Kostenlose ISO-27001-SoA-Vorlage (2026): Alle 93 Controls, Excel
Published 14. Juli 2026
By Orbiq Team

Kostenlose ISO-27001-SoA-Vorlage (2026): Alle 93 Controls, Excel

Kostenlose ISO-27001-SoA-Vorlage mit allen 93 Annex-A-Controls (XLSX, PDF, MD): Anwendbarkeit, Begründung, Umsetzungsstatus und Nachweise vorausgefüllt.

ISO 27001
ISMS
Erklärung zur Anwendbarkeit
Vorlagen
Compliance

Vorlage herunterladen

Version 1.0 · Aktualisiert 14. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Downloads auf Deutsch (Fallback: Englisch)

ISO 27001 Erklärung zur Anwendbarkeit: Kostenlose Vorlage

Die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) ist das verpflichtende ISO-27001-Dokument, das alle 93 Annex-A-Controls der ISO/IEC 27001:2022 auflistet, für jedes Control angibt, ob es anwendbar oder ausgeschlossen ist, beide Entscheidungen begründet und den Umsetzungsstatus jedes anwendbaren Controls festhält — genau das, was Abschnitt 6.1.3 Buchst. d verlangt. Diese kostenlose Vorlage liefert jedes Control vorausgefüllt über die vier Annex-A-Themen hinweg, dazu Spalten für Begründung, Nachweise, Verantwortliche und Überprüfung, sodass Sie Entscheidungen treffen statt Tabellen zu bauen.

Fragen Sie einen beliebigen Zertifizierungsauditor, welches Dokument er zuerst öffnet, und die Antwort ist die SoA — sie ist der Fahrplan, gegen den er auditiert. Dennoch stellen die meisten Teams sie noch von Hand zusammen und kopieren 93 Control-Bezeichnungen aus einem PDF in eine Tabelle, bevor sie eine einzige Anwendbarkeitsentscheidung treffen können. Diese Vorlage — verfügbar als XLSX, PDF und maschinenlesbare Markdown-Datei für KI-Agenten (die herunterladbaren Dateien sind auf Englisch) — beseitigt diesen Schritt. Sie ist der operative Begleiter unserer ISO-27001-Checkliste, die den vollständigen Zertifizierungsweg durchläuft; diese Seite gibt Ihnen das mit Abstand wichtigste Artefakt auf diesem Weg, fertig zum Ausfüllen.

Die wichtigsten Erkenntnisse

  • Die SoA ist nach Abschnitt 6.1.3 Buchst. d der ISO/IEC 27001:2022 vorgeschrieben und muss die notwendigen Controls, die Begründung für ihre Aufnahme, ihren Umsetzungsstatus sowie die Begründung für den Ausschluss eines jeden Annex-A-Controls enthalten.
  • Annex A hat 93 Controls in vier Themen — organisatorisch (37), personenbezogen (8), physisch (14), technologisch (34) — und alle 93 müssen mit einer expliziten Entscheidung in der SoA erscheinen.
  • Elf Controls sind seit der Revision 2022 neu (in der Vorlage gekennzeichnet), und seit dem 31. Oktober 2025 laufen alle gültigen Zertifikate gegen die ISO/IEC 27001:2022 — eine nach der Struktur von 2013 aufgebaute SoA ist heute eine Audit-Feststellung, keine Formsache.
  • Ausschlüsse brauchen Substanz. Auditoren akzeptieren „keine physischen Büros“ für Perimeter-Controls; Kosten oder Aufwand akzeptieren sie nicht als Begründung.
  • Für EU-Unternehmen wirkt die SoA doppelt: Der Satz anwendbarer Controls lässt sich auf die Risikomanagementmaßnahmen nach NIS2 Artikel 21 Abs. 2 abbilden, sodass eine gut gepflegte SoA zu wiederverwendbarem Nachweis für die NIS2-Compliance wird — die Vorlage enthält das Mapping-Blatt.

Was in der Vorlage steckt

Das XLSX enthält vier Blätter: das eigentliche Erklärung-zur-Anwendbarkeit-Register (alle 93 Controls vorausgefüllt), eine automatisch berechnete Zusammenfassung (Entscheidungen und Umsetzungszählungen je Thema, plus Vollständigkeitsprüfungen, die unentschiedene Zeilen markieren), ein Referenzblatt NIS2-Art.-21-Mapping und Anleitungen. Das PDF spiegelt das Register für Druck und Review-Meetings; die Markdown-Variante trägt die volle Struktur mit YAML-Metadaten, sodass ein KI-Agent Ihre SoA aus Ihrem Risikoregister entwerfen kann.

