I och med att intresset för Iso 27001 ökar har Kvalitetsmagasinet ringt runt till certifieringsorgan som är ackrediterade mot olika ledningssystemstandarder. De flesta vi ringer är inte ackrediterade mot Iso 27001 och har inte planer på att ackrediteras. Vissa upplever inte att intresset är tillräckligt stort medan andra anser sig inte ha kapaciteten som krävs för att ta sig an Iso 27001.
Swedac efter kritik: Vi är inte en flaskhals
System Flera certifieringsorgan som Kvalitetsmagasinet har varit i kontakt med uttrycker frustration över tiden det tar att ackrediteras mot Iso 27001. Såhär säger Swedac om kritiken.
Någonting är fel
Läs vidare – starta din prenumeration
Men av de som har ackrediterats – i dagsläget är det sju certifieringsorgan – varierar upplevelsen av ackrediteringsprocessen. Även om de flesta anser att relationen till Swedac är bra så tycker att vissa att ackrediteringsprocessen är trög.
– När man väl fått ackrediteringen så flyter allt på. Men bokning, tidsplan och kostnadsbild har varit svårt att få till. Man vill ju gärna veta när man kan ”sätta båten i sjön” och tjäna pengar på ackrediteringen, säger en representant från ett certifieringsorgan.
Ett annat bolag upplever också att Swedac har svårt att komma till dem för ackreditering, eftersom ackrediteringsorganet är uppbokat.
– Hos dem måste man ha lång framförhållning.
Certifieringsorganen vi har intervjuat vill vara anonyma av oro att påverka relationen till Swedac.
En ”hönan och ägget”-situation
Fredrik Langmead, enhetschef på Swedacs ackrediteringsavdelning, tycker dock inte att det rör sig om ett systemfel.
– Jag känner inte igen att någon tycker att det här är något som drar ut på tiden, alltså kopplat till våra serviceåtaganden. Vi säljer de serviceåtaganden vi har efter att vi har fått in en ansökan, säger han.
För att Swedac ska kunna bedöma kompetensen hos certifieringsorganen, alltså att de har förmågan att utföra certifieringarna, måste djuplodande intervjuer göras, processer genomlysas och en skarp revision genomföras ute hos certifieringsorganens kunder.
– Där kan det visserligen dra ut på tiden, just att få till det slutgiltiga momentet. Men det beror oftast inte på våra resurser. Det blir en ”hönan och ägget”-situation för certifieringsorganet, för det kan vara svårt att få en kund innan man har blivit ackrediterad.
En del certifieringsorgan vittnar ändå om att Swedac blir en flaskhals i ackrediteringsprocessen, hur ställer du dig till det?
– Det är en krävande process men att vi skulle vara en flaskhals håller jag inte med om. Självklart sköter vi våra serviceåtaganden, det gäller utökningar också. Men det här är ingen quick-fix. Certifieringsorganen och deras kunder hade säkert velat se att det gick betydligt mycket fortare, men vi kan inte sitta med standby-resurser. Tittar man de facto på de serviceåtaganden vi erbjuder så upplever jag att vi håller dem.
Intresset för Iso 27001 fortsätter att öka. Tror ni att ni kommer behöva utöka antalet revisorer inför att NIS2 blir svensk lag exempelvis?
– Vi arbetar ständigt med att bredda upp kvalificeringen för vår befintliga personal, inte minst mot Iso 27001 och på ledningssystem-sidan – men också med att söka efter fler externa experter som kan hjälpa oss med det här. Vi klarar oss inte helt och hållet själva, vi behöver kompetenta personer utifrån som kan stötta oss i tillsynsarbetet. Jag lägger stor tilltro till att den offentliga upphandling vi gjorde nu i höstas leder till att vi får in fler experter. Det skulle innebära att vi blev mer flexibla, säger Fredrik Langmead.