information-security

News

Nuova versione ISO/IEC 27001:2022

Apr. 5 2023

Regole per la transizione per le Organizzazioni certificate ISO 27001:2013 - UNI/EN ISO IEC 27001:2017 e per le nuove certificazioni

L’ultima Circolare Accredia N. 15/2023 (che sostituisce la precedente DC N° 04/2023) fornisce indicazioni per la gestione della transizione delle certificazioni accreditate a fronte della nuova ISO/IEC 27001:2022, pubblicata il 25/10/2022 e relativo adeguamento degli accreditamenti degli Organismi di Certificazione accreditati per lo schema SSI (ISMS). 

All’interno della Circolare Accredia sono indicate le seguenti regole per effettuare la transizione:

  • Dal 30 aprile 2024, tutte le nuove certificazioni dovranno essere emesse esclusivamente a fronte della ISO/IEC 27001:2022.
  • Le certificazioni emesse fino al 1° novembre 2023 ai sensi della 27001:2013 continueranno a valere nel periodo di transizione, che terminerà il 31 ottobre 2025, data entro la quale dovrà essere effettuata la transizione.
  • Il passaggio alla nuova norma potrà essere effettuato in occasione delle verifiche di rinnovo, mantenimento o in audit dedicati con l’applicazione delle integrazioni consigliate dalla Circolare Accredia.

In merito alla transizioni in fase di rinnovo, periodica o audit ad hoc si comunica che la verifica effettuata dagli auditor verterà sui seguenti punti ritenuti essenziali ai fini dell’approvazione della pratica:

a)    l’audit di transizione non si baserà solo sulla revisione dei documenti, in particolare per la revisione dei controlli tecnologici; 

b)    l’audit di transizione dovrà includere, almeno, quanto segue: 
•    la gap analysis della ISO/IEC 27001:2022, nonché la necessità di modifiche all’SSI (ISMS); 
•    l'aggiornamento della Dichiarazione di Applicabilità (SoA); 
•    se applicabile, l'aggiornamento del piano di trattamento dei rischi; 
•    l'implementazione e l'efficacia dei controlli nuovi o modificati scelti dai clienti; 

c)    Bureau Veritas potrà condurre l'audit di transizione da remoto se il Cliente garantisce il raggiungimento degli obiettivi dell'audit di transizione; 

d)    Bureau Veritas prenderà la decisione di transizione in base al risultato dell'audit di transizione; 

e)    tutte le certificazioni basate su ISO/IEC 27001:2013 scadranno o saranno ritirate alla fine del periodo di transizione (31 ottobre 2025); 

f)    l’aggiornamento del certificato a seguito dell’audit di transizione non modificherà la scadenza del ciclo di certificazione; laddove la transizione avvenga nel corso dell’audit rinnovo si procederà alla riemissione di un certificato per un nuovo triennio seguendo scadenze e cadenze del precedente ciclo.

Smart World & Cybersecurity

Scopri tutti i servizi