Wie wird ISO 27001 aufrechterhalten und erneuert (Rezertifizierung)?

Eine ISO 27001-Zertifizierung ist keine einmalige Angelegenheit. Ein Zertifikat ist drei Jahre gültig, bleibt aber nur dann gültig, wenn die Organisation ihr Informationssicherheits-Managementsystem (ISMS) wirksam betreibt und die geplanten Audits über den gesamten Zyklus hinweg besteht. Aufrechterhaltung und Erneuerung folgen einem festen Drei-Jahres-Rhythmus.

Der Drei-Jahres-Zertifizierungszyklus

Phase Zeitpunkt Was passiert
Erstzertifizierung Jahr 0 Stufe 1 (Prüfung der Dokumentationsreife) und Stufe 2 (Implementierungsaudit) führen zur Ausstellung des Zertifikats.
1. Überwachungsaudit ca. 12 Monate nach der Zertifizierung Die Zertifizierungsstelle prüft, ob das ISMS weiterhin betrieben wird, bewertet Änderungen und kontrolliert Korrekturmaßnahmen. Der Umfang ist geringer als bei einem vollständigen Audit.
2. Überwachungsaudit ca. 24 Monate nach der Zertifizierung Eine zweite jährliche Prüfung, die die fortlaufende Konformität und Verbesserung bestätigt.
Rezertifizierungsaudit vor Ablauf der drei Jahre Eine vollständige Neubewertung des gesamten ISMS, vergleichbar in der Tiefe mit dem ursprünglichen Stufe-2-Audit, die das Zertifikat um weitere drei Jahre erneuert.

Laufende Aufrechterhaltungsmaßnahmen (kontinuierlich, nicht nur zum Audit-Zeitpunkt)

Um zwischen den Audits zertifiziert zu bleiben, muss eine Organisation nachweisen, dass das ISMS im Tagesgeschäft gelebt wird. Zu den zentralen wiederkehrenden Aktivitäten gehören:

  • Interne Audits, mindestens jährlich, die über den Zyklus hinweg das gesamte ISMS abdecken.
  • Managementbewertungen, bei denen die Leitung Leistung, Ziele und Ressourcen des ISMS formell überprüft.
  • Risikobewertung und Risikobehandlung, wobei Risiken bei Änderungen von Werten, Bedrohungen oder dem Geschäft neu bewertet werden. Die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) wird aktuell gehalten.
  • Kontinuierliche Verbesserung, bei der Abweichungen dokumentiert, Korrekturmaßnahmen bis zum Abschluss verfolgt und Erkenntnisse zurückgeführt werden.
  • Überwachung und Messung, bei der Maßnahmen (z. B. Zugriffsüberprüfungen, Vorfallbehandlung, Security-Awareness-Schulungen) fortlaufend nachgewiesen werden.
  • Pflege der Dokumentation, sodass Richtlinien, Aufzeichnungen und Nachweise versioniert und audit-bereit bleiben.

Hinweis zur aktuellen Norm: Die gültige Version ist ISO/IEC 27001:2022. Organisationen, die nach der älteren Version von 2013 zertifiziert waren, mussten den Übergang bis zum 31. Oktober 2025 abschließen. Neue und zu erneuernde Zertifizierungen folgen daher nun dem Kontrollkatalog von 2022 (93 Anhang-A-Maßnahmen).

Wie Kertos bei Aufrechterhaltung und Rezertifizierung unterstützt

Kertos versteht Compliance als kontinuierliches Ergebnis und nicht als einmaliges Projekt, was genau dem Aufrechterhaltungszyklus der ISO 27001 entspricht. Kertos verbindet eine agentische Compliance-Plattform (KAIA) mit akkreditierten internen Expertinnen und Experten, die Seite an Seite mit Ihrem Team arbeiten:

  • Stets audit-bereite Nachweise: Die Plattform sammelt und verknüpft Kontrollnachweise kontinuierlich, sodass Überwachungs- und Rezertifizierungsaudits keinen Last-Minute-Aufwand auslösen.
  • Automatisiertes Risiko- und SoA-Management: Risikobewertungen, Behandlungspläne und die Erklärung zur Anwendbarkeit bleiben live und aktuell, wenn sich Ihre Umgebung ändert.
  • Geplante interne Audits und Managementbewertungen: Kertos strukturiert und verfolgt die wiederkehrenden Aufgaben, die die Norm verlangt, inklusive Erinnerungen und klarer Verantwortlichkeiten.
  • Expertengeführte Audit-Unterstützung: Die Expertinnen und Experten von Kertos (einschließlich externer CISO-Mandate) bereiten Sie auf Überwachungs- und Rezertifizierungsaudits vor und begleiten Sie währenddessen.

Dieses Modell spiegelt die Bilanz von Kertos wider: eine 100%ige Audit-Erfolgsquote, rund 80% weniger manueller Compliance-Aufwand und Kunden wie AskUI, die die ISO 27001-Zertifizierung in 2,5 Monaten erreicht haben, und danach über den gesamten Aufrechterhaltungszyklus zertifiziert bleiben, ohne ihre Nachweisbasis jedes Jahr neu aufbauen zu müssen.

WISSEN

Entdecke unsere Ressourcen

Finde nützliche Whitepapers, Videos und praxisorientierte Tools, die dir helfen, deine Compliance-Ziele effizient zu erreichen.

ISO 27001: Der komplette Guide zur Zertifizierung 2026
Guide
Informationssicherheit
ISO 27001: Der komplette Guide zur Zertifizierung 2026

Was die Norm verlangt, wie das Audit wirklich abläuft und wie Sie zertifiziert werden, ohne in Tabellen zu versinken.

Jetz lesen
EU-Datensouveränität: Warum Ihre Anbieterwahl jetzt eine Compliance-Entscheidung ist
Artikel
Compliance
EU-Datensouveränität: Warum Ihre Anbieterwahl jetzt eine Compliance-Entscheidung ist

Europäische Datenresidenz reicht nicht mehr aus. Eine neue Welle von EU-Souveränitätsgesetzen verschiebt die Frage: Nicht mehr, wo Ihre Daten liegen, sondern wer das Unternehmen kontrolliert, das sie hält.

Jetz lesen
ISO-27001-Zertifizierung: Der vollständige Leitfaden für Start-ups und Scale-ups
Artilkel
Informationssicherheit
ISO-27001-Zertifizierung: Der vollständige Leitfaden für Start-ups und Scale-ups

Alles, was Sie über die Zertifizierung wissen müssen: von der ISMS-Einführung und den Anhang-A-Controls bis zu Kosten, Zeitplänen und den Neuerungen der 2022er-Revision.

Jetz lesen
No items found.
No items found.

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check