Decision guide · Compliance
ISO 27001:2022 Re-Zertifizierung: strukturierte Migration und Erneuerung
Die ISO-27001:2022-Re-Zertifizierung scheitert selten an der Technik. Sie scheitert daran, dass die 11 neuen Controls, Threat Intelligence, Cloud Services, DLP, Monitoring, Secure Coding, Data Masking, Web Filtering, Configuration Management, ICT Readiness, Information Deletion, Physical Security Monitoring, in Silos entschieden werden und im Audit als Stückwerk auffallen. Die saubere Struktur ist: Pro neuem Control eine dokumentierte Entscheidung mit Evidenz, SoA-Eintrag, Risikobehandlungsplan und Nachweis der Wirksamkeit. Das Audit wird dann zur Präsentation, nicht zur Überraschung.
TL;DR
Die 11 neuen 2022er-Controls sind die Re-Zertifizierungs-Wahrheit. Jedes einzeln entscheiden und dokumentieren.
Who owns this decision
ISMS-Beauftragter als Eigentümer, CISO als Freigeber, IT-Ops, Datenschutzbeauftragter, Rechtsabteilung und Fachbereiche als Mitwirkende.
Key criteria to weight
Gap-Analyse gegen 11 neue Controls
Threat Intelligence, Cloud, DLP, Monitoring, Secure Coding usw. Pro Control: vorhanden, teilweise, fehlt, das ist die Arbeitsliste.
Statement of Applicability (SoA)
Jedes der 93 Controls in der 2022er-Fassung braucht eine dokumentierte Anwendbarkeits-Entscheidung mit Begründung.
Risikobehandlungsplan
Risiken gegen die neue Control-Struktur neu mappen, Maßnahmen, Owner und Termine benennen.
Nachweisbare Wirksamkeit
Das Audit prüft nicht Dokumente, sondern Wirksamkeit. Evidenz-Ketten pro Control planen, bevor der Auditor kommt.
Integration mit NIS2 / DORA / AI Act
Die Management-System-Struktur (Klauseln 4 bis 10) wird zur Trägerstruktur für andere Regulierungen. Doppelarbeit vermeiden.
Audit-Zyklus und Fristen
Re-Zertifizierung alle 3 Jahre, Überwachungsaudits jährlich. Plan so, dass Gap-Schließung vor dem Überwachungsaudit sichtbar ist.
Step-by-step decision flow
- 1
Delta-Mapping 2013 → 2022
Bestehende Control-Nachweise auf die 2022er-Struktur ummappen. Was bleibt, was wird zusammengeführt, was ist neu.
- 2
Gap-Analyse gegen 11 neue Controls
Pro neuem Control: ist das Thema technisch umgesetzt? Ist es prozessual dokumentiert? Gibt es eine Policy? Gibt es Evidenz im letzten Jahr?
- 3
SoA und Risikobehandlung aktualisieren
93 Controls durchgehen, Anwendbarkeit begründen, Abweichungen dokumentieren. Risikobehandlungsplan auf 2022er-Struktur umziehen.
- 4
Policies und Verfahrensanweisungen nachziehen
Informationssicherheitsleitlinie, Cloud Policy, Threat-Intelligence-Prozess, DLP-Richtlinie, Monitoring-Konzept, Konfigurationsmanagement.
- 5
Internes Audit und Korrekturmaßnahmen
Internes Audit mit frischer Checkliste nach 2022 durchführen. Abweichungen als Korrektur-Cases behandeln, nicht als offene Punkte-Liste.
- 6
Re-Zertifizierungsaudit vorbereiten
Auditor-Fragen antizipieren, Evidenz-Ordner strukturieren, Interview-Partner briefen. Das Audit ist eine moderierte Präsentation, keine Prüfung ins Blaue.
Compliance note
ISO 27001:2022 ist die Grundlage für Nachweise unter NIS2 Art. 21, DORA Art. 6 ff. und dem AI Act (Art. 9 Risikomanagement). Wer das ISMS sauber auf 2022 migriert, senkt den Aufwand der anderen Regulierungen substanziell. Die neuen Controls zu Cloud (A.5.23), Threat Intelligence (A.5.7) und Monitoring (A.8.16) spiegeln direkt NIS2-Anforderungen.
Common pitfalls
- !Die 11 neuen Controls als Dokumentations-Übung behandeln statt als echte Umsetzung.
- !SoA-Begründungen generisch halten, Auditoren fragen gezielt nach.
- !Den Risikobehandlungsplan nicht auf die 2022er-Control-Struktur umstellen.
- !Das interne Audit mit alter 2013er-Checkliste fahren und dann im externen Audit auffliegen.
- !Threat Intelligence und Monitoring als Tool-Kauf statt als Prozess-Entscheidung begreifen.
FAQ
Muss ich von ISO 27001:2013 auf :2022 umstellen?
Ja, verpflichtend. Die Transition-Frist für bestehende Zertifikate endete am 31. Oktober 2025. Jede Re-Zertifizierung ab 2026 läuft zwingend gegen die 2022er Fassung. Wer noch ein :2013-Zertifikat hat, muss beim nächsten Audit auf :2022 migrieren.
Was ist der Unterschied zwischen ISO 27001:2013 und :2022?
Statt 114 Controls in 14 Domains gibt es 93 Controls in 4 Themen (Organisational, People, Physical, Technological). 11 Controls sind neu (Threat Intelligence, Cloud Services, ICT Readiness for Business Continuity, Data Masking, Data Leakage Prevention, Monitoring Activities, Web Filtering, Secure Coding, Configuration Management u.a.), andere wurden zusammengefasst. Die grundlegende Management-System-Struktur (Klauseln 4 bis 10) bleibt.
Wie lange dauert eine ISO 27001:2022 Re-Zertifizierung?
Ein strukturiertes Re-Zertifizierungsprojekt braucht 6 bis 9 Monate: Gap-Analyse gegen die 11 neuen Controls (4 Wochen), Aktualisierung von SoA und Risikobehandlung (6 bis 8 Wochen), Policy-Updates (parallel), interner Audit-Zyklus (2 bis 4 Wochen), externes Audit durch Zertifizierer. Die dokumentierte Entscheidung je neuem Control ist der zeitkritische Pfad.