La versione ISO/IEC 27001:2013 del noto standard internazionale per la gestione della sicurezza delle informazioni è da tempo oggetto di aggiornamento. Il 25 ottobre 2022 è stata pubblicata la nuova edizione ISO/IEC 27001:2022, che introduce modifiche significative nella struttura dei controlli (Annex A) e alcuni chiarimenti nelle clausole del sistema di gestione.
Con la pubblicazione della versione 2022 è stato avviato un periodo di transizione triennale, che terminerà il 31 ottobre 2025. Entro tale data, tutte le organizzazioni certificate secondo la versione 2013 dovranno completare la migrazione: oltre quella scadenza, le certificazioni ISO/IEC 27001:2013 non saranno più riconosciute valide dagli organismi di certificazione accreditati.
Tempistiche e obblighi di transizione alla ISO/IEC 27001:2022
In base alla Circolare Tecnica DC 15/2023 di Accredia – che ha sostituito la precedente DC 04/2023 – le nuove certificazioni e i rinnovi devono riferirsi obbligatoriamente alla versione 2022 a partire dal 30 aprile 2024. Non è quindi più possibile emettere nuovi certificati sulla base della versione 2013 dopo tale termine. Diversi organismi di certificazione raccomandano inoltre di completare gli audit di transizione entro il 31 luglio 2025, in modo da consentire la gestione amministrativa delle pratiche prima della scadenza definitiva di ottobre.
Pianificazione del passaggio alla ISO/IEC 27001:2022
Per le organizzazioni ancora certificate secondo la ISO/IEC 27001:2013, questo passaggio è obbligatorio e richiede una pianificazione accurata. Il processo di transizione prevede tipicamente:
- un’analisi del divario tra i requisiti della versione 2013 e quelli della 2022, con particolare attenzione sia alla nuova struttura dei controlli sia agli aggiornamenti introdotti nelle clausole 4–10 dello standard;
- l’aggiornamento della Dichiarazione di Applicabilità (Statement of Applicability) e della documentazione correlata;
- la revisione del piano di trattamento del rischio e delle politiche interne di sicurezza;
- la formazione del personale coinvolto nel sistema di gestione;
- la conduzione di un audit di transizione da parte di un ente accreditato, che può essere svolto durante un audit ordinario (sorveglianza o ricertificazione) oppure come audit dedicato.
Conformità e importanza strategica della ISO/IEC 27001:2022
Oltre agli aspetti tecnici, la questione è soprattutto di compliance. Una certificazione ISO 27001 aggiornata rappresenta per clienti, partner e autorità la garanzia che l’organizzazione mantiene un sistema di gestione della sicurezza dell’informazione allineato agli standard più recenti. Non adeguarsi comporta il rischio di perdere la validità della certificazione, con conseguenze sulla reputazione, sull’accesso a bandi o gare pubbliche e sulla fiducia complessiva degli stakeholder.
Struttura e novità dei controlli nella ISO/IEC 27001:2022
L’Annex A della versione 2022 è stato profondamente rivisto: i controlli passano da 114 a 93, in coerenza con la ISO/IEC 27002:2022, e sono riorganizzati in quattro categorie principali – Organizational, People, Physical e Technological. Questa ristrutturazione riflette l’evoluzione delle minacce e delle tecnologie, introducendo controlli consolidati e di nuova concezione per migliorare la capacità di risposta ai rischi cyber moderni.
Scadenze e supporto per la conformità alla ISO/IEC 27001:2022
Il 31 ottobre 2025 rappresenta dunque la scadenza definitiva: dopo tale data, le certificazioni ISO/IEC 27001:2013 non potranno più essere riconosciute valide dagli organismi accreditati. Ogni organizzazione dovrà assicurarsi di avere completato la transizione in tempo utile e di poter dimostrare la conformità alla nuova versione dello standard.
Per supportare questo percorso, Hermes Bay mette a disposizione Atena Compliance, la piattaforma dedicata alla gestione integrata della conformità normativa e tecnica. Atena consente di mappare i requisiti della ISO/IEC 27001:2022, monitorare gli stati di avanzamento delle attività, gestire la documentazione e assicurare la tracciabilità completa degli interventi di aggiornamento. Uno strumento pensato per semplificare l’adeguamento normativo, ridurre il rischio di non conformità e garantire la continuità della certificazione.
Qui tutte le info su Atena: https://www.hermesbay.com/prodotti/atena-compliance/
Autori:
Luisa Franchina, Presidente AIIC
Tommaso Diddi, analista Hermes Bay
