Umstellung bestehender Zertifikate auf die ISO/IEC 27001:2022

Mit der neuen ISO/IEC 27001:2022 ergeben sich einige Herausforderungen und Änderungen für zertifizierte Unternehmen.

Die Umstellung der Zertifikate erfolgt in einem zweistufigen Verfahren. Im ersten Schritt müssen die bei der Deutsche Akkreditierungsstelle GmbH (DAkkS) akkreditierten Zertifizierungsstellen (wie die TÜV Saarland Certification GmbH) sich einem Audit durch die DAkkS unterziehen, um eine Änderung Ihrer bestehenden Akkreditierung für die aktuelle ISO/IEC 27001:2022 zu erhalten.

Die­ser Pro­zess muss durch die DAkkS bis Ok­to­ber 2023 ab­ge­schlos­sen sein. In einem zwei­ten Schritt können dann die von der je­wei­li­gen Zer­ti­fi­zie­rungs­stelle aus­ge­ge­be­nen Zer­ti­fi­kate nach DIN EN ISO/IEC 27001:2017-06 im Rah­men der laufenden Zertifizierungsverfahren um­ge­stellt wer­den. Audits können durch TÜV Saarland bereits auf Basis der aktuellen Zertifizierungsnorm durchgeführt werden. Die aktualisierten Zertifikate können jedoch erst nach Umstellung unserer Akkreditierung neu ausgestellt werden.

Für den Pro­zess der Tran­si­tion auf die ISO/IEC 27001:2022, wurden durch das IAF (In­ter­na­tio­nal Ac­cre­di­ta­tion Fo­rum) Vor­ga­ben de­fi­niert (siehe IAF MD26:2023). Hier­aus er­gibt sich auch der zeit­li­che Rah­men für die be­reits zer­ti­fi­zier­ten so­wie die neu zu zer­ti­fi­zie­ren­den Un­ter­neh­men. Die relevanten Anforderungen zur Umstellung der Zertifizierungen beziehen sich auf:

  • Die Umstellungsphase beträgt drei Jahre ab Veröff­ent­li­chung der ISO/IEC 27001:2022 (so­mit 24.10.2025)
  • Vor­ga­ben für die zer­ti­fi­zier­ten Un­ter­neh­men:
    • Erst­zer­ti­fi­zie­run­gen so­wie Re­zer­ti­fi­zie­run­gen dürfen ab dem 1.5.2024 aus­schließlich nach der ISO/IEC 27001:2022 durch­geführt wer­den.
    • Un­ter­neh­men, die be­reits nach DIN EN ISO/IEC 27001:2017-06 zer­ti­fi­ziert sind, müssen, so­fern das Zer­ti­fi­kat auf­recht er­hal­ten blei­ben soll, die Tran­si­tion auf die ISO/IEC 27001:2022 bis spätes­tens 31.10.2025 vor­neh­men.
    • Die Tran­si­tion kann in Ver­bin­dung mit einem Über­wa­chungs­au­dit, Re­zer­ti­fi­zie­rungs­au­dit oder in einem se­pa­ra­ten Au­dit er­fol­gen (nach­fol­gend wird nur das Wort „Au­dit“ ver­wen­det).
    • Das Au­dit darf sich nicht nur auf eine Do­ku­men­tenprüfung stützen, ins­be­son­dere für die Überprüfung der tech­ni­schen Kon­trol­len.
    • Das Au­dit um­fasst un­ter an­de­rem:
      • die Lücken­ana­lyse der ISO/IEC 27001:2022 so­wie die Not­wen­dig­keit von Ände­run­gen am ISMS,
      • die Ak­tua­li­sie­rung der An­wend­bar­keits­erklärung (SoA),
      • ge­ge­be­nen­falls die Ak­tua­li­sie­rung des Ri­si­ko­be­hand­lungs­plans,
      • die Um­set­zung und Wirk­sam­keit der neuen oder geänder­ten Kon­trol­len, die von den Man­dan­ten gewählt wur­den.
    • Das Au­dit kann Re­mote durch­geführt wer­den, so­fern si­cher­ge­stellt wer­den kann, dass die Ziele des Au­dits er­reicht wer­den.
    • Un­abhängig von der Au­dit­form (Über­wa­chungs­au­dit, Re­zer­ti­fi­zie­rungs­au­dit, se­pa­ra­tes Au­dit) er­ge­ben sich gemäß IAF MD:26 zusätz­li­che Min­dest­aufwände, die bei der TÜV Saarland Certification GmbH an­fal­len und gemäß der jeweils aktuell veröffentlichten Preisliste be­rech­net wer­den
    • Mit Ab­schluss des Au­dits er­folgt eine Ak­tua­li­sie­rung der Zer­ti­fi­zie­rungs­do­ku­mente. So­fern das Au­dit im Rah­men ei­nes se­pa­ra­ten Au­dits er­folgt und da­mit nur die Tran­si­tion geprüft wurde, wird der Ab­lauf des ak­tu­el­len Zer­ti­fi­zie­rungs­zy­klus nicht geändert.

Dies be­deu­tet: Bis zum 30.04.2024 ein­schließlich dürfen Erst- und Re­zer­ti­fi­zie­run­gen noch nach der ISO/IEC 27001:2013 bzw. der äquivalenten DIN EN ISO/IEC 27001:2017-06 durch­geführt wer­den – Über­wa­chungs­au­dits so­gar bis zum 31.10.2025.

Sprechen Sie uns gerne an, wir stimmen einen geeigneten Übergangsplan auf Basis Ihres aktuellen Zertifizierungszyklus mit Ihnen ab.

TÜV-­Zertifizierung ­- Ihre Vorteile mit TÜV Saarland Certification 

  • International anerkannte, akkreditierte Zertifizierungsstelle
  • Persönlicher Ansprechpartner und individuelle Betreuung für Ihr Unternehmen
  • TÜV-­Experten unterstützen Sie dabei, die Anforderungen sicher und nachhaltig umzusetzen.
  • Die unabhängige Begutachtung und die Erfahrung der TÜV-­Experten gibt eine präzise, verlässliche Aussage zum Status Quo, Potenziale werden offengelegt und das System weiter optimiert. Unsere unabhängigen TÜV-­Experten mit umfangreicher Branchenerfahrung sind stets für Sie verfügbar und immer über die aktuellen Standards informiert.
  • Profitieren Sie durch die erfolgreiche Zertifizierung auch von der Marke TÜV, die international einen sehr hohen Bekanntheitsgrad, in Deutschland sogar von über 98%, besitzt. Nutzen Sie unser anerkanntes TÜV­-Siegel auch für Ihr Marketing und heben Sie sich damit von Ihren Wettbewerbern ab.