Newmorn-logo-web-retina
Newmorn avatar
Contact

1 November 2025 deadline nieuwe ISO 27001

Deadline ISO27001 oktober 2025

Deel dit bericht

In 2022 trad de geüpdatete ISO 27001 norm in werking, wat gevolgen heeft voor organisaties over de hele wereld die serieus bezig zijn met informatiebeveiliging. Deze nieuwe norm brengt belangrijke veranderingen met zich mee en biedt aanzienlijke voordelen voor organisaties die de overgang maken. Vóór 1 november 2025 (en voor organisaties die moeten hercertificeren of voor het eerst gaan certificeren ligt de deadline op 1 april 2024) moet iedereen over zijn op de nieuwe ISO 27001 norm, dus zorg dat je begrijpt wat erbij komt kijken en dat je op tijd begint!

GAP-analyse: van 2013 naar 2022

Er zijn flink wat verschuivingen geweest in het aantal controls van de ISO 27001. Het aantal controls is gereduceerd en ze zijn beter geclusterd. Om de overgang naar de vernieuwde ISO 27001 norm soepel te laten verlopen, is een gedegen GAP-analyse essentieel. De grootste verschillen tussen de verouderde ISO 27001 uit 2013 en de nieuwe versie uit 2022 liggen in de volgende gebieden:

Risicogebaseerde benadering

De nieuwe norm benadrukt sterk het belang van een risicogebaseerde benadering van informatiebeveiliging, waar de verouderde norm vooral inzette op standaard maatregelen, zonder het risicoprofiel hierin mee te nemen. Voer daarom een grondige risicoanalyse uit om de specifieke bedreigingen en kwetsbaarheden te identificeren waarmee jouw organisatie wordt geconfronteerd.

Context van jouw organisatie

De nieuwe norm vereist dat organisaties hun interne en externe context beter begrijpen en dat ze rekening houden met de verwachtingen en behoeften van belanghebbenden bij het opstellen van hun informatiebeveiligingsbeleid. Als je beter begrijp waaróm de norm bepaalde stappen van je vraagt, gaat de norm beter voor jouw organisatie werken. Bij Newmorn’ hebben we altijd al ingezet op toegevoegde waarde van normen en standaardisatie in jouw processen, in plaats van het simpelweg doorakkeren van een checklist. De geüpdatete ISO 27001 sluit daarom perfect aan op onze visie.

Leiderschap en betrokkenheid

Er is een grotere nadruk gelegd op de rol van het topmanagement bij het leiden en ondersteunen van het informatiebeveiligingsprogramma. Goed voorbeeld doet immers goed volgen.

Gemoderniseerd: toegangscontrole, encryptie en cloud

Technologie evolueert razendsnel, dus het was logisch dat een norm uit 2013 anno 2022 niet meer volledig kon zijn. In de nieuwe ISO 27001 zijn de eisen met betrekking tot bijvoorbeeld toegangscontrole, encryptie en cloud-platformen geactualiseerd om beter aan te sluiten bij de huidige technologische ontwikkelingen.

Leveranciersmanagement

De nieuwe ISO 27001 legt meer nadruk op het beheer van derde partijen en leveranciers, aangezien dit een groeiend risicogebied is. Ook in leveranciersmanagement brengt cloud-based werken meer risico's met zich mee vanwege de afhankelijkheid van externe serviceproviders. Dit kan leiden tot zorgen over informatiebeveiliging, aangezien de data buiten de directe controle van een organisatie wordt opgeslagen. Bovendien vergroot het gebruik van de cloud het risico op datalekken door externe bedreigingen, zoals cyberaanvallen en ongeautoriseerde toegang. Het delen van infrastructuur in de cloud met andere gebruikers kan ook kwetsbaarheden blootleggen, waardoor potentiële beveiligingsrisico's toenemen. De toegenomen risico's van cloud-based werken vormen een belangrijke reden waarom de nieuwe ISO 27001-standaard meer nadruk legt op dit aspect. Zo borgen we de veiligheid van data in de hele keten.

Het belang van een goede Risicoanalyse

De vernieuwde, risicogebaseerde insteek van de ISO 27001 vereist een grondige risicoanalyse. Dit proces omvat het identificeren, beoordelen en beheren van informatiebeveiligingsrisico’s die van invloed kunnen zijn op jouw organisatie. Het uitvoeren van een goede risicoanalyse is van vitaal belang om:

  • Kwetsbaarheden te identificeren:

    Met een diepgaande analyse gaat je organisatie de zwakke punten en kwetsbaarheden beter begrijpen. Hierbij hoort goede communicatie in alle lagen van de organisatie. Als medewerkers zich beter beseffen op welke punten de organisatie kwetsbaar is en waaróm maatregelen worden getroffen, zal de security awareness stijgen en de naleving van beleid verbeteren.

  • Prioriteiten te stellen:

    Risicoanalyse helpt bij het prioriteren van maatregelen op basis van de ernst van de dreigingen en de impact op de organisatie. Hierbij gaan we uit van de formule ‘risico = kans x impact’. Als de kans klein is dat een scenario gaat plaatsvinden en de impact is beperkt, zal de prioriteit laag zijn. Als de kans groot is en de impact ook, ligt de prioriteit logischerwijze hoog. Als de kans echter erg klein is, maar de impact mogelijk catastrofaal, heeft dit toch gevolgen voor de prioriteit in de mitigatie van het risico. Hierbij komt ook de zogeheten ‘Risk Appetite’ om de hoek kijken. Hoeveel risico’s ben je als organisatie bereid om te accepteren, welke risico’s mitigeren we met maatregelen en welke dekken we af met bijvoorbeeld een verzekering?

