ISO 27001:2026 - Neue physische Sicherheitsanforderungen

ISO 27001:2026 wurde im Dezember 2025 veröffentlicht und bringt bedeutende Änderungen im Bereich Physical Security (Annex A 7). Unternehmen, die bereits zertifiziert sind, müssen bis Ende 2026 auf den neuen Standard umstellen. Wir zeigen, was sich geändert hat und was Sie konkret tun müssen.

Was ist neu in ISO 27001:2026?

Die wichtigsten Änderungen im Bereich physische Sicherheit:

Annex A 7.1 - Physische Sicherheitszonen (verschärft)

Neue Anforderungen:

Pflicht zur Zonierung: Mindestens 3 Sicherheitszonen (öffentlich, eingeschränkt, hochsensibel)
Dokumentation: Detaillierter Zonenplan mit Begründung der Klassifizierung
Zugangskontrolle: Jede Zone muss physisch gesichert sein (nicht nur logisch)
Visitor Management: Verschärfte Regeln für Besucher in sensiblen Zonen

Praktisch bedeutet das:

Serverraum, Archiv, Entwicklungsbereich müssen durch Türen getrennt sein
Diese Türen brauchen elektronische Zugangskontrollen (Karten/Codes)
Besucher dürfen nicht unbegleitet in eingeschränkte Zonen

Annex A 7.2 - Physische Zutrittskontrolle (neu detailliert)

Der Standard definiert jetzt konkrete Anforderungen an Zugangskontrollen:

Sicherheitszone	Minimale Anforderungen	Typische Umsetzung
Öffentlich (Empfang, Lobby)	Überwachung durch Personal oder CCTV	Empfangspersonal + 2 Kameras
Eingeschränkt (Büros, Besprechungsräume)	Elektronische Zutrittskontrolle + Logging	Kartenleser + Zutrittssoftware
Hochsensibel (Server, Archiv, R&D)	2-Faktor + CCTV + Alarmsystem	Karte + PIN + Kameras + Bewegungsmelder

Annex A 7.4 - Videoüberwachung (neu hinzugefügt)

Erstmals gibt ISO 27001 konkrete Vorgaben zu CCTV:

Abdeckung: Alle Eingänge zu eingeschränkten/hochsensiblen Zonen müssen überwacht werden
Aufzeichnung: Mindestens 30 Tage Speicherung (früher: keine Vorgabe)
Qualität: Personen müssen eindeutig identifizierbar sein (Gesicht erkennbar)
Redundanz: Backup der Aufzeichnungen an separatem Standort
Datenschutz: DSGVO-konforme Beschilderung und Speicherung

Annex A 7.7 - Clear Desk & Clear Screen (verschärft)

Die "Clean Desk Policy" wird konkretisiert:

Pflicht für alle Arbeitsplätze in eingeschränkten Zonen:

Keine vertraulichen Dokumente auf dem Schreibtisch über Nacht
Bildschirme müssen sich nach 5 Minuten Inaktivität sperren
Drucker in separaten Räumen oder mit PIN-Freigabe
Whiteboards mit sensiblen Infos müssen abwischbar sein

Was müssen Sie konkret umsetzen?

1. Gap-Analyse durchführen

Prüfen Sie Ihren aktuellen Status gegen die neuen Anforderungen:

Checkliste Gap-Analyse:

Zonierung: Sind sensible Bereiche physisch getrennt? Zugangskontrolle: Haben alle sensiblen Bereiche elektronische Zutritte? CCTV: Werden alle kritischen Eingänge überwacht? Aufzeichnung: Werden Videos 30+ Tage gespeichert? RC2-Türen: Sind Server/Archiv durch zertifizierte Türen gesichert? Alarmsystem: Sind hochsensible Bereiche alarmgesichert? Dokumentation: Existiert ein aktueller Zonenplan? Clean Desk: Ist die Policy dokumentiert und kommuniziert?

2. Maßnahmenplan erstellen

Basierend auf Ihrer Gap-Analyse benötigen Sie wahrscheinlich:

Bauliche Maßnahmen:

Installation von RC2-Sicherheitstüren (Serverraum, Archiv)
Trennwände zur Zonierung sensibler Bereiche
Sichtschutzfolien für Fenster zu sensiblen Räumen

Technische Maßnahmen:

Elektronische Zutrittskontrolle (Kartenleser, Codepanels)
CCTV-System mit ausreichend Kameras (ca. 1 Kamera pro Eingang)
NVR (Network Video Recorder) mit 30+ Tage Speicher
Alarmsystem (Bewegungsmelder, Öffnungsmelder)
Drucker mit PIN-Freigabe

Organisatorische Maßnahmen:

Zonenplan erstellen und dokumentieren
Clean Desk Policy formulieren und schulen
Besuchermanagement-Prozess definieren
Zugriffslisten für alle Zonen pflegen

3. Zeitplan und Budget

6-12 Wochen

Typische Umsetzungszeit

15-40k EUR

Investition (300-500m² Büro)

31.12.2026

Deadline für Rezertifizierung

Kostenaufstellung Beispiel (400m² Büro, 30 MA):

Maßnahme	Kosten	Zeitaufwand
2x RC2 Sicherheitstüren	4.000 EUR	1 Tag
Zutrittskontrolle (10 Leser)	8.000 EUR	3 Tage
CCTV (8 Kameras + NVR)	6.000 EUR	2 Tage
Alarmsystem	3.000 EUR	2 Tage
Trennwände (Gipskarton)	5.000 EUR	1 Woche
Beratung & Dokumentation	2.500 EUR	laufend
Gesamt	28.500 EUR	4-6 Wochen

Typische Fehler vermeiden

Diese 5 Fehler sehen wir bei vielen Audits:

Fehler 1: Zonierung nur auf dem Papier, aber nicht physisch umgesetzt
Fehler 2: CCTV ohne ausreichende Speicherdauer (nur 7 Tage statt 30)
Fehler 3: Zutrittslog wird nicht regelmäßig geprüft
Fehler 4: Clean Desk Policy existiert, aber wird nicht gelebt
Fehler 5: Dokumentation unvollständig (kein aktueller Zonenplan)

Zusammenfassung & Empfehlung

ISO 27001:2026 nimmt physische Sicherheit deutlich ernster. Die gute Nachricht: Die Anforderungen sind machbar und die meisten Unternehmen können innerhalb von 2-3 Monaten compliant sein.

Unsere Empfehlung:

Jetzt starten: Warten Sie nicht bis Q4 2026, sonst bekommen Sie Probleme mit Lieferzeiten
Gap-Analyse: Lassen Sie sich von einem Experten beraten (wir bieten kostenlose Erstberatung)
Priorisieren: Starten Sie mit den baulichen Maßnahmen (Türen, Trennwände), dann Technik
Dokumentieren: Pflegen Sie die Dokumentation parallel zur Umsetzung

ISO 27001:2026 Vorbereitung gewünscht?

Wir führen eine Gap-Analyse durch, erstellen den Maßnahmenplan und setzen alle baulichen und technischen Anforderungen um. Inkl. audit-fähiger Dokumentation.

Mehr zu ISO/TISAX Vorbereitung Kostenlose Erstberatung