ISO 27001:2022 transitie na de deadline: 11 nieuwe Annex A controls en de impact op je SoA

ISO 27001:2022 is in oktober 2022 gepubliceerd als opvolger van ISO 27001:2013. De International Accreditation Forum (IAF) heeft een transitieperiode vastgesteld die afliep op 31 oktober 2025. Na die datum zijn certificaten op basis van de 2013-versie niet meer geldig. Organisaties die de transitie nog niet hebben afgerond, moeten dit alsnog doen bij hun eerstvolgende audit.

Dit artikel beschrijft de belangrijkste wijzigingen, de impact op je ISMS en hoe je de transitie praktisch aanpakt.

Wat is er veranderd in de 2022-versie?

De wijzigingen zitten op twee niveaus: de hoofdtekst (clausules 4 tot 10) en Annex A (de controls). In de hoofdtekst zijn de wijzigingen beperkt maar relevant. Clausule 4.2 vereist nu expliciet dat je identificeert welke eisen van belanghebbenden via het ISMS worden geadresseerd. Clausule 6.3 is nieuw en vereist dat wijzigingen aan het ISMS op een geplande manier worden doorgevoerd. Clausule 8.1 stelt nu dat je criteria moet vaststellen voor operationele processen en dat je die processen conform die criteria moet beheersen.

De grootste verandering zit in Annex A. De 114 controls uit de 2013-versie zijn gereorganiseerd naar 93 controls, verdeeld over vier thema's in plaats van veertien domeinen. De vier thema's zijn: organisatorisch (37 controls), personeel (8 controls), fysiek (14 controls) en technologisch (34 controls). Er zijn 11 nieuwe controls toegevoegd die hedendaagse dreigingen en technologieën adresseren.

De elf nieuwe controls

De nieuwe controls weerspiegelen de ontwikkelingen in informatiebeveiliging sinds 2013. Threat intelligence (A.5.7) vereist dat je dreigingsinformatie verzamelt en analyseert. Informatiebeveiliging bij cloudgebruik (A.5.23) adresseert de specifieke risico's van cloudadoptie. ICT-gereedheid voor bedrijfscontinuiteit (A.5.30) verbindt informatiebeveiliging expliciet met business continuity.

Op technologisch vlak zijn er controls voor configuratiemanagement (A.8.9), het verwijderen van informatie (A.8.10), data masking (A.8.11), data leakage prevention (A.8.12), monitoring (A.8.16), webfiltering (A.8.23) en secure coding (A.8.28). Fysiek is er een control voor physical security monitoring (A.7.4) toegevoegd.

Impact op je Statement of Applicability

De Statement of Applicability (SoA) moet volledig worden herzien. De mapping van 114 naar 93 controls is niet een-op-een. Sommige oude controls zijn samengevoegd, andere zijn gesplitst, en er zijn er elf nieuw. Je moet per control opnieuw beoordelen of deze van toepassing is en hoe je eraan voldoet. Dit is doorgaans de meest arbeidsintensieve stap in de transitie.

De transitie-audit aanpakken

De transitie kan worden uitgevoerd als onderdeel van een reguliere surveillance- of hercertificeringsaudit, of als een separate transitie-audit. In beide gevallen beoordeelt de certificeringsinstelling of je ISMS voldoet aan de 2022-versie.

Begin met een gap-analyse: vergelijk je huidige ISMS met de 2022-eisen. Focus op de elf nieuwe controls en de gewijzigde clausules. Bepaal per nieuwe control of je al maatregelen hebt die eraan voldoen (vaak is dat zo, alleen de structuur is anders) of dat je aanvullende maatregelen moet implementeren.

Update vervolgens je documentatie: het ISMS-beleid, de SoA, de risicobehandeling en de operationele procedures. Voer een interne audit uit op basis van de 2022-versie om te verifiëren dat alles op orde is voordat de externe audit plaatsvindt.

Na de deadline

Organisaties waarvan het 2013-certificaat is verlopen, hebben geen geldig ISO 27001-certificaat meer. Dit kan gevolgen hebben voor contractuele verplichtingen, tenderprocessen en het vertrouwen van klanten. Een nieuwe certificering op basis van de 2022-versie is dan nodig, wat doorgaans een volledig hercertificeringstraject inhoudt.

Secure Audit helpt organisaties bij de transitie van ISO 27001:2013 naar 2022 met gap-analyses, documentatie-updates en interne audits. We begeleiden je door het proces zodat je bij de eerstvolgende externe audit soepel door de transitie komt. Neem contact op voor een transitie-assessment.