Of jouw organisatie nu al gecertificeerd is voor ISO 27001 of niet, je zult moeten bepalen op basis van welke norm je certificeert en per wanneer je (uiterlijk) wilt overstappen op de nieuwe norm. Want per uiterlijk 1 november 2025 zijn alleen certificaten op basis van ISO 27001:2022 nog geldig.
Belangrijke stap: vernieuwen van het risicobehandelplan
Gecertificeerde organisaties moeten opnieuw en aantoonbaar paragraaf 6.1.3.c uitvoeren.
Vastgestelde beheersmaatregelen uit het risicobehandelplan moeten vergeleken worden met de nieuwe Annex A om te zorgen dat aanpassingen in bestaande beheersmaatregelen worden doorgevoerd. En uiteraard moeten de nieuwe beheersmaatregelen worden ingevoerd.
Kijk hier voor een overzicht van de wijzigingen in de ISO 27001.
Welke stappen zetten 27001-gecertificeerde organisaties?
Wat onze (nu) gecertificeerde klanten aan stappen nemen om over te stappen is het volgende:
- Een GAP-analyse om te bepalen welke impact de wijzigingen van ISO 27001:2022 hebben op het ISMS.
- Een Verklaring van Toepasselijkheid gebaseerd op de ISO 27001:2022.
- Indien nodig: een aangepast risicobehandelplan.
- Invoeren van nieuwe beheersmaatregelen en het bepalen van de effectiviteit ervan (werkt de beheersmaatregel conform verwachting/doel?).
EIK Certificering toetst de resultaten van deze stappen in een reguliere audit. Voor de transitie plant EIK minimaal een halve dag (bovenop de reguliere audittijd, als de transitie audit tegelijkertijd wordt uitgevoerd). Dit is overigens verplicht gesteld, vanuit de accreditatie.
In overleg met onze ISO 27001 klanten wordt bepaald, op welk moment de transitie naar de nieuwe versie van de norm zal worden gemaakt.
Voorwaarden aan en planning van de transitie
ISO 27001-gecertificeerde organisaties
De overgang naar de nieuwe ISO 27001-norm kan plaatsvinden tijdens een reguliere audit of tijdens een separate transitie audit.Dit is afhankelijk van de wens van jouw organisatie.
Nog niet gecertificeerde organisaties
Nieuwe certificeringen kunnen tot 1 november 2023 plaatsvinden op basis van de ‘oude norm’. Misschien is het handig om direct op basis van de nieuwe norm te certificeren, maar dat hangt natuurlijk af van de fase waarin het systeem voor informatiebeveiliging (het ISMS) is ontwikkeld.
Voor allebei geldt
Nieuwe certificeringen en hercertificeringen mogen tot 30 april 2024 op basis van de oude norm plaatsvinden. Uiterlijk 31 oktober 2025 moeten alle EIK klanten met een certificaat op basis van ISO 27001:2013 over zijn naar de nieuwe norm (transitietermijn van 36 maanden).
Meer informatie of de situatie van jouw organisatie bespreken?
Als je behoefte hebt aan meer informatie, of ‘jouw casus’ met ons wilt bespreken, neem dan contact met ons op. Dan kijken we hoe jij het beste kunt certificeren of overstappen op de nieuwe norm.