ISO 9001:2026 – Was kommt auf Ihr Unternehmen zu?

Die ISO 9001 wird umfassend überarbeitet. Der DIS liegt seit August 2025 vor. Wir erklären die wichtigsten Änderungen, den Zeitplan und was KMU jetzt konkret tun müssen.

Warum wird die ISO 9001 überarbeitet?

Seit der letzten Revision 2015 hat sich das Unternehmensumfeld grundlegend verändert: Digitalisierung, globale Lieferketten, Nachhaltigkeitsanforderungen und neue Erwartungen an Unternehmenskultur erfordern eine Aktualisierung.

Die wichtigsten Neuerungen

• Harmonisierte Struktur (HLS): Vereinheitlichung aller ISO-Managementnormen – bessere Integration mit ISO 14001, 27001 und anderen.
• Klimawandel im Fokus: Integration des Amendment 1:2024 in Kapitel 4. Klimarisiken müssen in der Kontextanalyse berücksichtigt werden.
• Qualitätskultur und Ethik: Neue Anforderungen in Kapitel 5.1.1 und 7.3 – das QMS muss von der Geschäftsleitung vorgelebt werden.
• Strategische Ausrichtung: Das QMS muss explizit die Unternehmensstrategie unterstützen (Kapitel 5.2.1 e).
• Risiko- und Chancenmanagement: Klarere Trennung in 6.1.2 (Risiken) und 6.1.3 (Chancen).

Zeitplan und Übergangsfrist

• August 2025: DIS veröffentlicht
• September 2026: Finale ISO 9001:2026
• Ab 2026: 3-jährige Übergangsfrist
• Ab ca. 2029: Nur noch Zertifizierungen nach ISO 9001:2026 möglich

Was sollten KMU jetzt tun?

1. Aktuellen Stand prüfen: Erfüllt Ihr QMS die Anforderungen der ISO 9001:2015 vollständig?
2. Gap-Analyse durchführen: Wo bestehen Lücken zu Ethik, Strategie, Klima und Risiko?
3. Führungskräfte einbinden: Qualitätskultur kann nicht delegiert werden.
4. Übergangsplanung starten: Wer jetzt handelt, hat 2026 einen klaren Vorsprung.

Was ist eigentlich eine ISO-Zertifizierung?

Viele Unternehmen hören plötzlich von Kunden: „Wir brauchen ein ISO-Zertifikat.“ Doch was steckt dahinter, wie läuft das ab, und was kostet es wirklich?

Warum fordert mein Kunde ein ISO-Zertifikat?

Ein ISO-Zertifikat ist ein international anerkanntes Gütesiegel. Immer mehr Auftraggeber – besonders größere Unternehmen und Behörden – verlangen es als Grundvoraussetzung für Zusammenarbeit oder Ausschreibungsteilnahme.

• ISO 9001: Qualitätsmanagement – die häufigste Anforderung
• ISO 14001: Umweltmanagement
• ISO 27001: Informationssicherheit – besonders in IT-nahen Branchen
• ISO 45001: Arbeitsschutzmanagement

Der Unterschied: Beratung vs. Zertifizierung

• Beratung (standardISO): Unterstützung beim Aufbau des Managementsystems – Analyse, Dokumentation, Prozesse, Schulungen, internes Audit.
• Zertifizierung (akkreditierte Stelle): Ein von der DAkkS akkreditierter Zertifizierer prüft im Audit, ob die Norm eingehalten wird. Er darf nicht gleichzeitig beraten.

Wie läuft eine Zertifizierung ab?

1. Ist-Aufnahme: Analyse bestehender Prozesse, Definition des Geltungsbereichs.
2. Aufbau des Managementsystems: Dokumentation, Prozessbeschreibungen, Schulungen.
3. Internes Audit: Probelauf – Schwachstellen werden identifiziert und behoben.
4. Externes Audit in zwei Stufen: Stufe 1 prüft Dokumentation, Stufe 2 prüft Umsetzung vor Ort.

Wie lange dauert es?

Mit professioneller Begleitung sind 6 bis 12 Wochen realistisch. Bei standardISO streben wir 12 Wochen als strukturierten Standardpfad an. Das Zertifikat ist drei Jahre gültig, mit jährlichen Überwachungsaudits.

