Umstellung auf die aktuellste Normversion

Unternehmen, die nach der internationalen Norm ISO 27001 zertifiziert sind, müssen sich im Jahr 2024 Gedanken über die Umstellung ihres ISMS auf die neueste Version der Norm machen. Nachdem im Januar 2024 endlich auch die deutsche Übersetzung in der finalen Version vorliegt, können sich alle deutschsprachigen Normanwender – und natürlich auch alle anderen 🙂 – an die Arbeit machen.

Was gilt es zu beachten? Zunächst lohnt es sich, einen Blick darauf zu werfen, welche Normen eigentlich für die Umstellung maßgeblich sind. Dabei gehen wir im Folgenden davon aus, dass das Managementsystem jeweils von einer akkreditierten Zertifizierungsstelle zertifiziert wurde. Das IAF (International Accreditation Forum) ist das Gremium, das die entsprechenden Regeln festlegt. Maßgeblich für die Anforderungen an die Umstellung ist das IAF-Dokument MD 26 in der jeweils aktuellsten Fassung (Stand Januar 2024: Fassung vom 15. Februar 2023 – IAF MD 26:2023, Issue 2). Die jeweiligen ABs (Accreditation Bodies – in Deutschland: die DakkS) sowie die akkreditierten CABs (Conformity Assessment Bodies = die Zertifizierungsstellen) definieren die durchzuführenden Schritte für Transitionen gemäß MD 26.

Zwei Fristen sind zu beachten

Demnach sind zwei Termine von Bedeutung: Ab dem 30. April 2024 – 18 Monate nach Veröffentlichung der aktuellsten Standardversion ISO/IEC 27001:2022 – sind Erstzertifizierungen und Rezertifizierungen von ISMS durch akkreditierte Zertifizierungsstellen nur noch nach der aktuellsten Standardversion ISO/IEC 27001:2022 möglich. Die zweite Frist betrifft Organisationen, die bereits zertifiziert sind und sich innerhalb der aktuellen Gültigkeitsdauer ihres Zertifikats befinden: Bis zum 31. Oktober 2025 müssen alle zertifizierten Organisationen durch ihre Zertifizierungsstelle auf die aktuellste Version des Standards umgestellt worden sein.

Für Organisationen, die vor der Erstzertifizierung stehen, ist die Entscheidung über die anzuwendende Normversion zu treffen. In der Regel dürfte es aus heutiger Sicht (1. Quartal 2024) nicht mehr sinnvoll sein, nach der “alten” Normversion zu zertifizieren. Ausnahmefälle könnten spezielle regulatorische Anforderungen sein, bei denen branchenspezifische Anforderungen noch auf die bisherige Normversion verweisen und eine zeitnahe Umstellung nicht zu erwarten ist. Solche Fälle sollten immer sorgfältig geprüft werden.

Frühzeitig auf die neue ISO 27001 Norm umstellen

Für bereits zertifizierte Organisationen lohnt es sich, rechtzeitig mit ihrer Zertifizierungsstelle bezüglich der Umstellung Kontakt aufzunehmen. Auch wenn bis Oktober 2025 noch etwas Zeit ist, erwarten wir mit fortschreitender Zeit eine zunehmende Verknappung der Zertifizierungsressourcen. Um den Termin sicher einhalten zu können, empfiehlt es sich daher, so früh wie möglich mit der Umstellung zu beginnen.

Und mit welchem Aufwand ist bei der Umstellung des ISMS zu rechnen? Es ist schwierig, diese Frage pauschal zu beantworten, aber das IAF sagt im oben genannten Dokument, dass “die Auswirkungen der ISO/IEC 27001:2022 auf Organisationen, die ein ISMS eingeführt haben, nicht wesentlich sein müssen”.

Haben Sie weitere Fragen zur Umstellung Ihres ISO 27001 ISMS auf die neueste Version der Norm? Gerne stehen wir Ihnen für ein kostenloses Erstgespräch zur Verfügung.

Tags

Beitrag teilen

Weitere Artikel

In den vergangenen zwei Jahren waren mehr als ein Drittel (37 Prozent) aller Cybersicherheitsvorfälle in Deutschland auf das Fehlverhalten von Mitarbeitern zurückzuführen. Hacker verantworteten lediglich rund 27 Prozent der Cybersicherheitsvorfälle. Häufig standen die Sicherheitsvorfälle in...
Das neue Jahr ist mittlerweile zwar schon ein paar Tage alt – trotzdem sind Jahresauftaktveranstaltungen ja überall noch voll im Gange. So haben auch wir uns Gedanken gemacht, was für 2024 in Sachen Informations- und...
Überprüfungen der IT-Sicherheit sind aus den unterschiedlichsten Gründen sinnvoll und angeraten. Externe Gründe wie regulatorische Anforderungen – die KRITIS-Verordnung oder das IT-Sicherheitsgesetz seien beispielhaft genannt – können solche Überprüfungen fordern. Unternehmen können aber auch aus...