Qualitätsmanagement und IT-Sicherheit: Neue Standards setzen Unternehmen unter Druck

Gleich mehrere Fristen für internationale Normen sind abgelaufen, während die nächste Version des weltweit wichtigsten Qualitätsstandards konkrete Formen annimmt.**

Die Entwicklung der internationalen Qualitäts- und Sicherheitsstandards zeigt einen klaren Trend: hin zu integrierten Managementsystemen (IMS). Treiber sind der technische Fortschritt bei der ISO-9001:2026-Revision sowie das Verstreichen kritischer Regulierungsfristen in Deutschland – darunter die verpflichtende Registrierung für die NIS2-Richtlinie und das endgültige Auslaufen älterer IT-Sicherheitszertifikate.

Neben IT-Sicherheitsvorgaben wie NIS2 müssen Unternehmen auch gesetzliche Anforderungen im Personalwesen rechtssicher umsetzen. Dieser kostenlose Praxisleitfaden hilft Ihnen dabei, interne Meldestellen gemäß dem Hinweisgeberschutzgesetz DSGVO-konform zu organisieren. Jetzt Gratis-Checkliste zum Hinweisgeberschutzgesetz sichern

ISO 9001:2026: Die nächste Generation nimmt Gestalt an

Im Frühjahr 2026 erreichte die Entwicklung der neuen ISO-9001-Version einen entscheidenden Meilenstein. Nach einem technischen Treffen im Februar in Mexiko-Stadt erzielte eine Arbeitsgruppe mit 83 Experten aus 42 Ländern einen vollständigen technischen Konsens über die Anforderungen der Klauseln 1 bis 10 des kommenden Standards. Dies folgt auf die Zustimmung zum Draft International Standard (DIS) im Dezember 2025, der eine Zustimmungsrate von 97 Prozent unter den Mitgliedsstaaten erhielt.

Die anvisierte Veröffentlichung im September 2026 bedeutet keine radikale Überholung des bestehenden Rahmens von 2015. Vielmehr führt sie gezielte Verfeinerungen ein, die moderne Geschäftsrealitäten abbilden. Beteiligte Experten berichten, dass die Version 2026 einen stärkeren Schwerpunkt auf Qualitätskultur, ethisches Verhalten und organisatorische Resilienz legen wird. Eine wesentliche formale Neuerung ist die Integration von Klimaschutzaspekten direkt in den Standard, aufbauend auf den Zwischenänderungen vom Februar 2024.

Für Unternehmen, die derzeit nach ISO 9001:2015 zertifiziert sind, ist eine Übergangsfrist von voraussichtlich drei Jahren vorgesehen – bis September 2029. Auditoren betonen: Die aktuellen 2015er-Zertifikate bleiben gültig, doch Unternehmen sollten beginnen, ihre internen Definitionen und Risikomanagementprozesse an die neue Terminologie sowie den breiteren Fokus auf Digitalisierung und Nachhaltigkeit anzupassen.

ISO 27001:2022: Die Übergangsfrist ist Geschichte

Während ISO 9001 im Übergang steckt, hat die Informationssicherheit bereits ihre bedeutendste Schwelle überschritten. Seit dem 31. Oktober 2025 ist die Übergangsfrist für ISO/IEC 27001:2022 offiziell abgelaufen. Alle früheren Zertifikate auf Basis der Version 2013 gelten nun als erloschen.

Organisationen, die ihre Übergangsaudits bis zum Herbst 2025 nicht abgeschlossen haben, müssen nun einen vollständigen Erstzertifizierungsprozess durchlaufen, um ihren Status zurückzuerlangen. Die Version 2022 führte eine vereinfachte Struktur ein: Die 114 Kontrollen der Vorgängerversion wurden auf 93 reduziert, kategorisiert in vier Themenbereiche: organisatorisch, personell, physisch und technologisch. Hinzu kamen elf neue Kontrollen, die speziell moderne Bedrohungen adressieren – darunter Bedrohungsanalyse, physische Sicherheitsüberwachung und Sicherheit von Cloud-Diensten.

Der Wechsel zur Version 2022 ist kein reiner Papierakt. Er erfordert eine grundlegende Aktualisierung der „SoA" (Statement of Applicability) und eine Neubewertung des Informationssicherheits-Risikomanagements in einer zunehmend vernetzten digitalen Umgebung. Zertifizierungsstellen berichten, dass das neue „Attribut"-Konzept eine bessere Abstimmung mit anderen Cybersicherheitsrahmen ermöglicht – ein Vorteil für Unternehmen, die Compliance über mehrere Rechtsräume hinweg managen müssen.

