IAF veröffentlicht Übergangszeiten für 27001:2022

Das International Accreditation Forum (IAF) hat im Mandatory Document 26:2022 [1] Übergangsregelungen inkl. -zeiten für die neue ISO/IEC 27001:2022 festgelegt, die vor. in Q4/2022 veröffentlicht wird. Diese sind für alle Akkreditierer (in Deutschland die DAkkS) und auch für alle Zertifizierungsunternehmen, die bei der DAkkS für ISO/IEC 27001 akkreditiert sind, bindend.

Das Wichtigste für alle 27001-zertifizierten Unternehmen: es ist eine Übergangsfrist von 36 Monaten ab dem letzten Tag des Veröffentlichungsmonats der ISO/IEC 27001:2022 definiert. In diesem Zeitraum müssen Unternehmen auf die neue Norm umsteigen und sich danach zertifizieren lassen. Nach Ende des Übergangszeitraums laufen alle Zertifizierungen, die auf ISO/IEC 27001:2013 basieren, aus bzw. werden zurückgezogen. 

Der Übergang auf die neue ISO/IEC 27001:2022 kann sowohl im Rahmen einer Rezertifizierung, eines Überwachungsaudits, wie auch eines eigenen Deltaaudits erfolgen. Geprüft werden sollen nach IAF-Vorgaben mindestens:

  • Die Gap-Analyse zur ISO/IEC 27001:2022 sowie die Notwendigkeit von Änderungen am ISMS des Kunden;
  • die Aktualisierung der Erklärung zur Anwendbarkeit (SoA);
  • ggf. die Aktualisierung des Risikobehandlungsplans;
  • die Umsetzung und Wirksamkeit der neuen oder geänderten Controls, die von den Unternehmen gewählt wurden.

Die IAF erlaubt explizit die Durchführung der Übergangsprüfung als Remote-Audit, wobei die sich diese nicht nur auf die Dokumentenprüfung stützen darf, sondern vor allem auch auf die Überprüfung der technischen Kontrollen.

Bis die Übergangsaudits bzw. Erstzertifizierungen gem. ISO/IEC 27001:2022 von den Zertifizierungsgesellschaften durchgeführt werden können, wird allerdings noch etwas Zeit vergehen. Jede Zertifizierungsstelle, die ein ISMS gem. ISO/IEC 27001:2022 beim Kunden zertifizieren möchte, muss vorab für die neue Norm bei der DAkkS akkreditiert werden. Die IAF Übergangsregelungen legen fest, dass die DAkkS dies spätestens 6 Monate nach Veröffentlichung der ISO/IEC 27001:2022 ermöglichen muss.

Hinweis: die oben erwähnten drei Jahre Übergangsfrist gelten für alle nativen ISO/IEC 27001-Zertifikate. Auf KRITIS-Unternehmen wirken sich z.T. andere Fristen aus. Im Energiesektor sind z.B. Erst- oder Rezertifizierung sowie Überwachungsaudits im Rahmen der IT-Sicherheitskataloge spätestens 2 Jahre nach Veröffentlichung der relevanten Normen/Standards durchzuführen. Da die ISO/IEC 27002 in den Sicherheitskatalogen explizit aufgeführt wird, müssen die Audits ab Februar 2024 auf Basis der ISO/IEC 27002:2022 erfolgen.

Links:

[1] https://iaf.nu/iaf_system/uploads/documents/IAF_MD_26_Transition_requirements_for_ISOIEC_27001-2022_09082022.pdf

 

Leistungen
Ihr Partner für Informationssicherheit