Cyberangriffe, Ransomware, Datenlecks und die zunehmende Digitalisierung industrieller Prozesse machen Informationssicherheit zu einer Überlebensfrage. Die ISO/IEC 27001:2022 ist der weltweit führende Standard für Informationssicherheits-Managementsysteme (ISMS). Sie bietet einen systematischen, risikobasierten Ansatz zum Schutz Ihrer Informationswerte — von Kundendaten über technische Zeichnungen bis hin zu Steuerungssystemen in der Anlagentechnik. Für Unternehmen in Industrieservice, Energietechnik und Anlagenbau ist die ISO 27001-Zertifizierung zunehmend Voraussetzung für Aufträge auf kritischen Infrastrukturen. NovoCert begleitet Sie vom Risiko-Assessment bis zur erfolgreichen Zertifizierung.
Was regelt ISO/IEC 27001:2022?
Die ISO 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Die aktuelle Version von 2022 löst die Fassung von 2013 ab und bringt eine grundlegend überarbeitete Kontrollstruktur im Anhang A mit.
Risikomanagement als Kern
Das Herzstück der ISO 27001 ist das Informationssicherheits-Risikomanagement. Sie müssen einen systematischen Prozess etablieren, der Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen identifiziert, bewertet und behandelt. Die Norm schreibt dabei keine bestimmte Methodik vor, sondern fordert einen dokumentierten, wiederholbaren Prozess. In der Praxis haben sich Methoden wie die Elementargefahren-Analyse nach BSI IT-Grundschutz oder die OCTAVE-Methode bewährt. Entscheidend ist: Jedes identifizierte Risiko muss entweder behandelt (durch Kontrollen gemindert), akzeptiert, vermieden oder transferiert werden.
Die 93 Controls in Anhang A
Die 2022er Revision hat den Anhang A grundlegend neu strukturiert. Statt der bisherigen 114 Controls in 14 Gruppen gibt es jetzt 93 Controls in 4 Kategorien: organisatorische Controls (37), personenbezogene Controls (8), physische Controls (14) und technologische Controls (34). Neue Controls umfassen unter anderem Threat Intelligence, Informationssicherheit bei Cloud-Diensten, ICT-Bereitschaft für Business Continuity und sichere Entwicklung.
Statement of Applicability (SoA)
Ein Schlüsseldokument ist die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA). Darin dokumentieren Sie für jedes der 93 Controls, ob es anwendbar ist oder nicht — mit Begründung. Die anwendbaren Controls müssen implementiert und deren Wirksamkeit nachgewiesen werden. Die SoA ist das Herzstück jedes Zertifizierungsaudits und wird von Auditoren besonders genau geprüft.
Kontext und Geltungsbereich
Bevor Sie mit dem Risikomanagement beginnen, müssen Sie den Geltungsbereich (Scope) Ihres ISMS definieren. Welche Standorte, Geschäftsprozesse, IT-Systeme und Informationswerte sind umfasst? Die Scope-Definition ist eine strategische Entscheidung: Ein zu weiter Scope überfrachtet das System, ein zu enger Scope schafft Sicherheitslücken an den Schnittstellen. Wir beraten Sie bei der optimalen Scope-Festlegung.
Führung und Commitment
Die ISO 27001 fordert ein klares Engagement der obersten Leitung. Die Geschäftsführung muss eine Informationssicherheitspolitik festlegen, Ressourcen bereitstellen, Rollen und Verantwortlichkeiten zuweisen und die Wirksamkeit des ISMS regelmäßig bewerten. Informationssicherheit ist Chefsache — kein IT-Projekt.
Anforderungen im Überblick
- Informationssicherheitspolitik: Dokumentierte Verpflichtung der Geschäftsleitung mit strategischer Ausrichtung
- Risikobewertung: Systematische Identifikation, Analyse und Bewertung von Informationssicherheitsrisiken
- Risikobehandlung: Dokumentierter Risikobehandlungsplan mit ausgewählten Controls aus Anhang A
- Statement of Applicability: Vollständige Erklärung der Anwendbarkeit aller 93 Controls mit Begründungen
- Informationssicherheitsziele: Messbare Ziele, die zur Verbesserung der Informationssicherheit beitragen
- Kompetenz und Bewusstsein: Schulung aller Mitarbeiter zu Informationssicherheit, Phishing-Erkennung, Incident Reporting
- Dokumentierte Information: Lenkung aller ISMS-Dokumente, Richtlinien, Verfahren und Aufzeichnungen
- Betriebliche Steuerung: Implementierung der ausgewählten Controls in den betrieblichen Alltag
- Leistungsbewertung: Monitoring, Messung, interne Audits und Managementbewertung
- Incident Management: Prozess zur Erkennung, Meldung, Bewertung und Behandlung von Sicherheitsvorfällen
- Business Continuity: Sicherstellung der Geschäftskontinuität bei Sicherheitsvorfällen und Notfällen
- Lieferantenmanagement: Informationssicherheitsanforderungen an Lieferanten und Dienstleister
Was wir für Sie tun
NovoCert bringt die besondere Perspektive der Industriepraxis in die Informationssicherheit ein. Wir wissen, dass in Anlagenbau und Industrieservice nicht nur Büro-IT geschützt werden muss, sondern auch OT-Systeme (Operational Technology), mobile Endgeräte auf Baustellen und sensible Kundendaten.
