Der international etablierte Standard ISO/IEC27001 für Informationssicherheit wurde überarbeitet und enthält neue Maßnahmen für mehr Cybersicherheit und Datenschutz. Im Herbst 2025 endet die Übergangsfrist. Ein aktuelles Whitepaper von TÜV SÜD gibt einen Überblick. Nach einer Überarbeitung im Oktober 2022 löst die neue ISO/IEC27001:2022 die bisher geltende ISO/IEC27001:2013 ab. Dadurch erhält die Sicherheitsnorm eine lange erwartete Anpassung bei Maßnahmen zu IT-Sicherheit, Datenschutz sowie konkrete Maßnahmen zur Cloudsicherheit. Die wichtigsten Änderungen bei der ISO/IEC27001:2022 im Vergleich zur Vorgängerversion betreffen die im Anhang A definierten Maßnahmen (Controls): Diese wurden von bisher 114 auf 93 reduziert und in vier Abschnitten neu gegliedert: Organisational Controls (37 Maßnahmen), People Controls (8 Maßnahmen), Physical Controls (14 Maßnahmen), Technological Controls (34 Maßnahmen). Neu eingeführt wurden 11 Maßnahmen. Diese betreffen u.a. Datenmaskierung (um Daten für Hacker unbrauchbar zu machen), die Überwachung von Aktivitäten (um unübliche IT-Aktivitäten zu entdecken), sowie Informationssicherheit für die Nutzung von Cloud-Diensten.
Sprint zur Cyber-Resilience-Act-Konformität
Um die Cybersicherheit in Open-Source-Systemen zu erhöhen und ihre Unterstützung des Cyber Resilience Act (CRA) der Europäischen Union zu demonstrieren, haben eine Reihe von Organisationen eine gemeinsame Initiative angekündigt.