Il 25 ottobre 2022, ISO ha pubblicato il nuovo standard ISO27001:2022. L’ultima edizione della norma era quella del 2013. L’aggiornamento è stato reso necessario dall’evoluzione delle tecnologie del settore, che ha visto sempre più una trasformazione dei Datacenter interni alle aziende verso infrastrutture cloud esterne, una maggiore centralità della protezione dei dati personali anche alla luce dell’entrata in vigore del GDPR nel 2018 e una maggiore attenzione verso la cybersecurity. La nuova norma cambia anche nel titolo, proprio a rafforzare questi concetti, assumendo la denominazione di “Information security, cybersecurity and privacy protection” anziché la precedente “Information technology — Security techniques”.
La nuova ISO27001:2022 è stata emessa a 8 mesi di distanza dalla ISO27002:2022, linee guida per l’attuazione dei controlli di sicurezza di cui all’annex A della 27001. I controlli sono stati rivisti raggruppandoli in 4 macro temi (controlli organizzativi, controlli fisici, controlli delle persone e controlli
tecnologici). I 114 controlli della precedente ISO27002 sono stati ridotti a 93, accorpandone alcuni, eliminandone altri ed emettendone 11 nuovi.
Per quanto riguarda la 27001 non ci sono state sostanziali variazioni, avendo già, la versione 2013 adottato lo standard HLS.
Per quanto riguarda le aziende certificate ci saranno 3 anni per implementare la nuova norma (da ottobre 2022 a ottobre 2025), con la possibilità di effettuare il passaggio durante un qualsiasi audit annuale, di mantenimento o di rinnovo che sia.