Hier eine Vorschau auf tatsächliche Registerzeilen, je eine aus jedem Thema:

Control-IDControl-BezeichnungThemaAnwendbar?Begründung (Beispiel)Status
A.5.23Informationssicherheit bei der Nutzung von Cloud-DienstenOrganisatorischJaZentraler SaaS-Stack verarbeitet Kundendaten; behandelt Risiko R-12 (Kompromittierung des Cloud-Anbieters)Umgesetzt
A.6.7Remote-ArbeitPersonenbezogenJaVollständig remote arbeitende Belegschaft; vertragliche und technische Controls gemäß Remote-Work-RichtlinieUmgesetzt
A.7.1Physische SicherheitsperimeterPhysischNeinKeine physischen Räumlichkeiten — vollständig remote organisiert; bürobezogene Risiken bestehen nicht
A.8.12Data Leakage PreventionTechnologischJaRegulierte Kundendaten im Geltungsbereich; DLP-Tooling auf Endgeräten und E-Mail-GatewayTeilweise umgesetzt

Jede Zeile im XLSX trägt zusätzlich die Workflow-Felder, die Auditoren erfahrungsgemäß hinterfragen — Nachweisverweis, Control-Verantwortlicher, Datum der letzten Überprüfung —, und Dropdown-Validierungen halten die Werte für Anwendbarkeit und Status konsistent. Die 11 in 2022 eingeführten Controls sind in einer eigenen Spalte gekennzeichnet, sodass ein Team, das eine ältere SoA migriert, sofort sieht, wo die Lücken typischerweise liegen.

So nutzen Sie sie

Schritt 1 — Vom Risikoergebnis ausgehen, nicht von der Control-Liste. Controls werden gewählt, weil sie identifizierte Risiken, gesetzliche Pflichten oder vertragliche Zusagen behandeln; die SoA hält das Ergebnis dieser Überlegung fest. Der umgekehrte Weg — zuerst Controls abhaken, später Risiken erfinden — ist der mit Abstand häufigste SoA-Fehlermodus, und erfahrene Auditoren erkennen ihn auf einen Blick. Falls Sie die Risikobewertung noch nicht durchgeführt haben, behandelt die ISO-27001-Checkliste diese Phase im Detail.

Schritt 2 — Alle 93 Zeilen entscheiden. Jedes Control erhält ein explizites Ja oder Nein in der Spalte Anwendbar. Das Zusammenfassungsblatt zählt unentschiedene Zeilen genau deshalb, weil eine leere Zeile in einem Zertifizierungsaudit als unvollständige SoA gelesen wird. Für anwendbare Controls schreiben Sie die Aufnahmebegründung — welches Risiko, welches Gesetz, welchen Vertrag das Control behandelt —, setzen den Umsetzungsstatus und verweisen auf den Nachweis, der ihn belegt: eine Richtlinie, ein Verfahren, eine Systemkonfiguration, ein Aufzeichnungsdatensatz.

Schritt 3 — Ausschlüsse substanziell begründen. Ein Control auszuschließen ist legitim; es faul auszuschließen nicht. Die Begründung muss zeigen, dass der Gegenstand des Controls für Ihr Unternehmen tatsächlich nicht zutrifft. Ein vollständig remote arbeitendes Unternehmen kann mehrere physische Controls ausschließen; ein Unternehmen ohne interne Entwicklung kann Teile des Satzes zur sicheren Entwicklung ausschließen (A.8.25–A.8.31) — sollte dann aber die ausgelagerte Entwicklung genau prüfen (A.8.30).

Schritt 4 — Sie lebendig halten. Weisen Sie jedem Control einen Verantwortlichen und ein Datum der letzten Überprüfung zu, halten Sie das Dokument unter Versionskontrolle und aktualisieren Sie es, sobald sich die Risikobewertung, der Control-Satz oder der organisatorische Kontext ändert — und überprüfen Sie es mindestens einmal je ISMS-Zyklus, beim Management-Review und vor jedem Überwachungsaudit. Eine veraltete SoA ist einer der schnellsten Wege zu einer Nichtkonformität, denn sie ist die erste Inkonsistenz, die ein Auditor findet, wenn er Dokument und Realität abgleicht. Unser Leitfaden zum Erhalt der ISO-27001-Zertifizierung erklärt, wie die SoA in Stufe 1 und Stufe 2 geprüft wird.

