Overstappen naar de ISO 27001:2022

In het laatste kwartaal van 2022 zag de wereld de opkomst van ISO 27001:2022, de nieuwste iteratie van de veelgeprezen ISO 27001-standaard. Binnen onze adviespraktijk hebben we geconstateerd dat deze ontwikkeling veel vragen oproept over de ideale tijd om het informatiebeveiligingsmanagementsysteem (ISMS) te baseren op deze standaard. Dit vraagstuk is relevant voor zowel organisaties die al gecertificeerd zijn als voor diegenen die recentelijk zijn gestart met implementatietrajecten of dit binnenkort van plan zijn. In dit artikel zullen we de voornaamste inzichten en overwegingen uitlichten.

De verschuivingen

De meest in het oog springende wijzigingen in deze nieuwe versie van de ISO 27001-norm bevinden zich in Annex A, de bijlage met best practices voor beheersmaatregelen. Het interessante is dat deze maatregelen een directe overname zijn van de herziene ISO 27002-norm uit 2022. Daarnaast zijn er enkele subtiele veranderingen opgetreden in de hoofdstukken 4-10 (de 'managementmethode'), die nu beter passen binnen de zogenaamde 'Harmonized Structure', de opvolger van de High Level Structure. In het kort komt het erop neer dat er meer aandacht is voor het procesmatig werken, terwijl het beheersen van 'extern geleverde producten en diensten' nu meer nadruk krijgt.

Richtlijnen voor de overgang

De transitieperiode van ISO 27001:2017 naar ISO 27001:2022 brengt enkele belangrijke richtlijnen met zich mee die invloed hebben op het moment van overstappen:

• Vanaf 1 mei 2024 is het certificerende instellingen (CI's) niet meer toegestaan initiële audits of hercertificeringsaudits uit te voeren op basis van ISO 27001:2013/2017.
• Organisaties met bestaande certificaten hebben tot uiterlijk oktober 2025 de mogelijkheid om gecertificeerd te worden volgens de oude versie van de norm.
• CI's zullen pas vanaf februari/maart 2023 initiële en hercertificeringsaudits kunnen uitvoeren op basis van de nieuwe ISO 27001:2022. Er zijn twee accreditatiemomenten gepland voor 2023: de eerste in februari 2023 en de tweede in juni 2023. Het exacte moment kan variëren per CI, dus het is raadzaam om hierover informatie in te winnen bij de betreffende CI.

Voor organisaties die nog niet gecertificeerd zijn en bezig zijn met implementatietrajecten (of binnenkort willen starten), betekent dit het volgende:

• Als de initiële certificeringsaudit gepland is (of al gepland staat) vóór maart 2023, kies dan voor implementatie en certificering volgens de oude versie (ISO 27001:2017).
• De keuze tussen implementatie en certificering volgens de oude of nieuwe versie van de norm hangt af van het moment waarop jouw CI accreditatie ontvangt (in februari of juni 2023) en wanneer de initiële certificeringsaudit naar verwachting plaatsvindt in de periode maart tot en met juni 2023. Raadpleeg jouw CI voor meer informatie en advies in dat geval.
• Als de initiële certificeringsaudit naar verwachting plaatsvindt in juli 2023 of later, kies dan voor implementatie en certificering volgens de nieuwe 2022-versie van de norm. Bedenk wel dat, hoewel CI's in de periode juli-oktober nog kunnen certificeren volgens de oude norm, het verstandig is om eventuele non-conformiteiten die tijdens de initiële audit naar voren komen te herstellen. Dit kan ervoor zorgen dat de certificeringsbeslissing na 1 mei 2024 valt, waardoor certificering volgens de oude norm niet meer mogelijk is.

Voor organisaties die al gecertificeerd zijn, zijn de volgende praktische richtlijnen van toepassing:

• Tussen nu en oktober 2025 moet de overgang naar de 2022-versie van de norm gerealiseerd zijn. Dit vereist een transitie-audit bij de certificerende instelling. Het is raadzaam om deze audit te plannen in combinatie met de eerstvolgende hercertificeringsaudit, niet met een tussentijdse surveillancemeting.
• Als de eerstvolgende hercertificeringsaudit gepland is vóór maart 2023, zal deze nog steeds plaatsvinden volgens de oude (2017) versie van de norm. De transitie moet dan op een later moment (vóór oktober 2025) worden uitgevoerd.
• Als de eerstvolgende hercertificeringsaudit verwacht wordt in de periode maart tot en met juni 2023, hangt de keuze om te hercertificeren volgens de oude of nieuwe versie van de norm af van het moment waarop jouw CI accreditatie ontvangt (in februari of juni 2023). Vraag hierover informatie en advies bij jouw CI.
• Als de eerstvolgende hercertificeringsaudit gepland is of verwacht wordt in de periode juli 2023 tot april 2024, wordt sterk aangeraden om de overgang naar de nieuwe 2022-versie tijdens die audit te realiseren. Dit voorkomt het risico dat de hercertificeringsbeslissing pas na 1 mei 2024 wordt genomen, waardoor certificering volgens de oude norm niet meer mogelijk is.
• Als de eerstvolgende hercertificeringsaudit gepland is of verwacht wordt na april 2024, zal deze plaatsvinden volgens de 2022-versie van de norm.

Het moment van overstappen voor jouw organisatie bepaalt dus of je snel moet beginnen met aanpassingen aan je ISMS volgens de nieuwe norm, of dat je hier ruimschoots de tijd voor hebt.