ESecurity Cert

Umstellung bestehender Zertifikate auf die ISO/IEC 27001:2022

Mit der neuen ISO/IEC 27001:2022 muss ei­ner­seits die ESe­cu­rity-CERT GmbH einen An­trag auf Ände­rung der Ak­kre­di­tie­rung stel­len. An­de­rer­seits müssen sich alle zer­ti­fi­zier­ten Man­date ent­spre­chend um­stel­len.

Die Um­stel­lung der Zer­ti­fi­kate er­folgt in einem zwei­stu­fi­gen Ver­fah­ren. Im ers­ten Schritt müssen die bei der Deut­sche Ak­kre­di­tie­rungs­stelle GmbH (DAkkS) ak­kre­di­tier­ten Zer­ti­fi­zie­rungs­stel­len (wie die ESe­cu­rity-CERT GmbH) sich einem Au­dit durch die DAkkS un­ter­zie­hen, um eine Neu-bzw. Re-Ak­kre­di­tie­rung für die ISO/IEC 27001:2022 zu er­hal­ten. Die­ser Pro­zess muss durch die DAkkS bis Ok­to­ber 2023 ab­ge­schlos­sen sein. In einem zwei­ten Schritt können dann die von der je­wei­li­gen Zer­ti­fi­zie­rungs­stelle aus­ge­ge­be­nen Zer­ti­fi­kate nach DIN EN ISO/IEC 27001:2017-06 im Rah­men des Prüfungs­zy­klu­ses um­ge­stellt wer­den.

Für den Pro­zess der Tran­si­tion auf die ISO/IEC 27001:2022, wurde durch das IAF (In­ter­na­tio­nal Ac­cre­di­ta­tion Fo­rum) Vor­ga­ben de­fi­niert (siehe IAF MD26:2023) - so­wohl für die Ak­kre­di­tie­rungs­stelle als auch für die Zer­ti­fi­zie­rungs­stel­len. Hier­aus er­gibt sich auch der zeit­li­che Rah­men für die be­reits zer­ti­fi­zier­ten so­wie die neu zu zer­ti­fi­zie­ren­den Un­ter­neh­men. In Kürze zu­sam­men­ge­fasst wurde fol­gen­des fest­ge­legt:

