Mit der ISO/IEC 27002:2022 liegt eine neue Norm für Best-Practice-Anforderungen zur Informationssicherheit vor. Sie löst die bisherige 2013er-Version ab, ist völlig neu strukturiert und enthält viele neue Anforderungen zur Informationssicherheit. Eine Übersicht zu den Änderungen finden Sie hier.

Welche Auswirkungen hat diese neue ISO/IEC 27002:2022 auf ein Informationssicherheits-Managementsystem (ISMS), das nach ISO/IEC 27001 zertifiziert ist?

Zunächst ein Hinweis zur korrekten ISO/IEC 27001-Fassung: Aktuell gültig ist die deutsche Version DIN EN ISO/IEC 27001:2017, was identisch zur ISO/IEC 27001:2013 einschließlich der beiden Korrekturen Cor 1:2014 und Cor 2:2015 ist. Zur Zertifizierung nach dieser Norm sind wir – die datenschutz cert GmbH – akkreditiert.

Bekanntlich inkludiert die ISO/IEC 27001:2017 die ISO/IEC 27002:2013. Von daher hat die Änderung der 27002 auf ein nach ISO/IEC 27001:2017 zertifiziertes ISMS zunächst einmal keinen Einfluss: Das ISO/IEC 27001-Zertifikat bleibt so gültig.

Aber: Auch die ISO/IEC 27001 wird umgestellt werden; voraussichtlich noch in 2022. Die Änderungen werden in der Norm relativ überschaubar sein, denn im Wesentlichen wird im normativen Annex auf die neue ISO/IEC 27002:2022 verwiesen werden.

Die Umstellung von Zertifizierungsnormen ist ein gut eingespieltes Verfahren: Weltweit werden alle akkreditierten Stellen dazu einen Antrag auf Änderung ihrer Akkreditierung stellen – in Deutschland dann bei der DAkkS. Im Akkreditierungsprozess wird dann ein sogenanntes Transitionskonzept geprüft, in dem dargelegt ist, wie die zertifizierten Kunden über Neuerungen informiert werden, wie die Auditoren und Zertifizierer geschult werden, wie die Vorlagen angepasst werden und welche Fristen gelten. Dann – nach Abschluss der Akkreditierung und Ausstellung einer neuen Akkreditierungsurkunde – werden die bestehenden ISO/IEC 27001:2017-Zertifikate nach-und-nach migriert. Startschuss dieser Phase ist das Vorliegen einer neuen Zertifizierungsnorm ISO/IEC 27001:2022.

Bis es soweit ist, lässt sich die Zeit aber natürlich gut nutzen, sich bereits mit der neuen ISO/IEC 27002:2022 vertraut zu machen. Denn die Veränderungen sind durchaus anspruchsvoll. Dazu werden wir Sie auf diesem Kanal auch weiter auf dem Laufenden halten.

Exkurs

Hat diese Änderung auch Auswirkungen auf die IT-Sicherheitskataloge gem. §11 Abs. 1a bzw. 1b EnWG für Strom- und Gasnetzbetreiber sowie Energieanlagenbetreiber?

Nun, die Antwort ist etwas komplizierter:

Zunächst einmal verweisen die beiden Konformitätsbewertungsprogramme auf „die jeweils aktuelle Fassung“ der Normen.  Das macht eine Anpassung im konkreten Fall, dass sich eine Norm ändert, nicht erforderlich.

Beide Konformitätsbewertungsprogramme (KBP) wurden übrigens kürzlich überarbeitet:

  • KBP gem. §11 Abs. 1a EnWG (Netzbetreiber) ist hier verfügbar:
  • KBP gem. §11 Abs. 1b EnWG (Energieanlagenbetreiber) ist hier verfügbar:

Informationen zu den Änderungen finden Sie auch in unseren Beiträgen hier und hier.

Ferner sind in den beiden Programmen Übergangsfristen definiert:  zwei Jahre nach Veröffentlichung.

Noch eine Besonderheit: Beide Konformitätsbewertungsprogramme verweisen bzgl. energiewirtschaftlicher Anforderungen auf die ISO/IEC 27019:2017, die Anforderungen der ISO/IEC 27002:2013 weiter konkretisiert. Leider ist erst 2024/2025 mit der Anpassung der 27019 zu rechnen, so dass bis dahin – Sie ahnen es – eine Mapping-Tabelle aushelfen soll.