Das Wichtigste für alle 27001-zertifizierten Unternehmen: es ist eine Übergangsfrist von 36 Monaten ab dem letzten Tag des Veröffentlichungsmonats der ISO/IEC 27001:2022 definiert. In diesem Zeitraum müssen Unternehmen auf die neue Norm umsteigen und sich danach zertifizieren lassen. Nach Ende des Übergangszeitraums laufen alle Zertifizierungen, die auf ISO/IEC 27001:2013 basieren, aus bzw. werden zurückgezogen.
Der Übergang auf die neue ISO/IEC 27001:2022 kann sowohl im Rahmen einer Rezertifizierung, eines Überwachungsaudits, wie auch eines eigenen Deltaaudits erfolgen. Geprüft werden sollen nach IAF-Vorgaben mindestens:
- Die Gap-Analyse zur ISO/IEC 27001:2022 sowie die Notwendigkeit von Änderungen am ISMS des Kunden;
- die Aktualisierung der Erklärung zur Anwendbarkeit (SoA);
- ggf. die Aktualisierung des Risikobehandlungsplans;
- die Umsetzung und Wirksamkeit der neuen oder geänderten Controls, die von den Unternehmen gewählt wurden.
Die IAF erlaubt explizit die Durchführung der Übergangsprüfung als Remote-Audit, wobei die sich diese nicht nur auf die Dokumentenprüfung stützen darf, sondern vor allem auch auf die Überprüfung der technischen Kontrollen.
Bis die Übergangsaudits bzw. Erstzertifizierungen gem. ISO/IEC 27001:2022 von den Zertifizierungsgesellschaften durchgeführt werden können, wird allerdings noch etwas Zeit vergehen. Jede Zertifizierungsstelle, die ein ISMS gem. ISO/IEC 27001:2022 beim Kunden zertifizieren möchte, muss vorab für die neue Norm bei der DAkkS akkreditiert werden. Die IAF Übergangsregelungen legen fest, dass die DAkkS dies spätestens 6 Monate nach Veröffentlichung der ISO/IEC 27001:2022 ermöglichen muss.
Hinweis: die oben erwähnten drei Jahre Übergangsfrist gelten für alle nativen ISO/IEC 27001-Zertifikate. Auf KRITIS-Unternehmen wirken sich z.T. andere Fristen aus. Im Energiesektor sind z.B. Erst- oder Rezertifizierung sowie Überwachungsaudits im Rahmen der IT-Sicherheitskataloge spätestens 2 Jahre nach Veröffentlichung der relevanten Normen/Standards durchzuführen. Da die ISO/IEC 27002 in den Sicherheitskatalogen explizit aufgeführt wird, müssen die Audits ab Februar 2024 auf Basis der ISO/IEC 27002:2022 erfolgen.
Links: