Kostenlose Demo

AKKKO 2025 | Mehr Flexibilisierung, neues vom DAkkS-Port und die Baustelle Cybersecurity

Ein Fazit der AUDITTRAILS Networks GmbH von der AKKKO 2025.

Vom 2. Juni bis 3. Juni 2025 fand die Akkreditierungskonferenz AKKKO 2025 der Deutschen Akkreditierungsstelle im Steigenberger am Kanzleramt in Berlin statt. Ich durfte als Vertreter der AUDITTRAILS Networks GmbH dabei sein und war gespannt auf die interessanten Themen rund um die Flexibilisierung der Akkreditierung, Neuigkeiten vom DAkkS-Port und alles rund um Cybersecurity. In diesem Artikel möchte ich die für unsere Kunden wichtigsten Themen kurz und knapp zusammenfassen!

Flexible Akkreditierung, weniger Bürokratie und die Bedeutung der flexiblen Verfahrensliste

Die flexible Akkreditierung ist international anerkanntes Mittel um einer akkreditierten Stelle mehr Freiheit und Flexibilität in ihrem Scope zu geben. Hält man als Laboratorium keine flexible Akkreditierung, so wird man auf Basis eines spezifischen Ausgabestandes eines Verfahrens (z.B. einer Prüfnorm) begutachtet und die Akkreditierung erteilt. Erscheint z.B. ein neuer Ausgabestand der Norm, so muss das Laboratorium vor Aufnahme des neuen Ausgabestandes zunächst begutachtet werden, ehe das neue Verfahren auf der Urkunde Erwähnung findet. Die Aufnahme eines neues Ausgabestandes – oder gar eines neues Verfahrens – kann also mitunter sehr lange dauern und hindert das Laboratorium daran, seine Leistung am Markt akkreditiert anzubieten, obwohl vielleicht das Team kompetent in den Startlöchern steht. Noch dazu geht die Aufnahme eines neuen Ausgabestands oder eines neues Verfahrens mit einem Antrag bei der DAkkS einher.

Viel Bürokratie und zeitlicher Verzug im Markteintritt hat viele Laboratorien in der Vergangenheit verärgert.

Im Zuge der neuen DAkkS-Regeln R-17025-PL, R-17025-KL und R-15189 wurde das System zur Flexibilisierung überarbeitet:

FLEX A: Wer flexibel nach FLEX A akkreditiert ist, hat Verifizierungskompetenz nachgewiesen und kann neue Ausgabestände akkreditierter Verfahren nach der Verifizierung ohne Begutachtung und Antragsstellung in den akkreditierten Scope nehmen.

FLEX B: Wer flexibel nach FLEX B akkreditiert ist, hat Verifizierungskompetenz nachgewiesen und kann neue Verfahren im gleichen Prüf- oder Untersuchungsbereich nach der Verifizierung ohne Begutachtung und Antragsstellung in den akkreditierten Scope nehmen. Dabei sind die Grenzen des Prüf-/Untersuchungsbereichs zu beachten.

FLEX C: Wer flexibel nach FLEX C akkreditiert ist, hat Validierungskompetenz nachgewiesen und kann modifizierte Normverfahren und Hausverfahren nach der Validierung ohne Begutachtung und Antragsstellung in den akkreditierten Scope nehmen.

Die Kategorien der Flexibilisierung sollen enormen Bürokratieabbau mit sich bringen und die Urkundenaktualisierung enorm beschleunigen.

Warum?

Die flexible Verfahrensliste, die das Laboratorium selbst führt und aktualisiert, gilt als Urkundenanhang. Idealerweise erhält das Laboratorium also eine „leere“ Akkreditierungsurkunde von der DAkkS, die sich niemals ändert und führt den vollständigen Scope in der eigenen Liste.

