ESecurity Cert

Umstellung bestehender Zertifikate auf die ISO/IEC 27001:2022

Mit der neuen ISO/IEC 27001:2022 muss ei­ner­seits die ESe­cu­rity-CERT GmbH einen An­trag auf Ände­rung der Ak­kre­di­tie­rung stel­len. An­de­rer­seits müssen sich alle zer­ti­fi­zier­ten Man­date ent­spre­chend um­stel­len.

Die Um­stel­lung der Zer­ti­fi­kate er­folgt in einem zwei­stu­fi­gen Ver­fah­ren. Im ers­ten Schritt müssen die bei der Deut­sche Ak­kre­di­tie­rungs­stelle GmbH (DAkkS) ak­kre­di­tier­ten Zer­ti­fi­zie­rungs­stel­len (wie die ESe­cu­rity-CERT GmbH) sich einem Au­dit durch die DAkkS un­ter­zie­hen, um eine Neu-Ak­kre­di­tie­rung für die ISO/IEC 27001:2022 zu er­hal­ten. Die­ser Pro­zess muss durch die DAkkS bis Ok­to­ber 2023 ab­ge­schlos­sen sein. In einem zwei­ten Schritt können dann die von der je­wei­li­gen Zer­ti­fi­zie­rungs­stelle aus­ge­ge­be­nen Zer­ti­fi­kate nach DIN EN ISO/IEC 27001:2017-06 im Rah­men des Prüfungs­zy­klu­ses um­ge­stellt wer­den.

Für den Pro­zess der Tran­si­tion auf die ISO/IEC 27001:2022, wurde durch das IAF (In­ter­na­tio­nal Ac­cre­di­ta­tion Fo­rum) Vor­ga­ben de­fi­niert - so­wohl für die Ak­kre­di­tie­rungs­stelle als auch für die Zer­ti­fi­zie­rungs­stel­len. Hier­aus er­gibt sich auch der zeit­li­che Rah­men für die be­reits zer­ti­fi­zier­ten so­wie die neu zu zer­ti­fi­zie­ren­den Un­ter­neh­men. In Kürze zu­sam­men­ge­fasst wurde fol­gen­des fest­ge­legt:

  • Die Tran­si­ti­ons­phase beträgt drei Jahre ab Veröff­ent­li­chung der ISO/IEC 27001:2022 (so­mit 24.10.2025)
  • Vor­ga­ben für die DAkkS/Ak­kre­di­tie­rungs­stel­len:
    • Spätes­tens sechs Mo­nate nach Veröff­ent­li­chung (25.10.2022) der ISO/IEC 27001:2022 (so­mit 25.4.2023) müssen die na­tio­na­len Ak­kre­di­tie­rungs­stel­len die Möglich­keit bie­ten, sich für die neue Norm ak­kre­di­tie­ren las­sen zu können.
    • Erstak­kre­di­tie­run­gen nach ISO/IEC 27001:2022 müssen spätes­tens ab dem 25.4.2023 möglich sein.
    • Die Um­stel­lung der Ak­kre­di­tie­rung für Zer­ti­fi­zie­rungs­stel­len (wie die ESe­cu­rity-CERT GmbH) muss in­ner­halb von zwölf Mo­na­ten (so­mit bis zum 24.10.2023) ab­ge­schlos­sen sein.
  • Vor­ga­ben für die ESe­cu­rity-CERT GmbH:
    • Zer­ti­fi­zierte Man­date müssen bis Ok­to­ber 2025 um­ge­stellt sein.
    • Die Um­stel­lung kann in Ver­bin­dung mit einem Über­wa­chungs­au­dit, Re­zer­ti­fi­zie­rungs­au­dit oder in einem se­pa­ra­ten Au­dit er­fol­gen (nach­fol­gend wird nur das Wort „Au­dit“ ver­wen­det).
    • Das Au­dit darf sich nicht nur auf eine Do­ku­men­tenprüfung stützen, ins­be­son­dere für die Überprüfung der tech­ni­schen Kon­trol­len.
    • Das Au­dit um­fasst un­ter an­de­rem:
      • die Lücken­ana­lyse der ISO/IEC 27001:2022 so­wie die Not­wen­dig­keit von Ände­run­gen am ISMS,
      • die Ak­tua­li­sie­rung der An­wend­bar­keits­erklärung (SoA),
      • ge­ge­be­nen­falls die Ak­tua­li­sie­rung des Ri­si­ko­be­hand­lungs­plans,
      • die Um­set­zung und Wirk­sam­keit der neuen oder geänder­ten Kon­trol­len, die von den Man­dan­ten gewählt wur­den.
    • Das Au­dit kann Re­mote durch­geführt wer­den, so­fern si­cher­ge­stellt wer­den kann, dass die Ziele des Au­dits er­reicht wer­den.
    • Un­abhängig von der Au­dit­form (Über­wa­chungs­au­dit, Re­zer­ti­fi­zie­rungs­au­dit, se­pa­ra­tes Au­dit) er­ge­ben sich zusätz­li­che Min­dest­aufwände, die bei der ESe­cu­rity-CERT GmbH an­fal­len und die be­rech­net wer­den müssen
    • Mit Ab­schluss des Au­dits er­folgt eine Ak­tua­li­sie­rung der Zer­ti­fi­zie­rungs­do­ku­mente. So­fern das Au­dit im Rah­men ei­nes se­pa­ra­ten Au­dits er­folgt und da­mit nur die Tran­si­tion geprüft wurde, wird der Ab­lauf des ak­tu­el­len Zer­ti­fi­zie­rungs­zy­klus nicht geändert.

Wir als ESe­cu­rity-CERT GmbH pla­nen den zeit­na­hen An­trag auf Ände­rung der Ak­kre­di­tie­rung bei der DAkkS ein­zu­rei­chen und die ent­spre­chende Überprüfung durchführen zu las­sen, um Ih­nen be­reits frühzei­tig die Möglich­keit zu bie­ten, auf die ISO/IEC 27001:2022 zu wech­seln. Zum ge­genwärti­gen Zeit­punkt kann al­ler­dings noch keine Aus­kunft darüber ge­ge­ben wer­den, zu wel­chem Zeit­punkt das Ver­fah­ren der ESe­cu­rity-CERT GmbH bei der DAkkS ab­ge­schlos­sen sein wird. Wir wer­den Sie mit re­gelmäßigen Sta­tus-Mel­dun­gen über den Stand der Um­stel­lung in­for­mie­ren.

Ha­ben Sie Fra­gen, so kon­tak­tie­ren Sie uns gern.

Marc Alex­an­der Luge | No­vem­ber 2022