  • Efficiënter te zijn:

    Door middel van risicoanalyse kunnen organisaties hun informatiebeveiligingsmaatregelen gerichter inzetten, wat kostenbesparingen kan opleveren. Hierbij hebben we aandacht voor de balans en samenhang van maatregelen. Je kunt de spreekwoordelijke voordeur immers goed beveiligen, maar als je de achterdeur open laat staan, is zelfs het beste slot op de voordeur zinloos.

  • Voortdurend te verbeteren:

    Technologische ontwikkelingen gaan snel en cyber criminelen zijn continu op zoek naar nieuwe kwetsbaarheden om te exploiteren. Risicoanalyse is daarom een continu proces. Dit betekent dat organisaties moeten blijven leren, de samenhang en het effect van maatregelen structureel moeten toetsen en waar nodig verbeteringen moeten aanbrengen.

Overgangsproces en Tijdlijn

Het overgaan van de verouderde ISO 27001 naar de vernieuwde norm is voor iedereen haalbaar en kan meestal binnen een kwartaal worden voltooid, afhankelijk van de complexiteit van de organisatie. Wij adviseren om over te stappen als je weer tegen de certificeringsaudit aanloopt; dit is het meest voordelig en zo kun je de overgang integreren in je bestaande certificeringscyclus. Je bespaart hiermee kosten en moeite.

Overgaan op de nieuwe ISO 27001 hebben we onderverdeeld in een paar overzichtelijke stappen.

  • Wijzigingen en verwachtingen begrijpen:

    Bestudeer de nieuwe ISO 27001 norm grondig om te begrijpen wat er van je wordt verwacht.

  • GAP-analyse uitvoeren:

    Identificeer de verschillen tussen de oude en nieuwe norm en stel een plan op om deze gaten te dichten.

  • Documentatie voorbereiden:

    Update je beleidsdocumenten, procedures en registraties om aan de nieuwe vereisten te voldoen.

  • Wijzigingen implementeren:

    Breng de noodzakelijke aanpassingen aan in je informatiebeveiligingssysteem.

  • Interne audits uitvoeren:

    Controleer of je aan de nieuwe norm voldoet door interne audits uit te voeren.

  • Certificeringsaudit plannen:

    Plan je certificeringsaudit in en voer deze uit volgens de nieuwe norm.

Newmorn’ staat voor je klaar

Wij helpen onze opdrachtgevers als zij voor de eerste keer het certificeringstraject van de ISO 27001 in gaan, maar ook als zij moeten overstappen op de nieuwe versie van de norm. We kunnen hierbij verschillende rollen aannemen; van actief en hands-on tot sturend en coördinerend. Hierbij maken we optimaal gebruik van de capaciteit in jouw organisatie. Als er helemaal geen capaciteit in de organisatie is, nemen we de verantwoordelijkheid volledig op ons en zorgen wij dat alles van A tot Z geregeld is.

Wat past het beste bij jouw organisatie? Zorg dat je op tijd begint met het overstappen naar de nieuwe ISO 27001. De deadline is 1 november 2025 als je al een certificering hebt behaald. Voor organisaties die nog moesten certificeren of hercertificeren, lag de deadline al op 1 april 2024. De tijd vliegt. Neem daarom snel contact op en we bespreken de mogelijkheden voor een soepele en plezierige overstap naar de nieuwe norm.

Om je op weg te helpen, hebben we een gratis Whitepaper voor je. Je downloadt deze via de banner hieronder.

Ook hebben we een document (spreadsheet) voor je klaarliggen, waarin de verschillen tussen de oude en nieuwe versie van de norm staan, die je kunt gebruiken voor de gapanalyse. Neem hiervoor gerust contact op met  Jordi, via de gegevens hieronder. Dan sturen we je het document gratis en vrijblijvend toe.

Newmorn' whitepaper Implementeren ISO 27001:2022

Gratis Whitepaper

'Implementeren ISO 27001:2022'

Er is nogal wat veranderd aan de norm van ISO 27001:2022. Wat zijn de consequenties van de vernieuwde ISO 27002 als je nu bezig bent om uw ISO 27001 certificering te behalen? Waar moet je rekening mee houden bij hercertificering? Waarom is de vernieuwde norm zo’n verbetering en wat bereikt u ermee?

Wilt u antwoorden op deze vragen? Download dan ons gratis Whitepaper

Lees verder en download
Newmorn consultant Jodi van Duyne

Jordi van Duyne

Ga je liever direct in gesprek met een deskundige op het gebied van ISO 27001? Neem dan gerust contact op met Jordi van Duyne, Consultant bij Newmorn’. 

Mail Jordi
Bel Jordi

Meer berichten

Contact

Audits

Consultancy

Over ons

Volgen en Contact

Aanmelden nieuwsbrief

© Newmorn’ 2023     •  Privacybeleid   •  Voorwaarden

Newmorn' nieuwsbrief

Aanmelden nieuwsbrief

Schrijf je in voor de nieuwsbrief en blijf op de hoogte van het laatste nieuws, inzichten en tips!

Schakel JavaScript in je browser in om dit formulier in te vullen.