ISO 27001:2022 – Zertifizierungen: Dringender Handlungsbedarf bei Beratung und Audit

Die neue Norm wird in 2024 und 2025 Engpässe in Beratung und Prüfung erzeugen, wer frühzeitig handelt, sichert sein Zertifikat!

Die ISO/IEC 27001 ist ein international anerkannter Standard für Informationssicherheit und ist für Unternehmen jeder Größe und Branche von entscheidender Bedeutung. Vergangenes Jahr wurde sie überarbeitet und als ISO/IEC 27001:2022 veröffentlicht.

Die alte Version dieser wichtigen Norm zur Informationssicherheit gilt nur noch bis September 2025. Das ist vermeintlich genug Zeit für den Erwerb einer Zertifizierung oder eine Aktualisierung, aber es gibt Risiken.

Derzeit verfügen ca. 1.700 deutsche Unternehmen über diesen Standard, was sie angesichts der neuen Version vor Herausforderungen stellt. Verteilt sich in der Regel der Bedarf an Beratung und Prüfung oder Rezertifizierung für Normen über die Jahre, so ist durch diesen Stichtag eine deutliche Zunahme des Bedarfs an ISO/IEC 27001-Zertifizierungen für 2024 und 2025 zu erwarten. Einerseits muss die neue Version (mit zahlreichen Änderungen) im Bestand umgesetzt werden, andererseits streben zusätzliche Unternehmen nach einer Zertifizierung auf Basis dieser Norm, das erhöht die Nachfrage.

Natürlich kann jede zertifizierte Organisation, die bis 9/2025 noch nach der alten Norm eine Rezertifizierung machen möchte, dies im Rahmen der Termine machen. Allerdings muss sie danach den Umstellungsaufwand auf die neue Norm additiv einplanen. Dieses Szenario wird nicht für alle Organisationen sinnvoll sein.

Daher ist – sofern nicht rechtzeitig gehandelt wird – ein Mangel an Kapazitäten in der Beratung sowie bei den Zertifizierungsstellen im Jahr 2025 zu erwarten, ggf. verlieren Unternehmen ihre Zertifikate!

Es wird daher dringend empfohlen, dass Unternehmen bereits 2023 in die Planung gehen und die interne Umsetzung ggf. schon in diesem Jahr auf den Weg bringen. Zusätzlich sollten sie mindestens 12 Monate vor dem Ablaufdatum ihre Zertifizierungsleistung bestellen, um sicherzustellen, dass sie rechtzeitig erneuert werden kann.

Dies alles verschafft ihnen genügend Zeit, um die erforderlichen Änderungen an ihren Sicherheitsverfahren vorzunehmen und die nötigen internen Überprüfungsaudits durchzuführen, um das Zertifizierungsaudit nicht zu gefährden.

Unternehmen, die sich dieser Empfehlung nicht anschließen, gehen ein hohes Risiko ein. Es drohen Engpässe, insbesondere im Jahr 2025! Ein Versäumnis, die ISO 27001-Zertifizierung rechtzeitig zu erneuern, kann zu schweren Reputationsschäden führen, da Unternehmen ihre Zertifizierung verlieren und damit ihre Glaubwürdigkeit und ihren Ruf beeinträchtigen können. Darüber hinaus können Unternehmen durch die Unterlassung Probleme bei der Einhaltung von vertraglichen Anforderungen bekommen. Und nicht zuletzt schwächt es die Organisation, wenn Sie nicht auf die neuesten Standards zur Gefahrenabwehr zurückgreift.

Zudem ist für die nächsten 2-3 Jahre die internen Ressourcen bzw. Budgets zur Umsetzung angesichts vielfältiger Herausforderungen schwer planbar, wer jetzt handeln kann, reduziert sein Risiko.
Wir empfehlen daher allen Unternehmen, die Planungen sowie internen Änderungen alsbald anzugehen, sich frühzeitig an Zertifizierungsstellen zu wenden sowie – je nach Bedarf – erfahrene Berater zu kontaktieren, um sicherzustellen, ihre Zertifizierungen rechtzeitig zu erneuern und ihre Informationssicherheit aufrechterhalten zu können. Warten Sie nicht, bis es zu spät ist!

Unternehmensberatung für Informationssicherheitsmanagement

Kontakt
Opexa Advisory GmbH
Klaus Kilvinger
Franz-Joseph-Str. 11
80801 München
089 9018 0448
office@opexa.de
https://www.opexaadvisory.de/akademie/iso-27001%3A2022-%E2%80%93-update

Die Bildrechte liegen bei dem Verfasser der Mitteilung.