie nicht automatisieren, werden Sie nicht durchhalten.

Der Umstellungsfahrplan bis 10/2025

Die Übergangsfrist endet im Oktober 2025. Wir wollen kein Kaltstart-Audit, sondern einen planbaren, auditfesten Übergang, der Budgets respektiert und den Betrieb nicht stört. Deshalb strukturieren wir den Weg in überprüfbare Schritte mit klaren Ergebnissen, Verantwortlichkeiten und Evidenzen. So entfällt der Überraschungseffekt im Transition Audit, und wir behalten die Kontrolle über Kosten und Risiken.

  1. Scope und Ziele schärfen: Relevante Standorte, Prozesse, Systeme abgrenzen, Stakeholder binden, Risiken und regulatorische Treiber benennen.
  2. Gap Assessment zur ISO27001:2022: Kapitel 4–10 und Annex A gegen Ist-Stand mappen, Reifegrad bewerten, Quick Wins identifizieren.
  3. Risikoanalyse erneuern: Asset-Basis aktualisieren, aktuelle Bedrohungen einbeziehen, insbesondere Cloud, OT, Identitäten, Lieferkette.
  4. Statement of Applicability aktualisieren: Annex A:2022 referenzieren, Begründungen dokumentieren, Verantwortungen zuweisen.
  5. Kontroll-Design und -Implementierung: Neue Kontrollen integrieren, bestehende konsolidieren, Policies, Prozesse, Playbooks und Tools harmonisieren.
  6. Messgrößen festlegen: KPIs und KRIs definieren, Dashboards und Reporting-Linien für Management und Fachbereiche aufbauen.
  7. Evidence-Factory aufsetzen: Prüfpfade, Logs, Tickets, Trainings- und Review-Nachweise systematisch sammeln und versionieren.
  8. Interne Audits gegen 2022-Stand: Feststellungen priorisieren, Korrektur- und Verbesserungsmaßnahmen steuern, Wirksamkeit prüfen.
  9. Management-Review: Risiken, Ziele, Ressourcen, Vorfälle, Ergebnisse aus Audits und Messungen entscheiden, Budget und Roadmap bestätigen.
  10. Transition Audit terminieren: Mit dem Zertifizierer bündeln, z. B. mit Überwachungsaudit, Puffer für Nacharbeiten einplanen.
  11. Nachverfolgung und Feinschliff: Restfeststellungen schließen, Lessons Learned dokumentieren, jährliche Zyklen stabilisieren.

So entsteht Momentum, aber auch Entlastung. Wir verteilen die Last über Quartale, wir synchronisieren mit Budgetzyklen, und wir behalten die Beweisführung im Griff. Entscheidend ist, rechtzeitig mit SoA, Risikolage und Metriken anzufangen. Wer bis Sommer 2025 wartet, kauft Hektik zum Premiumpreis.

Kosten, Ressourcen und Compliance – was wir absichern

Der typische Mittelstand kämpft mit Fachkräftemangel, Projektstau und 24/7-Betriebsanforderungen. Ein eigenes Rund-um-die-Uhr-Security-Team bleibt Wunschdenken, doch ISO27001 verlangt belastbare Prozesse, kontinuierliche Überwachung und schnelle Reaktion. Deshalb kombinieren wir interne Zuständigkeiten mit externen Services, die Monitoring, Alarm-Triage und Incident-Response abdecken. So bleiben die Kernteams fokussiert, während die Nachweiskette für Auditoren jederzeit steht. Planbare Opex schlägt unplanbare Capex – und die Geschäftsführung erhält Management-Reports, die Klartext sprechen.

Regulatorisch zahlen wir doppelt ein: NIS2 fordert Governance, Risiko-Management, Vorfallbehandlung, Lieferkettenkontrollen und Berichtspflichten; DORA präzisiert Resilienz im Finanzumfeld. Eine saubere ISO27001:2022-Implementierung liefert die Struktur, die Metriken und die Dokumentation, auf der beide Welten aufsetzen. Das senkt Ihr persönliches Haftungsrisiko, weil Entscheidungen nachvollziehbar und risikobasiert belegt sind. Und es reduziert Produktions- und Versorgungsrisiken, weil Playbooks und Übungen aus Papier Realität werden.

