DAkkS ermöglicht Umstellung auf Norm ISO/IEC 27006-1:2024
Die Deutsche Akkreditierungsstelle (DAkkS) nimmt von Zertifizierungsstellen ab sofort Anträge auf Änderung zur Umstellung auf die revidierte ISO/IEC 27006-1:2024 oder für die Erstakkreditierung in diesem Bereich an. Die Norm legt Anforderungen für Stellen fest, die Informationssicherheitsmanagementsysteme (ISMS) auditieren und zertifizieren. Relevante Umstellungsanforderungen wurden im IAF-Dokument MD 29 veröffentlicht.
Nachdem die Änderungen der ISO/IEC 27006-1:2024 eingehend analysiert und das Personal entsprechend geschult wurde, bietet die DAkkS rund drei Monate nach der Veröffentlichung des MD 29 die entsprechenden Akkreditierungstätigkeiten an.
Umstellung rechtzeitig vornehmen – IAF-Frist endet am 31. März 2026
Alle Zertifizierungsstellen müssen entsprechend dem IAF-Dokument spätestens bis 31. März 2026 umgestellt sein. Akkreditierte Zertifizierungstätigkeiten ohne Umstellung sind danach nicht mehr zulässig. Die DAkkS empfiehlt, die Anpassung rechtzeitig zu beantragen. Ab 1. Januar 2025 werden Anträge auf Erstakkreditierung nur noch nach aktueller Norm durch die DAkkS bearbeitet. Daher sollten Zertifizierungsstellen, die eine Erstakkreditierung anstreben, die interne Dokumentation und Zertifizierungspraxis bereits jetzt auf ISO/IEC 27006-1:2024 ausrichten.
Bereits eingereichte Änderungsanträge müssen nicht erneut gestellt werden und behalten ihre Gültigkeit. Neben den üblichen Anlagen zur Dokumentation der Anforderungen nach ISO/IEC 17021-1 müssen Zertifizierungsstellen folgende Unterlagen mit dem Antrag auf Änderung einreichen:
- Analyse der Änderungen (GAP-Analyse) zwischen ISO/IEC 27006-1:2024 und vorangegangener Normversion
- Umstellungsplan mit konkreten Fristen
- Nachweis der Änderungen an Dokumenten, die durch die Umstellung notwendig wurden
Die notwendige Fachbegutachtung zur Umstellung findet im Regelfall durch eine Dokumentenbegutachtung statt. Eine Vor-Ort-Begutachtung der Geschäftsstelle ist erforderlich, wenn die eingereichte Dokumentation nicht ausreicht, um die Umstellung erfolgreich nachzuweisen.
Hintergrund
Das Dokument IAF MD 29 für die Umstellung auf die ISO/IEC 27006-1:2024 wurde am 21. Mai 2024 von IAF veröffentlicht. Es spezifiziert Anforderungen und gibt Anleitungen für Stellen, die ein Informationssicherheitsmanagementsystem (ISMS) auditieren und zertifizieren. Diese Vorgaben gelten zusätzlich zu den in der ISO/IEC 17021-1 enthaltenen Anforderungen.