Umstellung bestehender Zertifikate auf die ISO/IEC 27001:2022
Mit der neuen ISO/IEC 27001:2022 muss einerseits die ESecurity-CERT GmbH einen Antrag auf Änderung der Akkreditierung stellen. Andererseits müssen sich alle zertifizierten Mandate entsprechend umstellen.
Die Umstellung der Zertifikate erfolgt in einem zweistufigen Verfahren. Im ersten Schritt müssen die bei der Deutsche Akkreditierungsstelle GmbH (DAkkS) akkreditierten Zertifizierungsstellen (wie die ESecurity-CERT GmbH) sich einem Audit durch die DAkkS unterziehen, um eine Neu-bzw. Re-Akkreditierung für die ISO/IEC 27001:2022 zu erhalten. Dieser Prozess muss durch die DAkkS bis Oktober 2023 abgeschlossen sein. In einem zweiten Schritt können dann die von der jeweiligen Zertifizierungsstelle ausgegebenen Zertifikate nach DIN EN ISO/IEC 27001:2017-06 im Rahmen des Prüfungszykluses umgestellt werden.
Für den Prozess der Transition auf die ISO/IEC 27001:2022, wurde durch das IAF (International Accreditation Forum) Vorgaben definiert (siehe IAF MD26:2023) - sowohl für die Akkreditierungsstelle als auch für die Zertifizierungsstellen. Hieraus ergibt sich auch der zeitliche Rahmen für die bereits zertifizierten sowie die neu zu zertifizierenden Unternehmen. In Kürze zusammengefasst wurde folgendes festgelegt:
- Die Transitionsphase beträgt drei Jahre ab Veröffentlichung der ISO/IEC 27001:2022 (somit 24.10.2025)
- Vorgaben für die DAkkS/Akkreditierungsstellen:
- Spätestens sechs Monate nach Veröffentlichung (25.10.2022) der ISO/IEC 27001:2022 (somit 30.4.2023) müssen die nationalen Akkreditierungsstellen die Möglichkeit bieten, sich für die neue Norm akkreditieren lassen zu können.
- Erstakkreditierungen nach ISO/IEC 27001:2022 müssen spätestens ab dem 30.4.2023 möglich sein.
- Die Umstellung der Akkreditierung für Zertifizierungsstellen (wie die ESecurity-CERT GmbH) muss innerhalb von zwölf Monaten (somit bis zum 31.10.2023) abgeschlossen sein.
- Vorgaben für die ESecurity-CERT GmbH bzw. den zertifizierten Unternehmen:
- Erstzertifizierungen sowie Rezertifizierungen dürfen ab dem 1.5.2024 ausschließlich nach der ISO/IEC 27001:2022 durchgeführt werden.
- Unternehmen, die bereits nach DIN EN ISO/IEC 27001:2017-06 zertifiziert sind, müssen, sofern das Zertifikat aufrecht erhalten bleiben soll, die Transition auf die ISO/IEC 27001:2022 bis spätestens 31.10.2025 vornehmen.
- Die Transition kann in Verbindung mit einem Überwachungsaudit, Rezertifizierungsaudit oder in einem separaten Audit erfolgen (nachfolgend wird nur das Wort „Audit“ verwendet).
- Das Audit darf sich nicht nur auf eine Dokumentenprüfung stützen, insbesondere für die Überprüfung der technischen Kontrollen.
- Das Audit umfasst unter anderem:
- die Lückenanalyse der ISO/IEC 27001:2022 sowie die Notwendigkeit von Änderungen am ISMS,
- die Aktualisierung der Anwendbarkeitserklärung (SoA),
- gegebenenfalls die Aktualisierung des Risikobehandlungsplans,
- die Umsetzung und Wirksamkeit der neuen oder geänderten Kontrollen, die von den Mandanten gewählt wurden.
- Das Audit kann Remote durchgeführt werden, sofern sichergestellt werden kann, dass die Ziele des Audits erreicht werden.
- Unabhängig von der Auditform (Überwachungsaudit, Rezertifizierungsaudit, separates Audit) ergeben sich gemäß IAF MD:26 zusätzliche Mindestaufwände, die bei der ESecurity-CERT GmbH anfallen und die berechnet werden müssen
- Mit Abschluss des Audits erfolgt eine Aktualisierung der Zertifizierungsdokumente. Sofern das Audit im Rahmen eines separaten Audits erfolgt und damit nur die Transition geprüft wurde, wird der Ablauf des aktuellen Zertifizierungszyklus nicht geändert.
Dies bedeutet: Bis zum 30.04.2024 einschließlich dürfen Erst- und Rezertifizierungen noch nach den DIN EN ISO/IEC 27001:2017-06 durchgeführt werden - Überwachungsaudits sogar bis zum 31.10.2025. Ob Sie bereits vor dem 30.04.2024 auf die ISO/IEC 27001:2022 gehen bleibt Ihnen überlassen - wir als ESecurity-CERT GmbH haben den Antrag auf Änderung der Akkreditierung bei der DAkkS im Januar 2023 eingereicht, um die entsprechende Überprüfung durchführen zu lassen. Als eine der ersten Konformitätsbewertungsstellen in Deutschland konnten wir die Dokumentenprüfung sowie das Geschäftsstellenaudit für die Umstellung auf die ISO/IEC 27001:2022 auch erfolgreich abschließem und warten nun auf unsere angepasste Urkunde, um entsprechende Auditierungen durchführen zu können.
Haben Sie Fragen, so kontaktieren Sie uns gern.
Marc Alexander Luge | November 2022 (Update April 2023)