Wir sind Pragmatiker: Wir priorisieren Controls, die Angriffsflächen sofort reduzieren – Identitäten härten, Konfigurationen standardisieren, Exposure verringern, Detektion und Reaktion beschleunigen. Gleichzeitig bauen wir die Evidenzkette auf, die Auditoren überzeugt. Kein Hokuspokus, keine Buzzwords – nur Maßnahmen, die Standzeiten sichern, Lieferketten stabilisieren und die nächste Vorstandssitzung überleben.

Beratungstermin vereinbaren – Audit-sicher bis 10/2025: wie wir den Übergang planen, dokumentieren und bestehen

Die Uhr tickt, und Fristen nähern sich. Angriffe steigen, doch Budgets bleiben hart. Wir steuern, aber zielgenau, die Umstellung.

ISO 27001:2022 – Änderungen verstehen und Umstellung meistern

Wer heute Verantwortung für IT-Sicherheit trägt, spürt den Druck von zwei Seiten: von Angreifern, die schneller lernen als je zuvor, und von Regulatoren, die NIS2, DORA und KRITIS mit Nachdruck einfordern. Deshalb lohnt es sich, die ISO27001-Umstellung nicht als Pflichtübung, sondern als Chance zu begreifen: Wir verschlanken, wir priorisieren, wir liefern Management-Transparenz. Und wir schaffen damit die Grundlage für verlässliche, planbare Sicherheit bei überschaubarem Budgeteinsatz.

Was sich tatsächlich geändert hat

Der größte Sprung der ISO/IEC 27001:2022 findet sich in Anhang A: Die Controls wurden von 114 auf 93 verdichtet und in vier Domänen gebündelt – organisatorisch, personell, physisch und technologisch. Elf neue Controls adressieren Risiken, die im Mittelstand längst Alltag sind: Bedrohungsinformationen, sichere Nutzung von Cloud-Diensten, Konfigurationsmanagement, sichere Programmierung, Datenlöschung, Data Leakage Prevention, Webfiltering, Aktivitätsüberwachung, Datenmaskierung, physische Sicherheitsüberwachung sowie IKT-Readiness für Business Continuity. Das ist nicht Kosmetik, sondern ein echter Modernisierungsschub.

Außerdem wurden Passagen in den Management-Kapiteln präzisiert. Besonders relevant: der neue Abschnitt 6.3 zur Planung von Änderungen. Er zwingt uns, Anpassungen am ISMS bewusster zu steuern – mit Auswirkungen auf Budget, Ressourcen und Zeitplan. Auch der Risiko-Behandlungsprozess wurde klarer gefasst, und die Erklärung zur Anwendbarkeit (SoA) rückt stärker in den Fokus, weil sie die Brücke zwischen Risiko, Control-Auswahl und Compliance schlägt.

Die Übergangsfrist ist endlich: Zertifikate auf Basis der 2013er-Version verlieren im Herbst 2025 ihre Gültigkeit. Prüforganisationen zertifizieren bereits seit Ende 2023 nur noch nach 2022. Wer also Bestand hat, sollte jetzt handeln – nicht panisch, sondern mit kühlem Kopf und einem strukturierten Fahrplan.

Prioritäten für mittelständische IT-Verantwortliche

Wir hören es täglich: Ein eigenes 24/7-Team ist nicht finanzierbar, während Audit-Forderungen und Reportings exponentiell wachsen. Genau hier zahlt sich eine smarte ISO27001-Transition aus. Wir konsolidieren Controls, reduzieren Doppelarbeiten und verknüpfen das ISMS mit Monitoring, Incident Response und Compliance-Anforderungen. So entsteht aus Pflicht ein Multiplikator für Resilienz und Management-Kommunikation.

Das Rezept ist pragmatisch: Wir beginnen beim Risiko, mappen auf die neuen Controls und verknüpfen Ergebnisse mit Kennzahlen, die die Geschäftsführung sofort versteht. Wir übersetzen Sicherheit in Verfügbarkeit, Regeltreue und Kostenstabilität. Und weil Ressourcen knapp sind, priorisieren wir nach Wirkung auf Ransomware-Resilienz, Betriebsfähigkeit und Audit-Bestehen. So vermeiden wir teure Großprojekte, die am Ende nur Papier produzieren.

