ISO 27001: wat verandert er?
De wereld van informatiebeveiliging staat niet stil, en ISO 27001 evenmin. In oktober 2022 verscheen een nieuwe versie van de norm, verkrijgbaar via NEN . De IAF heeft internationale richtlijnen voor de transitie gepubliceerd. Als je al gecertificeerd bent op de oude versie, moet je actie ondernemen.
Deadline: 31 oktober 2025
Alle certificaten op basis van ISO 27001:2013 verliezen hun geldigheid op 31 oktober 2025. Heb je nog een oud certificaat? Regel de transitie op tijd.
De transitiedeadline
Organisaties die gecertificeerd zijn op ISO 27001:2013 moeten uiterlijk 31 oktober 2025 zijn overgestapt naar ISO 27001:2022. Na die datum zijn oude certificaten niet meer geldig.
Wat betekent dit voor jou?
Als je al gecertificeerd bent op 2013:
- Plan een transitie-audit met je certificerende instantie
- Update je Statement of Applicability naar de nieuwe Annex A
- Controleer of je de 11 nieuwe beheersmaatregelen hebt geadresseerd
- Doe dit ruim voor oktober 2025 - wacht niet tot het laatste moment
Als je nu start met certificering:
- Je werkt automatisch met de 2022-versie
- Zorg dat je adviseur en tools up-to-date zijn
- Koop de actuele norm bij NEN
Als je certificaat binnenkort verloopt:
- Combineer de hercertificering met de transitie
- Dit is efficiënter dan twee aparte audits
Transitie-audit: wat houdt het in?
De transitie-audit is geen volledige hercertificering. De auditor focust op:
- Je bijgewerkte Statement of Applicability - Heb je alle 93 controls beoordeeld?
- De nieuwe controls - Hoe heb je de 11 nieuwe maatregelen geadresseerd?
- Aanpassingen aan je ISMS - Zijn de wijzigingen doorgevoerd in je documentatie?
De audit duurt meestal 1-2 dagen, afhankelijk van de grootte van je organisatie. De kosten liggen tussen €2.000 en €5.000.
Wat is er veranderd in 2022?
De ISO 27001:2022 versie bevat twee soorten wijzigingen: aanpassingen aan de hoofdtekst (de managementeisen) en een compleet herziene Annex A (de beheersmaatregelen).
Wijzigingen in de hoofdtekst
De managementeisen in hoofdstuk 4-10 zijn grotendeels hetzelfde gebleven. Er zijn verduidelijkingen en kleine aanpassingen:
| Hoofdstuk | Wijziging |
|---|---|
| 4.2 | Verduidelijking: ook relevante eisen van belanghebbenden expliciet benoemen |
| 6.2 | Doelstellingen moeten worden gemonitord (was impliciet, nu expliciet) |
| 6.3 | Nieuw: planning van wijzigingen aan het ISMS |
| 8.1 | Verduidelijking over uitbestede processen |
Deze wijzigingen vragen geen grote aanpassingen als je al een werkend ISMS hebt.
De nieuwe Annex A
De grootste verandering zit in Annex A. De structuur is compleet herzien:
| Aspect | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| Aantal controls | 114 | 93 |
| Categorieën | 14 | 4 |
| Nieuwe controls | - | 11 |
De vier nieuwe categorieën zijn:
- Organisatorisch (37 controls) - beleid, processen, rollen
- Menselijk (8 controls) - mensen en bewustzijn
- Fysiek (14 controls) - gebouwen en apparatuur
- Technologisch (34 controls) - IT en systemen
Lees meer over de nieuwe structuur op de Annex A pagina.
De 11 nieuwe beheersmaatregelen
ISO 27001:2022 introduceert elf nieuwe controls die inspelen op moderne dreigingen en technologieën:
A.5.7 Threat intelligence
Je moet actief informatie verzamelen over dreigingen die relevant zijn voor jouw organisatie. Dit betekent: bronnen raadplegen zoals het NCSC , Z-CERT (voor zorg), of commerciële threat feeds.
Praktisch: abonneer je op relevante nieuwsbrieven, volg security-updates van je leveranciers, en bespreek dreigingsinformatie periodiek in je security-overleg.
A.5.23 Cloudbeveiliging
Als je clouddiensten gebruikt (en wie doet dat niet?), moet je hier specifieke beveiligingsmaatregelen voor hebben. Dit omvat:
- Beoordeling van cloudleveranciers
- Configuratie van cloudomgevingen
- Monitoring van cloudgebruik
- Exit-strategie
A.5.30 ICT-gereedheid voor bedrijfscontinuïteit
Je ICT moet voorbereid zijn op verstoringen. Dit gaat verder dan alleen backups: heb je een plan als je clouddienst uitvalt? Kun je doorwerken als je kantoor niet bereikbaar is?
