Accredia ha pubblicato la Circolare tecnica DC N° 04/2023 che definisce i tempi per la transizione delle certificazioni accreditate ISO/IEC 27001, Sistema di gestione per la Sicurezza delle informazioni, alla nuova edizione 2022 e adeguamento degli accreditamenti degli Enti di Certificazione.
Transizione a ISO/IEC 27001:2022
In data 25 Ottobre 2022 è stata pubblicata la Norma Internazionale ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection – Information security management systems – Requirements”, norma di riferimento per le certificazioni rilasciate dagli Organismi accreditati per lo schema SSI.
Tale edizione sostituisce le norme ISO/IEC 27001:2013/Cor 1:2014 e ISO/IEC 27001:2013/Cor 2:2015, che sono state contestualmente ritirate, ma che continuano a valere nel periodo di transizione, della durata di 36 mesi dalla data di ritiro (scadenza 31 ottobre 2025).
Attività di Certificazione
Certificazioni già rilasciate a fronte della ISO/IEC 27001:2013
Tutte le certificazioni emesse sotto accreditamento a fronte della ISO/IEC 27001:2013 dovranno essere transitate al nuovo standard entro il 31 ottobre 2025, in caso contrario l’OdC dovrà provvedere alla loro revoca.
Nuove Certificazioni e rinnovi a fronte della ISO/IEC 27001:2022
Dal 30 aprile 2024 (in precedenza 1° novembre 2023), tutte le nuove certificazioni ed i rinnovi (cfr circ. n. 15/2023) dovranno essere emesse esclusivamente a fronte della ISO/IEC 27001:2022.
L’attività di adeguamento deve prevedere una durata minima di 0,5 giorni/uomo aggiuntivi se effettuata attraverso un audit di rinnovo e di 1 giorno/uomo se effettuata attraverso un audit separato o di sorveglianza (cfr circ. n. 15/2023).
Gestione transizione OdC
Accredia, come richiesto dallo IAF MD:26, verificherà l’adeguamento del processo di certificazione alla nuova norma (verifica di transizione) attraverso un esame documentale della durata di 0,5 giorni/uomo.
La verifica documentale potrà, all’occorrenza, essere sostituita con una verifica presso la sede dell’organismo di certificazione (OdC), congiunta ad attività di sorveglianza/rinnovo dell’accreditamento se pianificate entro Luglio 2023.
Gli obiettivi dell’esame documentale prenderanno in considerazione almeno i seguenti elementi:
- a) una Gap Analysis delle novità introdotte dalla ISO/IEC 27001:2022;
- b) un piano di adeguamento al nuovo standard;
- c) le modalità di transizione e le evidenze di implementazione;
- d) le registrazioni dell’aggiornamento delle competenze;
- e) altri documenti ritenuti pertinenti.
Nel caso siano necessari ulteriori approfondimenti per il completamento della transizione, Accredia si riserva la possibilità di svolgere un’attività supplementare di durata adeguata alle carenze riscontrate.
Accreditamenti ISO/IEC 27001:2022
Si ricorda che il riferimento a certificazioni secondo il nuovo standard è possibile solo a completamento positivo dell’iter di transizione (o accreditamento) ivi compresa la delibera da parte del Comitato Settoriale di Accreditamento.
A partire dal 1° novembre 2023, gli accreditamenti che faranno ancora riferimento alla ISO/IEC 27001:2013 saranno revocati.
Aggiornamento
Circolare tecnica DC N° 15/2023
Errata Corrige Circolare tecnica DC N° 13/2023 – Transizione certificazioni accreditate ISO/IEC 27001 e adeguamento accreditamenti OdC schema MS (ISMS).
La modifica rispetto alla Circolare tecnica DC N° 13/2023 del 02-03-2023, è stata evidenziata nel testo con una barra laterale.
La circolare annulla e sostituisce la Circolare tecnica DC N° 04/2023 del 25-01-2023.
La parte modificata è: “L’attività di adeguamento deve prevedere una durata minima di 0,5 giorni/uomo aggiuntivi se effettuata attraverso un audit di rinnovo e di 1 giorno/uomo se effettuata attraverso un audit separato o di sorveglianza“.
Circolare tecnica DC N° 13/2023
La Circolare tecnica DC N° 13/2023 – Transizione certificazioni accreditate ISO/IEC 27001 e adeguamento accreditamenti OdC schema MS (ISMS) – sostituisce la precedente circolare tecnica DC N° 04/2023 del 25-01-2023
A tal riguardo, in data 15 febbraio 2023 è stata pubblicata la revisione 2 del documento mandatorio IAF MD26, il quale introduce alcune puntualizzazioni circa l’iter di approvazione ed allega un elenco particolareggiato dei cambiamenti chiave e un aggiornamento delle tempistiche:
Nuove Certificazioni e rinnovi a fronte della ISO/IEC 27001:2022
Dal 30 aprile 2024, tutte le nuove certificazioni ed i rinnovi dovranno essere emesse esclusivamente a fronte della ISO/IEC 27001:2022.
Sito internet: Accredia
Per approfondire
Circolare tecnica DC N° 15/2023
Circolare tecnica DC N° 15/2023 – Errata Corrige Circolare tecnica DC N° 13/2023 – Disposizioni in materia di transizione delle certificazioni accreditate a fronte della norma ISO/IEC 27001 e relativo adeguamento degli accreditamenti degli Organismi di Certificazione accreditati per lo schema MS (ISMS) per l’edizione 2022 [2023-03-02]
Circolare tecnica DC N° 13/2023
Disposizioni in materia di transizione delle certificazioni accreditate a fronte della norma ISO/IEC 27001 e relativo adeguamento degli accreditamenti degli Organismi di Certificazione accreditati per lo schema MS (ISMS) per l’edizione 2022 [2023-03-02]
Circolare tecnica DC N° 04/2023 (sostituita prima dalla circolare n. 13/2023, poi dalla circolare n. 15/2023)