  • Die Tran­si­ti­ons­phase beträgt drei Jahre ab Veröff­ent­li­chung der ISO/IEC 27001:2022 (so­mit 24.10.2025)
  • Vor­ga­ben für die DAkkS/Ak­kre­di­tie­rungs­stel­len:
    • Spätes­tens sechs Mo­nate nach Veröff­ent­li­chung (25.10.2022) der ISO/IEC 27001:2022 (so­mit 30.4.2023) müssen die na­tio­na­len Ak­kre­di­tie­rungs­stel­len die Möglich­keit bie­ten, sich für die neue Norm ak­kre­di­tie­ren las­sen zu können.
    • Erstak­kre­di­tie­run­gen nach ISO/IEC 27001:2022 müssen spätes­tens ab dem 30.4.2023 möglich sein.
    • Die Um­stel­lung der Ak­kre­di­tie­rung für Zer­ti­fi­zie­rungs­stel­len (wie die ESe­cu­rity-CERT GmbH) muss in­ner­halb von zwölf Mo­na­ten (so­mit bis zum 31.10.2023) ab­ge­schlos­sen sein.
  • Vor­ga­ben für die ESe­cu­rity-CERT GmbH bzw. den zer­ti­fi­zier­ten Un­ter­neh­men:
    • Erst­zer­ti­fi­zie­run­gen so­wie Re­zer­ti­fi­zie­run­gen dürfen ab dem 1.5.2024 aus­schließlich nach der ISO/IEC 27001:2022 durch­geführt wer­den.
    • Un­ter­neh­men, die be­reits nach DIN EN ISO/IEC 27001:2017-06 zer­ti­fi­ziert sind, müssen, so­fern das Zer­ti­fi­kat auf­recht er­hal­ten blei­ben soll, die Tran­si­tion auf die ISO/IEC 27001:2022 bis spätes­tens 31.10.2025 vor­neh­men.
    • Die Tran­si­tion kann in Ver­bin­dung mit einem Über­wa­chungs­au­dit, Re­zer­ti­fi­zie­rungs­au­dit oder in einem se­pa­ra­ten Au­dit er­fol­gen (nach­fol­gend wird nur das Wort „Au­dit“ ver­wen­det).
    • Das Au­dit darf sich nicht nur auf eine Do­ku­men­tenprüfung stützen, ins­be­son­dere für die Überprüfung der tech­ni­schen Kon­trol­len.
    • Das Au­dit um­fasst un­ter an­de­rem:
      • die Lücken­ana­lyse der ISO/IEC 27001:2022 so­wie die Not­wen­dig­keit von Ände­run­gen am ISMS,
      • die Ak­tua­li­sie­rung der An­wend­bar­keits­erklärung (SoA),
      • ge­ge­be­nen­falls die Ak­tua­li­sie­rung des Ri­si­ko­be­hand­lungs­plans,
      • die Um­set­zung und Wirk­sam­keit der neuen oder geänder­ten Kon­trol­len, die von den Man­dan­ten gewählt wur­den.
    • Das Au­dit kann Re­mote durch­geführt wer­den, so­fern si­cher­ge­stellt wer­den kann, dass die Ziele des Au­dits er­reicht wer­den.
    • Un­abhängig von der Au­dit­form (Über­wa­chungs­au­dit, Re­zer­ti­fi­zie­rungs­au­dit, se­pa­ra­tes Au­dit) er­ge­ben sich gemäß IAF MD:26 zusätz­li­che Min­dest­aufwände, die bei der ESe­cu­rity-CERT GmbH an­fal­len und die be­rech­net wer­den müssen
    • Mit Ab­schluss des Au­dits er­folgt eine Ak­tua­li­sie­rung der Zer­ti­fi­zie­rungs­do­ku­mente. So­fern das Au­dit im Rah­men ei­nes se­pa­ra­ten Au­dits er­folgt und da­mit nur die Tran­si­tion geprüft wurde, wird der Ab­lauf des ak­tu­el­len Zer­ti­fi­zie­rungs­zy­klus nicht geändert.

Dies be­deu­tet: Bis zum 30.04.2024 ein­schließlich dürfen Erst- und Re­zer­ti­fi­zie­run­gen noch nach den DIN EN ISO/IEC 27001:2017-06 durch­geführt wer­den - Über­wa­chungs­au­dits so­gar bis zum 31.10.2025. Ob Sie be­reits vor dem 30.04.2024 auf die ISO/IEC 27001:2022 ge­hen bleibt Ih­nen über­las­sen - wir als ESe­cu­rity-CERT GmbH ha­ben den An­trag auf Ände­rung der Ak­kre­di­tie­rung bei der DAkkS im Ja­nuar 2023 ein­ge­reicht, um die ent­spre­chende Überprüfung durchführen zu las­sen. Als eine der ers­ten Kon­for­mitäts­be­wer­tungs­stel­len in Deutsch­land konn­ten wir die Do­ku­men­tenprüfung so­wie das Ge­schäfts­stel­lenau­dit für die Um­stel­lung auf die ISO/IEC 27001:2022 auch er­folg­reich ab­schließem und war­ten nun auf un­sere an­ge­passte Ur­kunde, um ent­spre­chende Au­di­tie­run­gen durchführen zu können.

Ha­ben Sie Fra­gen, so kon­tak­tie­ren Sie uns gern.

Marc Alex­an­der Luge | No­vem­ber 2022 (Up­date April 2023)

 

Gerne beant­wor­ten wir Ihre Fra­gen