  • Delta-Analyse: Prozesse, SoA und Controls gegen 2022er-Stand mappen.
  • Risikomodell schärfen: Bedrohungsinfos und Business-Impact verknüpfen.
  • Kontrollarchitektur konsolidieren: 93 Controls zu Capability-Blocks bündeln.
  • Technische Prioritäten setzen: Konfigurationsmanagement, Logging, DLP, Cloud.
  • Messbar machen: KPIs/KRIs für Management-Reports definieren.
  • Audit-Readiness herstellen: Evidenzen, Playbooks, Changes gemäß 6.3 dokumentieren.
  • Runbook für Incidents: Reaktionspfade und 24/7-Alarmierung festlegen.

So planen wir die Transition

Wir strukturieren die Umstellung in drei Wellen: Zuerst schaffen wir Transparenz mit einer belastbaren Delta-Analyse und aktualisieren die SoA. Dann heben wir die Kontrollen mit höchstem Risikohebel auf das 2022er-Niveau – insbesondere die neuen technologischen Controls, die häufig unmittelbare Ransomware-Schäden verhindern. Schließlich industrialisieren wir das ISMS: Kennzahlen ins Monatsreporting, Evidenzen ins Audit-Repository, Playbooks in den Betrieb.

Weil Compliance mehr ist als eine Norm, koppeln wir das Ergebnis an Ihre regulatorische Lage. NIS2 fordert Governance, Risiko-Management und Meldeprozesse; DORA verlangt Resilienz im IKT-Betrieb; KRITIS setzt auf nachweisbare Wirksamkeit. Genau hier liefert ISO27001 die Struktur, und wir liefern die Übersetzung: NIS2, DORA, KRITIS: wie wir ISO27001 für Compliance und Management-Reports nutzen. Wir verbinden Controls mit klaren KPIs, Risikotrends und Ampel-Logik, damit Sie im Vorstand nicht erklären, sondern entscheiden lassen.

Und noch ein Punkt, den wir nicht verschweigen: Ihre größte Sorge ist persönliche Haftung im Ernstfall. Wir adressieren sie mit verlässlichen Reaktionsketten, dokumentierten Entscheidungen und geprüften Nachweisen. So entsteht ein Verteidigungsvorteil – technisch, organisatorisch und kommunikativ. Kein Perfektionismus, sondern robuste Wirksamkeit, rechtzeitig vor der Frist und mit planbaren Kosten.

Wenn wir es richtig aufsetzen, wird die Umstellung kein Kraftakt, sondern ein Upgrade Ihrer Sicherheitssteuerung. Schlank, messbar, auditfest – und anschlussfähig an das, was morgen kommt.

Beratungstermin vereinbaren

Audits kommen, und Budgets bleiben knapp.

Angriffe steigen, doch Teams sind ausgelastet.

Jetzt entscheidet Vorbereitung, nicht Hoffnung.

Was sich 2022 in ISO27001 wirklich geändert hat

Warum die 2022er-Version mehr ist als Kosmetik

Wir kennen den Reflex: Ein neues Norm-Label, und die Organisation ächzt. Doch bei ISO 27001:2022 lohnt der nüchterne Blick, weil die Anpassungen nicht nur sprachliche Korrekturen sind, sondern echte Steuerungseffekte entfalten. Die Controls sind von 114 auf 93 zusammengeführt, neu geordnet und entlang von vier Themenclustern strukturiert: organisatorisch, personell, physisch und technologisch. Das schafft Übersicht, und es erlaubt uns, Risiken entlang realer Verantwortungsbereiche zu führen. Parallel führt die zugrunde liegende ISO/IEC 27002:2022 Attribute ein – etwa Präventiv/Detektiv/Korrektiv, Schutzziele, Cybersecurity-Konzepte – die wir wie Filter nutzen können. Dadurch lassen sich Gaps schneller identifizieren, und Maßnahmen plausibel priorisieren.

Wirklich neu sind Controls, die unseren Alltag abbilden: Threat Intelligence, sichere Nutzung von Cloud-Services, ICT-Readiness für Business Continuity, physische Sicherheitsüberwachung, Data Masking, Data Loss Prevention, Monitoring-Aktivitäten, Web-Filterung sowie sichere Entwicklung und Tests. Diese Liste liest sich wie der Incident-Report eines durchschnittlichen Jahres, und das ist kein Zufall. Die Norm rückt näher an operative Realität, weil Angriffsflächen sich verschoben haben. Für uns als verantwortliche IT-Entscheider heißt das: Wir können das Managementsystem stärker an KPIs koppeln, statt Dokumentation um der Dokumentation willen zu pflegen.