Alexander Frenzl im Austausch mit Wolfram Hartmann und Dr. Torsten Augustin von der DAkkS zum Thema flexible Akkreditierung.
AKKKO 2025: Alexander Frenzl im Austausch mit Wolfram Hartmann und Dr. Torsten Augustin von der DAkkS zum Thema „flexible Akkreditierung“! | Quelle: https://www.linkedin.com/company/dakks/posts/

Im Zuge der digitalen Transformation von Verfahrensinformationen im Geltungsbereich der Akkreditierung ist aus unserer Sicht darauf Wert zu legen, die Verfahren verschlagwortet zu lenken und mit Hilfe der Kategorien „Prüfgegenstand/Matrix“, „Analyt“ und „Prüf-/Untersuchungsart“ einzuordnen. So könnte es zukünftig möglich sein, flexible Verfahrenslisten automatisiert zu verwalten bzw. zu erstellen, was ENORME Zeitersparnis birgt.

Wichtige Neuerungen im DAkkS-Port

In den letzten Monaten haben wir gehäuft gehört, dass die Nutzung des DAkkS-Ports für einige unserer Kunden Probleme bereitet. So konnten sich z.B. verantwortliche Mitarbeiter nicht anmelden, die für das Einreichen der Unterlagen zuständig sind.

Ich konnte dieses Thema nun tiefgründiger verstehen und weiß nun, woran das lag!



Der DAkkS-Port ist DAkkS-intern mit dem ERP-System der DAkkS und einem Dokumentmanagementsystem verbunden. Ganz grundsätzlich erfolgte bislang die Zuordnung der berechtigten Personen über einen Abgleich mit Handelsregistereinträgen. Die im Handelsregister eingetragenen Personen konnten sich anmelden und auch neue Mitarbeitende anlegen, jedoch ging mit dem Anlegen einer neuen Person nicht die Anmeldemöglichkeit für diese Person einher.

In der neuen Version der DAkkS-Ports (Ende Mai 2025) wurde dies geändert. Es ist nun möglich, neue Personen anzulegen und diesen Personen die Möglichkeit zu geben, sich anzumelden und Dokumente im DAkkS-Port zu verwalten. Dabei ist noch zu unterscheiden, ob eine Person wirklich antragsberechtigt ist.

Zusätzlich birgt die neue Version die Möglichkeit viele Dokumente gleichzeitig zu verarbeiten und fehlerhafte Dokumente zu erkennen.

Für uns als Software-Inverkehrbringer, der strukturiert Managementsystemdokumente verwaltet brennt immer die Frage auf den Nägeln, wann eine dokumentierte Schnittstelle (z.B. REST-API) zur Verfügung steht, die einen direkten Austausch von Dokumenten ohne Medienbrüche ermöglicht. Dies ist definitiv Ziel des DAkkS-Ports und wird die Möglichkeit einer Kommunikation für alle Softwarehersteller eröffnen. Jedoch liegt eine Schnittstelle noch in etwas in fernerer Zukunft.

In der Zwischenzeit bleiben wir in regem Austausch in Bezug auf tragfähige Workarounds und technischen Restriktionen, die mit dem Upload verbunden sind. Da gibt es nämlich auch zukünftig für uns als Softwarehersteller einiges zu beachten!

Die große Baustelle Cybersecurity

Eine unserer Kernkompetenzen neben dem Aufbau digitaler Managementsysteme für die Akkreditierung nach DIN EN ISO/IEC 17025 und DIN EN ISO 15189 ist der Aufbau von Informationssicherheits-managementsystemen (ISMS) nach DIN EN ISO/IEC 27001. Neben der Tatsache, dass wir in Zukunft Konformitätsbewertungsstellen für die „Cybersicherheit“ von Produkten benötigen, ist es ebenfalls eine Herausforderung für die Konformitätsbewertungsstellen, selbst Informationssicherheit in ihrer eigenen Organisation herzustellen und nachzuweisen.

Glücklicherweise lässt sich das Managementsystem nach DIN EN ISO/IEC 17025 oder DIN EN ISO 15189 mit dem AUDITTRAILS-Managementsystem-Framework ideal mit der DIN EN ISO/IEC 27001 kombinieren. Nachdem wir auch Beratungskompetenz zur Informationssicherheit im Hause haben, passen die Felder gut zusammen.

Alle Unternehmen, die in Zukunft von NIS-2 betroffen sind, tun nach Angaben des TÜV NORD CERT gut daran, mit einem ISMS-Aufbau auf Basis der DIN EN ISO/IEC 27001 zu starten. Das ist im Übrigen auch das, was wir unserer Kunden empfehlen.

