Die aktuelle Situation der Zertifizierungsaudits in Zeiten von Corona

Vor knapp einem Jahr haben wir Sie mit Informationen zu Zertifizierungsaudits in Zeiten von Covid-19 versorgt. Im Frühjahr 2021 erschwert die Pandemie nach wie vor die Durchführung von Zertifizierungsaudits. Es werden teilweise unterschiedliche Vorgaben für die verschiedenen Audits gemacht. Wir bringen Sie auf den neuesten Stand.

DAkkS – Deutsche Akkreditierungsstelle

  • Die DAkkS gewährt eine Verschiebung der anstehenden Überwachungs- und Re-Zertifizierungsaudits von max. 6 Monaten gemäß des Dokuments IAF ID 3:2011.
  • Die DAkkS ist über die Verschiebung von max. 6 Monaten über das ursprüngliche Ablaufdatum hinaus schriftlich zu informieren.
  • Es dürfen Überwachungs- und Re-Zertifizierungsaudits teilweise durch „alternative Methoden“ (sog. Remote-Verfahren) durchgeführt werden. Im Überwachungsaudit dürfen nur max. 50 % und Re-Zertifizierungsaudits dürfen max. 70 % des Auditumfangs durchgeführt werden.
  • Bei Überwachungs- und Re-Zertifizierungsaudits muss nachgewiesen werden, dass eine reguläre Auditdurchführung aufgrund der Corona-Pandemie vor dem Hintergrund einer internen Risikobeurteilung nicht möglich ist.
  • Erstbegutachtungen werden nicht durch „alternative Methoden“ durchgeführt. Demnach werden Erstakkreditierungen oder Erweiterungen zunächst verschoben.
  • Die DAkkS plant eine Wiederaufnahme von Vor-Ort-Begutachtungen im Mai 2021.

DQS – Deutsche Gesellschaft zur Zertifizierung von Managementsystemen

  • Die DQS gewährt eine komplette Durchführung der Audits mithilfe von „alternativen Methoden“ (sog. Remote-Verfahren). Die Regelung, dass max. 30 % eines Audits remote durchgeführt werden darf, wird außer Kraft gesetzt.
  • Bei bestimmten Bedingungen können die Audittermine verschoben werden, z. B. wenn aufgrund der Corona-Maßnahmen keine betriebsfremden Personen auf das Gelände dürfen.
  • Bei einer Verschiebung gilt die ursprüngliche Deadline, die unter bestimmten Umständen verschoben werden kann.
  • Das Schließen von Abweichungen, welche aufgrund von Corona nicht möglich waren, können um 6 Monate verschoben werden.

Verfahren nach dem IT-Sicherheitskatalog gem. § 11 (1a) EnWG

  • Die Durchführung anstehender Überwachungs- und Re-Zertifizierungsaudits durch „alternative Methoden“ (sog. Remote-Verfahren) gemäß des Dokuments IAF MD:4:2018 ist vorläufig zulässig.
  • Eine Verschiebung anstehender Überwachungs- und Re-Zertifizierungsaudits für max. 6 Monaten ist vorläufig zulässig.
  • Die Bundesnetzagentur ist über die Verschiebung zu informieren. Die Netzbetreiber müssen nachweisen, dass eine reguläre Durchführung der Audits aufgrund der Corona-Pandemie vor dem Hintergrund einer internen Risikobeurteilung nicht möglich ist.

Prüfungen im Umfeld von § 8a (3) BSIG und KritisV

  • Die Durchführung von Remote-Audits ist möglich, jedoch muss eine Begehung der kritischen Infrastruktur durchgeführt bzw. nachgeholt werden.
  • Es ist eine Bestätigung des Managements erforderlich, dass derzeit keine Vor-Ort-Prüfung möglich ist.
  • Die Prüfung kann bis auf die Vor-Ort-Begehung vollständig durchgeführt werden.

Verfahren nach ISO 27001 auf der Basis vom IT-Grundschutz

  • Die Überwachungs-, Re- und Erst-Zertifizierungsaudits werden remote durchgeführt.
  • Das Auditteam muss dem BSI eine formlose Risikobewertung vorlegen, in der das Verfahren zur Durchführung des Remote-Audits und die Aspekte, die nicht ausreichend geprüft werden können, dargestellt wird.