Thomas Neeff Unternehmen, die nach der internationalen Norm ISO 27001 zertifiziert sind, müssen sich im Jahr 2024 Gedanken über die Umstellung ihres ISMS auf die neueste Version der Norm machen. Nachdem im Januar 2024 endlich auch die deutsche Übersetzung in der finalen Version vorliegt, können sich alle deutschsprachigen Normanwender – und natürlich auch alle anderen 🙂 – an die Arbeit machen.
Was gilt es zu beachten? Zunächst lohnt es sich, einen Blick darauf zu werfen, welche Normen eigentlich für die Umstellung maßgeblich sind. Dabei gehen wir im Folgenden davon aus, dass das Managementsystem jeweils von einer akkreditierten Zertifizierungsstelle zertifiziert wurde. Das IAF (International Accreditation Forum) ist das Gremium, das die entsprechenden Regeln festlegt. Maßgeblich für die Anforderungen an die Umstellung ist das IAF-Dokument MD 26 in der jeweils aktuellsten Fassung (Stand Januar 2024: Fassung vom 15. Februar 2023 – IAF MD 26:2023, Issue 2). Die jeweiligen ABs (Accreditation Bodies – in Deutschland: die DakkS) sowie die akkreditierten CABs (Conformity Assessment Bodies = die Zertifizierungsstellen) definieren die durchzuführenden Schritte für Transitionen gemäß MD 26.
Demnach sind zwei Termine von Bedeutung: Ab dem 30. April 2024 – 18 Monate nach Veröffentlichung der aktuellsten Standardversion ISO/IEC 27001:2022 – sind Erstzertifizierungen und Rezertifizierungen von ISMS durch akkreditierte Zertifizierungsstellen nur noch nach der aktuellsten Standardversion ISO/IEC 27001:2022 möglich. Die zweite Frist betrifft Organisationen, die bereits zertifiziert sind und sich innerhalb der aktuellen Gültigkeitsdauer ihres Zertifikats befinden: Bis zum 31. Oktober 2025 müssen alle zertifizierten Organisationen durch ihre Zertifizierungsstelle auf die aktuellste Version des Standards umgestellt worden sein.
Für Organisationen, die vor der Erstzertifizierung stehen, ist die Entscheidung über die anzuwendende Normversion zu treffen. In der Regel dürfte es aus heutiger Sicht (1. Quartal 2024) nicht mehr sinnvoll sein, nach der “alten” Normversion zu zertifizieren. Ausnahmefälle könnten spezielle regulatorische Anforderungen sein, bei denen branchenspezifische Anforderungen noch auf die bisherige Normversion verweisen und eine zeitnahe Umstellung nicht zu erwarten ist. Solche Fälle sollten immer sorgfältig geprüft werden.
Für bereits zertifizierte Organisationen lohnt es sich, rechtzeitig mit ihrer Zertifizierungsstelle bezüglich der Umstellung Kontakt aufzunehmen. Auch wenn bis Oktober 2025 noch etwas Zeit ist, erwarten wir mit fortschreitender Zeit eine zunehmende Verknappung der Zertifizierungsressourcen. Um den Termin sicher einhalten zu können, empfiehlt es sich daher, so früh wie möglich mit der Umstellung zu beginnen.
Und mit welchem Aufwand ist bei der Umstellung des ISMS zu rechnen? Es ist schwierig, diese Frage pauschal zu beantworten, aber das IAF sagt im oben genannten Dokument, dass “die Auswirkungen der ISO/IEC 27001:2022 auf Organisationen, die ein ISMS eingeführt haben, nicht wesentlich sein müssen”.
Haben Sie weitere Fragen zur Umstellung Ihres ISO 27001 ISMS auf die neueste Version der Norm? Gerne stehen wir Ihnen für ein kostenloses Erstgespräch zur Verfügung.
Thomas Neeff 
Thomas Neeff 