Ablauf eines internen Audits – inkl. kostenloser Checkliste

Ein internes Audit ist kein Kontrollinstrument – sondern ein wertvolles Werkzeug zur kontinuierlichen Verbesserung. Vollständiger Ablauf und kostenlose Checkliste.

1. Planung – die Basis für ein erfolgreiches Audit

• Festlegung von Auditzielen, Auditumfang und Auditkriterien
• Erstellung eines Auditplans mit Themen, Terminen und Verantwortlichen
• Auswahl der Auditoren – intern oder extern (z. B. standardISO)
• Rechtzeitige Kommunikation des Zeitplans an alle Beteiligten
• Vorbereitung der Checklisten und Fragenkataloge

2. Durchführung – Fakten statt Fehlersuche

• Objektiv und faktenbasiert: Nur belegbare Nachweise zählen.
• Offene Fragen stellen: „Wie gehen Sie vor, wenn…?“ statt „Machen Sie das immer so?“
• Stärken dokumentieren: Positive Beispiele genauso erfassen wie Abweichungen.
• Abweichungen klassifizieren: Hauptabweichung (Major), Nebenabweichung (Minor) oder Verbesserungspotenzial (OFI).

3. Abschluss und Bericht

Zum Ende findet eine Abschlussbesprechung statt. Danach erstellt der Auditor den Auditbericht mit allen Feststellungen, Empfehlungen und Maßnahmen mit Fristsetzung.

ISO 19011:2025 – Revision des internationalen Audit-Leitfadens

Der internationale Audit-Leitfaden wird überarbeitet. Die Revision reagiert auf Remote-Audits, Digitalisierung, KI und Klimarisiken. Finalversion Q1 2026.

Remote-Audits und digitale Technologien

Erweiterte Leitlinien für Fernprüfungen – Tools, Datensicherheit und virtuelle Betriebsrundgänge. KI-Analysen und Cloud-Plattformen sollen als gleichwertige Auditmethoden etabliert werden.

Klimabezogene Risiken als Querschnittsthema

Auditoren sollen systematischer prüfen, wie Organisationen mit Klimarisiken umgehen – von Notfallplänen für Extremwetter bis zu resilienten Lieferketten.

Stärkere Harmonisierung mit ISO-Normen

Engere Anlehnung an die Harmonized Structure (HLS). Begriffe und Definitionen werden vereinheitlicht, Schnittstellen zu ISO 9001 und anderen Normen klarer definiert.

Risikobasierter Auditansatz

Klarere Definitionen zu Risiko und Chance, praxisnahe Methoden zur risikobasierten Auditplanung und Priorisierung von Hochrisikobereichen.

Update der ISO 14001 – Was Unternehmen jetzt wissen sollten

Die weltweit meistgenutzte Umweltmanagementnorm wird aktualisiert. Veröffentlichung Anfang 2026 – tiefgreifende Änderungen sind nicht zu erwarten.

Was ändert sich konkret?

• Aktualisierung auf HLS: Anpassung auf die Harmonized Structure.
• Bessere Verständlichkeit: Überarbeitete Formulierungen und zusätzliche Anmerkungen.
• Erweiterte Anhang-A-Erläuterungen: Neue Infos zu Umweltaspekten, Lebenszyklusbetrachtung und Klimawandel.

Zeitplan und Übergangsfrist

• Frühjahr 2026: Veröffentlichung der finalen ISO 14001
• Ab 2026: Beginn der ca. 3-jährigen Übergangsfrist
• Ab ca. 2029: Nur noch Zertifizierungen nach neuer Version möglich

ISO/IEC 27001:2022 – Neue Version in Kraft

Im Oktober 2022 wurde die neue ISO/IEC 27001:2022 veröffentlicht und löst die Version von 2013 ab. Was hat sich geändert – und was bedeutet das für Ihr Unternehmen?

