ISO 27001:2022 — de nieuwe norm, met praktische tips
Op onze ISO 27001-pagina leggen we het verschil tussen de 2013- en 2022-versie van de norm uit. Hier gaan we een stap verder: een praktisch stappenplan en concrete tips voor IT-Checklist-bezoekers die zich voorbereiden op certificering of de overstap naar de nieuwe norm.
Stappenplan voor de overstap
- Gap-analyse: vergelijk je huidige maatregelen met de 93 controls uit de 2022-versie en breng verschillen in kaart.
- Statement of Applicability bijwerken: pas je SoA aan naar de nieuwe indeling (Organisatorisch, Mensen, Fysiek, Technologisch) en onderbouw welke controls wel/niet van toepassing zijn.
- Beleid en risicoanalyse actualiseren:nieuwe thema’s zoals cloudgebruik, dreigingsinformatie en dataminimalisatie moeten expliciet worden meegenomen.
- Interne audit: toets zelf (of met een onafhankelijke interne auditor) of je aan de vernieuwde eisen voldoet, vóór de externe audit.
- Managementbeoordeling: laat de directie de uitkomsten en actiepunten formeel beoordelen en vastleggen.
- Overgangsaudit inplannen: neem tijdig contact op met je certificerende instelling voor de transitieaudit.
De 93 controls van ISO 27001:2022 op een rij
De Annex A-controls zijn in 2022 teruggebracht van 114 (in 14 domeinen) naar 93 controls, verdeeld over 4 thema’s:
- A.5 Organisatorisch — 37 controls
- A.6 Mensen — 8 controls
- A.7 Fysiek — 14 controls
- A.8 Technologisch — 34 controls
Daarnaast zijn er 24 controls samengevoegd en 58 controls inhoudelijk bijgewerkt. Elf controls zijn helemaal nieuw ten opzichte van de 2013-versie:
- A.5.7 Threat intelligence
- A.5.23 Informatiebeveiliging bij cloudgebruik
- A.5.30 ICT-gereedheid voor bedrijfscontinuïteit
- A.7.4 Fysieke beveiligingsmonitoring
- A.8.9 Configuratiebeheer
- A.8.10 Verwijdering van informatie
- A.8.11 Datamasking
- A.8.12 Preventie van gegevenslekken
- A.8.16 Monitoringactiviteiten
- A.8.23 Webfiltering
- A.8.28 Secure coding
Praktische tips per thema
- Organisatorisch:zorg voor een actueel leveranciersoverzicht — de norm besteedt in 2022 meer aandacht aan leveranciersrisico’s en de toeleveringsketen.
- Mensen: leg bewustwordingstrainingen en screeningsafspraken vast, ook voor tijdelijke krachten en freelancers.
- Fysiek: controleer of je fysieke toegangsbeveiliging (kantoor, serverruimte, thuiswerkplekken) nog aansluit bij hoe je nu werkt.
- Technologisch:besteed expliciet aandacht aan cloudconfiguratie, dataleksdetectie en het nieuwe control voor ‘threat intelligence’ — iets wat in de 2013-versie nog ontbrak.
Moet ik helemaal opnieuw certificeren?
Nee. Als je al ISO 27001:2013-gecertificeerd was, ga je via een overgangsaudit (transitieaudit) naar de 2022-versie — dat is geen volledig nieuw traject, maar wel meer werk dan een gewone hercertificering omdat je Statement of Applicability en risicoanalyse moeten worden bijgewerkt.
Kan ik me zelf voorbereiden zonder consultant?
Voor een kleine, overzichtelijke organisatie is dat goed te doen: de norm zelf, de bijbehorende Annex A-controls en een duidelijke gap-analyse geven al veel houvast. Bij complexere omgevingen (meerdere locaties, veel leveranciers, gevoelige data) is begeleiding vaak sneller terugverdiend dan zelf uitzoeken.
Wat als mijn certificerende instelling nog niet is overgestapt?
Certificaten op de oude ISO/IEC 27001:2013-norm zijn sinds 31 oktober 2025 niet meer geldig. Neem contact op met je certificerende instelling (CI) om de overgangsaudit in te plannen — wacht hier niet te lang mee, want CI's hebben in de aanloop naar de deadline vaak beperkte capaciteit.
Verder lezen
Werk je in een kritieke sector? Kijk dan ook naar NIS2 / de Cyberbeveiligingswet en, specifiek voor de zorg, NEN 7510. Heb je hulp nodig bij het voorbereiden van je certificering? Neem contact op.