Hauptgrund für die Anpassung der Norm war die neue ISO/IEC 27002:2022, die von Grund auf überarbeitet bereits Anfang diesen Jahres veröffentlicht wurde. Die wesentliche Änderung in der neuen ISO/IEC 27001:2022 ist somit auch der angepasste Anhang A, der jetzt die neuen Controls der ISO/IEC 27002:2022 widerspiegelt. Eine Übersicht der Änderungen in der ISO/IEC 27002:2022 gab es bereits hier.
Neben dieser signifikanten inhaltlichen Änderung gibt es aber auch an vielen weiteren Stellen der Norm leichte Anpassungen, die Kennern der Norm sofort ins Auge stechen. Zum Beispiel gibt es neue Unterkapitel unter Kapitel 9 Performance evaluation und auch die Reihenfolge der Unterkapitel in Kapitel 10 Improvement wurde umgedreht:
Aber auch in den anderen Kapiteln finden sich immer wieder kleinere Anpassungen, wie zum Beispiel sprachliche Umformulierungen in den Anforderungen oder auch zusätzliche Aufzählungspunkte.
Diese Anpassungen resultieren aus der harmonisierten Struktur für Managementsystemnormen (Annex SL) der ISO, die seit 2013 ebenfalls angepasst wurde. Im Rahmen der Überarbeitung der ISO/IEC 27001:2022 wurden die Inhalte insgesamt darauf angepasst. Der Annex SL definiert die grundlegende Struktur sowie viele einheitliche Begriffe und Definitionen in allen ISO-Normen für Managementsysteme und sorgt hierdurch dafür, dass verschiedene Managementsysteme, z.B. Qualitätsmanagement gem. ISO 9001 und Informationssicherheitsmanagement gem. ISO/IEC 27001, gemeinsam in einem integrierten Managementsystem laufen können (Weitere Informationen dazu u.a. auf den ISO-Webseiten).
Die Änderungen durch Annex SL dienen jedoch vorrangig der Klarstellung der bereits früher enthaltenen Inhalte und definieren keine grundlegend neuen Anforderungen im Managementsystem. Während das Managementsystem also weitestgehend gleich bleibt, liegt die wirkliche Arbeit beim Umstieg auf die neue ISO 27001:2022 zum einen in der Umstellung der Risikoanalyse auf die neuen Controls. Zum anderen müssen ggf. auch auf der Norm aufbauende Regelwerke zur Informationssicherheit an den neuen Stand angepasst werden.
Die Übergangsfrist auf die neue Version der ISO 27001:2022 endet gem. IAF Vorgaben am 31.10.2025 sofern keine weiteren behördlichen Vorgaben kürzere Fristen definieren (weitere Infos dazu hier).