Und doch bleibt der Kern vertraut: Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Bewertung und Verbesserung – das Prozessgerüst steht. Neu ist die Konsequenz, mit der Nachweise gefordert werden. Auditoren wollen nicht nur Policies sehen, sondern Wirksamkeit. Deshalb gewinnt die Verknüpfung von Asset-Management, Risikobehandlung und operativem Monitoring an Gewicht. Wer ISO27001 bislang als Compliance-Checkliste betrieb, wird umdenken müssen – und gewinnt dadurch am Ende Robustheit gegenüber NIS2, DORA und den Erwartungen von Aufsichtsgremien.

So migrieren wir pragmatisch und revisionssicher

Die Übergangsfrist läuft bis Herbst 2025. Zeit genug, und zugleich knapp, wenn Teams ohnehin am Limit sind. Wir empfehlen einen Marschplan, der mit vorhandenen Ressourcen funktioniert, und der das Auditrisiko im Zaum hält. Entscheidend ist, die Migration nicht als Großprojekt zu labeln, sondern als Reihe kurzer Sprints zu führen – mit klaren Ergebnissen je Sprint und sauberer Dokumentation.

  • Starten wir mit einer schlanken Gap-Analyse: Altes Statement of Applicability (SoA) gegen neue Controls mappen, Konsolidierungen erkennen, Doppelungen streichen.
  • Überführen wir Risiken: Bewertung behalten, aber Maßnahmen auf die 2022er-Controls retaggen; Attribute nutzen, um Präventiv/Detektiv/Korrektiv auszuweisen.
  • Aktualisieren wir Policies modular: Cloud-Nutzung, sichere Entwicklung, Monitoring und Business-Continuity gezielt nachschärfen, statt alles umzuschreiben.
  • Verbinden wir CMDB/Asset-Listen mit dem SoA: Nachweise für Wirksamkeit direkt aus Monitoring und Tickets ziehen, nicht aus Excel.
  • Schulen wir Rollen bedarfsgerecht: Owner der neuen Controls in 90 Minuten briefe, statt die gesamte Belegschaft zu schulen.
  • Führen wir ein Mini-Management-Review ein: Alle vier Wochen 30 Minuten, Risiken, KPIs, Abweichungen, Maßnahmenstatus – auditfest protokolliert.

Mit diesem Takt vermeiden wir Projektstau, und wir schaffen gleichzeitig belastbare Evidenz. Wichtig ist außerdem die saubere Kommunikation mit der Zertifizierungsstelle: Zeitpunkt der Umstellung früh bestätigen, Stage-2-Umfang klären, und Nebenstandorte rechtzeitig einbeziehen. Wer mehrere Regulierungen im Blick hat, bündelt Artefakte: Ein Control, mehrere Nachweise, aber nur eine Quelle der Wahrheit. So entstehen planbare Kosten statt unendlicher Schleifen.

Compliance, KPIs und 24/7: Führung statt Feuerwehr

ISO27001 ist nicht nur Kühlung für Auditoren, sondern ein Steuerungsinstrument für uns als Management. Wenn wir die neuen Controls an Kennzahlen hängen – etwa Mean Time to Detect, Mean Time to Respond, Patch-Compliance, Phishing-Resilienz, Backup-Restore-Tests – dann wird der Reifegrad messbar, und Budgetgespräche werden faktenbasiert. Zudem erleichtert die Attributlogik die Deckung zu NIS2 und DORA: Was präventiv wirkt, was detektiv greift, was im Response zählt. Auf dieser Grundlage priorisieren wir Investitionen, rechtfertigen sie gegenüber der Geschäftsführung, und wir reduzieren das persönliche Haftungsrisiko im Ernstfall, weil wir dokumentiert haben, dass wir angemessen und verhältnismäßig gesteuert haben.

Bleibt die operative Achillessehne: 24/7. Ohne kontinuierliches Monitoring bleiben schöne Policies Papiertiger. Darum gehört zum Upgrade auf ISO 27001:2022 auch die gelebte Reaktionsfähigkeit – mit klar geregelten Rollen, eskalationsfesten Playbooks, getestetem On-Call und eindeutigen RTO/RPO-Zielen. Wir koppeln das SoA an das Incident- und Change-Management, und wir ziehen Management-Reports, die jeder versteht: Ampeln statt Abkürzungen, Tendenzen statt Zahlenwüsten, Maßnahmen statt Ausreden. So führen wir das Thema – wir löschen nicht nur.