Die neuen Anforderungen an die IT-Sicherheit stellen gerade kleine und mittelständische Unternehmen vor große Herausforderungen bei der Bedrohungsabwehr. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken ohne teure Investitionen schließen und aktuelle Cyber-Risiken proaktiv minimieren. Kostenloses Cyber-Security E-Book herunterladen

NIS2: Die Registrierungspflicht beim BSI ist angelaufen

In Deutschland wird die Zertifizierungslandschaft zusätzlich durch die nationale Umsetzung der europäischen NIS2-Richtlinie neu geformt. Das NIS2-Umsetzungsgesetz (NIS2UmsG) trat am 6. Dezember 2025 in Kraft und erweiterte den Kreis der regulierten Unternehmen von rund 4.500 auf knapp 30.000.

Ein kritischer Meilenstein lag im Frühjahr: Die verpflichtende Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endete am 6. März 2026. Unternehmen der Kategorien „besonders wichtig" oder „wichtig" – in der Regel mit mehr als 50 Mitarbeitern oder über zehn Millionen Euro Jahresumsatz in bestimmten Sektoren – mussten sich über das BSI-Portal registrieren. Wer diese Frist versäumt hat, riskiert sofortige Sanktionen, denn das Gesetz sieht keine allgemeine Übergangsfrist für die Kernpflichten vor.

Das BSI signalisiert, dass ein ausgereiftes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001:2022 typischerweise rund 70 bis 80 Prozent der technischen und organisatorischen Anforderungen von NIS2 abdeckt. Doch Rechtsexperten warnen: Ein ISO-Zertifikat allein ist kein „Safe Harbor". Unternehmen müssen weiterhin spezifische Lückenanalysen durchführen, um NIS2-spezifische Anforderungen zu adressieren – etwa zur Lieferkettensicherheit und zur persönlichen Haftung des Managements für Cybersicherheitsversäumnisse.

Der Trend zu integrierten Managementsystemen

Die Konvergenz von ISO 9001 und ISO 27001 beschleunigt sich durch ihre gemeinsame „Harmonisierte Struktur" (früher als High-Level-Struktur bekannt). Diese gemeinsame Architektur erlaubt es Organisationen, ihre Qualitäts- und Sicherheitsmanagementsysteme in einem einzigen, kohärenten integrierten Managementsystem (IMS) zusammenzuführen.

Branchenanalysten sehen den isolierten Ansatz bei Managementstandards zunehmend als nicht mehr zeitgemäß. Mit der Revision von ISO 9001:2026 und dem bereits verpflichtenden ISO 27001:2022 entdecken Unternehmen, dass überlappende Anforderungen – wie Kontextanalyse, Führungsverpflichtung und dokumentierte Informationen – durch einen einheitlichen Rahmen effizienter bewältigt werden können. Diese Integration kommt besonders mittelständischen Unternehmen (KMU) zugute, die unter dem doppelten Druck kundengetriebener Qualitätsanforderungen und staatlich verordneter Sicherheitspflichten stehen.

Hinzu kommt der Standard ISO 42001 für Künstliche Intelligenz, der vielen IMS-Strukturen eine dritte Säule hinzufügt. Unternehmen nutzen zunehmend ISO 9001, um die Qualität KI-gesteuerter Prozesse zu managen, und ISO 27001, um die zugrundeliegenden Daten zu sichern – während der neue KI-Standard die ethischen und Transparenzanforderungen abdeckt.

Ausblick: Digitalisierung der Audits

Für den weiteren Verlauf von 2026 und bis 2027 zeichnet sich ein digitaler Wandel des Auditprozesses selbst ab. Viele Zertifizierungsstellen beginnen, KI-gestützte Tools für automatisierte Lückenanalysen und Compliance-Überwachung einzusetzen – insbesondere für die neuen Anforderungen zur „Qualitätskultur" in ISO 9001:2026.

Mit der bevorstehenden Veröffentlichung von ISO 9001:2026 im Herbst wird die International Accreditation Forum (IAF) voraussichtlich die offiziellen Übergangszeitpläne bestätigen. Unternehmen wird empfohlen, sich auf zwei unmittelbare Prioritäten zu konzentrieren:

1. Sicherstellung, dass die 2024 eingeführten verpflichtenden Klimaschutzaspekte vollständig in die bestehenden Systeme integriert sind.
2. Überprüfung, ob die Informationssicherheitsmaßnahmen dem „Stand der Technik" entsprechen, den die NIS2-Umsetzung verlangt – um mögliche Bußgelder zu vermeiden, die bis zu zehn Millionen Euro oder zwei Prozent des globalen Umsatzes betragen können.

Die proaktive Übernahme dieser Standards wird zunehmend nicht nur als Compliance-Last, sondern als strategischer Vorteil betrachtet. In einem Markt, in dem Lieferkettenresilienz und digitales Vertrauen entscheidend sind, wird der Nachweis verifizierter Einhaltung der neuesten internationalen Normen zur Voraussetzung für internationale Handelsbeziehungen und Großaufträge.

de | wirtschaft | 69274286 |