Es ist nicht nur klug, dass Unternehmen ihre ISO27001 Re-Zertifizierung ein Jahr im Voraus starten, sondern es ist auch wichtig, um einen Reputationsschaden zu vermeiden, der das Unternehmen besonders schädigen würde.
Derzeit verfügen ca. 1.700 deutsche Unternehmen über diesen Standard, was sie angesichts der neuen Version vor Herausforderungen stellt. Verteilt sich in der Regel der Bedarf an Beratung und Prüfung oder Rezertifizierung für Normen über die Jahre, so ist durch diesen Stichtag eine deutliche Zunahme des Bedarfs an ISO/IEC 27001-Zertifizierungen für 2024 und 2025 zu erwarten. Einerseits muss die neue Version (mit zahlreichen Änderungen) im Bestand umgesetzt werden, andererseits streben zusätzliche Unternehmen nach einer Zertifizierung auf Basis dieser Norm, das erhöht die Nachfrage.
Natürlich kann jede zertifizierte Organisation, die bis 9/2025 noch nach der alten Norm eine Rezertifizierung machen möchte, dies im Rahmen der Termine machen. Allerdings muss sie danach den Umstellungsaufwand auf die neue Norm additiv einplanen. Dieses Szenario wird nicht für alle Organisationen sinnvoll sein.
Daher ist – sofern nicht rechtzeitig gehandelt wird – ein Mangel an Kapazitäten in der Beratung sowie bei den Zertifizierungsstellen im Jahr 2025 zu erwarten, ggf. verlieren Unternehmen ihre Zertifikate!
Es wird daher dringend empfohlen, dass Unternehmen bereits 2023 in die Planung gehen und die interne Umsetzung ggf. schon in diesem Jahr auf den Weg bringen. Zusätzlich sollten sie mindestens 12 Monate vor dem Ablaufdatum ihre Zertifizierungsleistung bestellen, um sicherzustellen, dass sie rechtzeitig erneuert werden kann.
Dies alles verschafft ihnen genügend Zeit, um die erforderlichen Änderungen an ihren Sicherheitsverfahren vorzunehmen und die nötigen internen Überprüfungsaudits durchzuführen, um das Zertifizierungsaudit nicht zu gefährden.
Unternehmen, die sich dieser Empfehlung nicht anschließen, gehen ein hohes Risiko ein. Es drohen Engpässe, insbesondere im Jahr 2025! Ein Versäumnis, die ISO 27001-Zertifizierung rechtzeitig zu erneuern, kann zu schweren Reputationsschäden führen, da Unternehmen ihre Zertifizierung verlieren und damit ihre Glaubwürdigkeit und ihren Ruf beeinträchtigen können. Darüber hinaus können Unternehmen durch die Unterlassung Probleme bei der Einhaltung von vertraglichen Anforderungen bekommen. Und nicht zuletzt schwächt es die Organisation, wenn Sie nicht auf die neuesten Standards zur Gefahrenabwehr zurückgreift.
Zudem ist für die nächsten 2-3 Jahre die internen Ressourcen bzw. Budgets zur Umsetzung angesichts vielfältiger Herausforderungen schwer planbar, wer jetzt handeln kann, reduziert sein Risiko. Wir empfehlen daher allen Unternehmen, die internen Änderungen noch 2023 anzugehen, sich frühzeitig an Zertifizierungsstellen zu wenden sowie - je nach Bedarf - erfahrene Berater zu kontaktieren, um sicherzustellen, ihre Zertifizierungen rechtzeitig zu erneuern und ihre Informationssicherheit aufrechterhalten zu können. Warten Sie nicht, bis es zu spät ist!
Comments