Regole per la transizione per le Organizzazioni certificate ISO 27001:2013 - UNI/EN ISO IEC 27001:2017 e per le nuove certificazioni
L’ultima Circolare Accredia N. 15/2023 (che sostituisce la precedente DC N° 04/2023) fornisce indicazioni per la gestione della transizione delle certificazioni accreditate a fronte della nuova ISO/IEC 27001:2022, pubblicata il 25/10/2022 e relativo adeguamento degli accreditamenti degli Organismi di Certificazione accreditati per lo schema SSI (ISMS).
All’interno della Circolare Accredia sono indicate le seguenti regole per effettuare la transizione:
- Dal 30 aprile 2024, tutte le nuove certificazioni dovranno essere emesse esclusivamente a fronte della ISO/IEC 27001:2022.
- Le certificazioni emesse fino al 1° novembre 2023 ai sensi della 27001:2013 continueranno a valere nel periodo di transizione, che terminerà il 31 ottobre 2025, data entro la quale dovrà essere effettuata la transizione.
-
Il passaggio alla nuova norma potrà essere effettuato in occasione delle verifiche di rinnovo, mantenimento o in audit dedicati con l’applicazione delle integrazioni consigliate dalla Circolare Accredia.
In merito alla transizioni in fase di rinnovo, periodica o audit ad hoc si comunica che la verifica effettuata dagli auditor verterà sui seguenti punti ritenuti essenziali ai fini dell’approvazione della pratica:
a) l’audit di transizione non si baserà solo sulla revisione dei documenti, in particolare per la revisione dei controlli tecnologici;
b) l’audit di transizione dovrà includere, almeno, quanto segue:
• la gap analysis della ISO/IEC 27001:2022, nonché la necessità di modifiche all’SSI (ISMS);
• l'aggiornamento della Dichiarazione di Applicabilità (SoA);
• se applicabile, l'aggiornamento del piano di trattamento dei rischi;
• l'implementazione e l'efficacia dei controlli nuovi o modificati scelti dai clienti;
c) Bureau Veritas potrà condurre l'audit di transizione da remoto se il Cliente garantisce il raggiungimento degli obiettivi dell'audit di transizione;
d) Bureau Veritas prenderà la decisione di transizione in base al risultato dell'audit di transizione;
e) tutte le certificazioni basate su ISO/IEC 27001:2013 scadranno o saranno ritirate alla fine del periodo di transizione (31 ottobre 2025);
f) l’aggiornamento del certificato a seguito dell’audit di transizione non modificherà la scadenza del ciclo di certificazione; laddove la transizione avvenga nel corso dell’audit rinnovo si procederà alla riemissione di un certificato per un nuovo triennio seguendo scadenze e cadenze del precedente ciclo.