IAF MD 26 – Übergang DIN EN ISO/IEC 27001:2017 auf ISO/IEC 27001:2022
Die Veröffentlichung der ISO/IEC 27001:2022 führte und führt weiterhin dazu, dass bereits zertifizierte Unternehmen eine Transition auf die ISO/IEC 27001:2022 vornehmen mussten.
Für den Prozess der Transition auf die ISO/IEC 27001:2022 wurde durch das IAF im MD 26:2023 Vorgaben definiert, nach denen sich sowohl die Akkreditierungsstellen (wie die Deutsche Akkreditierungsstelle GmbH (DAkkS)) als auch die Zertifizierungsstellen (wie die RSM Certifcation GmbH) richten müssen.
Die Umstellung erfolgt(e) in einem zweistufigen Verfahren. Im ersten Schritt mussten sich die bei der DAkkS akkreditierten Zertifizierungsstellen einem Audit durch die DAkkS unterziehen, um eine Neu-bzw. Re-Akkreditierung für die ISO/IEC 27001:2022 zu erhalten. Dieser Prozess musste bis Oktober 2023 abgeschlossen sein.
Für den Prozess der Transition von ausgestellten Zertifikaten auf die ISO/IEC 27001:2022 ergibt sich der zeitliche Rahmen für die bereits zertifizierten sowie die neu zu zertifizierenden Unternehmen ebenfalls aus dem IAF MD 26:2023. In Kürze zusammengefasst wurde folgendes festgelegt:
- Die Transitionsphase beträgt drei Jahre ab Veröffentlichung der ISO/IEC 27001:2022 (somit 24.10.2025).
- Erstzertifizierungen sowie Rezertifizierungen dürfen ab November 2023 ausschließlich nach der ISO/IEC 27001:2022 durchgeführt werden.
- Unternehmen, die bereits nach DIN EN ISO/IEC 27001:2017-06 zertifiziert sind, müssen, sofern das Zertifikat aufrecht erhalten bleiben soll, die Transition auf die ISO/IEC 27001:2022 bis spätestens 31.10.2025 vornehmen.
- Die Transition kann in Verbindung mit einem Überwachungsaudit, Rezertifizierungsaudit oder in einem separaten Audit erfolgen (nachfolgend wird nur das Wort „Audit“ verwendet).
- Das Audit darf sich nicht nur auf eine Dokumentenprüfung stützen, insbesondere für die Überprüfung der technischen Kontrollen.
- Das Audit umfasst unter anderem:
- die Lückenanalyse der ISO/IEC 27001:2022 sowie die Notwendigkeit von Änderungen am ISMS,
- die Aktualisierung der Anwendbarkeitserklärung (SoA),
- gegebenenfalls die Aktualisierung des Risikobehandlungsplans,
- die Umsetzung und Wirksamkeit der neuen oder geänderten Kontrollen, die von den Mandanten gewählt wurden.
- Das Audit kann remote durchgeführt werden, sofern sichergestellt werden kann, dass die Ziele des Audits erreicht werden.
- Unabhängig von der Auditform (Überwachungsaudit, Rezertifizierungsaudit, separates Audit) ergeben sich gemäß IAF MD 26:2023 zusätzliche Mindestaufwände, die bei der RSM Certification GmbH anfallen und die berechnet werden müssen.
- Mit Abschluss des Audits erfolgt eine Aktualisierung der Zertifizierungsdokumente. Sofern das Audit im Rahmen eines separaten Audits erfolgt und damit nur die Transition geprüft wurde, wird der Ablauf des aktuellen Zertifizierungszyklus nicht geändert.
Überwachungsaudits dürfen nun noch bis zum 31.10.2025 nach der DIN EN ISO/IEC 27001:2017 durchgeführt werden bzw. müssen bis dahin abgeschlossen sein.
Dieser Eintrag trägt keinen Anspruch auf Vollständigkeit aller einzelnen Anforderungen des IAF MD 26:2023. Vielmehr versteht er sich als Zusammenfassung der zentralen Anforderungen – insbesondere aus Kundensicht.