Am 2. und 3. Juni 2025 fand in Berlin die AKKKO 2025 statt. Die AKKKO – ja, mit drei „K“ – ist die alle zwei Jahre stattfindende Akkreditierungskonferenz, ausgerichtet von der Deutschen Akkreditierungsstelle (DAkkS). Mit ca. 450 Teilnehmerinnen und Teilnehmern im Berliner Steigenberger Hotel war die diesjährige AKKKO wieder sehr gut besucht.
Schwerpunkte der AKKKO 2025 waren – neben den Tisch- und Pausengesprächen zum Netzwerken – die Akkreditierung flexibler Geltungsbereiche, Cybersicherheit und Künstliche Intelligenz (KI) in der Akkreditierung.
Flexibilisierung der Akkreditierung
Der Geschäftsführer der DAkkS, Dr. Stephan Finke, betonte in seinem Eingangsstatement, dass Konformitätsbewertung und Akkreditierung Eckpfeiler der deutschen Qualitätsinfrastruktur seien. Und dass der Bürokratieabbau wichtig sei; hierzu betonte er die Flexibilisierung der Akkreditierung. Und ja, die Flexibilisierung der Akkreditierung kann der sich ausweitenden Bürokratie eventuell Einhalt gebieten.
Bislang ist es so, dass jede Zertifizierungsstelle einen Antrag auf Änderung ihrer Akkreditierung stellen muss, wenn sich ein Regelwerk ändert – jüngst von der ISO/IEC 27001:2017 auf die ISO/IEC 27001:2022. Mit der Flexibilisierung soll dies zukünftig etwas leichter gelingen. Aber, Stichwort Bürokratieabbau: Der Teufel steckt im Detail! Die Arten der Flexibilisierung variieren je nach Akkreditierungsnorm. Es gibt Typ A, Typ B, Typ C (aber nicht immer), Flex A, Flex B und Flex C. Zu jeder Akkreditierungsnorm gibt es eine DAkkS-Regel, die angibt, welche Arten von Flexibilisierung möglich sind und was sie exakt bedeuten. Anträge sind bislang nicht für alle Arten der Flexibilisierung und alle Flexibilisierungsnormen möglich, auch liegen noch nicht alle Antragsformulare vor.
Cybersicherheit
Dass sich der Bürokratieabbau angesichts der heutigen Sicherheitslage als schwierig erweisen könnte, zeigte sich auch am Schwerpunktthema Cybersicherheit, das auf EU-Ebene derzeit umfassend reformiert wird.
Sie erinnern sich? In Deutschland hat der Gesetzgeber mit §8a BSIG und KRITIS-VO für Kritische Infrastrukturen und mit dem IT-Sicherheitskatalog für Strom- und Gasnetz- sowie Kraftwerksbetreiber umfassende Vorschriften für die Informationssicherheit erlassen. Betreiber müssen entsprechende Nachweise und Zertifikate den Behörden vorlegen – hier sind neben der DAkkS zwei Behörden involviert: das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA). Die KRITIS-VO wird auf EU-Ebene durch die NIS-2-Regulierung erweitert, nicht ersetzt! NIS-2 ist bereits gültig und in Kraft. Aber – anders als eine EU-Verordnung – muss die NIS-2-Richtlinie noch in ein nationales Gesetz überführt werden (das geplante NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), was der sog. Diskontinuität wegen der Bundestagswahl zum Opfer fiel. Aktueller Stand: derzeit unklar. NIS-2 wird darüber hinaus umfassend von weiteren Regularien flankiert: dem Cyber Resilience Act (CRA), dem Cyber Security Act (CSA) und dem Digital Operational Resilience Act (DORA).
Ein besonders hübsches Beispiel für die bürokratischen Hürden wurde auf der Podiumsdiskussion besprochen: Das frühere Common Criteria-Schema wurde in das EUCC Certification-Schema überführt. Ein fertiges Schema, das seit vielen Jahren weltweit im Einsatz war, wurde schlicht in eine neue Form gegossen. Was als Quick-Win geplant war, hat gedauert: fünf Jahre.
KI in der Akkreditierung
Auch das weitere Schwerpunktthema KI ist sicher nicht als Anschauungsbeispiel für geringen Bürokratieaufwand zu nennen: Auf der einen Seite gibt es mit der ISO/IEC 42001 ein Regelwerk für ein KI-Managementsystem. Eine akkreditierte Zertifizierung dazu ist mangels finaler Akkreditierungsnorm – ISO/IEC 42006 ist noch in Arbeit – noch nicht möglich. Der europäische AI Act (dt. KI-VO) setzt auf Konformitätsbewertungen, die zum Teil als interne Kontrolle, aber auch durch notifizierte Stellen, erbracht werden sollen. Völlig unklar ist gegenwärtig noch, welche Behörden als notifizierende Stellen auftreten sollen. Bevor eine notifizierte Stelle – Zertifizierungsstelle? – dann zugelassen werden könnte, ist sicherlich ein abgenommenes Konformitätsbewertungsprogramm erforderlich, um die gesetzlichen Anforderungen in prüfbare Kriterien umzuwandeln. Auch wenn in der KI-VO ein Managementsystem gefordert wird: ein Bezug zur ISO/IEC 42001 – was ja ein KI-Managementsystem darstellt – ist nicht per se gegeben.
Positiv zur KI ist aber zu nennen, dass sie in den Prüfungs- und Zertifizierungsalltag einziehen wird; dazu gibt es bereits erste Ideen. Obgleich nicht davon auszugehen ist, dass die „Site Visits“ zukünftig entfallen werden.
Ausblick
Die von Herrn Dr. Finke angesprochene Qualitätsinfrastruktur, die die hiesige Prüfungs- und Zertifizierungsinfrastruktur bietet, ist natürlich in der Tat richtig und wichtig. Der ein oder andere erinnert sich vielleicht noch: Wer früher bspw. einen Toaster erwerben wollte, informierte sich über Vergleichstests der Stiftung Warentest. Und heute? Eine Recherche im Internet spuckt eine ganze Reihe von Ergebnissen und Tests aus. Wer nach der Recherche dann in seine Social Media-Bubble eintaucht, wird häufig weiter mit den verschiedensten Toastern konfrontiert, die von allen möglichen Influencerinnen und Influencern angepriesen werden. Oft wird dabei die Güte dieser Empfehlungen überhaupt nicht hinterfragt.
Und genau hier liegt der Bedarf unabhängiger Prüfungen und Zertifizierungen. Und zwar insbesondere in der Kritischen Infrastruktur. Denn wenn der Toaster nicht den Erwartungen entspricht, fällt womöglich nur das perfekte Frühstück aus. Wenn aber in der IT in Kritischen Infrastrukturen – in Kraftwerken, in Krankenhäusern, in Stadtwerken, bei den Banken, Tankstellen, Supermärkten, … – wichtige Bauteile ausfallen, ist der Schaden für die Gesellschaft immens größer.
Von daher ist Herrn Dr. Finke natürlich beizupflichten: Unabhängige Prüfungen und Zertifizierungen sind ein wesentlicher Bestandteil der Qualitätsinfrastruktur. Und am Bürokratieabbau muss weiter gearbeitet werden.