A.7.4 Fysieke beveiligingsmonitoring
Fysieke toegang moet worden gemonitord. Denk aan camerabewaking, toegangslogboeken, of alarmsystemen. Dit was impliciet al onderdeel van fysieke beveiliging, maar is nu expliciet gemaakt.
A.8.9 Configuratiemanagement
Systeemconfiguraties moeten worden gedocumenteerd, beheerd en gecontroleerd. Je moet weten hoe je systemen zijn geconfigureerd, en wijzigingen moeten gecontroleerd verlopen.
A.8.10 Verwijdering van informatie
Informatie die niet meer nodig is, moet veilig worden verwijderd. Dit geldt voor digitale data (secure wipe) maar ook voor fysieke media (shredden).
A.8.11 Datamaskering
Gevoelige gegevens in test- of ontwikkelomgevingen moeten worden gemaskeerd. Je test niet met echte klantgegevens, maar met geanonimiseerde of gefingeerde data.
A.8.12 Data leakage prevention
Je moet maatregelen hebben om ongeautoriseerde data-exfiltratie te voorkomen. Dit kan technisch (DLP-tools) maar ook organisatorisch (beleid voor het delen van informatie).
A.8.16 Monitoring van activiteiten
Activiteiten in je systemen moeten worden gemonitord om afwijkend gedrag te detecteren. Denk aan SIEM-systemen, log-analyse, of anomaliedetectie.
A.8.23 Webfiltering
Toegang tot schadelijke of ongepaste websites moet worden beperkt. Dit kan via DNS-filtering, een webproxy, of endpoint-bescherming.
A.8.28 Veilig coderen
Als je software ontwikkelt, moet je secure coding practices toepassen. Dit omvat secure development lifecycle, code reviews, en security testing.
Niet alle nieuwe controls zijn relevant voor elke organisatie. Als je geen software ontwikkelt, is A.8.28 niet van toepassing. Documenteer in je Statement of Applicability waarom je bepaalde controls wel of niet toepast.
Attributen: een nieuwe manier van kijken
ISO 27001:2022 introduceert ook “attributen” voor elke control. Dit zijn kenmerken waarmee je controls kunt categoriseren en filteren:
| Attribuut | Waarden |
|---|---|
| Control type | Preventief, Detectief, Correctief |
| Informatiebeveiligingseigenschap | Vertrouwelijkheid, Integriteit, Beschikbaarheid |
| Cybersecurity concept | Identify, Protect, Detect, Respond, Recover |
| Operationele capaciteit | Governance, Asset management, etc. |
| Security domain | Governance, Protection, Defence, Resilience |
Deze attributen zijn niet verplicht om te gebruiken, maar kunnen helpen bij:
- Het structureren van je beveiligingsaanpak
- Gap-analyses
- Rapportages aan management
- Mapping naar andere frameworks zoals NIST CSF
Praktische tips voor de transitie
1. Begin met je Statement of Applicability
Map je huidige SoA naar de nieuwe Annex A. De ISO 27002:2022 bevat een mapping-tabel die laat zien hoe oude controls zich verhouden tot nieuwe.
2. Focus op de gaps
Identificeer welke van de 11 nieuwe controls relevant zijn voor jouw organisatie. Grote kans dat je sommige al (deels) hebt geïmplementeerd zonder ze zo te noemen.
3. Update je documentatie
Pas je procedures en werkinstructies aan waar nodig. De meeste wijzigingen zijn terminologisch of structureel, niet inhoudelijk.
4. Train je mensen
Zorg dat medewerkers die werken met het ISMS op de hoogte zijn van de wijzigingen. Dit hoeft geen uitgebreide training te zijn - een update-sessie volstaat meestal.
5. Plan de audit ruim van tevoren
Certificerende instanties hebben het druk richting de deadline. Plan je transitie-audit minimaal 3-6 maanden van tevoren.
Veelgestelde vragen over de transitie
Moet ik de nieuwe norm kopen? Ja, als je de 2013-versie hebt, moet je de 2022-versie aanschaffen. De norm is verkrijgbaar via NEN .
Kan ik de transitie combineren met mijn surveillance-audit? Vaak wel, maar check dit met je certificerende instantie. Het kan efficiënter zijn.
Wat als ik de deadline mis? Je certificaat vervalt. Je moet dan een volledige hercertificeringsaudit doen, wat duurder en tijdrovender is.
Is de transitie moeilijk? Voor de meeste organisaties valt het mee. De fundamentele aanpak blijft hetzelfde. De meeste tijd gaat zitten in het updaten van het Statement of Applicability.
Meer informatie
- Annex A beheersmaatregelen – De 93 controls uitgelegd
- Eisen van de norm – Alle hoofdstukken toegelicht
- Het ISMS – Het hart van ISO 27001
- NEN ISO 27001 – Officiële norm aanschaffen
- IAF transitie-informatie – Internationale richtlijnen