IAF veröffentlicht Übergangszeiten für 27001:2022

StartseiteNewsIAF veröffentlicht Übergangszeiten für 27001:2022

Das International Accreditation Forum (IAF) hat im Mandatory Document 26:2022 [1] Übergangsregelungen inkl. -zeiten für die neue ISO/IEC 27001:2022 festgelegt, die vor. in Q4/2022 veröffentlicht wird. Diese sind für alle Akkreditierer (in Deutschland die DAkkS) und auch für alle Zertifizierungsunternehmen, die bei der DAkkS für ISO/IEC 27001 akkreditiert sind, bindend.

Das Wichtigste für alle 27001-zertifizierten Unternehmen: es ist eine Übergangsfrist von 36 Monaten ab dem letzten Tag des Veröffentlichungsmonats der ISO/IEC 27001:2022 definiert. In diesem Zeitraum müssen Unternehmen auf die neue Norm umsteigen und sich danach zertifizieren lassen. Nach Ende des Übergangszeitraums laufen alle Zertifizierungen, die auf ISO/IEC 27001:2013 basieren, aus bzw. werden zurückgezogen.

Der Übergang auf die neue ISO/IEC 27001:2022 kann sowohl im Rahmen einer Rezertifizierung, eines Überwachungsaudits, wie auch eines eigenen Deltaaudits erfolgen. Geprüft werden sollen nach IAF-Vorgaben mindestens:

  • Die Gap-Analyse zur ISO/IEC 27001:2022 sowie die Notwendigkeit von Änderungen am ISMS des Kunden;
  • die Aktualisierung der Erklärung zur Anwendbarkeit (SoA);
  • ggf. die Aktualisierung des Risikobehandlungsplans;
  • die Umsetzung und Wirksamkeit der neuen oder geänderten Controls, die von den Unternehmen gewählt wurden.

Die IAF erlaubt explizit die Durchführung der Übergangsprüfung als Remote-Audit, wobei die sich diese nicht nur auf die Dokumentenprüfung stützen darf, sondern vor allem auch auf die Überprüfung der technischen Kontrollen.

Bis die Übergangsaudits bzw. Erstzertifizierungen gem. ISO/IEC 27001:2022 von den Zertifizierungsgesellschaften durchgeführt werden können, wird allerdings noch etwas Zeit vergehen. Jede Zertifizierungsstelle, die ein ISMS gem. ISO/IEC 27001:2022 beim Kunden zertifizieren möchte, muss vorab für die neue Norm bei der DAkkS akkreditiert werden. Die IAF Übergangsregelungen legen fest, dass die DAkkS dies spätestens 6 Monate nach Veröffentlichung der ISO/IEC 27001:2022 ermöglichen muss.

Hinweis: die oben erwähnten drei Jahre Übergangsfrist gelten für alle nativen ISO/IEC 27001-Zertifikate. Auf KRITIS-Unternehmen wirken sich z.T. andere Fristen aus. Im Energiesektor sind z.B. Erst- oder Rezertifizierung sowie Überwachungsaudits im Rahmen der IT-Sicherheitskataloge spätestens 2 Jahre nach Veröffentlichung der relevanten Normen/Standards durchzuführen. Da die ISO/IEC 27002 in den Sicherheitskatalogen explizit aufgeführt wird, müssen die Audits ab Februar 2024 auf Basis der ISO/IEC 27002:2022 erfolgen.

Links:

[1] https://iaf.nu/iaf_system/uploads/documents/IAF_MD_26_Transition_requirements_for_ISOIEC_27001-2022_09082022.pdf

Leistungen

Informationssicherheitsmanagement
Informations­sicherheits­management Gewährleistung der Sicherheitsziele
Identity and Access Management Verwaltung von Identitäten
Identity and Access Management Verwaltung von Identitäten
Risikomanagement
Risikomanagement Bewusster Umgang mit Risiken
Business Continuity Management
Business Continuity Management Absicherung von Geschäftsprozessen
SAP-Sicherheit
SAP-Sicherheit
Dienstleistungen im SAP-Umfeld
tts trax
TTS trax
Das smarte ISMS Tool