Zertifizierungstätigkeiten bei Reise- und Besuchsbeschränkungen aufgrund der Corona-Epidemie

Aktuelle Information

Stand: 21.01.2021

Aufgrund der Corona-Epidemie (SARS-CoV-2 bzw. COVID-19) können Reise- und Besuchsbeschränkungen die Zertifizierungstätigkeiten bei unseren Kunden verhindern, was insbesondere auch Fristen tangieren kann. Grundlage dieser Beschränkungen können sowohl gesetzliche Anforderungen und lokale behördliche Auflagen als auch individuelle Bestimmungen der Gesellschaften sein, die in das Audit einbezogen werden.

Im vorliegenden Dokument stellt die datenschutz cert ihr Vorgehen dar. 

Wichtig: Diese Vorgaben stellen grundsätzliche Erwägungen dar und können im Einzelfall anders entschieden werden. Aufgrund der sich ständig verändernden Lage, stellen diese Vorgaben den Sachstand zum o.g. Datum dar. Die Vorgaben können auch kurzfristig aktualisiert werden.

Diese Vorgaben gelten für Zertifizierungsverfahren für die Regelwerke: ISO/IEC 27001, IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG, §8a BSIG/KRITIS-VO, eIDAS sowie ETSI.

Wenn Reise- und Besuchsbeschränkungen aufgrund der Corona-Epidemie Zertifizierungstätigkeiten verhindern, gilt folgendes:

  • Die Audits sollen vollständig oder größtenteils als Remote-Audits durchgeführt werden; dies kann per Telefon-, Web- oder Videokonferenz erfolgen. Es gelten die grundsätzlichen Vorgaben zur Durchführung von Remote-Audits.
  • Remote-Audits sollen - sofern von der Einsatzplanung her möglich - von Auditoren durchgeführt werden, die den Kunden bereits kennen und schon vor Ort waren.
  • Remote-Audits müssen von der Zertifizierungsstelle vorab freigegeben werden.
  • Sofern festgestellt wurde, dass eine Besichtigung von Standorten und Betriebsstätten vor Ort erforderlich ist, muss dieser Teil des Audits auf einen späteren Termin verschoben werden (innerhalb von 6 Monaten). 
  • Wenn die Remote-Audits nicht zum erforderlichen, kalkulierten Auditumfang durchgeführt werden konnten, ist ein Nachaudit erforderlich, dies soll dann innerhalb von max. 6 Monaten erfolgen.
  • Dies gilt für
    • Erst-Zertifizierungsaudits
    • Überwachungsaudits
    • Re-Zertifizierungsaudits
    • sonstige Audits.
  • Die Fristen zur Durchführung von Überwachungsaudits und Re-Zertifizierungsaudits bleiben bestehen (Hinweis: Grundsätzlich sieht das ID 3-Dokument auch die Verschiebung von Fristen bis max. 6 Monate vor; dies soll noch nicht angewendet werden.)

Für Verfahren gem. IT-Sicherheitskatalog (§11 Abs. 1a EnWG (Netzbetreiber)) gilt gem. Vorgaben der BNetzA zusätzlich:

  • Remote-Audits können zu maximal 50% (bei Überwachungsaudits) bzw. 70% (bei Re-Zertifizierungsaudits) erfolgen.
  • Standorte und Betriebsstätten müssen Vor-Ort auditiert werden. 
  • Eine Verschiebung der Fristen um max. 6 Monate ist vorläufig weiterhin eingeschränkt zulässig. Voraussetzung für eine Verschiebung sind behördliche Auflagen.
  • Weitere Vorgaben der BNetzA:
    • „Der ausgefallene Audittermin ist schnellstmöglich nachzuholen.
    • Durch den Netzbetreiber ist detailliert nachzuweisen, dass die reguläre Durchführung des Audits angesichts der Corona-Pandemie vor dem Hintergrund einer internen Risikobeurteilung nicht möglich ist. Die Bundesnetzagentur behält sich vor, sich von den Zertifizierungsunternehmen bzw. den Kunden/Netzbetreibern entsprechende Nachweise vorlegen zu lassen.
    • Die Bundesnetzagentur ist durch die Zertifizierungsstellen über die Verschiebung von Re-Zertifizierungsaudits, und die damit einhergehende Verlängerung der Zertifizierung für einen Zeitraum von nicht mehr als 6 Monaten über das ursprüngliche Ablaufdatum hinaus, zu informieren.“

Für Verfahren zum IT-Sicherheitskatalog für Energieanlagenbetreiber – etwa Kraftwerke – gem. §11 Abs. 1b EnWG wenden wir obige Regel der BNetzA gleichfalls an.

Aufgrund der sich ständig verändernden Lage sollten sich Auditoren und Kunden kurz vor Beginn eines Audits über die Aktualität der Planung verständigen.

Bei Rückfragen sprechen Sie uns gerne an:

  • Tel.: 0421/6966-32550
  • E-Mail: office@datenschutz-cert.de