Zertifizierungstätigkeiten bei Reise- und Besuchsbeschränkungen aufgrund der Corona-Epidemie

Aktuelle Information

Stand: 05.10.2020

Aufgrund der Corona-Epidemie (SARS-CoV-2 bzw. COVID-19) können derzeit Reise- und Besuchsbeschränkungen die Zertifizierungstätigkeiten bei unseren Kunden verhindern, was insbesondere auch Fristen tangieren kann. Grundlage dieser Beschränkungen können sowohl gesetzliche Anforderungen und lokale behördliche Auflagen als auch individuelle Bestimmungen der Gesellschaften sein, die in das Audit einbezogen werden.

Hier stellt die datenschutz cert ihr Vorgehen dar.

Wichtig: Diese Vorgaben stellen grundsätzliche Erwägungen dar und können im Einzelfall anders entschieden werden. Aufgrund der sich ständig verändernden Lage, stellen diese Vorgaben den Sachstand zum o.g. Datum dar. Die Vorgaben können auch kurzfristig aktualisiert werden.

Diese Vorgaben gelten für Zertifizierungsverfahren für die Regelwerke: ISO/IEC 27001, IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG, eIDAS sowie ETSI.
Wenn Reise- und Besuchsbeschränkungen aufgrund der Corona-Epidemie Zertifizierungstätigkeiten verhindern, gilt folgendes:

  • Erst-Zertifizierungen erfordern grundsätzlich eine Auditierung vor Ort. Wenn eine Auditierung vor Ort nicht möglich ist, ist daher eine Erst-Zertifizierung zum gegenwärtigen Zeitpunkt nicht möglich. Die Erst-Zertifizierung muss dann später erfolgen.
  • Überwachungsaudits oder Audits zur Re-Zertifizierung sollen vollständig oder größtenteils als Remote-Audits durchgeführt werden; dies kann per Telefon-, Web- oder Videokonferenz erfolgen. Die Besichtigung von Standorten und Betriebsstätten muss dann auf das nachfolgende Audit oder einen späteren Termin verschoben werden. Ggf. erfolgt die Re-Zertifizierung mit der Auflage zur Nachauditierung.
  • Sonstige Audits zur Erweiterung von Geltungsbereichen o.ä., die eine Auditierung vor Ort erfordern, sind zum gegenwärtigen Zeitpunkt nicht möglich. Diese Audits müssen zu einem späteren Zeitpunkt erfolgen.

Für Verfahren gem. IT-Sicherheitskatalog gilt zusätzlich: Remote-Audits können zu maximal 50% (bei Überwachungsaudits) bzw. 70% (bei Re-Zertifizierungsaudits) erfolgen.; Standorte und Betriebsstätten müssen Vor-Ort auditiert werden.  Eine Verschiebung der Fristen um max. 6 Monate ist vorläufig weiterhin eingeschränkt zulässig. Voraussetzung für eine Verschiebung sind behördliche Auflagen. Die BNetzA muss einer Verschiebung zustimmen.

Aufgrund der sich ständig verändernden Lage sollten sich Auditoren und Kunden kurz vor Beginn eines Audits über die Aktualität der Planung verständigen.

Bei Rückfragen sprechen Sie uns gerne an:

  • Tel.: 0421/6966-32550
  • E-Mail: office@datenschutz-cert.de