Grundlage im Standard

Die Vorlage ist in der ISO/IEC 27001:2022 verankert, der aktuellen Ausgabe des Standards, einschließlich Amendment 1:2024 — der Änderung „Climate Action Changes“ vom Februar 2024, die Abschnitt 4.1 um die Anforderung ergänzt hat, zu bestimmen, ob der Klimawandel ein relevantes Thema ist, sowie einen Hinweis zu Abschnitt 4.2, dass interessierte Parteien klimabezogene Anforderungen haben können. Beide speisen die Kontextanalyse, auf die Ihre SoA-Entscheidungen letztlich zurückgehen. Die Übergangsfrist von der Ausgabe 2013 endete am 31. Oktober 2025: Zertifikate gegen die ISO/IEC 27001:2013 sind abgelaufen oder wurden zurückgezogen, sodass jede SoA nun die Annex-A-Struktur von 2022 braucht — 93 Controls, vier Themen — statt des alten Aufbaus mit 114 Controls und 14 Domänen. Der offizielle Standard und die ISO/IEC 27002:2022 (der Katalog mit Umsetzungshinweisen) enthalten den Control-Text; diese Vorlage reproduziert bewusst nur die Control-Kennungen und -Titel, sodass Sie die Standards selbst weiterhin benötigen — von der ISO oder Ihrem nationalen Normungsgremium — für die Control-Anforderungen.

Für EU-Unternehmen hat die SoA ein zweites Leben als regulatorischer Nachweis. NIS2 — Richtlinie (EU) 2022/2555 — führt in Artikel 21 Abs. 2 zehn Familien von Risikomanagementmaßnahmen auf, von der Behandlung von Sicherheitsvorfällen über die Lieferkettensicherheit bis zur Kryptografie, und jede lässt sich auf identifizierbare Annex-A-Controls abbilden. Das Mapping-Blatt der Vorlage paart jede Maßnahme nach Artikel 21 Abs. 2 mit ihren repräsentativen Controls und spiegelt damit das ausführlichere Mapping von Artikel 21 auf Annex A in unserem NIS2-Leitfaden — mit dem wichtigen Vorbehalt, dass ISO-27001-Konformität die NIS2-Compliance zwar stützt, aber für sich genommen nicht belegt, weil NIS2 eigene Erwartungen an Governance, Meldung und Durchsetzung nach den nationalen Umsetzungsgesetzen hinzufügt. Dieselbe Wiederverwendungslogik gilt für den Nachweis der Sicherheitsmaßnahmen nach DSGVO Artikel 32, wo ein ISO-27001-Control-Satz weithin als starker Nachweis „geeigneter technischer und organisatorischer Maßnahmen“ behandelt wird.

Über die EU hinaus: UK und Norwegen

Die ISO/IEC 27001 ist ein internationaler Standard, sodass diese Vorlage — anders als unsere regulierungsspezifischen Vorlagen — keine jurisdiktionale Übersetzung braucht — der Zertifizierungskontext unterscheidet sich jedoch. Im Vereinigten Königreich läuft die akkreditierte Zertifizierung über UKAS-akkreditierte Zertifizierungsstellen, und ISO 27001 steht neben dem staatlich gestützten Cyber-Essentials-Programm: Cyber Essentials deckt fünf grundlegende technische Controls ab, während ISO 27001 das Managementsystem zertifiziert — größere britische Einkäufer erwarten zunehmend beides. In Norwegen werden Zertifizierungsstellen von Norsk akkreditering akkreditiert, und eine ISO-27001-SoA dient zugleich als starker Nachweis in Richtung der NSM ICT Security Principles (grunnprinsipper for IKT-sikkerhet) — der nationalen Grundlinie aus 21 Prinzipien und 118 Maßnahmen, die die NSM selbst auf die ISO/IEC 27002:2022 abbildet und auf die sich norwegische Einkäufer des öffentlichen Sektors und das Aufsichtsregime des digitalsikkerhetsloven beziehen. Eine SoA, aktuell gehalten, speist alle drei Gespräche.

Von der Tabelle zum lebenden Nachweis

Eine Tabellen-SoA beweist, dass Sie die Entscheidungen getroffen haben; sie kann sie nicht wahr halten. Controls driften, Verantwortliche wechseln, Nachweise veralten — und das bei der Zertifizierung akkurate Dokument hört still auf, mit der Realität übereinzustimmen. Orbiqs ISMS-Software hält dasselbe Control-Register mit lebenden Nachweisen verbunden, markiert Controls, deren Nachweise abgelaufen sind, und veröffentlicht die kundenseitige Ansicht in einem europäischen Trust Center — sodass die Arbeit, die Sie für den Auditor geleistet haben, auch die nächste Kundensicherheitsprüfung beantwortet. Falls Sie Ihr ISMS-Tooling noch wählen, deckt unser Vergleich der besten ISMS-Software das Feld ab.