Noch was Neues für alle „Softwarehersteller“ – und für die „KI“!!

Der European Cyber Recilliance Act (CRA) hat kurz vor seiner Veröffentlichung noch eine wichtige Änderung erfahren: „Software“ ist ein Produkt – und muss die Anforderungen an Informations- bzw. Cybersecurity erfüllen. Auch „KI“ ist in diesem Sinne ein Softwareprodukt. Software benötigt deshlab, je nach Klassifizierung eine Konformitätsbewertung – im einfachsten Fall durch Selbstbewertung und Konformitätserklärung. Im Fall von kritischeren Systemen durch eine dritte Stelle.

Hier ist natürlich zunächst ins Auge zu fassen, dass das in verkehr bringende Unternehmen zum Einen durch ein ISMS organisatorische Sicherheit unter Beweis stellen kann, aber auch sichere Produkte baut.

Für die Konformitätsbewertung von KI wurde im Rahmen der AKKKO 2025 von Frau Susanne Kuch, Referentin für Digitalisierungspolitik in der Qualitätsinfrastruktur im Stabsbereich Akkreditierungsgovernance, Forschung und Innovation der ISO/IEC DIS 42006 (Künstliche Intelligenz – Anforderungen an Stellen, die KI-Managementsysteme auditieren und zertifizieren) vorgestellt.

Wir als AUDITTRAILS Networks GmbH sind auf dem Weg zum sicheren Softwareprodukt bestens gewappnet und haben die relevanten Controls stets im Blick. Wir betreiben ein zertifiziertes ISMS nach DIN EN ISO/IEC 27001 und betrachten „Security-by-design“ als Teil unserer Leistung.

WICHTIG für Softwarehersteller: Im Rahmen des CRA wir die sgn. „Software-BOM“ (BOM: Bill-of-Materials) – auf deutsch „Software-Stückliste“ – verpflichtend. Diese listet aller in der Software verwendeten Bibliotheken und Programmbestandteile auf samt einem Hinweis auf Version und Lizenz. Diese Software-BOM soll Endkunden dabei helfen, herauszufinden, ob Tools von bekannten Angriffsvektoren betroffen sind.

Fazit

Es ist schier unmöglich, hier aller reinzupacken, was er auf der AKKKO 2025 Neues zu Erfahren gab und dies alles in einen passenden Kontext für unsere Kunden zu bringen. Mit einem Blick aus der Vogelperspektive kann man zusammenfassend sagen:

  1. Die flexible Akkreditierung hilft Bürokratie abzubauen und Markteintritte zu beschleunigen
  2. Der DAkkS-Port wird weiterentwickelt und birgt viel Potential
  3. Informationssicherheit und Cybersecurity ist ENORM WICHTIG – sowohl Organisationssicherheit als auch Produktsicherheit.

Das wars von der AKKKO 2025!

Verschlagwortet mit, , , ,

Das zukunftssichere Managementsystem für Ihre Prozesse. Effizienz und Compliance auf höchstem Niveau. Perfekt geeignet für Standards nach NIS-2, ISO 27001, TISAX®, ISO 17025, ISO 15189 uvm.

Anwendung
Unternehmen
Wissen
Legal
DEKRA Zertifikatssiegel für Informationssicherheitsmanagement ISO/IEC 27001, als Nachweis für zertifizierte Informationssicherheit.
DEKRA Zertifikatssiegel für Informationssicherheitsmanagement ISO/IEC 27001, als Nachweis für zertifizierte Informationssicherheit.

Unser Unternehmen ist nach ISO 27001 zertifiziert.

Ihres auch? Lassen Sie uns gerne über effiziente Informationssicherheit sprechen.

Kontakt aufnehmen
Kostenlose Demo anfordern
Download Zertifikat
© 2025 AUDITTRAILS Networks GmbH.

TISAX® ist eine eingetragene Marke der ENX Association. Die AUDITTRAILS Networks GmbH steht in keiner geschäftlichen Verbindung zur ENX Association. Wir bieten lediglich Beratung und Software-basierte Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der AUDITTRAILS-Website dargestellten Inhalte.

Anwendung
Unternehmen
Legal
Kostenlose Demo anfordern
Kontakt aufnehmen