Zunächst ein Blick in die überarbeitete Struktur des Annex A: Die bisherige Themengliederung wurde aufgelöst. Die Maßnahmen werden zukünftig den vier Abschnitten „Organisatorische Maßnahmen“ (37 Maßnahmen), „Personenbezogene Maßnahmen“ (8 Maßnahmen), „Physische Maßnahmen“ (14 Maßnahmen) und „Technologische Maßnahmen“ (34 Maßnahmen) zugeordnet.

Elf neue Maßnahmen sind hinzugekommen. Drei zentrale Maßnahmen sind Datenmaskierung, Überwachung von Aktivitäten, sowie Informationssicherheit für die Nutzung von Cloud-Diensten. Bei der „Datenmaskierung“ sollen Daten so verändert werden, dass sie für einen Cyberkriminellen keinen oder nur geringen Nutzen haben. Bei der „Überwachung von Aktivitäten“ geht es um die Überwachung der Unternehmens-IT, um dadurch ungewöhnliches Verhalten früh- und auch rechtzeitig erkennen zu können. Um die Nutzung von Cloud-Lösungen sicherer zu machen, sollen Unternehmen entsprechende Prozesse und Vorkehrungen entwickeln – besagt die Maßnahme „Informationssicherheit für die Nutzung von Cloud-Diensten“.

Was gilt es nun von bereits zertifizierten Unternehmen zu beachten? Deadline für die Umstellung ist Oktober 2025. Im Herbst 2025 müssen alle alten ISO/IEC 27001:2013 bzw. ISO/IEC 27001:2017-Zertifikate zurückgezogen werden. Eine Umstellung sollte in jedem Fall vorher erfolgen. Das Audit muss dabei zwingend aus einem Vor-Ort-Audit bestehen und beinhaltet die Inaugenscheinnahme verschiedener Prüfungsfelder.

Wie lange bleibt Zeit? Unternehmen, die nach ISO/IEC 27001:2013 bzw. ISO/IEC 27001:2017 zertifiziert sind, haben nun drei Jahre Zeit, die Neuerungen umzusetzen.

„Das ISO 27001-Update ist kein Selbstzweck, sondern steigert die Cyber- und Informationssicherheit im eigenen Unternehmen. Die neue Norm ist eine gute Gelegenheit, die internen Prozesse zu prüfen und wo notwendig zu aktualisieren“, weist der erfahrene Informationssicherheitsexperte Dr. Jörn Voßbein auf die Bedeutung der Maßnahme hin.