Beratungstermin vereinbaren

Mit knappen Ressourcen stark: so organisieren wir Rollen, KPIs und 24/7-Reaktionsfähigkeit

Die Uhr tickt. Anforderungen verschärfen sich. Wir müssen jetzt handeln.

ISO 27001:2022 – die wichtigsten Änderungen und wie Unternehmen sich auf die Umstellung vorbereiten

Wer heute Verantwortung für Unternehmens-IT trägt, balanciert Risiko und Rendite unter Dauerfeuer. Regulatorik zieht an, Angreifer lernen schneller, und das eigene Team arbeitet längst am Limit. Wir wissen: Für mittelständische Energieversorger, Industriebetriebe, Verwaltungen und Healthcare gilt ISO27001 nicht mehr als Kür, sondern als belastbarer Leitplanken-Satz – und mit der Ausgabe 2022 verschiebt sich einiges, aber nicht das Ziel: Nachweisbare Sicherheit, auditfest und wirtschaftlich vernünftig.

Die neue Norm wirkt wie ein Update des Betriebssystems: vertraut, jedoch fokussierter, moderner, enger verzahnt mit Cloud, DevOps und 24/7-Betrieb. Wichtig für uns als Entscheider ist weniger die Theorie als die Umsetzung unter Budgetzwang. Deshalb übersetzen wir die Änderungen in greifbare Arbeitspakete, deren Effekte sich in Audits, Reports für die Geschäftsführung und im Ernstfall in Minuten messen lassen – nicht in Paragrafen.

Die wichtigsten Änderungen auf den Punkt

Die Revision 2022 modernisiert Annex A, strafft das Kontrollset und schärft Pflichten im Managementsystem. Entscheidend ist die Wirkung: weniger Redundanz, mehr Klarheit, stärkere Anschlussfähigkeit an Cloud, Continuous Monitoring und Resilienz.

  • Annex A wurde von 114 auf 93 Controls reduziert und in vier Themen gebündelt: organisatorisch, personell, physisch, technologisch.
  • Neue Controls adressieren aktuelle Risiken, etwa Threat Intelligence, sichere Nutzung von Cloud-Services, ICT-Readiness für Business Continuity, Physische Sicherheitsüberwachung, Konfigurationsmanagement, Information Deletion, Data Masking, Data Leakage Prevention, Monitoring-Aktivitäten, Web-Filtering und Secure Coding.
  • Kontroll-Attribute (Tags) erleichtern die Zuordnung zu Themen wie NIS2, Zero Trust oder CIA – nützlich für Reporting und Priorisierung.
  • Die Erklärung zur Anwendbarkeit (SoA) muss auf Annex A 2022 umgestellt werden, inklusive Begründungen für Auswahl, Implementierungsstatus und Ausschlüsse.
  • Im Managementsystem sind Anpassungen fällig: Planung von Änderungen (neuer Abschnitt 6.3), präzisierte Mess- und Überwachungsanforderungen sowie aktualisierte Inputs für das Management-Review.
  • Übergangsfrist: Zertifikate müssen bis spätestens 31. Oktober 2025 auf ISO/IEC 27001:2022 umgestellt sein; ab dann sind Audits nur noch nach der neuen Fassung möglich.

So planen wir die Umstellung pragmatisch

Zuerst schaffen wir Fakten, denn Bauchgefühl besteht keine Audits. Wir starten mit einer Gap-Analyse gegen Annex A 2022 und die geänderten Managementsystem-Anforderungen. Dabei mappen wir bestehende Maßnahmen auf die 93 Controls und identifizieren, wo Prozesse, Nachweise oder Technik nachgeschärft werden müssen. Parallel prüfen wir die Risikomethodik: Kriterien für Risikoakzeptanz, Risikoeigner, Bezüge zu Lieferketten und Cloud-Shared-Responsibility.

Danach aktualisieren wir die SoA. Nicht kosmetisch, sondern substanziell – mit klaren Begründungen, sauberem Implementierungsstatus und direkten Referenzen zu Policies, Playbooks und technischen Kontrollen. Weil Auditoren Evidenz sehen wollen, konsolidieren wir Nachweise: Tickets, Konfigurations-Exporte, Monitoring-Berichte, Trainingsteilnahmen, Change-Requests. Weniger Papier, mehr belastbare Daten.