- ISMS Gap-Analyse: Wir bewerten Ihren aktuellen Sicherheitsstatus gegen alle Anforderungen der ISO 27001:2022 und alle 93 Controls. Ergebnis ist eine priorisierte Roadmap mit Quick Wins und strategischen Maßnahmen.
- Risiko-Assessment: Gemeinsam mit Ihren IT- und Fachexperten identifizieren und bewerten wir alle Informationssicherheitsrisiken. Wir verwenden eine praxiserprobte Methodik, die sowohl IT- als auch OT-Risiken abdeckt.
- Statement of Applicability: Wir erstellen gemeinsam mit Ihnen die SoA — das zentrale Dokument, das festlegt, welche Controls wie umgesetzt werden.
- Richtlinien und Verfahren: Wir erstellen praxistaugliche Sicherheitsrichtlinien — von der Passwortpolitik über die Clean-Desk-Policy bis zum Incident-Response-Plan. Keine theoretischen Papiere, sondern gelebte Regeln.
- Awareness-Schulungen: Wir schulen Ihre Mitarbeiter — vom Geschäftsführer bis zum Monteur auf der Baustelle. Denn die beste Firewall hilft nichts, wenn jemand auf einen Phishing-Link klickt.
- Interne Audits: Wir führen ISMS-Audits nach ISO 19011 durch oder qualifizieren Ihre internen Auditoren für Informationssicherheit.
- Zertifizierungsbegleitung: Am Audittag sind wir vor Ort und stellen sicher, dass alle Nachweise bereitstehen und Ihre Mitarbeiter vorbereitet sind.
Integration mit anderen Standards
Informationssicherheit betrifft alle Bereiche eines Unternehmens. Die ISO 27001 lässt sich hervorragend in ein Integriertes Managementsystem einbinden.
NIS-2 Vorbereitung: Die EU-Richtlinie NIS-2 verpflichtet Unternehmen in kritischen Sektoren zu umfassenden Cybersicherheitsmaßnahmen. Ein zertifiziertes ISMS nach ISO 27001 deckt einen Großteil der NIS-2-Anforderungen ab — einschließlich Risikomanagement, Incident Handling, Business Continuity und Supply Chain Security. Wir beraten Sie zur NIS-2-konformen Erweiterung Ihres ISMS.
ISO 27701 — Datenschutz: Die ISO 27701 erweitert das ISMS um ein Privacy Information Management System (PIMS). Wenn Sie personenbezogene Daten verarbeiten — und das tut praktisch jedes Unternehmen — ist die ISO 27701 die ideale Ergänzung, um DSGVO-Compliance systematisch nachzuweisen.
TISAX — Automotive Information Security: Für Zulieferer der Automobilindustrie ist TISAX (Trusted Information Security Assessment Exchange) oft Pflicht. TISAX basiert auf dem VDA ISA-Katalog, der seinerseits auf der ISO 27001 aufbaut. Wer ein ISMS nach ISO 27001 betreibt, hat 80 % des TISAX-Wegs bereits geschafft.
IMS-Integration: Über die High Level Structure lässt sich die ISO 27001 mit ISO 9001 (Qualität), ISO 14001 (Umwelt) und ISO 45001 (Arbeitsschutz) in einem integrierten System betreiben. Dokumentenlenkung, interne Audits und Managementbewertung werden einmal durchgeführt und decken alle Normen ab.
Häufige Fragen zur ISO 27001
Was hat sich in der 2022er Revision geändert?
Die wesentlichen Änderungen betreffen den Anhang A: Statt 114 Controls in 14 Gruppen gibt es jetzt 93 Controls in 4 Kategorien (organisatorisch, personenbezogen, physisch, technologisch). 11 Controls sind neu hinzugekommen, darunter Threat Intelligence, Cloud-Sicherheit, Datenmaskierung und sicheres Kodieren. Die Haupttext-Anforderungen (Kapitel 4-10) haben sich nur geringfügig verändert. Bereits zertifizierte Unternehmen hatten bis Oktober 2025 Zeit für die Transition.
Wie lange dauert die ISMS-Einführung?