Die wichtigsten Änderungen

• Anhang A komplett überarbeitet: Statt 114 Controls in 14 Abschnitten nun 93 Controls in 4 Themenblöcken.
• 11 neue Controls: Threat Intelligence, Cloud-Sicherheit, physische Sicherheitsüberwachung, Datenmaskierung und sichere Entwicklung.
• Harmonized Structure: Bessere Integration mit ISO 9001 und ISO 14001.
• Neue Attribute: Controls können nach Cybersicherheitskonzepten kategorisiert werden.

Was müssen Unternehmen tun?

• Gap-Analyse: Welche der 11 neuen Controls sind relevant und noch nicht umgesetzt?
• Anpassung der Statement of Applicability (SoA) auf die neue Control-Struktur
• Schulung der verantwortlichen Mitarbeiter auf die neuen Anforderungen

ISO-Amendment 2024 – Klimawandel wird Pflicht in allen Normen

Seit März 2024 müssen ISO 9001, 14001, 27001, 45001 und 50001 den Klimawandel im Unternehmenskontext berücksichtigen. Was konkret zu tun ist.

Was hat sich geändert?

Das ISO-Amendment ergänzt alle Normen um zwei Anmerkungen in Kapitel 4.1 und 4.2: Organisationen müssen bestimmen, ob der Klimawandel ein relevantes Thema ist, und ob Stakeholder klimabezogene Anforderungen haben.

Was müssen Sie konkret tun?

1. QM-Handbuch in Kapitel 4.1 und 4.2 ergänzen um Klimawandel-Bewertung
2. Risiko- und Chancenanalyse um klimabezogene Szenarien ergänzen
3. Stakeholder-Matrix prüfen: Haben Kunden, Lieferanten oder Behörden klimabezogene Anforderungen?
4. Managementbewertung anpassen: Klimawandel als festen Agendapunkt aufnehmen

EU-Produktsicherheitsverordnung GPSR – gilt seit Dezember 2024

Seit dem 13. Dezember 2024 gilt die GPSR verbindlich in allen EU-Mitgliedstaaten. Sie bringt erhebliche neue Pflichten – auch für den Online-Handel.

Wen betrifft die GPSR?

• Hersteller: Umfassende Dokumentations-, Prüf- und Meldepflichten
• Importeure: Pflicht zur Prüfung der GPSR-Konformität
• Händler: Kooperationspflicht bei Sicherheitsproblemen
• Online-Marktplätze: Amazon, eBay und Co. werden stärker in die Verantwortung genommen

Die wichtigsten Pflichten

• Benennung einer verantwortlichen Person in der EU
• Risikobewertungen und Konformitätserklärungen
• Dokumentation der Lagerbedingungen
• Meldepflicht bei erkannten Sicherheitsrisiken
• Standardisierte Rückrufanzeige gemäß EU-Durchführungsverordnung 2024/1435

Generative KI in ISO-Prozessen – Chancen und Anforderungen

KI verändert Qualitätsmanagementsysteme grundlegend. Wie generative KI ISO-konform eingesetzt werden kann – und was die EU-KI-Verordnung bedeutet.

Konkrete Einsatzmöglichkeiten im QMS

Automatisierte Dokumentation

KI kann Prozessdokumentationen automatisch erstellen auf Basis bestehender Daten. Das reduziert manuellen Aufwand erheblich. Die inhaltliche Verantwortung und Freigabe bleibt beim Mitarbeiter.

Risikoanalysen und FMEA

KI-Modelle können auf Basis historischer Fehlerdaten potenzielle Risiken identifizieren und priorisieren – unterstützt die Risikobewertung nach ISO 9001 Kapitel 6.1.

Interne Audit-Vorbereitung

KI kann Fragelisten und Audit-Checklisten auf Basis der Norm und unternehmenseigener Dokumentation erstellen – individuell und stets aktuell.

Was bedeutet KI für ISO-zertifizierte Unternehmen?

• Dokumentationspflicht: KI-gestützte Entscheidungen müssen nachvollziehbar und überprüfbar sein.
• Menschliche Kontrolle: KI-Outputs müssen von qualifizierten Mitarbeitern geprüft und freigegeben werden.
• Datenschutz: DSGVO-Anforderungen bei Verarbeitung personenbezogener Daten einhalten.
• Lieferantenmanagement: Externe KI-Dienste müssen als Lieferanten bewertet werden.