Quellen & Referenzen

  1. ISO/IEC 27001:2022 — Informationssicherheits-Managementsysteme — der Standard selbst; Abschnitt 6.1.3 Buchst. d und Annex A.
  2. ISO/IEC 27001:2022/Amd 1:2024 — Climate Action Changes — veröffentlicht Februar 2024; Ergänzungen zu Abschnitt 4.1/4.2.
  3. Richtlinie (EU) 2022/2555 (NIS2) — Volltext — Risikomanagementmaßnahmen nach Artikel 21 Abs. 2.
  4. ENISA — Technical Implementation Guidance on Cybersecurity Risk Management Measures — Juni 2025; bildet NIS2-Maßnahmen auf internationale Standards ab.
  5. NCSC — Cyber Essentials scheme overview — die britische Grundlinie neben ISO 27001.
  6. NSM ICT Security Principles (grunnprinsipper for IKT-sikkerhet) — Norwegens nationale IKT-Sicherheitsgrundlinie, Version 2.1, mit NSMs eigenem Mapping auf die ISO/IEC 27002:2022.

Weiterführende Lektüre

Vorlage herunterladen

Version 1.0 · Aktualisiert 14. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Downloads auf Deutsch (Fallback: Englisch)

Häufig gestellte Fragen

Was ist eine Erklärung zur Anwendbarkeit in ISO 27001?

Die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) ist das verpflichtende ISO-27001-Dokument, das alle 93 Annex-A-Controls auflistet, für jedes angibt, ob es anwendbar oder ausgeschlossen ist, beide Entscheidungen begründet und festhält, ob jedes anwendbare Control umgesetzt ist. Sie ist nach Abschnitt 6.1.3 Buchst. d der ISO/IEC 27001:2022 vorgeschrieben, und Zertifizierungsauditoren nutzen sie als Fahrplan für das gesamte Audit.

Was muss die SoA nach Abschnitt 6.1.3 Buchst. d enthalten?

Abschnitt 6.1.3 Buchst. d verlangt vier Dinge: die im Rahmen der Risikobehandlung bestimmten notwendigen Controls, die Begründung für die Aufnahme jedes Controls, die Angabe, ob jedes notwendige Control umgesetzt ist oder nicht, sowie die Begründung für den Ausschluss eines Annex-A-Controls. Alles darüber hinaus — Control-Verantwortliche, Nachweisverweise, Überprüfungsdaten — ist gute Praxis statt textliche Anforderung, doch Auditoren erwarten es zu sehen.

Wie viele Controls enthält Annex A der ISO 27001:2022?

Annex A der ISO/IEC 27001:2022 enthält 93 Controls in vier Themen: 37 organisatorische (A.5), 8 personenbezogene (A.6), 14 physische (A.7) und 34 technologische (A.8). Elf Controls sind in der Revision 2022 neu, darunter Threat Intelligence (A.5.7), Informationssicherheit bei der Nutzung von Cloud-Diensten (A.5.23), Konfigurationsmanagement (A.8.9), Data Leakage Prevention (A.8.12) und sichere Programmierung (A.8.28).

Kann ich Annex-A-Controls aus meiner SoA ausschließen?

Ja — kein Annex-A-Control ist automatisch verpflichtend, doch jeder Ausschluss braucht eine dokumentierte, substanzielle Begründung. „Wir haben keine physischen Büros“ ist ein zulässiger Grund, um Controls zum physischen Perimeter auszuschließen; „es wäre zu teuer“ ist es nicht. Alle 93 Controls müssen dennoch mit einer expliziten Anwendbar-oder-ausgeschlossen-Entscheidung in der SoA erscheinen, und Auditoren hinterfragen schwache Ausschlussbegründungen.

Wie oft sollte die Erklärung zur Anwendbarkeit aktualisiert werden?

ISO 27001 setzt kein festes Intervall, doch die SoA muss mit Ihrer Risikobewertung und Ihrem Risikobehandlungsplan im Einklang bleiben. In der Praxis bedeutet das, sie zu aktualisieren, sobald sich Risiken, Controls oder der organisatorische Kontext wesentlich ändern, und sie mindestens einmal je ISMS-Zyklus zu überprüfen — typischerweise bei jedem Management-Review und vor jedem Überwachungs- oder Rezertifizierungsaudit.

Ist die SoA dasselbe wie der Risikobehandlungsplan?

Nein. Der Risikobehandlungsplan sagt, was Sie gegen jedes identifizierte Risiko tun werden — gewählte Optionen, Verantwortliche, Fristen. Die Erklärung zur Anwendbarkeit sagt, welche Controls im Geltungsbereich sind und warum, Control für Control, mit Umsetzungsstatus. Beide müssen miteinander konsistent sein: Jedes Control, auf das sich der Risikobehandlungsplan stützt, sollte in der SoA als anwendbar erscheinen.