Anschließend bringen wir Technik und Prozesse zusammen. Neue Controls wie Threat Intelligence oder Monitoring-Aktivitäten funktionieren nur, wenn wir sie in bestehende Tools integrieren: SIEM/SOC-Use-Cases, Log-Onboarding aus Cloud-Workloads, Metriken für Erkennungs- und Reaktionszeiten. Gleichzeitig etablieren wir „Planning of Changes“ als gelebten Schritt in Change- und Projekt-Boards; so verknüpfen wir ISO-Anforderungen mit dem Alltag in Infrastruktur- und Applikationsteams.

Zum Schluss härten wir das Reporting. Wir definieren wenige, aber aussagekräftige KPIs: Abdeckung kritischer Controls, Mean Time to Detect/Respond, Offboarding-Durchlaufzeiten, Patching-Compliance nach Kritikalität. Diese Kennzahlen fließen in ein Management-Dashboard, das wir monatlich besprechen – verständlich für die Geschäftsführung, präzise genug für Fachverantwortliche. So wird ISO27001 vom Compliance-Projekt zum Steuerungsinstrument.

Compliance, Budget und Speed in Einklang bringen

Wir wissen, dass der Flaschenhals selten die Technik ist, sondern Zeit und Personal. Ein eigenes 24/7-Security-Team bleibt für den Mittelstand unrealistisch, aber Audits und Angreifer warten nicht. Deshalb setzen wir auf Co-Managed-Modelle: Wir behalten Governance, Risikoentscheide und die SoA in der Hand, während ein externer Partner Monitoring, Use-Case-Betrieb und Incident-Response nach klaren Playbooks übernimmt. Die Kosten bleiben planbar, die Reaktionsfähigkeit steigt, und der Nachweis für NIS2, DORA oder interne Prüfungen fällt leichter.

Wir adressieren damit die persönliche Haftungsangst des Verantwortlichen, ohne die Organisation zu überdehnen. Weil wir Kontrollen mit Evidenz unterlegen, fallen Audits nüchtern aus – kein Theater, keine Überraschungen. Und weil wir regulatorische Karten mit den neuen Kontroll-Attributen verknüpfen, reduzieren wir Doppelarbeit: Ein Use-Case zahlt auf ISO27001, NIS2 und interne Richtlinien gleichzeitig ein. Das ist nicht nur effizient, sondern auch gute Führung: Wir priorisieren, erklären, liefern.

Wenn der Auslöser ein Vorfall, ein Audit-Befund oder die Abwanderung eines Schlüsselmitarbeiters ist, gewinnen wir Zeit durch Standardisierung: vordefinierte Migrations-Backlogs, sofort einsatzfähige Runbooks und ein abgestimmtes Auditpaket mit SoA, Risiko- und Maßnahmenplan, KPI-Sheet und Evidenzliste. So bleibt die Linie produktiv, während wir die Normumstellung aus dem Risiko schieben – und zwar messbar.

Beratungstermin vereinbaren

Nächster Schritt: Wir planen Ihren ISO27001-Umstieg – Beratungstermin vereinbaren

Wir haben die Karten auf den Tisch gelegt: Was ISO 27001:2022 fordert, wie die 93 Controls neu zugeschnitten sind, welche elf Themen vom Threat Intelligence bis Secure Coding neu ins Spiel kommen, und wie SoA, Risikobehandlung, Policies, Trainings und internes Audit zusammenspielen. Die Übergangsfrist endet am 31. Oktober 2025. Die Uhr tickt – nicht nur wegen Auditdruck, sondern weil NIS2, DORA und Kundenanforderungen jeden Fehler doppelt teuer machen. Wir wissen, wie sich eine ISO27001-Transition unter Volllast anfühlt: kleines Team, volle Projektliste, 24/7-Security bleibt Wunschliste. Darum gehen wir den pragmatischen Weg: schneller Gap-Check in Wochen statt Monaten, sauberes Control-Mapping, aktualisierte SoA, schlanke Maßnahmenpläne, ein realistischer Audit-Trockentest – und auf Wunsch ein SOC, das im Ernstfall nicht schläft. Technische Tiefe für Ihre Engineers, klare Management-Reports für die Geschäftsführung, planbare Kosten statt hoher Eigeninvestitionen. Wenn wir die Verantwortung tragen, handeln wir, bevor der nächste Vorfall oder das Audit uns dazu zwingt. Lassen Sie uns in 30 Minuten klären, wie wir Ihre ISO27001-Umstellung mit minimaler Team-Belastung und maximaler Wirkung absichern. Jetzt Beratungstermin vereinbaren.
#ISO27001