Für ein mittelständisches Unternehmen mit 50 bis 200 Mitarbeitern rechnen wir mit 9 bis 14 Monaten von der Gap-Analyse bis zur Zertifizierungsreife. Der Zeitbedarf hängt stark vom bestehenden IT-Sicherheitsniveau, der Komplexität der IT-Landschaft und der Verfügbarkeit interner Ressourcen ab. Unternehmen, die bereits ein QMS nach ISO 9001 betreiben, können die gemeinsamen Strukturelemente übernehmen und so 2 bis 3 Monate einsparen.
Was kostet die ISO 27001-Zertifizierung?
Die Kosten setzen sich aus Beratung, technischen Maßnahmen und Zertifizierungsgebühren zusammen. Die Beratungskosten hängen vom Scope und Reifegrad ab. Technische Maßnahmen (z.B. Firewall-Upgrades, Verschlüsselung, Backup-Systeme) variieren stark. Die Zertifizierungsgebühren richten sich nach Unternehmensgröße und Scope. Wir erstellen nach einem kostenlosen Erstgespräch ein transparentes Angebot, das alle Kostenblöcke aufschlüsselt.
Brauche ich einen Informationssicherheitsbeauftragten?
Die ISO 27001 fordert, dass Rollen und Verantwortlichkeiten für Informationssicherheit zugewiesen werden. Ein dedizierter Informationssicherheitsbeauftragter (ISB) ist zwar formal nicht vorgeschrieben, in der Praxis aber dringend empfohlen. Für kleinere Unternehmen kann ein externer ISB eine kosteneffiziente Lösung sein. Wir bieten die Übernahme der ISB-Funktion oder die Qualifizierung Ihres internen ISB an.
Schützt ISO 27001 auch OT-Systeme in der Anlagentechnik?
Ja, der Scope des ISMS kann und sollte auch Operational Technology umfassen — insbesondere wenn Steuerungssysteme (SCADA, SPS) über Netzwerke erreichbar sind. Die ISO 27001 wird dann typischerweise durch die IEC 62443 (Industrielle Kommunikationsnetze) ergänzt. Für unsere Kunden in Energietechnik und Industrieservice ist die OT-Sicherheit ein besonders kritisches Thema, das wir mit branchenspezifischer Expertise adressieren.
Was passiert bei einem Sicherheitsvorfall?
Die ISO 27001 fordert einen dokumentierten Incident-Management-Prozess. Sicherheitsvorfälle müssen erkannt, gemeldet, bewertet, behandelt und nachbereitet werden. Die Lessons Learned fließen in die Verbesserung des ISMS ein. Mit NIS-2 kommen zusätzliche Meldepflichten hinzu: Erstmeldung innerhalb von 24 Stunden, detaillierte Meldung innerhalb von 72 Stunden an das BSI.
Referenzen
Unsere Informationssicherheits-Kompetenz ist praxiserprobt:
- Altrad Group (42.000 Mitarbeiter weltweit): Beratung zur Informationssicherheit im Kontext eines konzernweiten IMS mit besonderem Fokus auf mobile Endgeräte und Baustellendaten
- ETABO Energietechnik und Anlagenservice GmbH / PSS Group (1.200 Mitarbeiter): ISMS-Beratung als Bestandteil des integrierten "Mission Zero"-Programms — besonders relevant für OT-Sicherheit in Energieanlagen
- IAB Group: Informationssicherheitsberatung für Industriemontage auf kritischen Infrastrukturen
- Industrieservice Peeters GmbH: ISMS-Aufbau mit Fokus auf Kundendatenschutz und Zugangskontrolle auf Industriestandorten
Unsere Zahlen
| Kennzahl | Wert |
|---|---|
| Betreute Kunden | 559 |
| Erstellte Gefährdungsbeurteilungen | 967 |
| Compliance-Quote im Erstaudit | 97,9 % |
| Betreute Normen und Standards | 17 |
| KI-gestützte Compliance-Agenten | 9 |
| Standorte | 4 (Troisdorf, Wesseling, Ludwigshafen, Hagen) |
Jetzt Beratung anfragen
Sie möchten Ihre Informationssicherheit auf ein zertifizierbares Niveau heben oder sich auf NIS-2 vorbereiten? Wir bieten Ihnen ein kostenloses Erstgespräch mit einer ersten Einschätzung Ihres Sicherheitsniveaus.
NovoCert by WS Anlagentechnik GmbH Königsberger Str. 23 | 53840 Troisdorf Tel: +49 152 57877899 E-Mail: Consulting@ws-anlagentechnik.de
Standorte für Vor-Ort-Beratung: - Troisdorf (Zentrale) - Wesseling (Chemiepark-Region) - Ludwigshafen (SIEGEL Akademie) - Hagen (SE Bildung)
Informationssicherheit ist kein IT-Projekt — es ist Management-Verantwortung.
Verwandte Themen: NIS-2 — Netz- und Informationssicherheit | ISO 27701 — Datenschutz-Informationsmanagement | ISO 9001 — Qualitätsmanagement